新钛云服云和安全管理服务专家祝祥原创

勒索软件是由威胁实施者用于勒索受害者钱财的 恶意软件 。这种形式的网络攻击是目前盈利最高的犯罪业务模式之一。

勒索软件攻击 会让组织损失数百万美元，需要数百小时来重建设备和复原攻击期间被破坏的数据。通常，组织从 受感染的机器 收到勒索信，通知他们自己的数据已成为目标的时候，才知道遭受了 网络攻击。 典型的 勒索软件攻击通常包含几个步骤。

首先，系统或 控制服务器 被入侵，安装上 恶意软件。 接下来， 恶意软件 通过使用勒索软件 加密 数据，取得对机器的控制权。 然后，遭到攻击的机器显示消息和"勒索信"，说明攻击者对个人或企业的要求，告诉他们除非支付赎金，否则 加密的文件 不可访问。

每隔几个月就会出现一种新的恶意元素，它会导致新的不知情和无意识的用户成为勒索软件的受害者。他们的所有数据都被无限期地加密，在向攻击者支付一定金额之前不承诺恢复数据。另外支付赎金本身也仍然是一场赌博，很可能是一种两空的结果。

这是来自各种来源的可视化数据：Information Is Beautiful(
https://informationisbeautiful.net/visualizations/ransomware-attacks/) 。

从图表中可以看出，每年，这都是一笔不小的数目支出。

然而，对于对象数据，很少有人尝试解决这种恶意软件。

传统解决方案

解决此类问题的传统解决方案包括访问控制，通过存储桶或用户(
https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)、 角色 (
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)、 服务(
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 或实施边界(
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 进行限制。

所有这些解决方案都通过限制而不是缓解来发挥作用，即确保攻击不会发生，而不是确保它不会发生。

对象锁定和 S3 版本控制

使用Object Lock (
https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) ，问题就消失了，因为对象本身变得不可变。因此，启用了对象锁的存储桶成为一次写入多次读取 (WORM)模型的继承者。

传统上，当更新对象时，对象的现有副本会完全被更新的上传所取代。启用对象锁定后，较新的上传只会获得另一个标签（versionId），而较旧的对象仍保留在原位，也由标签标识。较新的上传成为对象的当前版本。

Ceph 的对象网关包括与 Amazon S3 API 兼容的Ceph 的 S3 API，(
https://docs.ceph.com/en/latest/radosgw/s3/)

使用对象锁定，每个对象都可以通过合法保留或保留期或两者的组合来锁定。

在详细了解这些内容之前，让我们花点时间想一下为什么需要此设置：

· 传统的解决方案是被动的，而不是主动的。

· 外部解决方案（例如勒索软件扫描器）需要访问您的数据，并具有与之相关的价格标签。

· 您已经在使用 S3，并且更喜欢利用内置功能。

如果您发现自己属于这些类别，以下内容可能会有所帮助。

保留期（RETENTION PERIOD）

保留期是一种保护层，可在用户指定的固定时间内锁定对象。根据用户提供的Retain until Date锁定对象。日期过去后，除非被合法保留锁定，否则对象将再次变为可变。

合法保留（LEGAL HOLD）

合法保留是防止对象被删除的另一层保护。它们没有与之关联的保留期。合法保留锁定对象，直到它们被手动移除。任何拥有s3:PutObjectLegalHold权限的用户都可以应用和删除它们。

可以在对象上设置合法保留和保留模式的组合。

保留模式(RETENTION MODES)

用户可以选择两种具有不同保护级别的保留模式：

一些现实使用的场景

对象锁定仅适用于启用了版本控制的存储桶。通过扩展，当创建一个启用了对象锁定的存储桶时，它默认启用了版本控制。

设置

部署了一个 3 个节点的 Ceph 集群，其中 RADOS 网关和 S3 是唯一运行的服务。使用的端点是 RADOS 网关节点之一。

在下面的示例中，我们试图找出保留期和合法保留的工作原理，其中哪个更宽松。我们已经知道合规模式是其中最严格的，所以让我们首先在实践中看看。

保留期

合规模式

0. 创建启用对象锁定的存储桶：
1. $ aws --endpoint-url=http://172.31.117.5 s3api create-bucket --bucket test-bucket --object-lock-enabled-for-bucket
2. 
   
3. 使用任一保留策略添加对象锁定配置（此处选择合规性）
4. $ aws --endpoint-url=http://172.31.117.5 s3api put-object-lock-configuration --bucket test-bucket --object-lock-configuration '{"ObjectLockEnabled":"Enabled","Rule":{"DefaultRetention":{"Mode":"COMPLIANCE","Days":90}}}'
5. 
   
6. 将任何对象添加到存储桶
7. $ aws --endpoint-url=http://172.31.117.5 s3api put-object --bucket test-bucket --body some-object.png --key some-object.png { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "VersionId": "vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod" }
8. 
   
9. 确保对象的对象保留模式设置为合规性
10. $ aws --endpoint-url=http://172.31.117.5 s3api get-object-retention --bucket test-bucket --key some-object.png { "Retention": { "Mode": "COMPLIANCE", "RetainUntilDate": "2022-10-26T07:48:57.740441+00:00" } }
11. 
    
12. 删除对象（不带版本 ID）
13. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png { "DeleteMarker": true, "VersionId": "OsXsNSWZe2oLisQ4.kEeDo1xjwklui0" }
14. 指定VersionId会导致权限被拒绝错误。删除对象的特定版本没有多大意义，因为删除时对象不会被永久删除，而是会在对象上放置一个“删除标记”，该对象将成为其最新版本。
15. 
    
16. 列出对象版本以查明是否已设置删除标记
17. $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket { "Versions": [ { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "Size": 10485760, "StorageClass": "STANDARD", "Key": "some-object.png", "VersionId": "vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod", "IsLatest": false, "LastModified": "2022-07-28T07:48:57.740000+00:00", "Owner": { "DisplayName": "test", "ID": "test" } } ], "DeleteMarkers": [ { "Owner": { "DisplayName": "test", "ID": "test" }, "Key": "some-object.png", "VersionId": "OsXsNSWZe2oLisQ4.kEeDo1xjwklui0", "IsLatest": true, "LastModified": "2022-07-28T07:50:04.717000+00:00" } ] }
18. 
    
19. 对对象重新发出删除命令
20. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock
21. 
    
22. 我们看到我们设置的对象锁禁止对象删除。但是如果我们尝试删除它呢？
23. $ aws --endpoint-url=http://172.31.117.5 s3api put-object-retention --bucket test-bucket --key some-object.png --version-id vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod --retention '{ "Mode": "GOVERNANCE", "RetainUntilDate": "2025-01-01T00:00:00" }' An error occurred (AccessDenied) when calling the PutObjectRetention operation: can't change retention mode from COMPLIANCE to GOVERNANCE
24. 好的，但是如果我们尝试缩短保留期呢？
25. $ aws --endpoint-url=http://172.31.117.5 s3api put-object-retention --bucket test-bucket --key some-object.png --version-id vuKWwf0EJi70w5EYsLLh2eU9Sun2Wod --retention '{ "Mode": "COMPLIANCE", "RetainUntilDate": "2022-08-01T00:00:00" }' An error occurred (AccessDenied) when calling the PutObjectRetention operation: proposed retain-until date shortens an existing retention period and governance bypass check failed

所以从上面可以看出，一旦设置了合规模式，就无法在指定的保留日期过去之前删除对象。

治理模式

0. 现在让我们用治理模式复制以上所有内容，看看它有什么不同。
1. $ aws --endpoint-url=http://172.31.117.5 s3api create-bucket --bucket test-bucket --object-lock-enabled-for-bucket $ aws --endpoint-url=http://172.31.117.5 s3api put-object-lock-configuration --bucket test-bucket --object-lock-configuration '{"ObjectLockEnabled":"Enabled","Rule":{"DefaultRetention":{"Mode":"GOVERNANCE","Days":90}}}' $ aws --endpoint-url=http://172.31.117.5 s3api put-object --bucket test-bucket --body some-object.png --key some-object.png { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "VersionId": "Ma6soN3GryqETDZsgz8Re3dPHf-caC9" }
2. 
   
3. 一旦对象创建完成，现在让我们尝试删除它。
4. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png { "DeleteMarker": true, "VersionId": "SfuC0rhMyBDjo.LO0wLcQVqaAy9A5za" } $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id Ma6soN3GryqETDZsgz8Re3dPHf-caC9 An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock $ aws --endpoint-url=http://172.31.117.5 s3api get-object-retention --bucket test-bucket --key some-object.png --version-id Ma6soN3GryqETDZsgz8Re3dPHf-caC9 { "Retention": { "Mode": "GOVERNANCE", "RetainUntilDate": "2022-10-26T10:11:46.921668+00:00" } }
5. 
   
6. 所以我们知道我们不能删除对象，和以前一样，但是我们可以绕过治理模式吗？
7. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id Ma6soN3GryqETDZsgz8Re3dPHf-caC9 --bypass-governance { "VersionId": "Ma6soN3GryqETDZsgz8Re3dPHf-caC9" } $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket { "DeleteMarkers": [ { "Owner": { "DisplayName": "test", "ID": "test" }, "Key": "some-object.png", "VersionId": "SfuC0rhMyBDjo.LO0wLcQVqaAy9A5za", "IsLatest": true, "LastModified": "2022-07-28T10:12:50.432000+00:00" } ] }
8. 
   
9. 我们可以。但这只是因为用户测试创建了存储桶并具有完全控制权。如果另外一个人尝试作为另一个没有s3:BypassGovernanceRetention权限的用户来做呢？
10. { "Version": "2022-07-28", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": [ "*" ] }, "Action": "s3:BypassGovernanceRetention", "Resource": "*" } ] }
11. 在应用上述拒绝所有用户权限的策略后，我们创建另一个对象，然后重新尝试使用绕过删除它。
12. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id O6P4CX9Q8KDvQpRv.7Qse7a1.6xXJP6 --bypass-governance An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock
13. 我们在这里看到，即使用户完全控制了存储桶，删除s3:BypassGovernanceRetention权限也可以保护存储桶不被删除。

合法持有

通过合法保留，可以看到类似的情况：

0. 创建一个桶并将对象放入其中
1. $ aws --endpoint-url=http://172.31.117.5 s3api create-bucket --bucket test-bucket --object-lock-enabled-for-bucket $ aws --endpoint-url=http://172.31.117.5 s3api put-object --bucket test-bucket --body some-object.png --key some-object.png { "ETag": "\"0700710d411b6bb8e62c48afbef55ab6\"", "VersionId": "8jCB7AaXQoibKbVSrA3fnHqER-7QYrN" }
2. 
   
3. 添加合法保留
4. $ aws --endpoint-url=http://172.31.117.5 s3api put-object-legal-hold --bucket test-bucket --key some-object.png --legal-hold Status=ON
5. 
   
6. 尝试删除对象
7. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png { "DeleteMarker": true, "VersionId": "iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX" } $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id 8jCB7AaXQoibKbVSrA3fnHqER-7QYrN An error occurred (AccessDenied) when calling the DeleteObject operation: forbidden by object lock
8. 
   
9. 合法保留禁止对象删除，但在这种情况下，我们可以禁用它并继续删除。
10. $ $ aws --endpoint-url=http://172.31.117.5 s3api put-object-legal-hold --bucket test-bucket --key some-object.png --version-id 8jCB7AaXQoibKbVSrA3fnHqER-7QYrN --legal-hold Status=OFF $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id 8jCB7AaXQoibKbVSrA3fnHqER-7QYrN { "VersionId": "8jCB7AaXQoibKbVSrA3fnHqER-7QYrN" } $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket { "DeleteMarkers": [ { "Owner": { "DisplayName": "test", "ID": "test" }, "Key": "some-object.png", "VersionId": "iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX", "IsLatest": true, "LastModified": "2022-07-28T08:34:25.281000+00:00" } ] }
11. 此外，我们也可以删除删除标记。
12. $ aws --endpoint-url=http://172.31.117.5 s3api delete-object --bucket test-bucket --key some-object.png --version-id iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX { "DeleteMarker": true, "VersionId": "iYZ6Fm4fKmPQGqJ55uuIIm--6o5GOJX" } $ aws --endpoint-url=http://172.31.117.5 s3api list-object-versions --bucket test-bucket
13. 
    
14. 但是如果我们拒绝所需的许可会发生什么？
15. { "Version": "2022-07-28", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": [ "*" ] }, "Action": "s3:PutObjectLegalHold", "Resource": "*" } ] }
16. 应用上述存储桶策略后，我们会看到以下情况：
17. $ aws --endpoint-url=http://172.31.117.5 s3api put-object-legal-hold --bucket test-bucket --key some-object.png --version-id VgtT3qRPjleP5tILYI8X0f7XUL7i2jL --legal-hold Status=OFF An error occurred (AccessDenied) when calling the PutObjectLegalHold operation: Unknown
18. 我们注意到没有s3:PutObjectLegalHold权限的用户将无法删除合法保留。

与治理模式不同，只有一个 S3 权限允许用户放置和删除合法保留。

思考与结论

对象锁定是针对勒索软件的一个非常不错的主动措施。但是，如上所示，它可能并不适用于所有情况。有一点是当对象经常被更新，且旧的对象无效时。又如果对象的寿命很短，随着时间的推移会出现历史无效数据的积累，最终由于合规等模式根本拒绝任何更改，存储的数据最终会过多，造成存储被撑爆。

在数据敏感或已知重要的情况下，对象锁定会带来高水平的保护并降低风险。在数据安全方面，对象锁定无疑是另一层保护的有效手段。

*本文部分图片源于网络，如有侵权请联系删除