Storage

Visão Geral

A seção Storage do PAM FSafer permite configurar os backends de armazenamento utilizados pela plataforma para persistir gravações de sessão e registros de comandos. O sistema suporta múltiplos backends simultaneamente, permitindo que diferentes tipos de sessão ou cenários de uso sejam direcionados para destinos distintos.

São duas categorias de armazenamento independentes: Object Storage (para gravações de vídeo/áudio de sessões) e Command Storage (para logs de comandos executados em texto). Cada categoria pode ter múltiplos backends configurados, com um definido como padrão (Default).

Aba Object Storage

Gerencia os backends de armazenamento de objetos utilizados para persistir gravações de sessões (arquivos de vídeo, capturas de tela, arquivos de replay). As gravações incluem sessões SSH, RDP, VNC, banco de dados e outras sessões auditadas.

Entradas padrão do sistema

O sistema vem com dois backends pré-configurados que não podem ser excluídos:

• default (Tipo: Server, Default: Sim): Armazenamento local no servidor do PAM. As gravações são salvas no sistema de arquivos do servidor onde o PAM está instalado. Descrição: "Store locally". Este é o backend padrão ativo após a instalação.

• null (Tipo: Null, Default: Não): Descarta as gravações sem armazená-las. Descrição: "Do not save". Útil para sessões que não precisam ser gravadas, como acessos de manutenção rotineiros ou ambientes de desenvolvimento.

• Tipos de backend suportados

• Ao criar um novo backend de Object Storage, os tipos disponíveis são:

• - **S3**: Amazon S3 ou serviços compatíveis com API S3 (MinIO, Wasabi, etc.)

• - **Ceph**: Armazenamento distribuído Ceph com interface S3-compatible ou Ceph native

• - **Swift**: OpenStack Swift Object Storage

• - **OSS**: Alibaba Cloud Object Storage Service

• - **Azure**: Microsoft Azure Blob Storage

• - **OBS**: Huawei Cloud Object Storage Service

• - **COS**: Tencent Cloud Object Storage

• - **SFTP**: Servidor SFTP remoto para armazenamento de arquivos via protocolo SSH

• - **Server**: Armazenamento local no sistema de arquivos do servidor PAM

• - **Null**: Descarte (não armazena)

• Colunas da listagem

• - **ID**: Identificador único do backend (UUID truncado)

• - **Name**: Nome amigável do backend de armazenamento

• - **Type**: Tipo do backend (Server, S3, Ceph, Swift, OSS, Azure, OBS, COS, SFTP, Null)

• - **Default**: Indica qual backend é o padrão para gravações (apenas um pode ser padrão por vez)

• - **Description**: Descrição livre do backend

• - **Actions**: Botões de Edit e menu de ações adicionais (set as default, delete)

• Aba Command Storage

• Gerencia os backends para armazenamento de logs de comandos executados durante sessões SSH e de terminal. Diferentemente do Object Storage (que armazena gravações completas de sessão), o Command Storage foca especificamente nos comandos em texto executados, permitindo armazenamento separado e otimizado para pesquisa e auditoria de comandos.

• Por padrão, a lista de Command Storage está vazia — os comandos são armazenados no banco de dados local do PAM. Backends adicionais de Command Storage podem ser configurados para indexação em sistemas como Elasticsearch, permitindo buscas avançadas no histórico de comandos.

• Boas Práticas

• - **Não use armazenamento local em produção:** O backend "default" (Server/local) não é recomendado para ambientes de produção por: não ter redundância, ocupar disco do servidor PAM e não escalar. Migre para um backend de Object Storage externo (S3, OSS, Azure Blob, etc.) assim que possível.

• - **Configure retenção no bucket:** A configuração de retenção do sistema PAM (em System Settings > Retentions > Session log) controla apenas metadados no banco de dados. O ciclo de vida real dos arquivos de gravação deve ser configurado diretamente nas políticas de lifecycle do bucket/container.

• - **Separe Object Storage e Command Storage:** Para ambientes de alta escala com muitas sessões de terminal, usar um backend Elasticsearch para Command Storage melhora significativamente a velocidade de busca no histórico de comandos.

• - **Criptografia em trânsito e em repouso:** Configure sempre HTTPS/TLS para comunicação com backends externos. Habilite criptografia em repouso no bucket (SSE-S3, SSE-KMS, AES-256) para conformidade com ISO 27001 e LGPD.

• - **Controle de acesso ao bucket:** Configure o bucket com acesso exclusivo para o PAM (não público). Use IAM roles ou credenciais com permissão mínima (GetObject, PutObject, DeleteObject, ListBucket).

• - **Redundância geográfica:** Para ambientes críticos, considere backends com replicação multi-região para garantir disponibilidade das gravações em caso de falha regional.

• - **Monitore o uso de armazenamento:** Implemente alertas no bucket para notificação quando o uso atingir thresholds definidos. Gravações de sessão RDP/gráficas consomem muito mais espaço que sessões SSH.