Quản lý việc giữ lại đối tượng bằng ECS ​​Object Lock

Dell EMC ECS 3.6.2, có thể tải xuống từ ngày 5 tháng 8 năm 2021, bao gồm hỗ trợ Object Lock cho khách hàng của chúng tôi. Đây là một yêu cầu phổ biến và chúng tôi rất vui khi có thể cung cấp tính năng này cho cơ sở cài đặt Object Storage của mình vì nó cho phép họ đáp ứng nhiều trường hợp sử dụng và giúp họ trong các vai trò hàng ngày của mình. 

ECS cho phép bạn lưu trữ các đối tượng bằng mô hình ghi một lần đọc nhiều lần (WORM) thông qua Khóa đối tượng. Tính năng này ngăn không cho các đối tượng bị xóa hoặc ghi đè trong một khoảng thời gian nhất định hoặc vô thời hạn. Ngoài ra, Khóa đối tượng giúp đáp ứng các yêu cầu quy định liên quan đến lưu trữ WORM và thêm một lớp bảo vệ chống lại việc sửa đổi và xóa đối tượng.

ECS Object Lock cho phép bạn quản lý việc lưu giữ đối tượng thông qua các khoảng thời gian lưu giữ và giữ hợp pháp. Với khoảng thời gian lưu giữ, bạn có thể chỉ định khoảng thời gian mà đối tượng vẫn bị khóa. Trong khoảng thời gian đã chỉ định, đối tượng được bảo vệ bằng WORM, nghĩa là đối tượng không thể bị ghi đè hoặc xóa. Giữ hợp pháp cung cấp cùng mức bảo vệ như khoảng thời gian lưu giữ nhưng độc lập với khoảng thời gian lưu giữ và không có ngày hết hạn. Giữ hợp pháp được giữ trong các đối tượng cho đến khi bạn xóa nó một cách rõ ràng. Bất kỳ người dùng nào có quyền Khóa đối tượng phù hợp đều có thể chỉ định khoảng thời gian lưu giữ và giữ hợp pháp trong các đối tượng. 

Vì vậy, hãy xem một ví dụ thực tế về cách chúng ta sẽ sử dụng những thứ này. Chúng ta có thể có một tình huống trong môi trường y tế mà hồ sơ bệnh nhân không được thiết lập đúng cho mục đích lưu giữ và chúng ta có yêu cầu theo quy định để lưu giữ những hồ sơ này. Để tuân thủ các quy định của chính phủ, chúng ta có thể sử dụng lệnh sau để đặt lệnh giữ hợp pháp cho một thùng chứa hồ sơ y tế.

S3curl.pl --id=ecsflex -- http://${s3ip} /my-bucket/obj?legalhold -X PUT –d “<LegalHold><Status>on/Status></LegalHold>”

Sau khi đặt lệnh giữ hợp pháp đối với các thùng cần thiết, người quản lý kho lưu trữ đáng tin cậy của chúng ta sẽ phải chuẩn bị nếu có cuộc kiểm toán. 

Tiếp theo chúng ta hãy xem lại cách chúng ta sử dụng chế độ lưu giữ; Khóa đối tượng có hai chế độ lưu giữ:

1. Tuân thủ  — Đây được coi là chế độ nghiêm ngặt hơn trong hai chế độ và chủ yếu hướng đến việc tuân thủ quy định đối với một số trường hợp sử dụng của khách hàng. Người dùng không thể ghi đè hoặc xóa phiên bản đối tượng. Ngoài ra, người dùng không thể xóa hoặc rút ngắn thời gian lưu giữ đối tượng. Tuy nhiên, với quyền s3: PutObjectRetention, bạn có thể tăng thời gian lưu giữ đối tượng.   
2. Quản trị  — Chế độ bảo vệ quản trị tập trung vào việc bảo vệ chống lại các lỗ hổng bảo mật tiềm ẩn như tác nhân độc hại, xóa nhầm hoặc thông tin xác thực bị giả mạo. Người dùng thông thường không thể ghi đè hoặc xóa phiên bản đối tượng, nhưng người dùng có đặc quyền s3:BypassGovernanceRetention có thể xóa hoặc rút ngắn thời gian lưu giữ đối tượng và xóa các đối tượng bị khóa. Về bản chất, đây là đặc quyền của siêu người dùng, do đó không được cấp dễ dàng. Ngoài ra, người dùng có quyền s3:PutObjectRetention có thể tăng thời gian lưu giữ đối tượng. 

Vậy, hãy xem một ví dụ thực tế về cách chúng ta sẽ sử dụng các chế độ này. Giả sử theo quan điểm quản trị, chúng ta có một chủ sở hữu ứng dụng đang làm việc trên một dự án kiểu IT skunkworks đã mang lại thành quả và họ muốn đảm bảo rằng công việc của họ được bảo vệ và chống lại mọi cuộc tấn công ransomware tiềm ẩn hoặc thông qua việc xóa nhầm. Để kéo dài thời gian lưu giữ đến năm 2030 trên một thùng hiện có, họ có thể sử dụng lệnh curl này.

S3curl.pl --id=ecsflex -- http://${s3ip} /my-bucket/obj?retention -X PUT –d “<Giữ lại><Chế độ>QUẢN LÝ</Chế độ><Giữ lại cho đến ngày>2030-01-01T00:00:00.000Z</Giữ lại cho đến ngày></Giữ lại>”

Điều này sẽ đảm bảo rằng bucket an toàn hơn và bảo vệ công việc của người dùng không bị ghi đè.

ECS Object Lock đáp ứng một số yêu cầu chính:

• Cho phép quản lý và thực thi các chính sách lưu giữ và lệnh giữ hợp pháp cho các đối tượng và nhóm
• Hỗ trợ phiên bản thực thi Quản trị và Tuân thủ
• Duy trì tính toàn vẹn của dữ liệu và tính nhất quán của phiên bản ở nhiều trang web

Chúng tôi đã cung cấp một API cho phép khách hàng dễ dàng quản lý Bucket và Object của họ trong khi vẫn bảo vệ được chính họ và tuân thủ các tiêu chuẩn thực hành tốt nhất. Để biết thêm chi tiết và các ví dụ khác, vui lòng xem Hướng dẫn truy cập dữ liệu Dell EMC ECS 3.6.2 của chúng tôi .

Ghi chú:

• Tính năng Khóa đối tượng ECS ​​chỉ hỗ trợ các nhóm có hỗ trợ phiên bản. 
• Không có giao diện người dùng ECS ​​cho Object Lock. Có thể truy cập giao diện này thông qua API Object Lock của ECS. (Trong Hướng dẫn truy cập dữ liệu ECS của Dell EMC 3.6.2 , để biết ví dụ về API Object Lock, hãy xem phần “Ví dụ về API Object Lock”; để biết danh sách các API S3 được hỗ trợ, hãy xem phần “Các tính năng được API S3 hỗ trợ và không được hỗ trợ”.)
• Các đối tượng bị khóa sẽ được bảo vệ khỏi việc xóa trong suốt vòng đời.