勒索软件是由威胁实施者用于勒索受害者钱财的 恶意软件 。这种形式的网络攻击是目前盈利最高的犯罪业务模式之一。
勒索软件攻击 会让组织损失数百万美元,需要数百小时来重建设备和复原攻击期间被破坏的数据。通常,组织从 受感染的机器 收到勒索信,通知他们自己的数据已成为目标的时候,才知道遭受了 网络攻击。 典型的 勒索软件攻击通常包含几个步骤。
首先,系统或 控制服务器 被入侵,安装上 恶意软件。 接下来, 恶意软件 通过使用勒索软件 加密 数据,取得对机器的控制权。 然后,遭到攻击的机器显示消息和"勒索信",说明攻击者对个人或企业的要求,告诉他们除非支付赎金,否则 加密的文件 不可访问。
每隔几个月就会出现一种新的恶意元素,它会导致新的不知情和无意识的用户成为勒索软件的受害者。他们的所有数据都被无限期地加密,在向攻击者支付一定金额之前不承诺恢复数据。另外支付赎金本身也仍然是一场赌博,很可能是一种两空的结果。
这是来自各种来源的可视化数据:Information Is Beautiful(https://informationisbeautiful.net/visualizations/ransomware-attacks/) 。
从图表中可以看出,每年,这都是一笔不小的数目支出。
然而,对于对象数据,很少有人尝试解决这种恶意软件。
传统解决方案
解决此类问题的传统解决方案包括访问控制,通过存储桶或用户(https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)、 角色 (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)、 服务(https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 或实施边界(https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 进行限制。
所有这些解决方案都通过限制而不是缓解来发挥作用,即确保攻击不会发生,而不是确保它不会发生。
对象锁定和 S3 版本控制
使用Object Lock (https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) ,问题就消失了,因为对象本身变得不可变。因此,启用了对象锁的存储桶成为一次写入多次读取 (WORM)模型的继承者。
传统上,当更新对象时,对象的现有副本会完全被更新的上传所取代。启用对象锁定后,较新的上传只会获得另一个标签(versionId),而较旧的对象仍保留在原位,也由标签标识。较新的上传成为对象的当前版本。
Ceph 的对象网关包括与 Amazon S3 API 兼容的Ceph 的 S3 API,(https://docs.ceph.com/en/latest/radosgw/s3/)
使用对象锁定,每个对象都可以通过合法保留或保留期或两者的组合来锁定。
在详细了解这些内容之前,让我们花点时间想一下为什么需要此设置:
- 传统的解决方案是被动的,而不是主动的。
- 外部解决方案(例如勒索软件扫描器)需要访问您的数据,并具有与之相关的价格标签。
- 您已经在使用 S3,并且更喜欢利用内置功能。
如果您发现自己属于这些类别,以下内容可能会有所帮助。
保留期(RETENTION PERIOD)
保留期是一种保护层,可在用户指定的固定时间内锁定对象。根据用户提供的Retain until Date锁定对象。日期过去后,除非被合法保留锁定,否则对象将再次变为可变。
合法保留(LEGAL HOLD)
合法保留是防止对象被删除的另一层保护。它们没有与之关联的保留期。合法保留锁定对象,直到它们被手动移除。任何拥有s3:PutObjectLegalHold权限的用户都可以应用和删除它们。
可以在对象上设置合法保留和保留模式的组合。
保留模式(RETENTION MODES)
用户可以选择两种具有不同保护级别的保留模式:
一些现实使用的场景
对象锁定仅适用于启用了版本控制的存储桶。通过扩展,当创建一个启用了对象锁定的存储桶时,它默认启用了版本控制。
设置
部署了一个 3 个节点的 Ceph 集群,其中 RADOS 网关和 S3 是唯一运行的服务。使用的端点是 RADOS 网关节点之一。
在下面的示例中,我们试图找出保留期和合法保留的工作原理,其中哪个更宽松。我们已经知道合规模式是其中最严格的,所以让我们首先在实践中看看。
保留期
合规模式
- 创建启用对象锁定的存储桶:
$ aws --endpoint-url=http://172.31.117.5 s3api create-bucket --bucket test-bucket --object-lock-enabled-for-bucket
- 使用任一保留策略添加对象锁定配置(此处选择合规性)
$ aws --endpoint-url=http://172.31.117.5 s3api put-object-lock-configuration --bucket test-bucket --object-lock-configuration '{"ObjectLockEnabled":"Enabled","Rule":{"DefaultRetention":{"Mode":"COMPLIANCE","Days":90}}}'
- 将任何对象添加到存储桶
$ aws --endpoint-url=http://172.31.117.5 s3api put-object --bucket test-bucket --body some-object.png --key some-object.png { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "VersionId": "vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod" }
- 确保对象的对象保留模式设置为合规性
$ aws --endpoint-url=http://172.31.117.5 s3api get-object-retention --bucket test-bucket --key some-object.png { "Retention": { "Mode": "COMPLIANCE", "RetainUntilDate": "2022-10-26T07:48:57.740441+00:00" } }
- 删除对象(不带版本 ID)
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png { "DeleteMarker": true, "VersionId": "OsXsNSWZe2oLisQ4.kEeDo1xjwklui0" }
指定VersionId会导致权限被拒绝错误。删除对象的特定版本没有多大意义,因为删除时对象不会被永久删除,而是会在对象上放置一个“删除标记”,该对象将成为其最新版本。
- 列出对象版本以查明是否已设置删除标记
$ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket { "Versions": [ { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "Size": 10485760, "StorageClass": "STANDARD", "Key": "some-object.png", "VersionId": "vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod", "IsLatest": false, "LastModified": "2022-07-28T07:48:57.740000+00:00", "Owner": { "DisplayName": "test", "ID": "test" } } ], "DeleteMarkers": [ { "Owner": { "DisplayName": "test", "ID": "test" }, "Key": "some-object.png", "VersionId": "OsXsNSWZe2oLisQ4.kEeDo1xjwklui0", "IsLatest": true, "LastModified": "2022-07-28T07:50:04.717000+00:00" } ] }
- 对对象重新发出删除命令
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock
- 我们看到我们设置的对象锁禁止对象删除。但是如果我们尝试删除它呢?
$ aws --endpoint-url=http://172.31.117.5 s3api put-object-retention --bucket test-bucket --key some-object.png --version-id vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod --retention '{ "Mode": "GOVERNANCE", "RetainUntilDate": "2025-01-01T00:00:00" }' An error occurred (AccessDenied) when calling the PutObjectRetention operation: can't change retention mode from COMPLIANCE to GOVERNANCE
好的,但是如果我们尝试缩短保留期呢?
$ aws --endpoint-url=http://172.31.117.5 s3api put-object-retention --bucket test-bucket --key some-object.png --version-id vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod --retention '{ "Mode": "COMPLIANCE", "RetainUntilDate": "2022-08-01T00:00:00" }' An error occurred (AccessDenied) when calling the PutObjectRetention operation: proposed retain-until date shortens an existing retention period and governance bypass check failed
所以从上面可以看出,一旦设置了合规模式,就无法在指定的保留日期过去之前删除对象。
治理模式
- 现在让我们用治理模式复制以上所有内容,看看它有什么不同。
$ aws --endpoint-url=http://172.31.117.5 s3api create-bucket --bucket test-bucket --object-lock-enabled-for-bucket $ aws --endpoint-url=http://172.31.117.5 s3api put-object-lock-configuration --bucket test-bucket --object-lock-configuration '{"ObjectLockEnabled":"Enabled","Rule":{"DefaultRetention":{"Mode":"GOVERNANCE","Days":90}}}' $ aws --endpoint-url=http://172.31.117.5 s3api put-object --bucket test-bucket --body some-object.png --key some-object.png { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "VersionId": "Ma6soN3GryqETDZsgz8Re3dPHf-caC9" }
- 一旦对象创建完成,现在让我们尝试删除它。
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png { "DeleteMarker": true, "VersionId": "SfuC0rhMyBDjo.LO0wLcQVqaAy9A5za" } $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id Ma6soN3GryqETDZsgz8Re3dPHf-caC9 An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock $ aws --endpoint-url=http://172.31.117.5 s3api get-object-retention --bucket test-bucket --key some-object.png --version-id Ma6soN3GryqETDZsgz8Re3dPHf-caC9 { "Retention": { "Mode": "GOVERNANCE", "RetainUntilDate": "2022-10-26T10:11:46.921668+00:00" } }
- 所以我们知道我们不能删除对象,和以前一样,但是我们可以绕过治理模式吗?
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id Ma6soN3GryqETDZsgz8Re3dPHf-caC9 --bypass-governance { "VersionId": "Ma6soN3GryqETDZsgz8Re3dPHf-caC9" } $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket { "DeleteMarkers": [ { "Owner": { "DisplayName": "test", "ID": "test" }, "Key": "some-object.png", "VersionId": "SfuC0rhMyBDjo.LO0wLcQVqaAy9A5za", "IsLatest": true, "LastModified": "2022-07-28T10:12:50.432000+00:00" } ] }
我们可以。但这只是因为用户测试创建了存储桶并具有完全控制权。如果另外一个人尝试作为另一个没有s3:BypassGovernanceRetention权限的用户来做呢?
{ "Version": "2022-07-28", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": [ "*" ] }, "Action": "s3:BypassGovernanceRetention", "Resource": "*" } ] }
在应用上述拒绝所有用户权限的策略后,我们创建另一个对象,然后重新尝试使用绕过删除它。
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id O6P4CX9Q8KDvQpRv.7Qse7a1.6xXJP6 --bypass-governance An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock
我们在这里看到,即使用户完全控制了存储桶,删除s3:BypassGovernanceRetention权限也可以保护存储桶不被删除。
合法持有
通过合法保留,可以看到类似的情况:
- 创建一个桶并将对象放入其中
$ aws --endpoint-url=http://172.31.117.5 s3api create-bucket --bucket test-bucket --object-lock-enabled-for-bucket $ aws --endpoint-url=http://172.31.117.5 s3api put-object --bucket test-bucket --body some-object.png --key some-object.png { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "VersionId": "8jCB7AaXQoibKbVSrA3fnHqER-7QYrN" }
- 添加合法保留
$ aws --endpoint-url=http://172.31.117.5 s3api put-object-legal-hold --bucket test-bucket --key some-object.png --legal-hold Status=ON
- 尝试删除对象
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png { "DeleteMarker": true, "VersionId": "iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX" } $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id 8jCB7AaXQoibKbVSrA3fnHqER-7QYrN An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock
- 合法保留禁止对象删除,但在这种情况下,我们可以禁用它并继续删除。
$ $ aws --endpoint-url=http://172.31.117.5 s3api put-object-legal-hold --bucket test-bucket --key some-object.png --version-id 8jCB7AaXQoibKbVSrA3fnHqER-7QYrN --legal-hold Status=OFF $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id 8jCB7AaXQoibKbVSrA3fnHqER-7QYrN { "VersionId": "8jCB7AaXQoibKbVSrA3fnHqER-7QYrN" } $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket { "DeleteMarkers": [ { "Owner": { "DisplayName": "test", "ID": "test" }, "Key": "some-object.png", "VersionId": "iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX", "IsLatest": true, "LastModified": "2022-07-28T08:34:25.281000+00:00" } ] }
此外,我们也可以删除删除标记。
$ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX { "DeleteMarker": true, "VersionId": "iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX" } $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket
但是如果我们拒绝所需的许可会发生什么?
{ "Version": "2022-07-28", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": [ "*" ] }, "Action": "s3:PutObjectLegalHold", "Resource": "*" } ] }
应用上述存储桶策略后,我们会看到以下情况:
$ aws --endpoint-url=http://172.31.117.5 s3api put-object-legal-hold --bucket test-bucket --key some-object.png --version-id VgtT3qRPjleP5tILYI8X0f7XUL7i2jL --legal-hold Status=OFF An error occurred (AccessDenied) when calling the PutObjectLegalHold operation: Unknown
我们注意到没有s3:PutObjectLegalHold权限的用户将无法删除合法保留。
与治理模式不同,只有一个 S3 权限允许用户放置和删除合法保留。
思考与结论
对象锁定是针对勒索软件的一个非常不错的主动措施。但是,如上所示,它可能并不适用于所有情况。有一点是当对象经常被更新,且旧的对象无效时。又如果对象的寿命很短,随着时间的推移会出现历史无效数据的积累,最终由于合规等模式根本拒绝任何更改,存储的数据最终会过多,造成存储被撑爆。
在数据敏感或已知重要的情况下,对象锁定会带来高水平的保护并降低风险。在数据安全方面,对象锁定无疑是另一层保护的有效手段。