数据保护的守门员

一、概览

数据不断增长并且是企业最重要的资产之一已经是共识。数据保护（protection），数据恢复力（resilience）和数据治理（governance）是确保数据安全、可靠、持续可用的三个关键环节。组织需要在这三个方面进行综合考虑和持续投入，并形成有效机制，才能真正实现数据资产的有效管控和价值最大化。

保护（protection）：数据需要采取各种措施来保护，防止数据泄露、被窃取、被破坏或被滥用。这包括加密、访问控制、备份等技术手段，以及制定相关的数据安全政策和流程。
韧性（resilience）：指应用程序抵御中断或从中恢复的能力，包括与基础设施、相关服务、错误配置、临时网络问题和负载激增相关的中断。在组织更广泛的业务韧性战略（包括满足数字主权要求的能力）中，云韧性也发挥着至关重要的作用。
治理（governance）：数据治理是指对数据进行有效管理和监控,以确保数据的质量、一致性、可访问性和安全性。这需要制定数据管理政策和标准，明确数据所有权和责任，建立数据生命周期管理流程等。良好的数据治理有助于提高数据的价值和可信度。

二、数据保护策略

上面可以发现相关主题一个非常大的话题，具体操作上还涉及数据分级，数据保护机制，定义数据生命周期等内容。

我们一般根据业务的需求，组合采用多种数据保护策略。其中“数据备份&恢复”费用最低，适合的场景最为宽广，往往是各种数据保护的基石，被客户视为数据资产最后的守门员，本文也是聚焦在这里展开。

亚马逊云科技的“数据备份”级数据保护，软件本身的基础功能免费，数据基于增量快照技术实现（技术实现参考下面链接），费用主要是对象级数据存储因此成本价低，而且享受到亚马逊云科技对象存储级的 11 个 9 的持久性因此不用担心数据丢失。

https://docs.aws.amazon.com/zh_cn/ebs/latest/userguide/ebs-snapshots.html

基于备份技术的数据保护，在亚马逊云科技平台上，主要有两大类原生的实现方式。

1. 基于每个服务自身的，自治型数据保护

如 Amazon EC2 内 Elastic Block Store（EBS 块存储）菜单中的 Lifecycle Manager（生命周期管理器）；如 RDS Mysql 等数据库服务提供的自动持续数据备份功能。

这些在每个服务内实现的数据保护机制，适合每个服务团队管理自己数据的场景。

2. 基于 Backup 服务的，中央级数据保护

这个借助亚马逊云科技 Backup 服务实现，根据客户的账户管控不同要求可以基于现有账号或者采用专门的统一备份账号。

这是一种中央机制，适合公司层面的集中策略管理数据资产，它和上面提到的服务内的自治数据保护并不冲突。前者属于服务级别定位团队和项目组，后者定位是公司整体的数据保护策略。

亚马逊云科技 Backup 是一种完全管理的、基于策略的服务，可以轻松集中和自动管理亚马逊云科技服务中数据的备份。通过数据保护合规性分析和见解，集中并自动化多个 Amazon 服务和混合工作负载的数据保护，简化了备份管理工作，让您能够满足业务和法规备份合规性要求。下图展示了 Backup 服务当前支持的内容：

三、Backup 服务的多层安全机制

1. IAM 权限角度

我们在 IAM 服务中，可以发现系统已经预制了一些 Backup 相关托管策略。

如果 IAM 用户没有 Backup 相关权限，哪怕这个用户有对应服务的最大权限（FullAccess）也没有办法删除这个服务产生的备份。

以 RDS 为例，Backup 数据保护策略生效后，在 RDS 原来的持续数据保护位置，已经被 Backup 服务接管。

如果此时选择彻底删除 RDS 数据库并且不保留备份。点击“删除”后会出现下面报错信息，相关操作被拒绝。

实际上，哪怕系统最大权限的 Root 用户在 RDS 服务里面执行这个操作，也是相同结果。类似的情况在 EC2 等 Backup 支持的服务也一样。在 EC2 菜单中删除直接是灰色不可操作状态，并且提示必须在 Backup 服务菜单中执行删除。

小结：如果用户没有 Backup 服务的权限，并且不是通过 Backup 服务调用删除，哪怕是哪怕这个用户有对应服务的最大权限（FullAccess）或 Root 用户也没有办法删除这个服务产生的备份。

Tips：对于采用 OU 服务（Organizations）的跨账号管理场景，Backup 采用独立的账号。此时可以限制子账号的最大权限的 Root 用户没有 Backup 相关权限（参考下图）。

2. 启用双因素认证

最佳实践是对每个账户使用多重身份验证（MFA）。这样可以进一步提升账号的安全级别，并符合相关的监管和规范要求。

3. 不可变备份

我们可以针对 Backup 的不同备份保险库（Vault）启用锁定策略，如果启用了“合规模式”并且最少 3 天的冷静期，任何用户都无法删除这个是锁定策略。这个场景不仅适合严格的法规遵从场景，也适合单一账户期望极致保护的需求。

Tips：Backup Cohasset Associates 已对 Vault Lock 进行了评估，适用于受美国证券交易委员会 17a-4、美国商品期货交易委员会和美国金融监管局法规约束的环境。有关 Backup Vault Lock 与这些法规的关系的更多信息，请参阅 Cohasset Associates 合规性评估。

4. 启用加密和限制性密钥策略

这个是利用 KMS 的管理者和使用者可以是不同的身份。参考 KMS 创建页面截图。

Tips：如果需要跨区域复制，推荐 KMS 密钥也是跨区域的（在 KMS 服务中的高级选项中选择“多区域密钥“，这样可以实现跨区域也是增量，降低成本）。

5. 启用跟踪审计

除了常规的 cloudtrail 服务的跟踪外，Backup 服务还提供了 Backup Audit Manager 子功能专门用于数据保护的跟踪审计，它可帮助您回答以下问题：

“我是否在备份所有资源？”
“我的所有备份都加密了吗？”
“我的备份每天都在进行吗？”

我们可以借助 Backup Audit Manager 定期生成的审计报告用于满足相关的业务合规要求。

6. 基于角色的物理安全/无法访问备份存储

Backup 服务创建的保护资源，保存在亚马逊云科技的特殊对象存储中，一样提供 11 个 9 的持久性，但任何人无法通过 S3 对象存储服务直接访问这些备份。每个服务的备份只能通过各自服务的快照页面读取或者 Backup 服务中“受保护的资源”中管理。这也符合有合规要求的客户不同业务单元权限分离的管理要求。

四、场景和常见问题

1. 可以解决哪些问题

建立数据保护机制后，可以大幅缓解因误删除，误操作（如 EC2 错误终止），病毒，勒索软件，硬件故障（如 EBS 故障）等导致的数据丢失。

补充：勒索软件的威胁已将数据保护作为所有企业的首要任务。《2023 年 Sophos 勒索软件状况报告》报告称，2022 年有 66% 的组织受到影响，勒索软件支出中位数为 400,000 美元（平均支出为 154 万美元）。由于使用备份的恢复成本中位数是赎金支付的一半（370,000 美元对 750,000 美元），因此拥有可靠的备份并不是一种奢侈，而是组织的当务之急。

2. 推荐的备份策略是什么？

推荐根据业务的重要程度给不同资源打标签（tag），基于 tag 方式可以实现更精细的备份。根据业务需求多个数据保护策略可以叠加。

不同服务的用户推荐利用快照工具即时备份，以满足日常运维和使用需求。

中央策略方面，针对服务级别的备份，如所有 RDS，所有 EC2 等和针对 tag 级别的精细化备份建议同时启用。

3. 恢复一个备份会发生什么？

恢复备份会创建新的资源，现有设备不受影响。可以根据需要复制所需资源到老设备或使用新设备。

4. 如果要长期保存，如何降低存储成本

Backup 服务的保护策略支持一定时间后自动转移到冷存储中并且支持过期自动删除。

例如下图我们可以在常规存储保留 7 天，然后后面均使用更便宜的冷存储，数据在 365 天删除。