Perguntas frequentes sobre o AWS Backup

Um ponto de recuperação representa o conteúdo de um recurso em determinado momento. Os pontos de recuperação também incluem metadados, como informações sobre o recurso, parâmetros de restauração e etiquetas.

Um plano de backup é uma expressão de política que define quando e como você quer fazer backup de recursos da AWS, como tabelas do DynamoDB ou sistemas de arquivos do EFS. Você atribui recursos a planos de backup, e o AWS Backup fará e reterá backups automaticamente para esses recursos de acordo com o plano de backup. Os planos de backup são compostos de uma ou mais regras de backup. Cada regra de backup é composta de 1) uma programação de backup, que inclui a frequência de backup (Recovery Point Objective [RPO – Objetivo de ponto de recuperação]) e a janela de backup; 2) uma regra de ciclo de vida que especifica quando fazer a transição do backup de um nível de armazenamento para outro e quando expirar o ponto de recuperação; 3) o cofre de backups onde serão colocados os pontos de recuperação criados; e 4) as etiquetas a serem adicionadas aos backups no momento da criação. Por exemplo, um plano de backup pode conter uma “regra de backup diário” e uma “regra de backup mensal”. A regra diária faz backup dos recursos todos os dias à meia-noite e mantém os backups por um mês. A regra mensal faz backup uma vez por mês no início de cada mês e retém os backups por um ano.

Um cofre de backups é um local de armazenamento criptografado na conta da AWS que armazena e organiza seus backups (pontos de recuperação). Você pode criar novos cofres de backup em cada região da AWS onde o AWS Backup é oferecido. Habilite a proteção contra exclusão nos cofres de backup usando o Trava de Segurança do AWS Backup para impedir que agentes mal-intencionados criptografem novamente seus dados. O AWS Backup armazena seus backups contínuos e instantâneos periódicos no cofre de backup de sua preferência e permite que você navegue e restaure de acordo com seus requisitos.

O recurso de ciclo de vida do AWS Backup pode fazer a transição automática dos pontos de recuperação de um nível de armazenamento a quente para um nível de armazenamento a frio de baixo custo. O nível de armazenamento a frio está disponível apenas para backups do EFS, DynamoDB, Timestream e de máquinas virtuais VMware.

Os backups para o EFS, o DynamoDB, o S3, o Timestream e máquinas virtuais VMware são criptografados em trânsito e em repouso independentemente dos serviços de origem, adicionando uma camada adicional de proteção. A criptografia é configurada em cada cofre de backups. Backups de outros serviços (EC2, EBS, Amazon FSx, RDS, Aurora, Amazon DocumentDB, Neptune, Storage Gateway) são criptografados usando a metodologia de criptografia de backup do serviço de origem. Por exemplo, snapshots do EBS são criptografados por meio da chave de criptografia do volume do qual o snapshot foi criado.

O AWS Backup pode definir políticas baseadas em recursos em cofres de backups, permitindo o controle do acesso ao cofre de backups e aos backups nele contidos.

Os serviços com funcionalidade de backup construída no AWS Backup são compatíveis com recursos adicionais, como ciclos de vida de backups com transferência para níveis de armazenamento de menor custo, armazenamento e criptografia de backups de forma independente dos dados de origem e políticas de acesso a backups. Atualmente, o S3, o EFS, o Timestream, o SAP HANA no EC2 e o DynamoDB são compatíveis com recursos avançados do AWS Backup com funcionalidades de backup integradas ao AWS Backup. Para ativar os recursos avançados do AWS Backup para o DynamoDB, use as configurações. As máquinas virtuais do EFS, do S3, do Timestream, do SAP HANA no EC2 e da VMware oferecem suporte automático aos recursos avançados do AWS Backup. O AWS Backup para S3 oferece suporte a políticas de acesso de backup e criptografia de backups com uma chave diferente, mas não oferece suporte ao nível de armazenamento a frio.

Delegue o gerenciamento de políticas de backup no AWS Organizations e o monitoramento entre contas no AWS Backup. Isso permite delegar o gerenciamento de backup para contas de administração de backup dedicadas, removendo a necessidade de contas de membro para acessar contas de gerenciamento para administração de backup. Os administradores de backup delegados podem criar e gerenciar políticas de backup e monitorar a atividade de backup nas contas. Você pode centralizar o gerenciamento de backup em escala com segurança por meio da delegação de administração de backup em toda a organização.

Audite e gere relatórios sobre a conformidade de suas políticas de proteção de dados com o AWS Backup Audit Manager. O AWS Backup ajuda a centralizar e automatizar as políticas de proteção de dados nos serviços da AWS com base nas práticas organizacionais recomendadas e nos padrões regulatórios. O AWS Backup Audit Manager ajuda a manter e demonstrar conformidade com essas políticas.

Com o AWS Backup Audit Manager, verifique se as workloads criadas na AWS (ou migradas para a AWS) cumprem seus requisitos de proteção de dados. O AWS Backup Audit Manager simplifica a implementação, o rastreamento e a demonstração de adesão à sua governança de backup e políticas de conformidade.

Você pode usar o AWS Backup Audit Manager por meio do Console de Gerenciamento da AWS, da CLI, da API ou do SDK. O AWS Backup Audit Manager fornece controles de conformidade integrados. Você pode personalizar esses controles para definir suas políticas de proteção de dados. Ele foi projetado para detectar automaticamente violações de suas políticas de proteção de dados definidas e solicitará que você tome ações corretivas. Com o AWS Backup Audit Manager, avalie continuamente a atividade de backup e gere relatórios de auditoria para comprovar a compatibilidade com os requisitos regulamentares.

O controle do AWS Backup Audit Manager é um procedimento projetado para auditar a compatibilidade de um requisito de backup, como frequência ou período de retenção de backup. O framework do AWS Backup Audit Manager é uma coleção de controles que podem ser implantados e gerenciados como uma única entidade.

Um controle do AWS Backup Audit Manager avalia a configuração de seus recursos de backup de acordo com suas definições de configuração. Se o recurso cumprir a configuração definida no controle, o status de compatibilidade do recurso para esse controle será COMPLIANT (compatível). Caso contrário, o status será NON_COMPLIANT (não compatível). Se todos os recursos avaliados por um controle do AWS Backup Audit Manager forem compatíveis, o status de compatibilidade do controle será COMPLIANT. Da mesma forma, se todos os controles de um framework forem compatíveis, o status de compatibilidade do framework será COMPLIANT.

No console do AWS Backup, navegue pela seção AWS Backup Audit Manager Frameworks e selecione o nome do framework para visualizar o status de compatibilidade de seus frameworks e controles.

Você pode criar relatórios relacionados a sua atividade do AWS Backup. Esses relatórios ajudam a obter detalhes de seu backup, copiar e restaurar trabalhos. Você pode usar esses relatórios para monitorar sua postura operacional e identificar falhas que possam necessitar de medidas complementares.

O AWS Config monitora e grava continuamente registros das configurações de recursos da AWS, assim você pode automatizar a avaliação das configurações registradas com base nas configurações desejadas. O AWS Backup Audit Manager integra-se ao AWS Config para rastrear suas atividades de backup e transcrever suas políticas de proteção de dados em controles de backup. Depois que você implantar seus controles de backup, o AWS Backup Audit Manager avaliará suas atividades de backup conforme seus controles e registrará o status de compatibilidade do backup. Também é possível gerar relatórios para fins de auditoria e monitoramento. Com o AWS Backup Audit Manager, você pode criar relatórios multirregionais e multicontas na conta de gerenciamento da sua organização da AWS.

A AWS tem o programa de conformidade mais antigo na nuvem e tem o compromisso de ajudar os clientes a lidar com seus requisitos. O AWS Backup foi avaliado e cumpre padrões de segurança globais e setoriais. O serviço está em conformidade com os padrões PCI DSS, ISO 9001, 27001, 27017 e 27018, além de ser qualificado pela HIPAA. Isso simplifica a verificação da nossa segurança e o cumprimento de suas próprias obrigações. Para obter mais informações e recursos, acesse as nossas páginas de conformidade. Você também pode acessar a página Serviços em foco do programa de conformidade para ver a lista completa de serviços e certificações.

Você pode automatizar o teste de restauração usando um plano de teste de restauração que define a frequência dos testes de restauração, a hora de início prevista e os critérios para a seleção do ponto de recuperação. Em seguida, você atribui os recursos ao seu plano e especifica os parâmetros de restauração padrão e o período de retenção para realizar os testes internos antes da limpeza.

Depois que a execução do plano de teste de restauração for concluída, você poderá usar os resultados para atender aos requisitos de conformidade e governança, mostrando a conclusão bem-sucedida dos cenários de teste de restauração e os tempos de conclusão do trabalho de restauração. 

Sim. O AWS Backup é compatível com o PCI-DSS. Portanto, você pode usar o serviço para transferir informações de pagamento. Faça download do pacote de conformidade do PCI no AWS Artifact para informar-se sobre como alcançar a conformidade com o PCI na AWS.

Sim. O AWS Backup é qualificado para HIPAA. Portanto, se você tiver um BAA da HIPAA com a AWS, poderá usar o AWS Backup para transferir Informações de saúde protegidas (Protected Health Information, PHI).

O Trava de Segurança do AWS Backup é um recurso que ajuda a evitar alterações no ciclo de vida do backup, bem como evitar a exclusão manual de backups, ajudando você a atender aos requisitos de compatibilidade. O Trava de Segurança do AWS Backup implementa proteções que verificam se você armazena seus backups usando um modelo Write-Once-Read-Many (WORM – Gravar uma vez, ler muitas).

Use o Trava de Segurança do AWS Backup para verificar se nenhum usuário, incluindo administradores ou autores de ações mal-intencionadas, pode excluir seus backups ou alterar suas configurações de ciclo de vida, como períodos de retenção e transição para armazenamento a frio. O AWS Backup mantém esses backups de acordo com os períodos de retenção programados, ajudando você a atingir suas metas de continuidade de negócios. O Trava de Segurança do AWS Backup também funciona com políticas de backup, como períodos de retenção, transição para armazenamento frio e cópia entre contas/regiões. Isso fornece uma camada adicional de proteção e ajuda a atender aos seus requisitos de conformidade. O Trava de Segurança do AWS Backup impede que você precise manter backups que não atendem aos períodos de retenção mínimos e máximos aceitáveis.

Embora o Trava de Segurança do AWS Backup se aplique aos dados residentes no cofre de backup do AWS Backup, o S3 Glacier Vault Lock aplica-se a um S3 Glacier Vault individual. O Trava de Segurança do AWS Backup impede a exclusão manual de backups e alterações nas configurações do ciclo de vida do backup para ajudar você a proteger centralmente os backups nos serviços da AWS. O S3 Glacier Vault Lock permite que você aplique controles de compatibilidade projetados para oferecer suporte à retenção de registros de longo prazo para cofres individuais do S3 Glacier. 

O Trava de Segurança do AWS Backup é uma configuração opcional no nível do cofre do AWS Backup e compreende três propriedades: dias de retenção mínimos aceitáveis, dias de retenção máximos aceitáveis e um período de cortesia. Ele bloqueia as operações de exclusão de backup e alterações no seu ciclo de vida.

Se você ativar a configuração do Trava de Segurança do AWS Backup, o AWS Backup protegerá todos os pontos de recuperação recém-criados no cofre contra exclusão e alterações no seu ciclo de vida. O AWS Backup também falhará em todos os trabalhos de backup, com períodos de retenção não atendendo aos períodos de retenção aceitáveis do Trava de Segurança do AWS Backup.

O Trava de Segurança do AWS Backup verifica se os seus backups estão disponíveis até atingirem os períodos de retenção e expirem. Se algum usuário, incluindo o usuário da conta raiz, tentar excluir um backup ou atualizar suas propriedades de ciclo de vida em um cofre bloqueado, o AWS Backup negará a operação.

Com o período de cortesia, você pode testar o recurso pelo número de dias que definir. Você pode atualizar e remover a configuração do Trava de Segurança do AWS Backup, desde que o período de cortesia não tenha expirado. Quando o período de cortesia expirar, o AWS Backup não permitirá nenhuma alteração na configuração.

Retenções legais, também conhecidas como retenções de litígio, são usadas quando uma organização deve reter determinados dados para preservação, auditoria ou como evidência em processos legais e e-Discovery. Essas retenções impedem que os backups sejam excluídos, mesmo que o período de retenção tenha terminado, e permanecem em vigor até que sejam explicitamente liberadas.

Com o AWS Backup, você pode definir uma política de backup central para gerenciar o backup e a restauração da sua aplicação entre serviços da AWS para serviços de computação, armazenamento e banco de dados. Depois que você definir sua política de backup e atribuir recursos do S3, o AWS Backup automatizará a criação de backups do S3 e armazenará esses backups em um cofre de armazenamento criptografado designado por você. Crie backups contínuos de ponto no tempo ou backups periódicos de buckets do S3, incluindo dados de objeto, etiquetas de objeto, listas de controle de acesso (ACLs) e metadados definidos pelo usuário. O primeiro backup é um snapshot completo, enquanto os backups subsequentes são incrementais. Se houver um evento de interrupção de dados, escolha um backup do cofre de backups e restaurar um bucket do S3 (ou objetos do S3 individuais) para um bucket do S3 novo ou existente. As políticas centralizadas no AWS Backup também ajudam a definir controles de acesso e automatizar o gerenciamento de acesso ao backup em todas as suas contas dentro do AWS Organizations.

O AWS Backup e o Amazon S3 oferecem recursos que ajudam a gerenciar a continuidade de negócios das suas aplicações. Embora você possa gerenciar o backup e a restauração das suas aplicações de maneira centralizada em vários serviços da AWS com o AWS Backup, com o Amazon S3 é possível gerenciar dados em buckets e objetos do S3. Se você é um administrador de backup responsável por backups, restaurações e conformidade das aplicações em vários serviços da AWS, pode usar o AWS Backup para atender a essas necessidades. As funcionalidades do Amazon S3, como Versionamento, Bloqueio de objetos e Replicação, ajudam os administradores de armazenamento a preservar os dados e a evitar a exclusão não intencional de dados do Amazon S3. Você pode usar os dois conjuntos de recursos juntos para gerenciar o backup e a restauração em toda a organização.

Se você já tem um plano de backup para sua aplicação e deseja usá-lo para o Amazon S3, adicione seus recursos do Amazon S3 ao plano de backup existente usando tags ou ARNs de buckets do S3. O AWS Backup faz a correspondência das tags nos buckets do S3 com aquelas atribuídas ao seu plano de backup e faz backup desses recursos, junto com outros serviços da AWS que sua aplicação usa.

Você tem duas opções de backup disponíveis para recursos do Amazon S3 no AWS Backup: contínuo e periódico. Os backups contínuos podem restaurar os recursos do Amazon S3 para qualquer ponto no tempo nos últimos 35 dias. Você pode usar esse recurso de ponto no tempo para restaurar a condição dos recursos do Amazon S3 a qualquer momento nos últimos 35 dias. Backups periódicos retêm dados por um período infinito. Você pode agendar instantâneos usando frequências como 1 hora, 12 horas, 1 dia, 1 semana ou 1 mês ou criá-los sob demanda. Backups contínuos são úteis para desfazer exclusões acidentais, enquanto snapshots periódicos podem ajudar você a atender às necessidades de retenção de dados a longo prazo.

Sim, ativar o controle de versionamento do S3 é um pré-requisito para a criação de backups de buckets e objetos do S3. Defina também um período de expiração do ciclo de vida para suas versões. Caso contrário, os custos do S3 podem aumentar, pois o AWS Backup faz backup e armazena todas as versões não expiradas dos dados do S3. Consulte a documentação técnica para obter mais informações.

O AWS Backup estende seus recursos de serviço totalmente gerenciados em nuvem para o ambiente VMware, ajudando você a oferecer uma visão unificada dos backups em seus ambientes AWS e AWS on-premises. O AWS Backup se integra a VMs ESXi do VMware, programa e gerencia backups do VMware e armazena backups na AWS, assim você pode gerenciar totalmente a proteção de dados do VMware da AWS. Usando o AWS Backup, você pode armazenar backups com eficiência na AWS e copiá-los entre regiões e contas da AWS para continuidade de negócios e proteção contra ransomware. Você pode restaurar backups do VMware on-premises ou na AWS para validação de continuidade de negócios e casos de uso de teste/desenvolvimento. A abordagem orientada por políticas do AWS Backup ajuda a gerenciar a proteção das workloads da VMware de maneira centralizada, juntamente com os serviços da AWS compatíveis para computação, armazenamento e bancos de dados, de maneira automatizada e escalável.

O AWS Backup se conecta a workloads da VMware usando o gateway do AWS Backup, que você implantará no seu ambiente VMware. O gateway do AWS Backup descobre VMs por meio do VMware vCenter Server, obtém snapshots da VM, gerencia o backup e restaura os dados entre o AWS Backup e seu ambiente VMware. Você pode usar tags, IDs de recursos de VM ou atribuição de grupo por pasta de VM ou hipervisor para atribuir VMs às suas políticas de backup. Eles controlam centralmente a proteção de dados de VMs VMware com serviços do AWS Backup compatíveis. Depois de concluir essas etapas, o AWS Backup inicia o backup de VMs com segurança em seus cofres de armazenamento. Você pode visualizar seus backups do VMware no AWS Backup e restaurar os backups on premises ou na AWS de acordo com seus requisitos.

O AWS Backup oferece suporte a VMs do VMware ESXi 6.7.X e 7.0.X em execução em datastores NFS, VMFS e VSAN on premises, no VMware CloudTM na AWS e no VMware CloudTM on AWS Outposts.. Além disso, o AWS Backup é compatível com modos de transporte SCSI Hot-Add e Network Block Device (NBD) para copiar dados de máquinas virtuais (VMs) de origem para AWS.

Você pode usar o AWS Backup para proteger suas VMs no VMware CloudTM on AWS Outposts. O AWS Backup armazena os backups das VMs na região da AWS à qual o VMware CloudTM on AWS Outposts está conectado. Você pode usar o AWS Backup para proteger as VMs do VMware CloudTM on AWS Outposts quando estiver usando o VMware CloudTM para atender às suas necessidades de baixa latência e processamento de dados locais para os dados das suas aplicações. Com base nos seus requisitos de residência de dados, você pode escolher o AWS Backup para armazenar backups dos dados das suas aplicações na região da AWS pai à qual o Outposts está conectado.

Você pode restaurar backups do VMware para um novo host virtual VMware on-premises, para o VMware CloudTM na AWS, o VMware CloudTM no AWS Outposts, o Amazon EBS ou o Amazon EC2 no console do AWS Backup.

Sim, com base em suas necessidades organizacionais, você pode configurar políticas de ciclo de vida no AWS Backup para fazer a transição automática de backups do VMware de armazenamento quente para armazenamento frio de baixo custo. Os backups que são transferidos para o armazenamento frio têm um mínimo de 90 dias de armazenamento, e os backups excluídos antes dos 90 dias geram uma cobrança proporcional igual à cobrança de armazenamento pelos dias restantes.

O AWS Backup oferece suporte primeiro a backups completos e, em seguida, a backups incrementais contínuos de VMs da VMware que você pode criar sob demanda ou por meio de uma programação, conforme configurado no seu plano de backup.

O AWS Backup, por padrão, captura backups consistentes com aplicações de VMs da VMware usando a configuração de quiescência do VMware Tools na VM. Se o recurso de inatividade não estiver disponível, o AWS Backup capturará backups consistentes em caso de falha.

Sim, o AWS Backup compacta backups VMware em trânsito para a AWS, ajudando você a usar de forma otimizada a conexão de rede com a AWS.

Sim, seus backups de VM são criptografados em trânsito e em repouso usando o algoritmo de criptografia AES-256. Você também pode usar chaves gerenciadas pelo cliente para criptografar backups armazenados na nuvem.

Armazene uma cópia de backups do VMware em uma região da AWS diferente da de seus backups de produção para atender aos requisitos de continuidade de negócios, recuperação de desastres e conformidade.

Sim, você pode copiar backups do VMware para outra conta da AWS, o que ajuda a usar os backups entre seus ambientes de produção e dev/teste ou entre diferentes departamentos e contas de projeto. Copiar backups do VMware para outra conta da AWS, o que é habilitado pela integração do AWS Backup com o AWS Organizations, também fornece um nível extra de isolamento e segurança da conta.

A largura de banda da rede necessária depende das VMs do VMware que você deseja proteger, do tamanho de cada VM, dos dados incrementais gerados por VM e de sua janela de backup e requisitos de restauração. Recomendamos que você tenha pelo menos 100 Mbps de largura de banda para a AWS para fazer backup de VMs da VMware on-premises usando o AWS Backup.

Sim. Sim. Você poderá implantar um gateway do AWS Backup em uma rede privada não roteável se essa rede estiver conectada à Amazon VPC por meio do Direct Connect ou VPN. O tráfego do gateway de backup é roteado por endpoints da VPC desenvolvidos pelo AWS PrivateLink, que permite conectividade privada entre serviços da AWS usando interfaces de rede elástica (ENIs) com IPs privados em suas VPCs.

Você será cobrado por hora de provisionamento do endpoint da VPC. As cobranças de processamento de dados também são aplicadas a cada gigabyte processado pelo endpoint da VPC, independentemente da origem ou do destino do tráfego. Acesse os preços do AWS PrivateLink para saber mais.