← Todos los tutoriales
Cómo crear una copia de seguridad inmutable en Amazon S3 con Object Lock
En este breve tutorial veremos cómo crear una copia de seguridad inmutable en Amazon S3 con Iperius Backup, utilizando la función Object Lock.
¿Por qué es Amazon S3 Object Lock?
Amazon S3 Object Lock es una característica avanzada de Amazon S3 que le permite proteger archivos archivados (objetos) contra eliminación o sobrescritura accidental o maliciosa durante un período de tiempo definido. Esto se logra aplicando una política de “inmutabilidad” en los archivos guardados, garantizando que nadie (ni siquiera un administrador) pueda modificarlos o eliminarlos antes de la fecha de vencimiento configurada.
Object Lock fue creado para satisfacer las necesidades de seguridad, cumplimiento y protección de datos contra ransomware o eliminación no autorizada, ofreciendo protección WORM (Write Once Read Many).
Cómo funciona la inmutabilidad en S3
Con Object Lock puedes aplicar dos modos principales:
- Modo de gobernanza : solo los usuarios con permisos especiales pueden eludir la inmutabilidad y modificar o eliminar archivos.
- Modo de cumplimiento : incluso los administradores con los privilegios más altos no pueden eliminar ni modificar datos hasta que expire el período de retención.
También es posible definir:
- Periodo de retención : El tiempo mínimo durante el cual el objeto permanece inmutable.
- Retención legal : protección indefinida hasta que se elimine manualmente.
¿Por qué Iperius Backup utiliza S3 Object Lock?
Iperius Backup utiliza de forma nativa la tecnología Amazon S3 Object Lock para crear copias de seguridad inmutables en la nube . Esto significa que, gracias a Iperius, es posible configurar copias de seguridad en S3 con protección WORM de forma sencilla y automática, garantizando la máxima seguridad de los datos de la empresa.
En caso de ransomware o errores humanos, las copias de seguridad inmutables creadas por Iperius están protegidas y siempre son recuperables, ya que no se pueden eliminar ni alterar durante el período de retención configurado.
Beneficios de las copias de seguridad inmutables con bloqueo de objetos
| Ventaja |
Descripción |
| Protección contra ransomware |
Las copias de seguridad no pueden ser cifradas ni eliminadas por malware. |
| Cumplimiento normativo |
Compatibilidad con regulaciones que requieren protección WORM (por ejemplo, GDPR, ISO, HIPAA). |
| Seguridad de datos |
No se pueden modificar ni eliminar archivos hasta que caduquen. |
| Sencillez |
Integrado en Iperius Backup, fácilmente configurable incluso sin conocimientos avanzados. |
| Flexibilidad |
Capacidad para definir diferentes políticas de retención y retención legal. |
Cree una copia de seguridad en la nube inmutable con Iperius
Con Iperius puedes realizar muchos tipos de copias de seguridad avanzadas: imágenes de disco, copias de seguridad de máquinas virtuales, copias de seguridad de bases de datos, copias de seguridad de cuentas de Microsoft 365, etc… Pero también podemos realizar copias de seguridad de archivos y carpetas. Para todos estos tipos de copias de seguridad, puede crear una copia inmutable en Amazon S3 con Object Lock. En este tutorial le mostraremos cómo realizar copias de seguridad de algunas carpetas, para crear copias inmutables de los archivos que contienen.
Abra Iperius y cree un nuevo trabajo de respaldo:
En el panel “Elementos”, seleccione las carpetas que desea respaldar:
Ahora haga clic en “Siguiente”. En el panel “Destinos”, cree un nuevo destino de tipo Amazon S3:
Haga clic en el botón para agregar un tipo de destino de nube y luego en el botón para agregar una nueva cuenta de nube, en este caso Amazon S3.
Para ver cómo obtener las credenciales para conectarse a S3 ( clave de acceso y secreto de acceso ) desde Amazon, lea este tutorial .
Una vez que haya ingresado sus credenciales y guardado su cuenta de Amazon S3 (la conexión y, por lo tanto, la validez de las credenciales se prueban al guardar), regrese a la ventana de configuración de destino, seleccione la cuenta que acaba de crear y pase a configurar los demás parámetros.
Debe elegir la región de Amazon S3 donde desea crear el bucket y realizar una copia de seguridad (normalmente se elige una región geográficamente más cercana si es importante una menor latencia y una velocidad de carga más rápida, o una región más distante por razones de alivio de desastres o redundancia geográfica).
A continuación debes elegir el nombre del depósito . El bucket es el contenedor principal del backup y dentro estarán los objetos, es decir los archivos que se envían con el backup. El nombre del depósito debe seguir algunas reglas específicas: https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html .
Por último, puede configurar otros ajustes, como la copia de seguridad incremental o diferencial, la compresión zip o la creación de rutas o archivos con nombres dinámicos.
Establecer el modo de bloqueo de objetos
La opción más importante, que también es el tema de esta guía, es la relacionada con la inmutabilidad o bloqueo de objeto.
Para habilitarlo, vaya al panel “Opciones” del destino (la opción solo se puede seleccionar si se selecciona un tipo de cuenta de Amazon S3):
Cuando se selecciona esta configuración, Iperius crea el nuevo depósito habilitando el modo Bloqueo de objetos para él. Además, para cada archivo cargado, se establece un número de días de retención. Por ejemplo, si establecemos 30 días, cada archivo que Iperius envía a ese bucket no se puede eliminar ni modificar durante 30 días (o más bien, las versiones de ese archivo no se pueden eliminar).
Iperius le permite elegir entre dos modos de retención:
- Cumplimiento: nadie, ni siquiera el usuario root de Amazon, puede eliminar o modificar versiones de archivos
- Gobernanza: Solo los usuarios con permisos especiales pueden editar o eliminar versiones de archivos
Para obtener más información sobre los modos de retención, lea la guía de Amazon: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html#object-lock-retention-modes .
Tenga en cuenta: Incluso cuando configuramos el modo Cumplimiento, esto no significa que no sea posible eliminar los archivos que vemos dentro del bucket . Tanto con Iperius como con la consola de AWS, podemos eliminar manualmente los archivos que vemos en el depósito. Sin embargo, para esos mismos archivos, Amazon S3 habrá conservado versiones inmutables, que no se pueden eliminar y que se pueden ver y descargar habilitando la opción que puedes ver en la imagen a continuación:
Entonces, incluso si el contenedor aparece vacío, las versiones de los archivos siguen estando allí y pueden verse y descargarse simplemente habilitando esa opción.
Costos de almacenamiento
Al activar el Bloqueo de Objetos hay que prestar un poco de atención a los costes. Por ejemplo, si establece una retención de 60 días y el modo de retención es “Cumplimiento”, no podrá eliminar versiones inmutables de archivos incluso con la cuenta raíz de Amazon. Obviamente esto tiene un impacto en los costos, ya que, en este ejemplo durante 60 días, Amazon cobrará por el espacio ocupado por las versiones de los archivos (el costo de Amazon S3 es, de hecho, pago por uso). En cuanto a las copias de seguridad creadas por Iperius, cabe señalar que, si se utiliza compresión zip, Iperius creará un nuevo archivo dentro del bucket cada vez, para el cual Amazon S3 almacenará las versiones. Por lo tanto, si utiliza el modo Compliance, es recomendable monitorear los costos en la consola de AWS, comenzando con un período de prueba con una retención de quizás solo una semana y probando varios tipos de copias de seguridad con Iperius.
Otra información importante sobre control de versiones y bloqueo de objetos
Una vez que el bloqueo de objetos está habilitado para un depósito , ya no se puede deshabilitar . El control de versiones, otra característica del contenedor que está habilitada (y es necesaria) junto con el Bloqueo de objetos, tampoco se puede deshabilitar.
Si el depósito donde Iperius va a escribir los archivos ya existe y no tiene habilitado el Control de versiones y el Bloqueo de objetos, Iperius recibirá un error al intentar enviar archivos a ese depósito con una configuración de retención, como la que se muestra en la siguiente imagen:
En este caso, si no desea crear un nuevo bucket con Iperius, puede habilitar el control de versiones y el bloqueo de objetos en el bucket existente utilizando las funciones adecuadas disponibles en la consola de AWS , según las instrucciones que se muestran en esta guía: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html .
Una vez que haya completado la configuración del destino, haga clic en Aceptar. El destino se añadirá a la lista:
Haga clic en “Siguiente” para configurar otras configuraciones del trabajo de respaldo, como la programación o las notificaciones por correo electrónico.
Por último, dale un nombre a este trabajo de respaldo y guárdalo haciendo clic en “Aceptar”.
Ahora puedes realizar de forma manual e inmediata la operación de copia de seguridad haciendo clic derecho sobre ella:
Conclusiones
Implementar copias de seguridad inmutables en Amazon S3 utilizando Iperius Backup es una estrategia fundamental para garantizar la protección de los datos corporativos. Con la función Bloqueo de objetos, puede evitar cambios o eliminaciones accidentales o maliciosas de datos durante un período de tiempo definido, garantizando así la integridad de su información. Esta protección es especialmente eficaz contra amenazas como el ransomware, ya que incluso en caso de ataque, las copias de seguridad permanecen intactas y recuperables .
Iperius Backup simplifica la adopción de esta tecnología, permitiéndole configurar fácilmente copias de seguridad en S3 con protección WORM (Write Once Read Many). Además, la inmutabilidad de los datos favorece el cumplimiento de las leyes y reglamentaciones que exigen que la información se mantenga sin cambios durante períodos específicos .
Adoptar una estrategia de respaldo que incluya inmutabilidad no solo fortalece la seguridad de los datos sino que también contribuye a una gestión más eficiente y compatible de la información corporativa. Con Iperius Backup y Amazon S3 Object Lock, las empresas pueden afrontar los retos de la protección de datos en el entorno digital actual con mayor tranquilidad.
Para cualquier pregunta o duda sobre este tutorial,
Contáctanos