O blog da AWS

Industria Financeira em Foco: AWS Backup

Por Faisal Fareed, Haider Naqvi, e Sushmitha Srinivasa Murthy
Analisamos cinco considerações principais nas quais os clientes do FSI devem se concentrar para ajudar a otimizar a aprovação de serviços em nuvem para um serviço específico. Cada uma das cinco considerações principais inclui orientações específicas, arquiteturas de referência sugeridas e código técnico que pode ser usado para simplificar a aprovação do serviço em destaque. Essa orientação deve ser adaptada para se adequar ao seu caso de uso e ambiente, específicos.

Estamos abordando o AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado que simplifica a proteção de dados ao fornecer um serviço baseado em políticas para automatizar o backup de dados em vários serviços da AWS e ambientes locais. O AWS Backup Vault Lock garante a imutabilidade e adiciona uma camada adicional de defesa que protege os backups (pontos de recuperação) em seus cofres de backup. Os clientes podem monitorar o status de seus backups usando o console do AWS Backup e podem demonstrar conformidade com os requisitos regulatórios usando registros de auditoria e integração com o AWS Config. O AWS Backup permite que os clientes centralizem e automatizem o backup de seus dados, simplifiquem o processo de backup e reduzam o risco de erros, garantindo que os dados sejam protegidos contra perda acidental ou maliciosa de dados.

O AWS Backup é uma solução ideal para implementar planos de backup padrão para seus recursos da AWS em suas contas e regiões da AWS. O AWS Backup também facilita a manutenção e a implementação de uma estratégia de backup para cargas de trabalho usando vários recursos da AWS que devem ser copiados coletivamente. Além disso, o AWS Backup permite monitorar coletivamente uma operação de backup e restauração que envolve vários recursos da AWS.

O AWS Backup pode ajudar você a criar soluções de backup econômicas para diferentes casos de uso no FSI. O AWS Backup automatiza e consolida tarefas de backup anteriormente executadas serviço por serviço. Isso elimina a necessidade de criar scripts personalizados e processos manuais. Com apenas alguns cliques no console do AWS Backup, você pode criar políticas de backup que automatizam os agendamentos de backup e o gerenciamento da retenção. O AWS Backup não controla os backups que você faz em seu ambiente da AWS fora do AWS Backup. Portanto, você pode começar a usar o AWS Backup hoje mesmo para obter uma solução centralizada e completa para os requisitos de conformidade comercial e regulamentar.

Overview of AWS Backup

Figura 1: AWS Backup

 

Casos de uso do AWS Backup no FSI

A Wise, antiga TransferWise, torna o envio de dinheiro para o exterior mais fácil e muito mais barato do que trabalhar com bancos tradicionais. Isso cria dinheiro sem fronteiras — instantâneo, conveniente, transparente e, eventualmente, gratuito. A Wise é uma conta monetária internacional usada por mais de 10 milhões de pessoas que vivem, trabalham, viajam e fazem negócios em todo o mundo. O AWS Backup oferece à Wise uma maneira de gerenciar centralmente as políticas de proteção de dados para backups locais gravados no Storage Gateway, bancos de dados que são copiados no Amazon Elastic File System (Amazon EFS) e bancos de dados do Amazon Relational Database Services (RDS). Ao marcar e modelar suas políticas, a Wise conseguiu escalar para atender às necessidades de backup em sua empresa global de nuvem.

O AWS Backup é extremamente fácil de configurar e usar. É muito mais fácil do que qualquer produto de backup que usamos no passado e nos permite mostrar aos nossos auditores o que eles precisam ver para manter a conformidade. Criamos nossos planos de backup da AWS muito rapidamente e configuramos modelos e tags, para que qualquer equipe possa automaticamente ter seus novos recursos protegidos pelo plano de backup correto.”

Thomas Hewer, líder de tecnologia — Wise

 

Alcançar a conformidade com o AWS Backup

O AWS Backup é um serviço gerenciado pela AWS, e auditores terceirizados avaliam regularmente sua segurança e conformidade como parte de vários programas de conformidade da AWS. Como parte do modelo de responsabilidade compartilhada da AWS, o AWS Backup está no escopo dos seguintes programas de conformidade.

  • SOC 1,2,3
  • PCI
  • CSA STAR CCM v4.0
  • ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 9001:2015 e CSA STAR CCM v4.0
  • ISMAP
  • FedRAMP (moderado e alto)
  • DoD CC SRG (IL2-IL5)
  • HIPAA
  • IRAP
  • MTCS (Regiões: Leste dos EUA, Oeste dos EUA, Cingapura, Seul)
  • C5
  • K-ISMOS
  • ENS High (somente o Amazon S3 Glacier está no escopo)
  • OSPAR
  • HITRUST CSF
  • FINMA
  • GSMA (Regiões: Leste dos EUA (Ohio) e Europa (Paris))
  • Pitu Kri
  • Meio CCCS
  • Certificação Nacional Restrita GNS
  • GNS National Restricted Certification

Por meio do AWS Artifact, você pode obter os relatórios de conformidade correspondentes sob um acordo de confidencialidade (NDA) da AWS. Você deve entender que o status de conformidade do AWS Backup não se aplica automaticamente aos aplicativos que você executa na nuvem da AWS. Você deve garantir que seu uso dos serviços da AWS esteja em conformidade com os padrões.

O AWS Backup também permite que você crie retenções legais em seus dados protegidos além das políticas de retenção definidas, para fins legais e de auditoria. Junto com o AWS Backup Vault Lock, esse novo recurso foi avaliado pela Cohasset Associates para uso em ambientes sujeitos à Regra 17a-4 (f) da SEC, à Regra 4511 da FINRA e à Regulamentação 1.31 da CFTC. Uma cópia do relatório de avaliação da Cohasset Associates pode ser baixada da documentação técnica do Backup Vault Lock.

Seu escopo do modelo de responsabilidade compartilhada ao usar o AWS Backup é determinado pela confidencialidade de seus dados, pelos objetivos de conformidade da sua organização e pelas leis e regulamentações aplicáveis. Se o uso do AWS Backup estiver sujeito à conformidade com padrões como HIPAA, PCI ou FedRAMP, a AWS fornecerá recursos para ajudar.

Proteção de dados com o AWS Backup

O AWS Backup está em conformidade com o modelo de responsabilidade compartilhada da AWS, que inclui regulamentos e diretrizes para proteção de dados. As empresas usam o AWS Backup para centralizar e automatizar a proteção e a retenção de dados em todos os recursos da AWS na nuvem e no local. Você pode configurar centralmente as políticas de backup e monitorar a atividade de backup dos recursos da AWS. O AWS Backup também fornece um conjunto de APIs de backup e a AWS Command Line Interface (AWS CLI) para gerenciar backups em todos os serviços da AWS usados por seus aplicativos. Com o AWS Backup, você pode gerenciar centralmente as políticas de backup que atendam aos seus requisitos de backup. Em seguida, você pode aplicá-las aos seus recursos da AWS em todos os serviços e contas da AWS. Isso permite que você faça backup dos dados do seu aplicativo de forma consistente e compatível. O console de backup centralizado do AWS Backup oferece uma visão consolidada de seus backups e registros de atividades de backup, facilitando a auditoria de seus backups e a garantia da conformidade em sua organização.

Criptografia de backupVocê pode configurar a criptografia para tipos de recursos que suportam o gerenciamento completo do AWS Backup ao usar o AWS Backup. Se o tipo de recurso não suportar o gerenciamento completo do AWS Backup, você deverá configurar sua criptografia de backup seguindo as instruções desse serviço.

Quando você usa o AWS Backup para copiar seus backups entre contas ou regiões, o AWS Backup criptografa automaticamente essas cópias, mesmo que o backup original não esteja criptografado. O AWS Backup criptografa sua cópia usando a chave do AWS Key Management Service (AWS KMS) do cofre de destino. Se o AWS Backup criptografar um backup de forma independente, ele usará o algoritmo de criptografia AES-256 padrão do setor.

Criptografia de credenciais de hipervisor de máquina virtual

O AWS Backup fornece criptografia para credenciais de hipervisor para proteger informações confidenciais de login de clientes usando chaves de criptografia de propriedade da AWS. Em vez disso, você também tem a opção de usar chaves gerenciadas pelo cliente.

Por padrão, as chaves usadas para criptografar credenciais em seu hipervisor são chaves de propriedade da AWS. O AWS Backup usa essas chaves para criptografar automaticamente as credenciais do hipervisor. Você não pode visualizar, gerenciar nem usar chaves de propriedade da AWS. Você também não pode auditar seu uso.

Retenção legal

Para cumprir as obrigações legais e regulatórias em face de possíveis litígios ou investigações, os clientes em setores regulamentados implementam um processo de retenção legal ou contenciosa para preservar todas as informações e dados pertinentes. O AWS Backup oferece uma ferramenta administrativa que simplifica a criação e o gerenciamento de retenções legais, fornecendo proteções de backup e evitando exclusões acidentais. Ao utilizar essa ferramenta, os FSIs podem preservar os dados de forma mais eficiente e defensável. Os backups que estão sob retenção legal não podem ser excluídos, e quaisquer políticas de ciclo de vida que alterem seu status, como a transição para o estado “Excluído”, são adiadas até que a retenção seja suspensa. Um backup pode ter mais de uma retenção legal.

As retenções legais são aplicadas a um ou mais backups (também conhecidos como pontos de recuperação). Quando uma retenção legal é criada, ela pode considerar critérios de filtragem específicos, como tags, tipos de recursos e IDs. Além disso, você pode definir o intervalo de datas de criação dos backups que deseja incluir em uma retenção legal. As retenções legais e os backups têm muitos relacionamentos. Isso significa que um backup pode ter mais de uma retenção legal e uma retenção legal pode incluir mais de um backup.

As retenções legais se aplicam somente ao backup original no qual elas são colocadas. Quando um backup é copiado entre regiões ou contas (se o recurso oferecer suporte), ele não retém nem mantém sua retenção legal. Uma retenção legal, como outros recursos, tem um nome de recurso exclusivo da Amazon (ARN) associado a ela. Esta publicação contém informações adicionais sobre preservação de dados com retenções legais do AWS Backup.

Proteção contra ransomware

O ransomware se refere a um modelo de negócios e a uma ampla variedade de tecnologias associadas que os malfeitores usam para extorquir dinheiro de entidades. A AWS oferece recursos para ajudar a proteger sistemas críticos e dados confidenciais contra ransomware. Na tentativa tradicional de criptografia local de ransomware, normalmente o agente malicioso ou o malware tentarão tornar os dados inacessíveis até que o resgate seja pago. O pagamento do resgate não garante que os dados serão recuperados. Se ocorrer um ransomware, a primeira coisa a fazer é proteger sua conta e garantir que você possa recuperar seus dados, independentemente de como eles tenham sido tornados inacessíveis.

A AWS torna esse processo significativamente mais fácil com a solução de backup da AWS. Isso permite que você gerencie e proteja os dados de forma centralizada por meio de backups automatizados regulares e restaure os dados do backup conforme necessário. Para evitar que o ransomware chegue ao backup, algumas das melhores práticas a seguir estão listadas aqui:

  • Controle o acesso ao cofre de backup: os cofres são configuráveis para suportar permissões por meio do AWS Identity and Access Management (IAM) usando políticas baseadas em recursos. Adicionar políticas de recursos
    • Para evitar a exclusão do cofre de backup.
    • Para evitar a cópia do cofre para contas da AWS fora da sua organização da AWS ou de outros sistemas.
  • Criptografe o cofre de backup separadamente: use uma chave gerenciada pelo cliente ou uma chave padrão específica do serviço para cada cofre.
    • Criptografe o cofre com uma chave do AWS KMS diferente dos recursos de backup. Isso é importante, pois isso limitará o acesso ao cofre de backup a um principal diferente do principal com acesso ao seu recurso (como uma instância do RDS).
    • Para a chave do vault KMS, crie uma política de recursos do AWS KMS para limitar o acesso ao serviço de backup da AWS e somente ao principal específico que precisaria de acesso para fins de restauração.
  • Proteja o cofre contra exclusão: use uma política de controle de serviços para evitar a exclusão do cofre, a adulteração da política de recursos do cofre e a adulteração da política do AWS KMS do cofre. Consulte esta publicação para saber mais sobre formas de gerenciar o acesso aos backups usando políticas de controle de serviços.
  • Backup entre contas: se você colocar o backup ou a replicação em uma conta separada dedicada apenas ao backup, isso também ajudará a reduzir a probabilidade de um agente da ameaça destruir ou adulterar o backup. O AWS Backup agora oferece suporte nativo a esse recurso entre contas, o que torna o processo de backup ainda mais acessível.

Além disso, esta publicação fornece mais detalhes sobre a mitigação de ransomware.

Isolamento ambiental

Como um serviço gerenciado, o AWS Backup é protegido pelos procedimentos globais de segurança de rede da AWS descritos no pilar de segurança do AWS WAF (Well-Architected-Framework). Para acessar o AWS Backup pela rede, os clientes devem oferecer suporte ao Transport Layer Security (TLS) 1.2 ou posterior. Os clientes também devem oferecer suporte a conjuntos de cifras com sigilo direto perfeito (PFS), como Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). A maioria dos sistemas modernos, como o Java 7 e versões posteriores, oferecem suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID de chave de acesso e uma chave de acesso secreta associada a um principal do IAM. Você também pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

O AWS PrivateLink permite que você estabeleça uma conexão privada entre sua Amazon Virtual Private Cloud (Amazon VPC) e os endpoints do AWS Backup criando um endpoint VPC de interface. Os endpoints de interface são alimentados pelo AWS PrivateLink, uma tecnologia que permite acessar de forma privada as APIs do AWS Backup restringindo todo o tráfego de rede entre seu VPC e o AWS Backup para a rede Amazon.

O AWS PrivateLink permite que você acesse de forma privada as operações de backup da AWS sem um Internet Gateway (IGW), dispositivo NAT, conexão VPN ou conexão AWS Direct Connect. As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com os endpoints da API do AWS Backup. Além disso, suas instâncias não precisam de endereços IP públicos para usar as operações disponíveis da API do AWS Backup e da API do gateway de backup. O tráfego entre sua VPC e o AWS Backup não sai da rede Amazon.

Relatórios e conformidade

O AWS Backup Audit Manager permite que você audite e informe sobre a conformidade de suas políticas de proteção de dados para ajudá-lo a atender às suas necessidades comerciais e regulatórias. O AWS Backup Audit Manager fornece controles de conformidade integrados e permite que você personalize esses controles para definir suas políticas de proteção de dados (por exemplo, frequência de backup ou período de retenção). Ele foi projetado para detectar automaticamente violações de suas políticas de proteção de dados definidas e solicitará que você tome medidas corretivas. Com o AWS Backup Audit Manager, você pode avaliar continuamente a atividade de backup e gerar relatórios de auditoria que podem ajudar a demonstrar a conformidade com os requisitos regulamentares.

Há diferentes maneiras de obter informações sobre a atividade de backup da AWS em suas contas da AWS. Com o gerenciamento de contas cruzadas do AWS Backup, você pode gerenciar centralmente as políticas de backup e monitorar suas tarefas de backup, restauração e cópia em todas as contas da AWS nas organizações da AWS. Agora você pode delegar a administração de políticas de backup e o monitoramento entre contas àss contas dos membros em suas organizações. Você não precisará usar sua conta de gerenciamento para realizar tarefas diárias de proteção de dados. Além disso, você pode começar a delegar a administração do AWS Backup usando os consoles, a API ou o AWS CLI do AWS Backup and Organizations.

Você pode usar o AWS Backup Audit Manager para auditar a conformidade de suas políticas de backup da AWS com os controles que você define. Um controle é um procedimento projetado para auditar a conformidade de um requisito de backup, como a frequência do backup ou o período de retenção do backup. Você também pode se integrar ao AWS Security Hub para permitir visibilidade, triagem e gerenciamento da postura de segurança com base nas políticas de proteção de dados definidas pelo Backup Audit Manager na AWS.

Uma estrutura é uma coleção de controles que ajuda você a avaliar suas práticas de backup. Você pode usar controles pré-criados e personalizáveis para definir suas políticas e avaliar se suas práticas de backup estão em conformidade com suas políticas. Além disso, você pode configurar relatórios diários automáticos para obter informações sobre o status de conformidade de suas estruturas.

Os relatórios do AWS Backup Audit Manager são evidências geradas automaticamente da sua atividade do AWS Backup, como:

  • Quais trabalhos de backup foram concluídos e quando
  • Quais recursos você fez backup

Todos os titulares de contas podem criar relatórios entre regiões. Além disso, os titulares de contas gerenciais também podem criar relatórios entre contas. O AWS Backup permite que os clientes do FSI criem insights de conformidade entre regiões e contas.

Acesso operacional e segurança com o AWS Backup

Acesso operacional é a capacidade de um usuário ou sistema de realizar as tarefas operacionais necessárias com liberdade suficiente para realizar a tarefa. No contexto do AWS Backup, isso inclui criar um backup de recursos ou realizar a recuperação.

Com o AWS Backup, a criação de soluções de backups pode ser automatizada no nível da organização. Até mesmo a criação de uma solução de backup centralizada pode ser automatizada usando um backup entre contas. Isso elimina a necessidade de intervenção manual e a probabilidade de erros manuais. Você pode ler este post que explica como usar as ferramentas de backup e integração contínua/desenvolvimento contínuo (CI/CD) da AWS para automatizar um backup centralizado em todos os serviços da AWS.

Com a solução AWS Backup, a restauração de um backup cria um novo recurso com o backup que você está restaurando. Isso protege seus recursos existentes de serem destruídos por sua atividade de restauração. A recuperação de backup é uma tarefa operacional que pode ser feita com menos frequência. Seja isso feito manualmente ou automatizado, é melhor limitar as permissões desse diretor e da política do IAM associada.

Aqui estão algumas coisas a considerar:

  • Siga o princípio do menor privilégio e limite as permissões somente para restaurar e não para realizar operações de backup ou modificar políticas de backup.
  • Limite a permissão da política do IAM para esse princípio para apenas descriptografar o cofre de backup.
  • Limite a política de recursos de chave do vault KMS somente para permitir a descriptografia desse princípio.
  • Escolha uma chave KMS diferente para criptografar o novo recurso.

O AWS Backup é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações tomadas por um usuário, função ou serviço da AWS no AWS Backup. O CloudTrail captura todas as chamadas de API para o AWS Backup como eventos. As chamadas capturadas incluem chamadas do console do AWS Backup e chamadas de código para as operações da API do AWS Backup. Se você criar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon Simple Storage Service (Amazon S3), incluindo eventos para o AWS Backup. Usando as informações coletadas pelo CloudTrail, você pode determinar a solicitação que foi feita ao AWS Backup, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Essas informações são úteis para rastrear e auditar o acesso operacional aos seus dados de backup.

Conclusão

Neste post, analisamos o AWS Backup e destacamos as principais informações que podem ajudar os clientes da FSI a acelerar a aprovação do serviço dentro dessas cinco categorias: obtenção de conformidade, proteção de dados, isolamento de ambientes computacionais, automação de auditorias com APIs e acesso e segurança operacionais. Embora essa orientação não seja uma abordagem única para todos, ela pode ser adaptada para atender aos requisitos de segurança e conformidade da sua organização e fornecer uma lista consolidada das principais áreas do AWS Backup.

Enquanto isso, não deixe de visitar nosso canal de blog do setor de serviços financeiros da AWS e fique por dentro de mais notícias e melhores práticas do FSI.

 

Este artigo foi traduzido do Blog da AWS em Inglês.

 

Sobre os autores

Faisal Fareed é arquiteto de soluções principal da AWS, dando suporte a clientes de serviços financeiros corporativos. Ele tem mais de 20 anos de experiência no desenvolvimento de soluções inovadoras, seguras e escaláveis para o setor financeiro, sempre focado em alcançar resultados comerciais impactantes.

 

 

 

 

Haider Naqvi é arquiteto de soluções na AWS. Ele tem ampla experiência em desenvolvimento de software e arquitetura corporativa. Ele se concentra em permitir que os clientes reinventem e alcancem resultados comerciais com a AWS. Ele mora em Nova York.

 

 

 

 

Sushmitha Srinivasa Murthy é arquiteta sênior de soluções na AWS. Ela é uma construtora de coração, apaixonada pela governança e segurança da nuvem. Ela tem mais de uma década de experiência na criação de cargas de trabalho seguras, escaláveis e resilientes em um setor financeiro altamente regulamentado.

 

 

 

 

Tradutor

Marcio Mincarelli é Gerente de Arquitetos de soluções na AWS. Ele tem mais de 20 anos de experiência no mercado de tecnologia, apaixonado por inovação e transformação. Atualmente está responsável pelo atendimento aos clientes do mercado financeiro no Brasil.