Fonctionnalités d'AWS Backup

Présentation

AWS Backup est un service entièrement géré qui centralise et automatise la protection des données sur les services AWS et les charges de travail hybrides. Il offre des fonctions de protection des données de base, des capacités de Reprise après attaque par rançongiciel, ainsi que des informations et des analyses de conformité pour les politiques et les opérations de protection des données. AWS Backup offre un service rentable, basé sur des politiques, avec des fonctionnalités qui simplifient la protection des données à l'échelle de l'exaoctet sur votre domaine AWS. 

Protection des données des ressources d'application sur AWS et les services hybrides

AWS Backup permet de protéger les ressources d'application, notamment vos services de stockage, de base de données et de calcul AWS, ainsi que les charges de travail hybrides comme VMware. AWS Backup prend en charge les fonctionnalités suivantes pour tous les services qu'il prend en charge et les applications tierces : planification des sauvegardes et gestion de la conservation automatisées, surveillance centralisée de la protection des données, cryptage des sauvegardes intégré à AWS KMS, gestion intercompte avec AWS Organizations, audit de la protection des données et rapports de conformité avec AWS Backup Audit Manager, et écriture unique, lecture multiple (WORM) avec le Verrou de coffre-fort de sauvegarde AWS.

AWS Backup permet de protéger les ressources d'application, notamment vos services de stockage, de base de données et de calcul AWS, ainsi que les charges de travail hybrides comme VMware. AWS Backup prend en charge les fonctionnalités suivantes pour tous les services qu'il prend en charge et les applications tierces : planification des sauvegardes et gestion de la conservation automatisées, surveillance centralisée de la protection des données, cryptage des sauvegardes intégré à AWS KMS, gestion intercompte avec AWS Organizations, audit de la protection des données et rapports de conformité avec AWS Backup Audit Manager, et écriture unique, lecture multiple (WORM) avec le Verrou de coffre-fort de sauvegarde AWS.

AWS Backup fournit une console de sauvegarde, des API publiques et une interface de ligne de commande pour gérer de manière centralisée les sauvegardes des services de stockage, de calcul, de base de données et hybrides AWS sur lesquels vos applications sont exécutées, notamment Amazon Simple Storage Service (S3), Amazon Elastic Block Store (EBS), Amazon FSx, Amazon Elastic File System (EFS), AWS Storage Gateway, Amazon Elastic Compute Cloud (EC2), Amazon Relational Database Service (RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (compatible avec MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA sur Amazon EC2 et l'ensemble de la pile d'applications définie par AWS CloudFormation, ainsi que les applications hybrides comme les charges de travail VMware exécutées sur site et dans VMware CloudTM on AWS et AWS Outposts.

Le coffre-fort AWS Backup est un conteneur logique qui stocke et gère vos sauvegardes cryptées. Lors de la création d'un coffre-fort de sauvegarde, vous devez spécifier la clé de chiffrement AWS Key Management Service (AWS KMS) qui chiffre les sauvegardes placées dans ce coffre-fort. Toutes les sauvegardes copiées sont cryptées avec la clé du coffre-fort cible. Pour plus d'informations sur le chiffrement, consultez le tableau de la section Chiffrement pour les sauvegardes dans AWS.

AWS Backup chiffre vos sauvegardes de données au repos et en transit, fournissant ainsi une solution de chiffrement complète qui sécurise vos données de sauvegarde et aide à répondre aux exigences de conformité. Vos données de sauvegarde sont chiffrées à l'aide de clés de chiffrement gérées par AWS Key Management Service (KMS), ce qui réduit la nécessité de créer et de maintenir une infrastructure de gestion des clés. Les clés utilisées pour chiffrer vos données AWS Backup sont indépendantes des clés utilisées pour chiffrer les ressources sur lesquelles les sauvegardes sont basées. L'utilisation de clés de chiffrement distinctes pour vos données de production et vos données de sauvegarde fournit une couche de protection supplémentaire à vos applications.

Vous pouvez créer des sauvegardes gérées par des plans de sauvegarde, ce qui vous permet de définir vos exigences en matière de sauvegarde et d'appliquer ces politiques aux ressources AWS que vous souhaitez protéger. Les plans de sauvegarde simplifient et font évoluer votre stratégie de protection des données à travers vos applications et votre organisation.

Vous pouvez appliquer des plans de sauvegarde à vos ressources AWS en les étiquetant. Les balises AWS sont un excellent moyen d'organiser et de classer de manière cohérente vos ressources AWS.

Vous pouvez personnaliser les planifications de sauvegarde ou choisir parmi des planifications de sauvegarde prédéfinies basées sur les meilleures pratiques courantes. AWS Backup sauvegarde automatiquement vos ressources d'application en fonction des politiques et des planifications que vous définissez pour éviter tout conflit avec la production.

Vous pouvez définir des politiques de conservation de sauvegarde qui retiennent et font expirer automatiquement les sauvegardes, minimisant ainsi les coûts de stockage des sauvegardes. Configurez des politiques de cycle de vie qui font automatiquement passer les sauvegardes du stockage à chaud au stockage à froid, ce qui permet de réduire les coûts de stockage des sauvegardes en les stockant dans un niveau de stockage froid à faible coût.

Vous pouvez copier les sauvegardes sur différents comptes et régions AWS à partir d'une console centrale pour répondre aux besoins de conformité et de reprise après sinistre. Vous pouvez copier des sauvegardes soit manuellement en tant que copie à la demande, soit automatiquement dans le cadre d'un plan de sauvegarde planifié vers plusieurs régions et comptes différents, et récupérer ces sauvegardes dans une nouvelle région ou un nouveau compte.

Vous pouvez créer des politiques de protection des données et utiliser AWS Organizations pour appliquer les politiques de protection à tous les comptes de cette organisation. Cela permet d'effectuer des sauvegardes multicomptes et offre aux clients une couche supplémentaire de sécurité en cas de perturbation du compte source à la suite d'une suppression accidentelle ou malveillante, d'un sinistre ou d'un rançongiciel.

Avec AWS Backup, un opérateur de sauvegarde peut sauvegarder toutes les ressources prises en charge sur AWS sans qu'il soit nécessaire que l'opérateur de sauvegarde ait un accès direct à ces ressources. Cela permet une séparation du contrôle où les propriétaires de ressources ne peuvent pas avoir d'impact sur la conservation des sauvegardes, et où les opérateurs de sauvegarde ne peuvent pas muter ou exfiltrer les données.

Vous pouvez définir des politiques d'accès aux coffres-forts de sauvegarde basées sur les ressources. Avec les politiques d'accès basées sur les ressources, vous pouvez contrôler l'accès aux sauvegardes se trouvant dans un coffre-fort pour l'ensemble des utilisateurs, au lieu de définir des autorisations pour chaque utilisateur.

Vous pouvez déléguer la gestion de la politique de sauvegarde dans AWS Organizations et la surveillance intercompte dans AWS Backup. Cela permet de déléguer la gestion des sauvegardes à un compte d'administration de sauvegarde dédiés, supprimant le besoin pour les comptes membres d'accéder aux comptes de gestion pour l'administration de la sauvegarde. Les administrateurs de sauvegarde délégués peuvent créer et gérer des stratégies de sauvegarde et surveiller l'activité de sauvegarde pour tous les comptes. La délégation de l'administration des sauvegardes à l'échelle de l'entreprise via AWS Organizations permet une gestion centralisée et sécurisée des sauvegardes à grande échelle.

La console AWS Backup comprend un tableau de bord Amazon CloudWatch permettant d'afficher des mesures sur les tâches de sauvegarde, de copie et de restauration terminées ou ayant échoué. Sur ce tableau de bord, vous pouvez visualiser l'état d'avancement des tâches par période, selon le calendrier que vous souhaitez.

AWS Backup s'intègre à AWS CloudTrail, qui fournit une vue consolidée des journaux d'activité de sauvegarde et simplifie le processus d'audit des ressources protégées.

AWS Backup s'intègre à Amazon Simple Notification Service (Amazon SNS), qui peut vous alerter automatiquement sur l'activité de sauvegarde, par exemple lorsqu'une sauvegarde réussit ou qu'une restauration est lancée.

Pour une expérience entièrement gérée, vous pouvez utiliser AWS Backup Audit Manager pour surveiller l'activité de sauvegarde sur vos comptes et régions.

Reprise après attaque par rançongiciel sur plusieurs comptes et régions

AWS Backup offre des fonctionnalités qui vous permettent de protéger et de récupérer des données critiques en cas de rançongiciel et de compromission de comptes. Les rançongiciels font partie d’un modèle commercial et d’un large éventail de technologies que les cybercriminels utilisent pour extorquer de l’argent aux entités ciblées. Ces cybercriminels utilisent une série de tactiques pour obtenir un accès non autorisé aux données et aux systèmes de leurs victimes, notamment en exploitant des vulnérabilités non corrigées et des informations d'identification faibles ou volées. L'accès aux données et aux systèmes est alors restreint par ces cybercriminels, et une demande de rançon est faite pour le retour en toute sécurité de ces actifs numériques. Il existe plusieurs méthodes utilisées par ces cybercriminels pour restreindre ou réduire l'accès légitime aux ressources, notamment le chiffrement et la suppression, la modification des contrôles d'accès et les attaques par déni de service basées sur le réseau. 

Vous pouvez sauvegarder votre pile AWS CloudFormation ainsi que ses ressources comme les rôles IAM AWS et les groupes de sécurité Amazon VPC. Cela signifie que vous pouvez plus facilement récupérer l'ensemble de votre pile d'applications et gérer la conformité de vos politiques de protection des données sur l'ensemble de la pile d'applications.

Vous pouvez importer des définitions d'applications et créer des plans de protection pour l'ensemble des applications, gérés selon un calendrier récurrent, ainsi que des copies intercomptes ou interrégions pour une protection supplémentaire contre les rançongiciels.

Vous pouvez effectuer une évaluation automatique et périodique de la viabilité des restaurations ainsi que surveiller la durée des tâches de restauration grâce à la fonctionnalité de test de restauration. Vous pouvez effectuer des exercices de test de préparation à la restauration afin de vous préparer à d'éventuelles interruptions ou perte de données, afin de satisfaire aux exigences de conformité ou réglementaires.

Le verrou de coffre-fort AWS Backup vous permet de protéger vos sauvegardes d'une suppression ou de modifications de leur cycle de vie (rendant les données immuables) effectuées par inadvertance ou dans une intention malveillante. Vous pouvez utiliser AWS CLI, AWS Backup API ou le kit AWS Backup SDK pour appliquer la protection pour le Verrou de coffre-fort de sauvegarde AWS à un coffre-fort existant ou nouvellement créé. Le verrou de coffre-fort AWS Backup fonctionne avec des politiques de sauvegarde telles que les périodes de conservation, la transition vers le stockage à froid, la copie intercompte et interrégion. Cela offre une couche supplémentaire de protection et vous aide à respecter vos exigences en matière de conformité. Le verrou de coffre-fort AWS Backup a été évalué par Cohasset Associates pour une utilisation dans des environnements soumis aux réglementations SEC 17a-4, CFTC et FINRA.

Le NIST définit la confiance zéro comme un ensemble évolutif de contrôles de cybersécurité qui passe des périmètres statiques basés sur le réseau à une défense active en profondeur axée sur les utilisateurs, les actifs et les ressources. Utilisez l'administration déléguée d'AWS Backup auprès d'AWS Organizations, d'AWS Backup Audit Manager et d'AWS Backup Vault Lock pour vous aider à renforcer votre défense dans le cadre d'une architecture Zero Trust.

Conformité pour la protection des données avec des analyses et des informations en temps réel

AWS Backup Audit Manager est une fonctionnalité qui permet de surveiller et de générer des rapports d'audit sur votre activité de protection des données, comme la fréquence des sauvegardes ou la période de conservation de sauvegardes. AWS Backup Audit Manager est une expérience entièrement gérée qui peut générer des rapports quotidiens avec des informations sur l'état de conformité de vos cadres de protection des données.

Avec AWS Backup Audit Manager, vous pouvez auditer et générer des rapports sur la conformité de vos politiques de protection des données pour vous aider à répondre à vos besoins commerciaux et de réglementation. Il fournit des contrôles de conformité intégrés que vous pouvez personnaliser pour définir vos politiques de protection des données (telles que la fréquence de sauvegarde ou la période de conservation). Il est conçu pour détecter automatiquement les violations de ce que vous avez défini comme étant vos barrières de protection des données et vous invite à prendre des mesures correctives. Avec AWS Backup Audit Manager, vous pouvez évaluer en continu l'activité de sauvegarde et générer des rapports d'audit qui peuvent vous aider à démontrer la conformité aux exigences réglementaires.

AWS Backup prend en charge la conservation à des fins juridiques, qui est utilisée lorsqu'une organisation doit retenir certaines données à des fins de préservation, d'audit ou comme preuve dans le cadre de procédures judiciaires et d'e-Discovery. Vous pouvez utiliser la conservation à des fins juridiques pour empêcher la suppression des sauvegardes, même si leur période de conservation est terminée, et les maintenir en place jusqu'à leur libération explicite.

Vous pouvez utiliser des modèles de rapports de conformité pour générer des rapports quotidiens sur la conformité de vos activités et ressources de sauvegarde par rapport aux contrôles que vous avez définis dans un ou plusieurs cadres. Un cadre est un ensemble de contrôles qui vous aide à évaluer votre situation en matière de conformité.

Vous pouvez utiliser des contrôles préétablis ou personnalisables pour définir vos politiques et évaluer si vos pratiques de sauvegarde sont conformes à vos politiques. Pour plus d'informations sur les contrôles, consultez le guide du développeur AWS Backup. Vous pouvez également configurer des rapports quotidiens automatiques afin d'avoir un aperçu de l'état de conformité de vos cadres.