Вопросы и ответы по AWS Backup

Точка восстановления представляет собой контент ресурса на определенный момент времени. Точки восстановления также содержат метаданные, например информацию о ресурсе, параметры восстановления и связанные теги.

План резервного копирования – это формулировка политики, определяющей, когда и как нужно выполнять резервное копирование ресурсов AWS, например таблиц DynamoDB или файловых систем EFS. Пользователь может связать ресурсы с планами резервного копирования, после чего AWS Backup будет автоматически выполнять резервное копирование и хранить копии этих ресурсов в соответствии с параметрами плана резервного копирования. Планы резервного копирования состоят из одного или нескольких правил резервного копирования. Каждое правило резервного копирования включает 1) расписание резервного копирования, в которое входит периодичность резервного копирования (требуемые точки восстановления – RPO) и интервал резервного копирования; 2) правило жизненного цикла, определяющее момент перехода резервной копии с одного уровня хранилища на другой, а также срок хранения точки восстановления; 3) контейнер хранилища резервных копий, в котором нужно размещать создаваемые точки восстановления, и 4) теги, которые необходимо назначать резервным копиям в ходе создания. Например, в план резервного копирования может входить правило «ежедневного резервного копирования» и «правило ежемесячного резервного копирования». По ежедневному правилу резервное копирование ресурсов выполняется каждую полночь, резервные копии хранятся в течение одного месяца. По ежемесячному правилу резервная копия создается один раз в месяц (в начале каждого месяца) и сохраняется в течение одного года.

Хранилище резервных копий представляет собой зашифрованное расположение в аккаунте AWS для хранения и упорядочения резервных копий (точек восстановления). Вы можете создавать новые хранилища резервных копий в каждом регионе AWS, где доступен сервис Резервное копирование AWS. Обеспечьте защиту от удаления хранилищ резервных копий с помощью Блокировки хранилища резервных копий AWS для предотвращения шифрования ваших данных вымогателями. Сервис Резервное копирование AWS сохраняет все данные непрерывного резервного копирования и периодических снимков в выбранном вами хранилище резервных копий, а также позволяет просматривать эти данные и выполнять восстановление по мере необходимости.

Возможность настройки жизненного цикла сервиса Резервное копирование AWS позволяет автоматически переносить точки восстановления с теплого уровня хранилища на более экономичный холодный уровень хранилища. Холодный уровень хранилища доступен только для резервных копий EFS, Amazon DynamoDB, Timestream и виртуальных машин VMware.

Резервные копии данных из сервисов EFS, DynamoDB, S3, Timestream и виртуальных машин VMware шифруются при передаче и при хранении независимо от исходных сервисов, что обеспечивает дополнительный уровень защиты. Шифрование настраивается на уровне хранилища резервных копий. Резервные копии данных из других сервисов (EC2, EBS, Amazon FSx, RDS, Aurora, Amazon DocumentDB, Neptune, Storage Gateway) шифруются тем методом, который настроен в исходном сервисе. Например, снимки состояния EBS шифруются с использованием ключа шифрования тома, с которого был сделан снимок.

Сервис Резервное копирование AWS позволяет устанавливать в хранилище резервных копий политики на основе ресурсов, что дает возможность контролировать доступ к самому хранилищу резервных копий и резервным копиям в нем.

Сервисы с функцией резервного копирования на основе сервиса Резервное копирование AWS поддерживают дополнительные функции резервного копирования, например настройку жизненного цикла для перемещения резервных копий на более экономичный уровень хранилища, отдельное хранилище и шифрование резервных копий независимо от данных источника, а также политики предоставления доступа к резервным копиям. В настоящее время S3, EFS, Timestream, SAP HANA в EC2 и DynamoDB поддерживают расширенные возможности сервиса Резервное копирование AWS, а возможности резервного копирования в этих сервисах интегрированы с указанным сервисом. Чтобы активировать расширенные возможности сервиса Резервное копирование AWS для DynamoDB, необходимо зарегистрироваться в разделе настройки параметров. S3, EFS, Timestream, SAP HANA в EC2 и VMware по умолчанию поддерживают расширенные возможности указанного сервиса. Резервное копирование AWS для S3 поддерживает политики доступа и шифрование резервных копий с помощью другого ключа, но не поддерживает уровень хранилища «холодных» данных.

Делегируйте управление политиками резервного копирования в сервисе Организации AWS, а мониторинг между аккаунтами – в сервисе Резервное копирование AWS. Это позволяет делегировать управление резервными копиями выделенному аккаунту администратора резервного копирования, благодаря чему аккаунтам участников не придется получать доступ к управляющим аккаунтам для администрирования резервного копирования. Такие администраторы могут создавать политики резервного копирования, управлять ими и отслеживать действия в нескольких аккаунтах. С помощью делегирования администрирования в масштабах организации вы можете обеспечить безопасную централизацию управления резервными копиями в любом масштабе.

Проводите аудит и создавайте отчет о соответствии ваших политик защиты данных с помощью сервиса Диспетчер аудита резервного копирования AWS. Сервис Резервное копирование AWS помогает централизовать и автоматизировать политики защиты данных в сервисах AWS в соответствии с рекомендациями организации и нормативными стандартами. Диспетчер аудита резервного копирования AWS помогает обеспечивать и демонстрировать соответствие этим политикам.

Используйте сервис Диспетчер аудита резервного копирования AWS, если требуется убедиться, что созданные в AWS (или перенесенные в него) рабочие нагрузки соответствуют вашим требованиям по защите данных. Диспетчер аудита резервного копирования AWS упрощает реализацию, отслеживание и демонстрирование соблюдения ваших политик управления и соответствия.

Сервис Диспетчер аудита резервного копирования AWS можно использовать через консоль управления AWS, CLI, API или SDK. Диспетчер аудита резервного копирования AWS предоставляет встроенные средства управления соответствием. Вы можете настроить эти средства, чтобы определить свои политики защиты данных. Сервис автоматически обнаружит нарушения в соответствии с вашими политиками и предложит предпринять корректирующие действия. С помощью сервиса Диспетчер аудита резервного копирования AWS можно постоянно проверять работу резервного копирования и создавать отчеты об аудите, которые покажут соответствие нормативным требованиям.

Контроль сервиса Диспетчер аудита резервного копирования AWS – это процедура, созданная для проверки соответствия требованиям резервного копирования, таким как частота выполнения и срок хранения резервных копий. Платформа Диспетчер резервного копирования AWS – это комплект средств контроля, который легко развертывается и управляется как единая сущность.

Контроль сервиса Диспетчер аудита резервного копирования AWS оценивает конфигурацию ресурсов резервного копирования в соответствии с заданными настройками. Если ресурсы подходят под настроенную конфигурацию, тогда статус соответствия ресурсов требованиям «COMPLIANT». Если не подходят, то указывается статус NON_COMPLIANT. Если все ресурсы, оцененные Диспетчером резервного копирования, подходят, тогда устанавливается статус соответствия всего контроля COMPLIANT. Аналогично, если все контроли платформы подходят, то статус всей платформы указывается как COMPLIANT.

В консоли сервиса Резервное копирование AWS перейдите в раздел «Платформы Диспетчера аудита резервного копирования» и выберите название платформы, чтобы просмотреть статус соответствия требованиям.

Вы можете создавать отчеты об активности сервиса Резервное копирование AWS. Эти отчеты помогут получить сведения о резервном копировании и заданиям по восстановлению. Также с помощью отчетов можно отслеживать операционную ситуацию и выявлять любые сбои, требующие дальнейших действий.

AWS Config ведет непрерывный мониторинг конфигурации ресурсов AWS и фиксирует результаты. Сервис позволяет автоматизировать сопоставление записанных и требуемых конфигураций и оценку соответствия. Сервис Диспетчер аудита Резервного копирования AWS интегрируется с AWS Config, чтобы отслеживать активность резервного копирования и записывать политики защиты данных в средства контроля резервного копирования. Как только вы развернули средства контроля резервного копирования, AWS Backup Audit Manager выполнит оценку активности и запишет статус соответствия резервного копирования требованиям. Вы также можете создавать отчеты с целью аудита и мониторинга. С помощью Диспетчера аудита резервного копирования AWS можно создавать отчеты по нескольким регионам и аккаунтам в управляющем аккаунте вашей организации AWS.

AWS самой первой ввела программу соответствия требованиям в облаке и всегда стремится помочь клиентам выполнить актуальные для них требования. Сервис AWS Backup сертифицирован на соответствие международным и отраслевым стандартам безопасности. Он соответствует стандартам PCI DSS, ISO 9001, 27017, 27018 и 27001, а также требованиям HIPAA. Это подтверждает выполнение требований к безопасности с нашей стороны и упрощает клиентам выполнение собственных обязательств. Дополнительную информацию и ресурсы см. на страницах о соответствии требованиям. На странице Сервисы AWS в программе соответствия требованиям приведен полный список сервисов и соответствующих сертификаций.

Вы можете автоматизировать тестирование восстановления, используя соответствующий план, который определяет частоту тестов восстановления, целевое время начала и критерии выбора точки восстановления. Затем вы назначаете своему плану ресурсы, указываете параметры восстановления по умолчанию и период хранения для выполнения внутренних тестов перед очисткой.

После выполнения плана тестирования восстановления результаты можно использовать для выполнения требований соответствия и управления, успешно завершая сценарии тестирования восстановления и вовремя выполняя задания восстановления. 

Да. Сервис Резервное копирование AWS соответствует требованиям PCI DSS, поэтому его можно использовать для передачи платежной информации. Пакет соответствия требованиям PCI можно загрузить в AWS Artifact. В нем приводится подробная информация об обеспечении соответствия требованиям PCI в AWS.

Да. Сервис Резервное копирование AWS соответствует требованиям HIPAA. Если у вас заключен договорHIPAA BAA с AWS, сервис Резервное копирование AWS можно использовать для передачи закрытой медицинской информации (PHI).

Блокировка хранилища резервного копирования AWS – это возможность, которая позволяет предотвращать изменение жизненного цикла резервных копий, а также предотвращать удаление резервных копий вручную, помогая вам обеспечивать соответствие требованиям. Блокировка хранилища сервиса Резервное копирование AWS применяет такие средства защиты, которые гарантируют вам, что резервные копии хранятся в соответствии с моделью однократной записи и многократного чтения (WORM).

Блокировка хранилища резервного копирования AWS следует использовать, чтобы гарантировать, что ни один пользователь, в том числе администратор или лицо, совершающее злоумышленные действия, не может удалить ваши резервные копии или изменить параметры их жизненного цикла, в том числе сроки хранения и переход к хранилищу «холодных» данных. Сервис Резервное копирование AWS хранит эти резервные копии, соблюдая запланированные сроки хранения и помогая вам достигать своих целей относительно устойчивости бизнеса. Также Блокировка резервного копирования AWS работает с политиками резервного копирования, такими как периоды хранения, перемещение хранилища «холодных» данных, копирование в другом аккаунте или регионе. Это обеспечивает еще один уровень защиты и помогает обеспечить соответствие нормативным требованиям. Блокировка хранилища резервного копирования AWS защищает вас от хранения резервных копий, которые не соответствуют приемлемым для вас минимальным и максимальным срокам хранения.

Блокировка хранилища резервного копирования AWS применяется к данным, которые содержатся в хранилище резервных копий сервиса Резервное копирование AWS, а блокировка хранилища Amazon S3 Glacier – к отдельному хранилищу Amazon S3 Glacier. Сервис также предотвращает удаление резервных копий и внесение изменений в жизненный цикл резервной копии вручную, чтобы помочь вам в централизованной защите резервных копий для различных сервисов AWS. Блокировка хранилища S3 Glacier позволяет реализовать средства контроля над соответствием требованиям, которые предназначены для долговременного хранения записей для отдельных хранилищ S3 Glacier. 

Блокировка хранилища резервного копирования AWS – это дополнительная конфигурация на уровне хранилища сервиса Резервное копирование AWS. Она имеет три свойства: минимально и максимально приемлемое количество дней хранения, а также период «охлаждения». Она блокирует операции удаления резервных копий и внесения изменений в их жизненный цикл.

Если для сервиса Резервное копирование AWS включена конфигурация блокировки хранилища, он защищает все новые точки восстановления в хранилище от удаления и внесения изменений в их жизненный цикл. Кроме того, сервис Резервное копирование AWS будет отменять все задания по резервному копированию, в которых срок хранения не отвечает допустимым периодам хранения для блокировки хранилища сервиса Резервное копирование AWS.

Блокировка хранилища резервного копирования AWS гарантирует, что ваши резервные копии будут доступны, пока не истечет срок их хранения. Если какой-либо пользователь, в том числе пользователь корневого аккаунта, попытается удалить резервную копию или изменить ее свойства в заблокированном хранилище, сервис Резервное копирование AWS отклонит операцию.

При выделении времени вы можете тестировать возможность в течение определенного вами количества дней. Вы можете обновлять и удалять конфигурацию блокировки хранилища сервиса Резервное копирование AWS до истечения выделенного времени. После этого сервис Резервное копирование AWS не позволит вносить изменения в конфигурацию.

Требования по хранению данных, которые также называются материалами на удержании, применяются, когда организация обязана хранить определенные данные либо для обеспечения их сохранности, аудита, либо в качестве доказательства в ходе судебного разбирательства и электронного обнаружения. Такое удержание предотвращает удаление резервных копий даже по истечении периода их хранения. Они хранятся, пока не будут явно освобождены.

Сервис Резервное копирование AWS позволяет вам определить централизованную политику резервного копирования, чтобы управлять созданием и восстановлением резервных копий приложений, размещенных в любых сервисах вычислений, хранилища и баз данных AWS. Когда вы определите политики резервного копирования и назначите ресурсы S3 этой политике, сервис Резервное копирование AWS будет автоматически создавать резервные копии S3 и сохранять их в назначенном вами зашифрованном хранилище. Создавайте непрерывные резервные копии для восстановления на момент времени или периодические резервные копии корзин S3 с данными всех объектов, тегами объектов, списками контроля доступа (ACL) и определяемыми пользователем метаданными. Первая резервная копия создается как снимок состояния на определенный момент, а дальше применяется инкрементное резервное копирование. В случае событий, приводящих к повреждению данных, можно выбрать любую резервную копию из хранилища резервных копий и восстановить из нее корзину S3 или любой отдельный объект S3 в новой или любой существующей корзине S3. Кроме того, централизованные политики сервиса Резервное копирование AWS позволяют определить элементы управления доступом и автоматизировать управление доступом по всем аккаунтам в сервисе Организации AWS.

Как сервис Резервное копирование AWS, так и Amazon S3 предоставляют возможности для управления непрерывностью работы приложений. С помощью сервиса Резервное копирование AWS можно централизованно управлять резервным копированием и восстановлением приложений для нескольких сервисов AWS, а возможности Amazon S3 распространяются только на данные в корзинах и объектах S3. Если вам как администратору резервного копирования нужно выполнять резервное копирование, восстановление и контроль соответствия требованиям для приложений, размещенных в нескольких сервисах AWS, вы можете применить для этих целей сервис Резервное копирование AWS. Такие возможности Amazon S3, как управление версиями , блокировка объектов и репликация , помогают администраторам хранилищ сохранять данные и защищаться от случайного удаления данных Amazon S3. Вы можете использовать оба набора возможностей для управления резервным копированием и восстановлением в вашей организации.

Если у вас уже есть план резервного копирования для приложений и его необходимо использовать для Amazon S3, добавьте ресурсы Amazon S3 в этот существующий план резервного копирования с помощью тегов или ARN для корзин S3. Сервис Резервное копирование AWS сопоставляет теги в корзинах S3 с теми, которые назначены в плане резервного копирования, и централизованно выполняет резервное копирование ресурсов S3 вместе с другими сервисами AWS, которые используются в приложении.

Для ресурсов Amazon S3 в сервисе Резервное копирование AWS предлагаются два варианта резервного копирования: непрерывное и периодическое. Непрерывное резервное копирование позволяет восстановить ресурсы Amazon S3 до любого момента времени в течение последних 35 дней. Возможность восстановления на момент времени позволяет восстановить ресурсы Amazon S3 в том состоянии, в котором они находились в любой момент за последние 35 дней. Периодические резервные копии хранят данные бесконечно. Вы можете настроить создание снимков состояния с частотой 1 час, 12 часов, 1 день, 1 неделя или 1 месяц, а также создавать их вручную по запросу. Непрерывное резервное копирование очень удобно для отката случайных удалений, а периодические снимки состояния соответствуют требованиям к долговременному хранению данных.

Да, для создания резервных копий корзин и объектов S3 можно настроить управление версиями S3. Установите окончание жизненного цикла версий. Если вы этого не сделаете, ваши расходы на S3 могут возрасти, поскольку сервис Резервное копирование AWS создает резервные копии и сохраняет все версии данных S3 с неистекшим сроком годности. Для получения дополнительной информации ознакомьтесь с технической документацией.

Сервис Резервное копирование AWS распространяет возможности полностью управляемого облачного сервиса VMware на среду, позволяя создать единое представление всех действий по резервному копированию в облачной и локальной средах AWS. Сервис Резервное копирование AWS поддерживает интеграцию с виртуальными машинами VMware ESXi, назначает расписания резервного копирования VMware и управляет ими, сохраняет резервные копии в AWS. Все это позволяет вам полностью управлять защитой данных VMware из среды AWS. С помощью сервиса Резервное копирование AWS вы можете эффективно сохранять резервные копии в AWS, копировать их в другие регионы и аккаунты AWS, чтобы поддерживать непрерывность бизнеса и защититься от программ-вымогателей. Резервные копии VMware можно восстановить в локальную среду или в AWS, чтобы проверить сценарии непрерывности бизнеса, разработки и тестирования. Подход на основе политик в сервисе Резервное копирование AWS позволяет организовать централизованную, автоматизированную и масштабируемую защиту рабочих нагрузок VMware вместе со всеми сервисами вычислений, хранилищами и базами данных AWS.

Сервис Резервное копирование AWS подключается к рабочим нагрузкам VMware через шлюз сервиса Резервное копирование AWS, который вам нужно развернуть в среде VMware. Шлюз сервиса Резервное копирование AWS обнаруживает виртуальные машины, используя VMware vCenter Server, создает снимки состояния этих виртуальных машин и управляет процессами резервного копирования и восстановления из среды VMware в сервиса Резервное копирование AWS и обратно. Чтобы назначать виртуальные машины для политик резервного копирования, можно использовать теги, идентификаторы ресурсов виртуальных машин, групповое назначение по папкам виртуальных машин либо гипервизору. Они обеспечивают централизованное управление защитой данных виртуальных машин VMware, которые поддерживаются сервисами AWS. Завершив эти действия, сервиса Резервное копирование AWS начинает защищенное резервное копирование виртуальных машин в свои хранилища резервных копий. В сервисе Резервное копирование AWS вы можете просматривать резервные копии VMware и восстанавливать их в локальной среде или в AWS по мере необходимости.

Сервис Резервное копирование AWS поддерживает виртуальные машины VMware ESXi 6.7.X и 7.0.X, размещенные в хранилище данных NFS, VMFS и VSAN, средах VMware CloudTM на AWS и VMware CloudTM на AWS Outposts. Кроме того, сервис Резервное копирование AWS поддерживает оба транспортных режима (SCSI Hot-Add и Network Block Device (NBD)) для копирования данных из исходных виртуальных машин в AWS.

Вы можете использовать сервис Резервное копирование AWS для защиты виртуальных машин в VMware CloudTM на AWS Outposts. Сервис Резервное копирование AWS хранит резервные копии виртуальных машин в сервисе Регион AWS, к которому подключен VMware CloudTM на AWS Outposts. Вы можете использовать сервис Резервное копирование AWS для защиты виртуальной машины в VMware CloudTM, если вы используете VMware CloudTM на AWS Outposts для удовлетворения потребностей в низкой задержке и локальной обработке данных приложений. Исходя из требований к местонахождению данных, вы можете выбрать сервис Резервное копирование AWS для хранения резервных копий данных приложения в родительском регионе AWS, к которому подключен ваш Outposts.

Резервные копии VMware можно восстановить в новый локальный виртуальный узел VMware или в VMware CloudTM на AWS, VMware CloudTM на AWS Outposts, Amazon EBS или Amazon EC2, используя консоль Резервного копирования AWS.

Да, в зависимости от потребностей организации вы можете настроить в сервисе Резервное копирование AWS политики жизненного цикла, которые будут автоматически переносить резервные копии VMWare с теплого уровня хранилища на более экономичный холодный. Резервные копии в хранилище холодного уровня хранятся не менее 90 дней. При удалении резервных копий до истечения 90‑дневного срока начисляется плата за хранение, пропорциональная оставшемуся сроку хранения.

Сервис Резервное копирование AWS поддерживает создание сначала полных, а затем инкрементных резервных копий виртуальных машин VMware, которые вы можете создавать по запросу или по расписанию, настроенному в плане резервного копирования.

По умолчанию сервис Резервное копирование AWS создает для виртуальных машин VMware резервные копии, согласованные на уровне приложений, используя параметры бездействия в инструментах VMware для виртуальной машины. Если возможность бездействия не поддерживается, сервис Резервное копирование AWS создает резервные копии с согласованностью с авариями на уровне приложений.

Да, сервис Резервное копирование AWS сжимает резервные копии VMware при передаче в AWS, что позволяет оптимально использовать возможности сетевого подключения к AWS.

Да, все резервные копии виртуальных машин шифруются при передаче и при хранении с использованием алгоритма шифрования AES-256. Также вы можете предоставить ключи, управляемые клиентом, для шифрования резервных копий в хранилище холодного уровня.

Сохраните копию резервной копии VMware в другом регионе AWS, отличном от региона хранения основных резервных копий. Это часто помогает соблюдать критерии непрерывности бизнеса, аварийного восстановления и соответствия требованиям.

Да, вы можете копировать резервные копии VMWare в другой аккаунт AWS, что позволяет перемещать резервные копии из рабочей среды в среду разработки и тестирования или наоборот, а также передавать их другим отделам и в другие проекты. Копирование резервных копий VMware в другой аккаунт AWS, которое возможно благодаря интеграции сервиса Резервное копирование AWS с сервисом Организации AWS, также дополнительно повышает изоляцию и безопасность аккаунтов.

Пропускная способность сети зависит от защищаемых виртуальных машин VMware, размера каждой из них, объема инкрементных данных на каждой из них, размера окна резервного копирования и требований к восстановлению данных. Мы рекомендуем предоставить сетевое подключение к AWS с пропускной способностью не ниже 100 Мбит/с, чтобы выполнять резервное копирование локальных виртуальных машин VMware с помощью Резервного копирования AWS.

Да. Развертывание шлюза резервного копирования можно выполнить в частной немаршрутизируемой сети, если эта сеть подключена к облаку Amazon VPC через Direct Connect или VPN. Трафик шлюза Backup будет перенаправлен через адреса VPC, работающие на основе AWS PrivateLink, что обеспечивает частное соединение между сервисами AWS за счет использования в VPC эластичных сетевых интерфейсов (ENI) с частными IP‑адресами.

Оплата начисляется за каждый час, в течение которого адрес VPC оставался выделенным. Дополнительно начисляется плата за обработку данных за каждый гигабайт, переданный через адрес VPC, независимо от источника или адресата трафика. Подробнее см. на странице Цены на AWS PrivateLink.