← Tutti i Tutorials
Come creare un backup immutabile su Amazon S3 con Object Lock
In questo breve tutorial vedremo come creare un backup immutabile su Amazon S3 con Iperius Backup, sfruttando la funzionalità Object Lock.
Cos’è Amazon S3 Object Lock
Amazon S3 Object Lock è una funzionalità avanzata di Amazon S3 che consente di proteggere i file archiviati (objects) da eliminazioni o sovrascritture accidentali o malevole, per un periodo di tempo definito. Questo avviene applicando una policy di “immutabilità” sui file salvati, garantendo che nessuno — neppure un amministratore — possa modificarli o eliminarli prima della scadenza configurata.
Object Lock nasce per rispondere a esigenze di sicurezza, conformità e protezione dei dati contro ransomware o cancellazioni non autorizzate, offrendo una protezione di tipo WORM (Write Once Read Many).
Come funziona l’immutabilità in S3
Con Object Lock è possibile applicare due modalità principali:
- Governance Mode: solo utenti con permessi speciali possono bypassare l’immutabilità e modificare o eliminare i file.
- Compliance Mode: nemmeno gli amministratori con i massimi privilegi possono eliminare o modificare i dati fino alla scadenza del periodo di retention.
È possibile anche definire:
- Retention period: il tempo minimo durante il quale l’oggetto rimane immutabile.
- Legal Hold: una protezione illimitata finché non viene rimossa manualmente.
Perché Iperius Backup utilizza S3 Object Lock
Iperius Backup sfrutta nativamente la tecnologia Object Lock di Amazon S3 per realizzare backup immutabili nel cloud. Questo significa che, grazie ad Iperius, è possibile configurare backup su S3 con protezione WORM in modo semplice e automatico, garantendo la massima sicurezza dei dati aziendali.
In caso di ransomware o errori umani, i backup immutabili realizzati da Iperius sono protetti e sempre recuperabili, in quanto non possono essere né cancellati né alterati durante il periodo di retention configurato.
Vantaggi dei Backup Immutabili con Object Lock
| Vantaggio |
Descrizione |
| Protezione Ransomware |
I backup non possono essere cifrati o cancellati da malware. |
| Conformità normativa |
Supporto a regolamenti che richiedono la protezione WORM (es. GDPR, ISO, HIPAA). |
| Sicurezza dei dati |
Impossibilità di modificare o eliminare i file fino alla scadenza. |
| Semplicità |
Integrato in Iperius Backup, configurabile facilmente anche senza skill avanzati. |
| Flessibilità |
Possibilità di definire policy diverse per retention e legal hold. |
Creare un backup immutabile in cloud con Iperius
Con Iperius è possibile fare molti tipi di backup avanzati: immagini dei dischi, backup di macchine virtuali, backup di database, backup di account Microsoft 365, ecc… Ma possiamo anche fare backup di file e cartelle. Per tutti questi tipi di backup si può creare una copia immutabile su Amazon S3 con Object Lock. In questo tutorial mostreremo il backup di alcune cartelle, per creare quindi delle copie immutabili dei file in esse contenuti.
Apri Iperius e crea una nuova operazione di backup:
Nel pannello “Elementi”, seleziona le cartelle di cui vuoi fare il backup:
Ora clicca su “Avanti”. Nel pannello “Destinazioni”, crea una nuova destinazione di tipo Amazon S3:
Clicca sul pulsante per aggiungere una destinazione di tipo cloud e quindi sul pulsante per aggiungere un nuovo account cloud, in questo caso di tipo Amazon S3.
Per vedere come ottenere da Amazon le credenziali per la connessione a S3 (Access Key e Access Secret) leggi questo tutorial.
Una volta che hai inserito le credenziali e salvato l’account Amazon S3 (la connessione e quindi la validità delle credenziali vengono testati contestualmente al salvataggio), torna alla finestra di configurazione della destinazione, seleziona l’account che hai appena creato e passa alla configurazione degli altri parametri.
Devi scegliere la regione di Amazon S3 dove creare il bucket e fare il backup (si sceglie di solito una regione geograficamente più vicina se è importante avere meno latenza e più velocità di upload oppure una regione più lontana per ragioni di sicurezza contro disastri naturali o per ridondanza geografica).
Quindi devi scegliere il nome del bucket. Il bucket è il contenitore primario del backup e dentro ci saranno gli oggetti, ovvero i file che vengono inviati con il backup. Il nome del bucket deve rispondere ad alcune precise regole: https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html .
Puoi configurare infine diverse altre impostazioni, come il backup di tipo incrementale o differenziale, la compressione zip, o la creazione di percorsi o file con nomi dinamici.
Impostare la modalità Object Lock
L’opzione più importante, che è anche l’argomento di questa guida, è quella relativa all’immutabilità, ovvero all’Object Lock.
Per attivarla, vai al pannello “Opzioni” della destinazione (l’opzione è selezionabile solo se è selezionato un account di tipo Amazon S3):
Quando questa impostazione è selezionata, Iperius crea il nuovo bucket abilitando per esso la modalità Object Lock. Inoltre, per ogni file di cui viene fatto l’upload, viene impostato un numero di giorni di retention (conservazione). Se impostiamo ad esempio 30 giorni, ogni file che Iperius invierà in quel bucket non potrà essere eliminato o alterato per 30 giorni (o meglio, le versioni di quel file non potranno essere eliminate).
Iperius consente di scegliere tra due modalità di retention:
- Compliance: nessuno, neanche l’utente root di Amazon, può eliminare o modificare le versioni dei file
- Governance: solo utenti con permessi speciali possono modificare o eliminare le versioni dei file
Per maggiori informazioni sulle modalità di retention, leggi la guida di Amazon: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html#object-lock-retention-modes.
Nota bene: anche quando impostiamo la modalità Compliance, questo non significa che non è possibile eliminare i file che vediamo all’interno del bucket. Sia con Iperius che con al AWS Console, possiamo manualmente eliminare i file che vediamo nel bucket. Tuttavia, per quegli stessi file, Amazon S3 avrà conservato delle versioni immutabili, che non è possibile cancellare e che possono essere visualizzate e scaricate abilitando l’opzione che puoi vedere nell’immagine sottostante:
Quindi, anche se il bucket appare vuoto, in realtà le versioni dei file sono ancora presenti e possono essere visualizzate e scaricate semplicemente attivando quella opzione.
I costi dello storage
Quando si attiva l’Object Lock bisogna prestare un po’ di attenzione ai costi. Ad esempio, se si imposta una retention di 60 giorni e la modalità di retention è di tipo “Compliance”, non sarà possibile eliminare le versioni immutabili dei file neanche con l’account root di Amazon. Questo incide ovviamente sui costi, poiché – in questo esempio per 60 giorni – Amazon addebiterà lo spazio occupato dalle versioni dei file (il costo di Amazon S3 è infatti a consumo). Per quanto riguarda i backup creati da Iperius, va tenuto conto del fatto che, se si usa la compressione zip, Iperius andrà ogni volta a creare un nuovo file all’interno del bucket, per il quale Amazon S3 conserverà le versioni. Quindi, se si usa la modalità Compliance, è consigliabile monitorare i costi nella AWS Console, iniziando con un periodo di test con una retention magari di una sola settimana, e provando varie tipologie di backup con Iperius.
Altre informazioni importanti su Versioning e Object Lock
Quando per un bucket viene abilitata la modalità Object Lock, questa non può più essere disabilitata. Neanche il Versioning, un altra caratteristica del bucket che si abilita (ed è necessaria) insieme all’Object Lock, può essere disabilitato.
Se il bucket in cui Iperius va a scrivere i file esiste già, e non ha il Versioning e l’Object Lock abilitati, Iperius riceverà un errore quando tenterà di inviare file in quel bucket con una impostazione di retention, come quello mostrato nell’immagine seguente:
In questo caso, se non vuoi creare un nuovo bucket con Iperius, puoi abilitare il Versioning e l’Object Lock sul bucket esistente usando le apposite funzioni disponibili nella AWS Console, come da istruzioni mostrate in questa guida: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html.
Una volta che hai completato la configurazione della destinazione, clicca su OK. La destinazione verrà aggiunta all’elenco:
Clicca su “Avanti” per configurare le altre impostazioni dell’operazione di backup, come la pianificazione o le notifiche email.
Infine, assegna un nome a questa operazione di backup e salvala cliccando su “OK”
Ora puoi subito eseguire manualmente l’operazione di backup cliccandoci sopra con il pulsante destro:
Conclusioni
Implementare backup immutabili su Amazon S3 utilizzando Iperius Backup rappresenta una strategia fondamentale per garantire la protezione dei dati aziendali. Grazie alla funzionalità Object Lock, è possibile impedire modifiche o cancellazioni accidentali o malevole dei dati per un periodo definito, assicurando così l’integrità delle informazioni. Questa protezione è particolarmente efficace contro minacce come il ransomware, poiché anche in caso di attacco, i backup rimangono intatti e recuperabili.
Iperius Backup semplifica l’adozione di questa tecnologia, permettendo di configurare facilmente backup su S3 con protezione WORM (Write Once Read Many). Inoltre, l’immutabilità dei dati supporta la conformità a normative e regolamenti che richiedono la conservazione inalterata delle informazioni per periodi specifici.
Adottare una strategia di backup che includa l’immutabilità non solo rafforza la sicurezza dei dati, ma contribuisce anche a una gestione più efficiente e conforme delle informazioni aziendali. Con Iperius Backup e Amazon S3 Object Lock, le aziende possono affrontare con maggiore serenità le sfide legate alla protezione dei dati nel contesto digitale attuale.
Per qualsiasi domanda o dubbio in merito a questo tutorial,
Contattaci