Các tính năng của Sao lưu AWS

Tổng quan

AWS Backup là dịch vụ được quản lý đầy đủ để tập trung và tự động hóa việc bảo vệ dữ liệu trên các dịch vụ AWS và khối lượng công việc kết hợp. Nó cung cấp các tính năng bảo vệ dữ liệu cốt lõi, khả năng khôi phục sau cuộc tấn công bằng phần mềm tống tiền cũng như thông tin chuyên sâu và phân tích về việc tuân thủ đối với các chính sách và hoạt động bảo vệ dữ liệu. AWS Backup cung cấp dịch vụ theo chính sách, tiết kiệm chi phí với các tính năng giúp đơn giản hóa việc bảo vệ dữ liệu ở quy mô exabyte trên kho AWS của bạn. 

Bảo vệ dữ liệu của tài nguyên ứng dụng trên AWS và các dịch vụ lai

AWS Backup giúp bảo vệ tài nguyên ứng dụng, bao gồm các dịch vụ lưu trữ, cơ sở dữ liệu và điện toán AWS của bạn cũng như các khối lượng công việc lai như VMware. AWS Backup hỗ trợ các khả năng sau cho tất cả các dịch vụ được hỗ trợ và ứng dụng của bên thứ ba: quản lý lưu giữ và lên lịch sao lưu tự động, giám sát bảo vệ dữ liệu tập trung, mã hóa sao lưu tích hợp AWS KMS, quản lý tài khoản chéo với Tổ chức AWS, kiểm tra bảo vệ dữ liệu và báo cáo tuân thủ với Trình quản lý kiểm tra AWS Backup và ghi một lần, đọc nhiều lần (WORM) với Khóa vault AWS Backup.

AWS Backup giúp bảo vệ tài nguyên ứng dụng, bao gồm các dịch vụ lưu trữ, cơ sở dữ liệu và điện toán AWS của bạn cũng như các khối lượng công việc lai như VMware. AWS Backup hỗ trợ các khả năng sau cho tất cả các dịch vụ được hỗ trợ và ứng dụng của bên thứ ba: quản lý lưu giữ và lên lịch sao lưu tự động, giám sát bảo vệ dữ liệu tập trung, mã hóa sao lưu tích hợp AWS KMS, quản lý tài khoản chéo với Tổ chức AWS, kiểm tra bảo vệ dữ liệu và báo cáo tuân thủ với Trình quản lý kiểm tra AWS Backup và ghi một lần, đọc nhiều lần (WORM) với Khóa vault AWS Backup.

Dịch vụ Sao lưu AWS cung cấp bảng điều khiển sao lưu, API công khai và giao diện dòng lệnh để quản lý tập trung các bản sao lưu trên các dịch vụ lưu trữ, điện toán, cơ sở dữ liệu và dịch vụ lai AWS mà ứng dụng của bạn đang chạy, gồm Dịch vụ lưu trữ đơn giản (S3) của Amazon, Kho lưu trữ khối linh hoạt (EBS) của Amazon, Amazon FSx, Hệ thống tệp linh hoạt (EFS) của Amazon, Cổng lưu trữ AWS, Đám mây điện toán linh hoạt (EC2) của Amazon, Dịch vụ cơ sở dữ liệu quan hệ (RDS) của Amazon, Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (với khả năng tương thích MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA trên Amazon EC2 và tất cả bộ ứng dụng được AWS CloudFormation xác định, cũng như các ứng dụng lai như các khối lượng công việc VMware chạy tại chỗ và trong VMware CloudTM trên AWS và AWS Outposts.

Vault Sao lưu AWS là bộ chứa logic lưu trữ và quản lý các bản sao lưu đã được mã hóa của bạn. Khi tạo một vault sao lưu, bạn phải chỉ định khóa mã hóa Dịch vụ quản lý khóa của AWS (AWS KMS) mã hóa các bản sao lưu được đặt trong vault này. Tất cả các bản sao lưu đã sao chép đều được mã hóa bằng khóa của vault mục tiêu. Để biết thêm thông tin về mã hóa, vui lòng xem biểu đồ trong Mã hóa các bản sao lưu trong AWS.

AWS Backup mã hóa dữ liệu sao lưu đang được lưu trữ và đang được truyền của bạn, cung cấp giải pháp mã hóa toàn diện giúp bảo mật dữ liệu sao lưu và đáp ứng các yêu cầu về tuân thủ. Dữ liệu sao lưu của bạn được mã hóa bằng các khóa mã hóa do AWS Key Management Service (KMS) quản lý, do đó, giảm bớt nhu cầu xây dựng và duy trì cơ sở hạ tầng quản lý khóa. Các khóa dùng để mã hóa dữ liệu AWS Backup sẽ độc lập với các khóa dùng để mã hóa tài nguyên là nền tảng của các bản sao lưu. Việc có khóa mã hóa riêng dành cho dữ liệu sản xuất và sao lưu mang đến một lớp bảo vệ quan trọng cho các ứng dụng của bạn.

Bạn có thể tạo các bản sao lưu được quản lý bởi các kế hoạch sao lưu, cho phép bạn xác định các yêu cầu sao lưu của mình và áp dụng các chính sách này cho các tài nguyên AWS mà bạn muốn bảo vệ. Kế hoạch sao lưu đơn giản hóa và mở rộng quy mô chiến lược bảo vệ dữ liệu của bạn đối với các ứng dụng và tổ chức của bạn.

Bạn có thể áp dụng các kế hoạch sao lưu cho tài nguyên AWS của mình bằng cách gắn thẻ. Thẻ AWS là cách tốt để sắp xếp và phân loại tài nguyên AWS một cách nhất quán.

Bạn cũng có thể tùy chỉnh lịch sao lưu hoặc chọn trong số các lịch sao lưu định sẵn dựa trên những phương pháp tốt nhất phổ biến. AWS Backup tự động sao lưu tài nguyên ứng dụng của bạn theo các chính sách và lịch trình được bạn xác định để tránh xung đột với quá trình sản xuất.

Bạn có thể thiết lập các chính sách lưu giữ bản sao lưu tự động giữ lại và làm hết hiệu lực các bản sao lưu, giảm thiểu chi phí lưu trữ bản sao lưu. Cấu hình các chính sách vòng đời tự động chuyển các bản sao lưu từ lưu trữ ấm sang lưu trữ nguội, giúp giảm chi phí lưu trữ bản sao lưu bằng cách lưu trữ các bản sao lưu trong tầng lưu trữ nguội chi phí thấp.

Bạn có thể sao chép các bản sao lưu trên các Khu vực AWS và tài khoản khác nhau từ bảng điều khiển trung tâm để đáp ứng nhu cầu tuân thủ và phục hồi sau thảm họa. Bạn có thể sao chép các bản sao lưu theo cách thủ công dưới dạng bản sao theo nhu cầu hoặc theo cách tự động trong kế hoạch sao lưu theo lịch đến nhiều Khu vực và tài khoản khác nhau, và khôi phục các bản sao lưu đó trong Khu vực hoặc tài khoản mới.

Bạn có thể tạo chính sách bảo vệ dữ liệu và sử dụng Tổ chức AWS để thực thi chính sách bảo vệ trên tất cả các tài khoản trong tổ chức đó. Tính năng này cung cấp các bản sao lưu trên nhiều tài khoản và mang lại một lớp bảo vệ bổ sung nếu tài khoản nguồn gặp sự cố gián đoạn do hành động xóa vô tình hoặc cố ý phá hoại, thảm họa hoặc phần mềm tống tiền.

Với AWS Backup, người vận hành sao lưu có thể sao lưu tất cả các tài nguyên được hỗ trợ trên AWS mà không cần phải có quyền truy cập trực tiếp vào các tài nguyên đó. Điều này mang lại khả năng tách biệt quyền kiểm soát trong đó chủ sở hữu tài nguyên không thể tác động đến việc lưu giữ các bản sao lưu và người vận hành sao lưu không thể thay đổi hoặc trích xuất dữ liệu.

Bạn có thể thiết lập chính sách truy cập dựa trên tài nguyên cho các kho sao lưu. Với các chính sách truy cập dựa trên tài nguyên, bạn có thể kiểm soát quyền truy cập vào các bản sao lưu trong kho sao lưu đối với tất cả người dùng, thay vì phải xác định quyền cho từng người dùng.

Bạn có thể phân quyền quản lý chính sách sao lưu trong Tổ chức AWS và giám sát nhiều tài khoản trong AWS Backup. Điều này cho phép phân quyền quản lý sao lưu cho tài khoản quản trị sao lưu chuyên dụng, do đó không cần phải có tài khoản thành viên để truy cập tài khoản quản lý nhằm quản trị sao lưu. Người quản trị sao lưu được phân quyền có thể tạo và quản lý các chính sách sao lưu và theo dõi hoạt động sao lưu trên các tài khoản. Việc phân quyền quản trị sao lưu trên toàn tổ chức thông qua Tổ chức AWS cho phép quản lý sao lưu tập trung một cách an toàn trên quy mô lớn.

Bảng điều khiển Sao lưu AWS bao gồm một bảng thông tin Amazon CloudWatch để xem các chỉ số về các tác vụ sao lưu, sao chép và khôi phục đã hoàn thành hoặc không thành công. Với bảng thông tin này, bạn có thể xem trạng thái tác vụ theo khoảng thời gian, được tùy chỉnh theo lịch trình bạn mong muốn.

AWS Backup tích hợp với AWS CloudTrail, cung cấp chế độ xem tổng hợp về nhật ký hoạt động sao lưu và đơn giản hóa quy trình kiểm tra đối với các tài nguyên được bảo vệ.

AWS Backup tích hợp với Amazon Simple Notification Service (Amazon SNS), có thể tự động cảnh báo bạn về hoạt động sao lưu, chẳng hạn khi có một hoạt động sao lưu thành công hoặc khi quá trình khôi phục được bắt đầu.

Để có trải nghiệm được quản lý đầy đủ, bạn có thể sử dụng AWS Backup Audit Manager để giám sát hoạt động sao lưu trên các tài khoản và Khu vực của mình.

Khôi phục sau cuộc tấn công bằng phần mềm tống tiền trên nhiều tài khoản và nhiều Khu vực

Sao lưu AWS cung cấp các khả năng giúp bảo vệ và khôi phục dữ liệu quan trọng từ các sự kiện tấn công bằng phần mềm tống tiền và xâm phạm tài khoản. Phần mềm tống tiền đề cập đến một mô hình kinh doanh và hàng loạt công nghệ có liên quan mà những kẻ lừa đảo sử dụng để tống tiền các thực thể. Những kẻ này sử dụng nhiều chiến thuật để giành quyền truy cập trái phép vào dữ liệu và hệ thống của nạn nhân, bao gồm khai thác các lỗ hổng chưa được vá và thông tin đăng nhập yếu hoặc bị đánh cắp. Những kẻ này sau đó hạn chế quyền truy cập vào dữ liệu và hệ thống và yêu cầu cung cấp tiền chuộc để nhận lại các tài sản kỹ thuật số này một cách an toàn. Những kẻ này có thể sử dụng một số phương pháp để hạn chế hoặc giảm quyền truy cập hợp pháp vào tài nguyên bao gồm mã hóa và xóa, kiểm soát truy cập đã sửa đổi và tấn công từ chối dịch vụ dựa trên mạng. 

Bạn có thể sao lưu ngăn xếp AWS CloudFormation cùng với các tài nguyên của ngăn xếp như vai trò AWS IAM và nhóm bảo mật Amazon VPC. Điều này có nghĩa là bạn có thể khôi phục toàn bộ ngăn xếp ứng dụng dễ dàng hơn và quản lý việc tuân thủ các chính sách bảo vệ dữ liệu trên toàn ngăn xếp ứng dụng.

Bạn có thể nhập các định nghĩa ứng dụng và tạo các kế hoạch bảo vệ trên toàn ứng dụng được quản lý theo lịch định kỳ và sao chép liên tài khoản hoặc liên Khu vực để tăng cường bảo vệ khỏi các sự kiện tấn công bằng phần mềm tống tiền.

Bạn có thể lưu trữ các bản sao lưu bất biến trong vault cách ly mạng logic, đây là một loại vault Sao lưu AWS, được khóa theo mặc định và cách ly bằng mã hóa bằng các khóa thuộc sở hữu của AWS. Vault cách ly mạng logic cho phép chia sẻ quyền truy cập một cách bảo mật thông qua AWS Resource Access Manager (RAM), trên các tài khoản và tổ chức, hỗ trợ khôi phục trực tiếp để giúp giảm thời gian phục hồi từ sự cố mất dữ liệu.

Bạn có thể đánh giá tự động và định kỳ về khả năng phục hồi cũng như theo dõi thời gian của công việc phục hồi bằng tính năng kiểm tra hoạt động phục hồi. Bạn có thể thực hiện các bài kiểm tra mức độ sẵn sàng phục hồi để chuẩn bị ứng phó cho các sự cố không sử dụng được dữ liệu hoặc các sự cố mất dữ liệu có thể xảy ra, đáp ứng các yêu cầu tuân thủ hoặc quy định.

AWS Backup Vault Lock cho phép bạn bảo vệ các bản sao lưu của mình khỏi bị xóa hoặc thay đổi vòng đời (làm cho dữ liệu không thể thay đổi) bởi những thay đổi vô tình hoặc độc hại. Bạn có thể sử dụng AWS CLI, API AWS Backup hoặc SDK AWS Backup để áp dụng tính năng bảo vệ AWS Backup Vault Lock cho một kho hiện có hoặc kho mới. AWS Backup Vault Lock dựa trên các chính sách sao lưu như thời hạn lưu giữ, chuyển đổi lưu trữ nguội, sao chép liên tài khoản và liên Khu vực. Tính năng này mang lại một lớp bảo vệ bổ sung và giúp đáp ứng các yêu cầu tuân thủ của bạn. AWS Backup Vault Lock đã được Cohasset Associates đánh giá để sử dụng trong các môi trường tuân theo các quy định SEC 17a-4, CFTC và FINRA.

NIST định nghĩa Zero Trust là tập hợp các biện pháp kiểm soát an ninh mạng không ngừng phát triển, chuyển từ các vành đai tĩnh, dựa trên mạng sang phòng thủ chủ động chuyên sâu tập trung vào người dùng, tài sản và tài nguyên. Sử dụng quản trị viên được ủy quyền Sao lưu AWS với Tổ chức AWSTrình quản lý kiểm tra Sao lưu AWS và Khóa vault Sao lưu AWS để hỗ trợ bạn xây dựng khả năng phòng thủ chuyên sâu trong kiến trúc Zero Trust.

Tuân thủ bảo vệ dữ liệu với phân tích và thông tin chuyên sâu theo thời gian thực

AWS Backup Audit Manager là tính năng theo dõi và lập báo cáo kiểm tra hoạt động bảo vệ dữ liệu, chẳng hạn như tần suất sao lưu và thời hạn lưu giữ bản sao lưu. AWS Backup Audit Manager là trải nghiệm được quản lý đầy đủ, có thể tạo báo cáo hàng ngày với thông tin chuyển sâu về trạng thái tuân thủ của các khung bảo vệ dữ liệu của bạn.

Bạn có thể kiểm tra và báo cáo về việc tuân thủ các chính sách bảo vệ dữ liệu của bạn với mục đích giúp bạn đáp ứng những nhu cầu về kinh doanh và quy định với AWS Backup Audit Manager. Nó cung cấp các biện pháp kiểm soát tuân thủ tích hợp sẵn mà bạn có thể tùy chỉnh để xác định chính sách bảo vệ dữ liệu của mình (chẳng hạn như tần suất sao lưu hoặc khoảng thời gian lưu giữ). Nó được thiết kế để tự động phát hiện các vi phạm đối với các chính sách được bạn xác định là quy tắc bảo vệ dữ liệu của mình và sẽ nhắc bạn thực hiện các hành động khắc phục. Với AWS Backup Audit Manager, bạn có thể liên tục đánh giá hoạt động sao lưu và tạo báo cáo kiểm tra để giúp chứng minh việc tuân thủ các yêu cầu theo quy định.

AWS Backup hỗ trợ tính năng lưu giữ pháp lý, được sử dụng khi một tổ chức phải giữ lại một số dữ liệu nhất định để bảo quản, kiểm tra hoặc dùng làm bằng chứng trong thủ tục tố tụng pháp lý và tìm kiếm bằng chứng điện tử. Bạn có thể sử dụng tính năng lưu giữ pháp lý để ngăn việc xóa các bản sao lưu ngay cả khi thời hạn lưu giữ đã kết thúc và duy trì bản sao lưu cho đến khi được giải trừ rõ ràng.

Bạn có thể sử dụng các mẫu báo cáo tuân thủ để tạo báo cáo hàng ngày về mức độ tuân thủ của hoạt động sao lưu và tài nguyên đối với các biện pháp kiểm soát mà bạn đã xác định trong một hoặc nhiều khung. Khung là tập hợp các biện pháp kiểm soát nhằm giúp bạn đánh giá trạng thái tuân thủ của mình.

Bạn có thể áp dụng các biện pháp kiểm soát tùy chỉnh hoặc được tạo sẵn để xác định các chính sách của mình và đánh giá xem các phương pháp sao lưu hiện hành có tuân thủ chính sách của bạn hay không. Để biết thêm thông tin về các biện pháp kiểm soát, hãy truy cập Hướng dẫn dành cho nhà phát triển Sao lưu AWS. Bạn cũng có thể thiết lập báo cáo tự động hàng ngày để hiểu rõ hơn về trạng thái tuân thủ các khung của mình.