Preguntas frecuentes sobre AWS Backup

Un punto de recuperación representa el contenido de un recurso en un momento específico. Los puntos de recuperación también incluyen metadatos, como información sobre el recurso, parámetros de restauración y etiquetas.

Un plan de copias de seguridad es una expresión de la política que define cuándo y cómo desea realizar una copia de seguridad de los recursos de AWS, como las tablas de DynamoDB o los sistemas de archivos EFS. Asigna recursos a los planes de copia de seguridad y AWS Backup realizará y retendrá automáticamente las copias de seguridad de esos recursos de acuerdo con el plan. Los planes de copias de seguridad se componen de una o más reglas de copias de seguridad. Cada regla de copia de seguridad se compone de 1) una programación de las copias de seguridad, la cual incluye la frecuencia con que se realizan (objetivo de punto de recuperación [RPO]) y el periodo que abarcan; 2) una regla de ciclo de vida que especifica cuándo se debe hacer una copia de seguridad de un nivel de almacenamiento a otro y cuándo debe caducar el punto de recuperación; 3) el almacén de copias de seguridad en el cual colocar los puntos de recuperación creados; y 4) las etiquetas que se agregarán a las copias de seguridad en el momento de la creación. Por ejemplo, un plan de copias de seguridad puede tener una regla de copia de seguridad “diaria” y una “mensual”. La regla diaria realiza una copia de seguridad de los recursos todos los días a la medianoche y las retiene durante un mes. La regla mensual realiza una copia de seguridad una vez al mes al principio de cada mes y las retiene durante un año.

Un almacén de copias de seguridad es un lugar de almacenamiento cifrado en su cuenta de AWS que conserva y organiza las copias de seguridad (puntos de recuperación). Puede crear nuevos almacenes de copias de seguridad en cada región de AWS en la que esté disponible AWS Backup. Habilite la protección contra eliminaciones en los almacenes de copias de seguridad mediante el Bloqueo de almacenes de AWS Backup para evitar que actores malintencionados vuelvan a cifrar sus datos. AWS Backup almacena sus copias de seguridad continuas e instantáneas periódicas en el almacén de copias de seguridad que usted prefiera. Además, le permite navegar y restaurar recursos según sus requisitos.

La característica de ciclo de vida de AWS Backup puede realizar una transición automática a los puntos de recuperación de un nivel de almacenamiento en caliente a un nivel de almacenamiento en frío de menor costo. El nivel de almacenamiento en frío está disponible solo para las copias de seguridad de EFS, DynamoDB, Timestream y las máquinas virtuales de VMware.

Las copias de seguridad de EFS, DynamoDB, S3, Timestream y las máquinas virtuales de VMware están cifradas en tránsito y en reposo independientemente de los servicios de origen. De esta forma, se agrega una capa adicional de protección. El cifrado se configura en el nivel del almacén de copias de seguridad. Las copias de seguridad de otros servicios (EC2, EBS, Amazon FSx, RDS, Aurora, Amazon DocumentDB, Neptune, Storage Gateway) se cifran con la metodología de cifrado de copias de seguridad del servicio original. Por ejemplo, las instantáneas de EBS se cifran con la clave de cifrado del volumen a partir del cual se creó la instantánea.

AWS Backup puede establecer políticas basadas en recursos en los almacenes de copias de seguridad, con lo que es posible controlar el acceso a estos y a las copias de seguridad que contienen.

Los servicios que tienen la funcionalidad de copia de seguridad integrada a AWS Backup admiten más características de copia de seguridad, como traslado de las copias de seguridad a un nivel de almacenamiento de bajo costo durante su ciclo de vida, almacenamiento y cifrado de copias de seguridad independientemente de los datos de origen y políticas de acceso a las copias de seguridad. Actualmente, S3, EFS, Timestream SAP HANA en EC2 y DynamoDB son compatibles con las características avanzadas de AWS Backup con la funcionalidad de copia de seguridad integrada con AWS Backup. Si desea activar las características avanzadas de AWS Backup para DynamoDB, tiene que elegir esta opción a través de la configuración. EFS, S3, Timestream, SAP HANA en EC2 y las máquinas virtuales de VMware admiten las características avanzadas de AWS Backup de forma automática. AWS Backup para S3 admite las políticas de acceso y el cifrado de copias de seguridad con una clave diferente, pero no es compatible con el nivel de almacenamiento en frío.

Delegue la administración de las políticas de copia de seguridad en AWS Organizations y el monitoreo entre cuentas en AWS Backup. Esto permite la delegación de la administración de copias de seguridad a cuentas de administración de copias de seguridad dedicadas, lo que elimina la necesidad de que las cuentas de miembros accedan a las cuentas de administración para administrar las copias de seguridad. Los administradores de copias de seguridad delegadas pueden crear y administrar políticas de copias de seguridad y monitorear la actividad de copias de seguridad en las cuentas. Puede centralizar de manera segura su administración de las copias de seguridad a escala mediante la delegación de la administración de copias de seguridad en toda la organización.

Audite y comunique la conformidad de sus políticas de protección de datos con AWS Backup Audit Manager. AWS Backup lo ayuda a centralizar y automatizar las políticas de protección de datos en los servicios de AWS basados en las prácticas recomendadas organizativas y estándares normativos. AWS Backup Audit Manager ayuda a mantener y demostrar el cumplimiento de dichas políticas.

Con AWS Backup Audit Manager, puede verificar que las cargas de trabajo que crea en (o migra a) AWS cumplen con sus requisitos de protección de datos. AWS Backup Audit Manager simplifica el proceso de implementar, rastrear y demostrar el cumplimiento de sus políticas de gobernanza y conformidad de las copias de seguridad.

Puede utilizar AWS Backup Audit Manager mediante la Consola de administración de AWS, CLI, API o SDK. AWS Backup Audit Manager proporciona controles de cumplimiento integrados. Puede personalizar estos controles para definir sus políticas de protección de datos. Se ha diseñado para detectar automáticamente infracciones de las políticas de protección de datos definidas y le pedirá que lleve a cabo acciones correctivas. Con AWS Backup Audit Manager, puede evaluar continuamente la actividad de copia de seguridad y generar informes de auditoría para demostrar la conformidad con los requisitos normativos.

Un control de AWS Backup Audit Manager es un procedimiento diseñado para auditar la conformidad de un requisito de copia de seguridad, como la frecuencia de las copias de seguridad o el periodo de retención de las mismas. Un marco de AWS Backup Audit Manager es una colección de controles que se pueden implementar y administrar como una sola entidad.

Un control de AWS Backup Audit Manager evalúa la configuración de sus recursos de copia de seguridad frente a los ajustes de configuración definidos. Si el recurso cumple con la configuración definida en el control, el estado de conformidad del recurso para ese control es COMPLIANT. Si no lo hace, el estado es NON_COMPLIANT. Si todos los recursos evaluados por un control de AWS Backup Audit Manager son conformes, el estado de conformidad del control es COMPLIANT. Del mismo modo, si todos los controles de un marco son conformes, el estado de conformidad del marco es COMPLIANT.

En la consola de AWS Backup, navegue a la sección de marcos de AWS Backup Audit Manager y seleccione el nombre del marco para ver el estado de conformidad de su marco y sus controles.

Puede crear informes relacionados con su actividad de AWS Backup. Estos informes lo ayudan a obtener detalles de sus trabajos de copia de seguridad, copia y restauración. Puede utilizar estos informes para monitorear su posición operativa e identificar cualquier error que pueda necesitar una acción adicional.

AWS Config monitorea y registra constantemente las configuraciones de los recursos de AWS para que pueda automatizar la evaluación de las configuraciones registradas con respecto a las configuraciones deseadas. AWS Backup Audit Manager se integra con AWS Config para realizar un seguimiento de su actividad de copia de seguridad y transcribir sus políticas de protección de datos en controles de copia de seguridad. Una vez que implemente sus controles de copia de seguridad, AWS Backup Audit Manager evalúa su actividad de copia de seguridad frente a sus controles y registra el estado de conformidad de las mismas. También puede generar informes con fines de auditoría y monitoreo. Con AWS Backup Audit Manager, puede crear informes de varias regiones y varias cuentas desde su cuenta de administración de AWS Organizations.

AWS tiene el programa de conformidad de mayor duración en la nube y se compromete a ayudar a los clientes a explorar sus requisitos. AWS Backup se ha evaluado para cumplir con los estándares globales y del sector en seguridad. Cumple con PCI DSS, ISO 9001, 27001, 27017 y 27018, además de ser apto para HIPAA. Esto le facilita la verificación de nuestra seguridad y el cumplimiento de sus propias obligaciones. Si desea obtener más información y recursos, visite las páginas sobre temas de conformidad. También puede ir a la página Servicios en el ámbito del programa de conformidad para ver una lista completa de servicios y certificaciones.

Puede automatizar las pruebas de restauración mediante un plan que defina la frecuencia de estas pruebas, la hora de inicio objetivo y los criterios para la selección del punto de recuperación. A continuación, debe asignar los recursos a su plan y especificar los parámetros de restauración predeterminados y el periodo de retención para realizar las pruebas internas antes de la limpieza.

Una vez finalizada la ejecución del plan de pruebas de restauración, puede utilizar los resultados para cumplir con los requisitos de cumplimiento y gobernanza. Para ello, puede mostrar la finalización satisfactoria de los escenarios de prueba de restauración y el tiempo de finalización del trabajo de restauración. 

Sí. AWS Backup cumple con PCI-DSS, lo que significa que puede usarlo para transferir información de pago. Puede descargar el Paquete de conformidad con PCI en AWS Artifact para obtener más información sobre cómo lograr la conformidad con PCI en AWS.

Sí. AWS Backup es compatible con HIPAA, lo que significa que tiene un HIPAA BAA establecido con AWS y puede usar este servicio para transferir información protegida de salud (PHI).

El Bloqueo de almacenes de AWS Backup es una característica que lo ayuda a evitar cambios en el ciclo de vida de las copias de seguridad, así como impedir la eliminación manual de estas, con lo que le será más fácil cumplir con los requisitos de conformidad. El Bloqueo de almacenes de AWS Backup implementa medidas de seguridad que verifican el almacenamiento de sus copias de seguridad mediante un modelo de escritura única y lectura múltiple (WORM).

El Bloqueo de almacenes de AWS Backup verifica que ningún usuario, incluidos los administradores o los autores de acciones maliciosas, pueda eliminar sus copias de seguridad o cambiar la configuración de su ciclo de vida, como los periodos de retención y la transición al almacenamiento inactivo. AWS Backup mantiene estas copias de seguridad según los periodos de retención programados, lo que lo ayuda a cumplir sus objetivos de continuidad empresarial. El Bloqueo de almacenes de AWS Backup también funciona con las políticas de copia de seguridad, como periodos de retención, transiciones de almacenamiento en frío y copias entre cuentas o entre regiones. Esto brinda una capa adicional de protección y lo ayuda a cumplir con los requisitos de conformidad. El Bloqueo de almacenes de AWS Backup evita que mantenga copias de seguridad que no cumplen con los periodos de retención mínimos y máximos aceptables.

Mientras el Bloqueo de almacenes de AWS Backup se aplica a los datos que se ubican en el almacén de copia de seguridad de AWS Backup, el Bloqueo de almacenes de S3 Glacier se aplica a un almacén individual de S3 Glacier. El Bloqueo de almacenes de AWS Backup impide la eliminación manual de las copias de seguridad y los cambios en la configuración de ciclo de vida de estas. Esto tiene como fin proteger de forma centralizada las copias de seguridad en todos los servicios de AWS. El Bloqueo de almacenes de S3 Glacier le permite aplicar controles de conformidad diseñados para admitir la retención de registros a largo plazo para almacenes individuales de S3 Glacier. 

El Bloqueo de almacenes de AWS Backup es una configuración opcional en el almacén de AWS Backup y comprende tres propiedades: días mínimos de retención aceptables, días máximos de retención aceptables y un periodo de gracia. Bloquea las operaciones de eliminación de copias de seguridad y los cambios en su ciclo de vida.

Si activa la configuración del Bloqueo de almacenes de AWS Backup, entonces AWS Backup protegerá todos los puntos de recuperación recién creados en el almacén contra la eliminación y los cambios de su ciclo de vida. AWS Backup también generará errores en todos los trabajos de copia de seguridad que no cumplan con los periodos de retención aceptables del Bloqueo de almacenes de AWS Backup.

El Bloqueo de almacenes de AWS Backup verifica que sus copias de seguridad estén disponibles hasta que alcancen sus periodos de retención y expiren. Si cualquier usuario, incluido el de la cuenta raíz, intenta eliminar una copia de seguridad o actualizar sus propiedades de ciclo de vida en un almacén bloqueado, AWS Backup deniega la operación.

Con el periodo de gracia, puede probar la característica durante un periodo de días que defina. Puede actualizar y eliminar la configuración del Bloqueo de almacenes de AWS Backup mientras no haya expirado el periodo de gracia. Una vez que el periodo de gracia expire, AWS Backup no permitirá ningún cambio en la configuración.

Las retenciones legales, también denominadas retenciones por litigios, se utilizan cuando una organización tiene que retener determinados datos para su conservación, auditoría o como pruebas en procedimientos judiciales y la detección electrónica. Estas retenciones evitan que se eliminen las copias de seguridad, incluso aunque haya finalizado el periodo de retención, y se mantienen hasta que se publiquen explícitamente.

Con AWS Backup, puede definir una política central de copia de seguridad para administrarlas junto con la restauración de aplicaciones en todos los servicios de AWS de informática, almacenamiento y base de datos. Una vez que defina su política de copias de seguridad y asigne recursos de S3, AWS Backup automatiza la creación de copias de seguridad de S3 y las almacena en el almacén cifrado que usted designe. Cree copias de seguridad continuas a un momento dado o copias de seguridad periódicas de los buckets de S3, incluidos datos de objetos, etiquetas de objetos, listas de control de acceso (ACL) y metadatos definidos por el usuario. La primera copia de seguridad es una instantánea completa, mientras que las copias de seguridad siguientes son progresivas. Si se produce un evento disruptivo en los datos, elija una copia de seguridad del almacén de copias y restaure un bucket de S3 (u objetos de S3 individuales) en un bucket de S3 nuevo o existente. Las políticas centralizadas en AWS Backup también le permiten definir controles de acceso y automatizar la administración del acceso a las copias de seguridad en todas las cuentas dentro de su organización de AWS Organizations.

Tanto AWS Backup como Amazon S3 ofrecen capacidades que lo ayudan a administrar la continuidad empresarial de sus aplicaciones. Aunque puede administrar de manera centralizada las copias de seguridad y la restauración de sus aplicaciones en varios servicios de AWS con AWS Backup, con Amazon S3 puede administrar los datos en buckets y objetos de S3. Si es un administrador de copias de seguridad responsable de las copias de seguridad, las restauraciones y el cumplimiento de sus aplicaciones en varios servicios de AWS, puede utilizar AWS Backup para satisfacer esas necesidades. Las capacidades de Amazon S3, como el control de versiones, el Object Lock y la replicación, ayudan a los administradores de almacenamiento a conservar los datos y prevenir la eliminación no deseada de los datos de Amazon S3. Puede usan ambos conjuntos de capacidades a la vez para administrar las copias de seguridad y la restauración en la organización.

Si ya tiene un plan de copia de seguridad para su aplicación y desea utilizarlo para Amazon S3, solo tiene que agregar sus recursos de Amazon S3 al plan de copia de seguridad existente utilizando etiquetas o ARN de los buckets de S3. AWS Backup asocia las etiquetas en los buckets de S3 a las asignadas a su plan de copia de seguridad y realiza copias de seguridad de esos recursos junto con los otros servicios de AWS que utiliza su aplicación.

Tiene dos opciones de copia de seguridad disponibles para los recursos de Amazon S3 en AWS Backup: continua y periódica. Las copias de seguridad continuas pueden restaurar los recursos de Amazon S3 a cualquier momento de los últimos 35 días. Puede usar esta característica de un momento dado para restaurar sus recursos de Amazon S3 a su condición en cualquier momento dentro de los últimos 35 días. Las copias de seguridad periódicas retienen los datos durante un periodo de tiempo indefinido. Puedes programar las instantáneas utilizando frecuencias como 1 hora, 12 horas, 1 día, 1 semana o 1 mes, o crearlas bajo demanda. Las copias de seguridad continuas son útiles para revertir eliminaciones accidentales, mientras que las instantáneas periódicas pueden ayudarlo a satisfacer las necesidades de retención de datos a largo plazo.

Sí, activar el control de versiones de S3 es un requisito previo para crear copias de seguridad de los buckets y los objetos de S3. Establezca un periodo de vencimiento de ciclo de vida para sus versiones, si no lo hace, sus costes de S3 podrían aumentar, ya que AWS Backup realiza copias de seguridad y almacena todas las versiones vigentes de sus datos de S3. Consulte la documentación técnica para obtener más información.

AWS Backup extiende sus capacidades de servicio completamente administrado en la nube a su entorno de VMware, lo cual lo ayuda a proporcionar una vista unificada de las copias de seguridad en todos los entornos de AWS y en las instalaciones. AWS Backup se integra con las máquinas virtuales de VMware ESXi, programa y administra las copias de seguridad de VMware, y almacena las copias de seguridad en AWS para que pueda administrar completamente la protección de datos de VMware desde AWS. Con AWS Backup, puede almacenar de manera eficiente copias de seguridad en AWS y copiarlas en todas las cuentas y las regiones de AWS para conseguir continuidad empresarial y protección contra ransomware. Puede restaurar copias de seguridad de VMware en las instalaciones o en AWS para la validación de la continuidad empresarial y los casos de uso de desarrollo o pruebas. El enfoque basado en políticas de AWS Backup lo ayuda a administrar de manera centralizada la protección de las cargas de trabajo de VMware junto con los servicios admitidos de AWS para computación, almacenamiento y bases de datos de forma automatizada y escalable.

AWS Backup se conecta a las cargas de trabajo de VMware con una puerta de enlace del propio servicio que usted implementará en su entorno de VMware. La puerta de enlace de AWS Backup detecta máquinas virtuales a través del servidor de VMware vCenter, toma instantáneas de las máquinas virtuales y administra los datos de las copias de seguridad y las restauraciones entre AWS Backup y el entorno de VMware. Puede usar etiquetas o asignaciones de ID o grupos de recursos de las máquinas virtuales según una carpeta o un hipervisor de máquina virtual para asignar dichas máquinas a sus políticas de copia de seguridad. Estas controlan de manera centralizada la protección de datos de las máquinas virtuales de VMware con los servicios admitidos de AWS Backup. Una vez completados estos pasos, AWS Backup comienza a realizar copias de seguridad de las máquinas virtuales de forma segura en los almacenes. Puede visualizar las copias de seguridad de VMware desde AWS Backup y restaurar las copias de seguridad en las instalaciones o en AWS según sus necesidades.

AWS Backup admite las máquinas virtuales de VMware ESXi 6.7.X y 7.0.X que se ejecutan en los almacenes de datos NFS, VMFS y VSAN en las instalaciones, en VMware CloudTM en AWS y en VMware CloudTM en AWS Outposts. Además, AWS Backup admite los modos de transporte SCSI Hot-Add y Network Block Device (NBD) para copiar datos de las máquinas virtuales (VM) de origen a AWS.

Puede usar AWS Backup para proteger las VM de VMware CloudTM en AWS Outposts. AWS Backup almacena las copias de seguridad de las VM en la región de AWS a la que está conectada su VM de VMware CloudTM en AWS Outposts. Puede usar AWS Backup para proteger las VM de VMware CloudTM en AWS Outposts al usar VMware CloudTM para satisfacer las necesidades de los datos de aplicación con respecto a la baja latencia y el procesamiento de datos locales. En función de los requisitos de la residencia de los datos, puede elegir AWS Backup para almacenar las copias de seguridad de los datos de la aplicación en la región de AWS principal a la que la instancia de Outposts está conectada.

Puede restaurar las copias de seguridad de VMware en un nuevo host virtual de VMware en las instalaciones, VMware CloudTM en AWS, VMware CloudTM en AWS Outposts, Amazon EBS o Amazon EC2 desde la consola de AWS Backup.

Sí, según las necesidades de su organización, puede configurar políticas de ciclo de vida en AWS Backup que transfieran de manera automática las copias de seguridad de VMware de un almacenamiento en caliente a un almacenamiento en frío de bajo costo. Las copias de seguridad que se transfieren al almacenamiento en frío tienen un mínimo de 90 días de almacenamiento, y las copias de seguridad eliminadas antes de que se cumpla ese periodo incurren en un cargo prorrateado equivalente al cargo de almacenamiento para los días restantes.

AWS Backup admite primero copias de seguridad completas y, luego, progresivas por un tiempo indeterminado de las máquinas virtuales de VMware que puede crear bajo demanda o a través de la programación configurado en su plan de copia de seguridad.

AWS Backup captura, de manera predeterminada, copias de seguridad coherentes con la aplicación de las máquinas virtuales de VMware a través del entorno de inactividad de las herramientas de VMware en la máquina virtual. Si la capacidad de inactividad no está disponible, AWS Backup captura copias de seguridad coherentes ante bloqueos.

Sí, AWS Backup comprime las copias de seguridad de VMware en tránsito hacia AWS, lo que lo ayuda a usar de forma óptima su conexión de red a AWS.

Sí, sus copias de seguridad de las máquinas virtuales se cifran en tránsito y en reposo con el algoritmo de cifrado AES-256. También puede usar las claves administradas por el cliente para cifrar las copias de seguridad almacenadas en la nube.

Almacene una copia de las copias de seguridad de VMware en una región de AWS diferente desde las copias de seguridad de producción para cumplir más fácilmente la continuidad empresarial, la recuperación de desastres y los requisitos de conformidad.

Sí, puede copiar las copias de seguridad de VMware en otra cuenta de AWS, lo que lo ayuda a usar las copias de seguridad entre los entornos de desarrollo/pruebas, o bien, entre las cuentas de diferentes departamentos y proyectos. Copiar las copias de seguridad de VMware en otra cuenta de AWS, que es posible gracias a la integración de AWS Backup con AWS Organizations, también proporciona un nivel adicional de aislamiento y seguridad de la cuenta.

El ancho de banda de la red que necesite depende de las máquinas virtuales de VMware que quiera proteger, el tamaño de cada máquina virtual, los datos progresivos generados por cada máquina virtual y los requisitos para el periodo de copia de seguridad y la restauración. Recomendamos que tenga un ancho de banda de, al menos, 100 Mbps en la conexión con AWS para generar copias de seguridad de las máquinas virtuales de VMware en las instalaciones con AWS Backup.

Sí. Puede implementar una puerta de enlace de AWS Backup en una red privada no enrutable si dicha red está conectada a su Amazon VPC a través de Direct Connect o VPN. El tráfico de la puerta de enlace de la copia de seguridad se dirige mediante puntos de conexión de VPC con la tecnología de AWS PrivateLink, que habilita la conectividad privada entre los servicios de AWS a través del uso de interfaces de red elástica (ENI) con IP privadas en sus VPC.

Se le facturará por cada hora que se aprovisione su punto de conexión de VPC. También se aplican cargos de procesamiento de datos por cada gigabyte procesado mediante el punto de conexión de VPC independientemente de cuál sea el origen o el destino del tráfico. Consulte los precios de AWS PrivateLink para obtener más información.