使用不可变存储
将日志和其他证据复制到替代账户时,请确保复制的数据受到保护。除了保护次要证据外,还必须在源位置保护数据的完整性。这些机制称为不可变存储,通过防止数据被篡改或删除来保护数据的完整性。
使用 Amazon S3 的原生功能,您可以配置 Amazon S3 存储桶来保护数据的完整性。例如,通过使用 S3 对象锁定,您可以在固定的时间段内或无限期地阻止删除或覆盖对象。限制数据写入或读取方式的其他方法是使用 S3 存储桶策略管理访问权限、配置 S3 版本控制和启用 MFA 删除。这种类型的配置对于存储调查日志和证据非常有用,通常称为一次写入,多次读取(WORM)。您还可以使用带有 AWS Key Management Service(AWS KMS)的服务器端加密,并确认只有适当的 IAM 主体才有权解密数据,从而保护数据。
此外,如果您希望在完成调查后将数据安全地保存在长期存储中,请考虑使用对象生命周期策略将数据从 Amazon S3 移动到 Amazon S3 Glacier
此外,您可以使用 Amazon S3 Glacier 文件库锁定来保护 Amazon S3 Glacier 中的数据,从而使您可以使用文件库锁定策略轻松部署和实施单个 Amazon S3 Glacier 文件库的合规性控制。您可以在一个文件库锁定策略中指定类似 WORM 这样的安全控制,并且可以锁定该策略以防止将来进行编辑。策略在锁定之后便无法更改。Amazon S3 Glacier 可以执行文件库锁定策略中设定的控制,以便帮助您实现合规性目标,例如用于数据留存。您可以使用 AWS Identity and Access Management(IAM)策略语言,在文件库锁定策略中部署各种合规性控制。
