Возможности резервного копирования AWS

Обзор

Резервное копирование AWS – это полностью управляемый сервис, который позволяет централизовать и автоматизировать защиту данных в сервисах и гибридных рабочих нагрузках AWS. Он предоставляет базовые функции для защиты данных и восстановления после атак программ-вымогателей, информацию о соответствии нормативным требованиям, аналитику для политик и операций по защите данных. Резервное копирование AWS – это экономичный сервис на основе политик, который предоставляет функции, упрощающие защиту эксабайтов данных в масштабах всех ваших ресурсов AWS. 

Защита данных ресурсов приложений в AWS и гибридных сервисах

Резервное копирование AWS защищает ресурсы приложений, в том числе хранилище, базу данных и вычислительные сервисы AWS, а также гибридные рабочие нагрузки, такие как VMware. Резервное копирование AWS поддерживает следующие возможности для всех своих поддерживаемых сервисов и сторонних приложений: автоматизированное управление планированием резервного копирования и хранения, централизованный мониторинг защиты данных, шифрование резервных копий, интегрированное с AWS KMS, управление между аккаунтами с помощью Организаций AWS, аудит защиты данных и отчетность о соблюдении нормативных требований с использованием Менеджера аудита резервного копирования AWS и работа по модели с однократной записью и многократным чтением (WORM) с использованием Блокировки хранилища резервного копирования AWS.

Резервное копирование AWS защищает ресурсы приложений, в том числе хранилище, базу данных и вычислительные сервисы AWS, а также гибридные рабочие нагрузки, такие как VMware. Резервное копирование AWS поддерживает следующие возможности для всех своих поддерживаемых сервисов и сторонних приложений: автоматизированное управление планированием резервного копирования и хранения, централизованный мониторинг защиты данных, шифрование резервных копий, интегрированное с AWS KMS, управление между аккаунтами с помощью Организаций AWS, аудит защиты данных и отчетность о соблюдении нормативных требований с использованием Менеджера аудита резервного копирования AWS и работа по модели с однократной записью и многократным чтением (WORM) с использованием Блокировки хранилища резервного копирования AWS.

Резервное копирование AWS предоставляет консоль для резервного копирования, общедоступные API и интерфейс командной строки для централизованного управления резервным копированием во всех сервисах хранения данных, вычислительных сервисах, сервисах баз данных и гибридных сервисах AWS, в которых работают ваши приложения, в том числе Простой сервис хранения данных Amazon (S3), Магазин эластичных блоков Amazon (EBS), Amazon FSx, Эластичная файловая система Amazon (EFS), Шлюз хранилища AWS, Эластичное вычислительное облако Amazon (EC2), Сервис реляционных баз данных Amazon (RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (совместимый с MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA на Amazon EC2 и полный стек приложений, определенный AWS CloudFormation, а также гибридные приложения, например рабочие нагрузки VMware, выполняемые в локальной среде, в VMware CloudTM на AWS и AWS Outposts.

Хранилище резервных копий AWS – это логический контейнер, который хранит ваши зашифрованные копии и управляет ими. Создавая хранилище резервных копий, необходимо указать ключ шифрования Сервиса управления ключами AWS (AWS KMS), которым шифруются резервные копии, помещенные в это хранилище. Все скопированные резервные копии шифруются с использованием этого ключа в целевом хранилище. Подробнее о шифровании см. на диаграмме в разделе Шифрование резервных копий в AWS.

Сервис Резервное копирование AWS шифрует данные резервных копий при передаче и хранении, предоставляя клиентам комплексное криптографическое решение, которое защищает их данные и обеспечивает соответствие требованиям. Шифрование данных резервных копий производится с использованием ключей, управляемых Сервисом управления ключами AWS (KMS). Это избавляет от необходимости создавать и поддерживать собственную инфраструктуру управления ключами шифрования. Ключи, используемые для шифрования данных сервиса Резервное копирование AWS, не связаны с ключами, которые используются для шифрования исходных ресурсов. Разделение ключей шифрования для рабочих данных и их резервных копий обеспечивает важный уровень защиты приложений.

Вы можете создавать резервные копии под управлением планов резервного копирования, что позволит вам определить свои требования к резервному копированию и применить эти политики к ресурсам AWS, которые требуется защитить. Планы резервного копирования упрощают и масштабируют стратегию защиты данных во всех ваших приложениях в масштабах вашей организации.

Вы можете применить планы резервного копирования к ресурсам AWS, назначая для них теги. Теги AWS – это прекрасный способ упорядочить и классифицировать все используемые ресурсы AWS.

Кроме того, существует возможность настроить расписания резервного копирования или выбрать одно из заранее составленных расписаний, созданных с учетом стандартных рекомендаций. Сервис Резервное копирование AWS автоматически производит резервное копирование ресурсов вашего приложения в соответствии с политиками и расписаниями, которые вы определили, во избежание конфликтов с рабочей средой.

Вы можете настроить политики хранения резервных копий, которые автоматически сохраняют резервные копии и определяют время истечения срока их хранения, сводя затраты на хранилище резервных копий к минимуму. Настраивайте политики жизненных циклов, которые автоматически переносят резервные копии из хранилища «теплых» данных в недорогое хранилище «холодных» данных, что помогает снизить затраты на их хранение.

В центральной консоли можно создавать копии резервных копий в других регионах и аккаунтах AWS для соблюдения требований к соответствию и аварийному восстановлению. Можно запрашивать резервные копии самостоятельно или получать их автоматически в рамках плана резервного копирования в разных регионах и аккаунтах, а также восстанавливать эти резервные копии в новых регионах или аккаунтах.

Можно создавать политики защиты данных и использовать Организации AWS для принудительного применения политик защиты во всех аккаунтах данной организации. Это обеспечивает резервное копирование для нескольких аккаунтов и дает дополнительный уровень защиты на случай прерывания работы исходного аккаунта ввиду случайного или злонамеренного удаления, аварий или атак программ-вымогателей.

С помощью сервиса Резервное копирование AWS оператор резервного копирования может создать резервные копии всех поддерживаемых ресурсов в AWS без необходимости в предоставлении администратору резервного копирования прямого доступа к этим ресурсам. Это обеспечивает разделение контроля, при котором владельцы ресурсов не могут влиять на хранение резервных копий, а операторы резервных копий не могут изменять или скрыто извлекать данные.

Вы можете позволяет создавать политики доступа к хранилищам резервных копий на основе ресурсов. С помощью политик доступа на основе ресурсов можно управлять доступом всех пользователей к резервным копиям в хранилище резервных копий, не назначая им индивидуальные разрешения.

Можно делегировать управление политиками резервного копирования в сервисе Организации AWS, а мониторинг между аккаунтами – в сервисе Резервное копирование AWS. Это позволяет делегировать управление резервными копиями выделенному аккаунту администратора резервного копирования, благодаря чему аккаунтам участников не придется получать доступ к управляющим аккаунтам для администрирования резервного копирования. Администраторы, которым делегировано резервное копирование, могут создавать политики резервного копирования, управлять ими и отслеживать действия в нескольких аккаунтах. Делегирование администрирования резервного копирования в масштабах организации с помощью сервиса Организации AWS обеспечивает безопасную централизацию управления в любом масштабе.

В консоли сервиса Резервное копирование AWS есть панель управления Amazon CloudWatch, с помощью которой можно просматривать показатели завершенных или неудачных попыток выполнения заданий копирования (в том числе резервного) и восстановления. В этой панели управления можно просматривать состояния заданий по периодам времени и настраивать просмотр в соответствии с предпочитаемым расписанием.

Сервис Резервное копирование AWS интегрируется с AWS CloudTrail, что обеспечивает консолидированное представление журналов операций резервного копирования и упрощает процесс аудита защищенных ресурсов.

Сервис Резервное копирование AWS интегрирован с Простым сервисом уведомлений Amazon (SNS), который позволяет генерировать автоматические уведомления (например, при успешном завершении резервного копирования или при запуске процедуры восстановления данных).

Чтобы обеспечить полное управление, вы можете воспользоваться Менеджером аудита резервного копирования AWS для отслеживания операций резервного копирования в разных аккаунтах и регионах.

Восстановление нескольких учетных записей в нескольких регионах после атаки программы-вымогателя

Сервис Резервное копирование AWS позволяет защищать важнейшие данные от программ-вымогателей и восстанавливать информацию после атак или компрометации аккаунтов. Программы-вымогатели включают бизнес-модель и широкий спектр смежных технологий, которые злоумышленники используют, чтобы вымогать у организаций деньги. Эти злоумышленники используют определенный диапазон тактик несанкционированного получения доступа к данным и системам жертв, в том числе используя уязвимости, которые не были исправлены, и слабые или похищенные учетные данные. После этого злоумышленники ограничивают доступ к данным и системам и требуют выкуп за безопасный возврат этих цифровых ресурсов. Существует несколько методов, используемых злоумышленниками для ограничения доступа или сужения санкционированных прав доступа к ресурсам, в том числе шифрование и удаление, изменение средств контроля доступа и сетевые атаки типа «Отказ в обслуживании». 

Вы можете создать резервную копию своего стека AWS CloudFormation вместе с ресурсами, такими как роли AWS IAM и группы безопасности Amazon VPC. Это означает, что вам будет проще восстановить весь стек приложений и управлять соответствием политик защиты данных в масштабах всего стека приложений.

Вы можете импортировать определения приложений и создать планы защиты в масштабах приложений, управление которыми осуществляется по расписанию, а также копию в другом аккаунте или регионе для дополнительной защиты от программ-вымогателей.

Неизменяемые резервные копии можно хранить в логически отключенном от сети хранилище (это один из типов хранилища Резервного копирования AWS), которое по умолчанию заблокировано и изолировано с помощью шифрования с ключами, принадлежащими AWS. Используя логически отключенное от сети хранилище, можно обеспечить нескольким учетным записям и организациям безопасный совместный доступ через Диспетчер доступа к ресурсам (RAM) AWS. Это хранилище поддерживает прямое восстановление и помогает сократить время восстановления после потери данных.

С помощью функции тестирования можно выполнять автоматическую и периодическую оценку готовности к восстановлению, а также отслеживать продолжительность заданий восстановления. Можно провести тестирование готовности к восстановлению, чтобы подготовиться к возможному простою или потере данных в соответствии с нормативными требованиями.

Блокировка хранилища резервного копирования AWS позволяет вам защищать резервные копии от удаления или изменения их жизненного цикла в результате случайных или злоумышленных действий. Чтобы защитить существующее или новое хранилище с помощью блокировки хранилища резервного копирования AWS, можно использовать командную строку AWS, API резервного копирования AWS или SDK резервного копирования AWS. Блокировка резервного копирования AWS работает с политиками резервного копирования, такими как периоды хранения, перемещение хранилища «холодных» данных, копирование в другом аккаунте или регионе. Это обеспечивает еще один уровень защиты и помогает обеспечить соответствие нормативным требованиям. Блокировка резервного копирования AWS получила оценку Cohasset Associates для использования в средах в соответствии с регламентами SEC 17a-4, CFTC и FINRA.

NIST определяет принцип нулевого доверия как развивающийся набор средств управления кибербезопасностью, который перемещается с уровня статических сетевых периметров на уровень активной защиты, который сконцентрирован на пользователях и ресурсах. Делегируйте администрирование Резервным копированием AWS с помощью Организаций AWS, Менеджера аудита резервного копирования AWS и Блокировки хранилища резервного копирования AWS, чтобы обеспечить углубленную защиту в рамках архитектуры, построенной по принципу нулевого доверия.

Обеспечение соответствия защиты данных с помощью аналитики в режиме реального времени

Менеджер аудита резервного копирования AWS – это функция, которая ведет мониторинг и генерирует отчеты об аудите защиты данных, например о частоте создания резервных копий или периоде их хранения. Менеджер аудита резервного копирования AWS – это полностью управляемый сервис, который может генерировать ежедневные отчеты с аналитическими данными о состоянии соответствия ваших сред защиты данных.

Вы можете проверять свои политики защиты данных и сообщать об их соответствии, помогая реагировать на нужды бизнеса и нормативные требования с помощью Диспетчера аудита резервного копирования AWS. Он предоставляет встроенные средства управления соответствием, которые позволяют определять политики защиты данных (такие как частота резервного копирования или срок хранения). Этот сервис предназначен для автоматического обнаружения нарушений определенных вами правил защиты данных и запрашивает у вас, требуется ли принять меры по их устранению. С помощью сервиса Диспетчер аудита резервного копирования AWS вы можете постоянно проверять работу резервного копирования и создавать отчеты об аудите, которые покажут соответствие нормативным требованиям.

Резервное копирование AWS поддерживает соответствие требованиям об обеспечении сохранности данных, которые применяются, когда организация обязана хранить определенные данные либо для обеспечения их сохранности, аудита, либо в качестве доказательства в ходе судебного разбирательства и электронного обнаружения. Вы можете использовать требования об обеспечении сохранности данных, чтобы предотвратить удаление резервных копий даже по истечении срока их хранения и хранить их, пока они не будут явно освобождены от этих требований.

Вы можете использовать шаблоны отчетов о соответствии для создания ежедневных отчетов о соответствии ваших операций резервного копирования и ресурсов определенным вами средствами управления на одной или нескольких платформах. Платформа представляет собой набор средств управления, который вам помогает оценивать соблюдение нормативных требований.

Вы можете использовать встроенные или настраиваемые средства управления, чтобы определять политики или устанавливать, соответствуют ли операции по созданию резервных копий вашим политикам. Подробную информацию о средствах управления можно получить в Руководстве пользователя по Резервному копированию AWS. Также вы можете настроить автоматические ежедневные отчеты, чтобы получать информацию о состоянии соответствия ваших платформ.