Funzionalità di Backup AWS

Panoramica

Backup AWS è un servizio completamente gestito che consente di centralizzare e automatizzare la protezione dei dati tra servizi AWS e carichi di lavoro ibridi. Fornisce funzionalità di base per la protezione dei dati, capacità di ripristino da ransomware e approfondimenti e analisi sulla conformità per le policy e le operazioni di protezione dei dati. Backup AWS offre un servizio conveniente basato su policy con funzionalità che semplificano la protezione dei dati su scala exabyte in tutta la tua proprietà AWS. 

Protezione dei dati delle risorse delle applicazioni su AWS e servizi ibridi

Backup AWS aiuta a proteggere le risorse delle applicazioni, inclusi i servizi di archiviazione, database e calcolo AWS, nonché i carichi di lavoro ibridi come VMware. Backup AWS supporta le seguenti funzionalità per tutti i servizi e le applicazioni di terze parti supportati: pianificazione automatizzata dei backup e gestione della conservazione, monitoraggio centralizzato della protezione dei dati, crittografia dei backup integrata in AWS KMS, gestione di più account con AWS Organizations, controllo della protezione dei dati e reporting di conformità con AWS Backup Audit Manager e WORM (write-once, read-many) con Vault Lock di Backup AWS.

Backup AWS aiuta a proteggere le risorse delle applicazioni, inclusi i servizi di archiviazione, database e calcolo AWS, nonché i carichi di lavoro ibridi come VMware. Backup AWS supporta le seguenti funzionalità per tutti i servizi e le applicazioni di terze parti supportati: pianificazione automatizzata dei backup e gestione della conservazione, monitoraggio centralizzato della protezione dei dati, crittografia dei backup integrata in AWS KMS, gestione di più account con AWS Organizations, controllo della protezione dei dati e reporting di conformità con AWS Backup Audit Manager e WORM (write-once, read-many) con Vault Lock di Backup AWS.

Backup AWS fornisce una console di backup centralizzata, un set di API di backup e un'interfaccia a riga di comando per gestire i backup tra i servizi AWS di archiviazione, calcolo e database e i servizi ibridi su cui vengono eseguite le tue applicazioni, tra cui Amazon Simple Storage Service (S3), Amazon Elastic Block Store (EBS), Amazon FSx, Amazon Elastic File System (EFS), Gateway di archiviazione AWS, Amazon Elastic Compute Cloud (EC2), Amazon Relational Database Service (RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (compatibile con MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA su Amazon EC2 in anteprima e l'intero stack dell'applicazione definito da AWS CloudFormation, così come le applicazioni ibride come i carichi di lavoro VMware in esecuzione on-premise e su VMware CloudTM su AWS e AWS Outposts.

Il vault di Backup AWS è un container logico che archivia e gestisce i backup crittografati. Quando crei un deposito di backup, devi specificare la chiave di crittografia di Servizio di gestione delle chiavi AWS (AWS KMS) che crittografa i backup inseriti in questo vault. Tutti i backup copiati vengono crittografati con la chiave del vault di destinazione. Per ulteriori informazioni sulla crittografia, consulta il grafico riportato in Crittografia per i backup in AWS.

Backup AWS crittografa i tuoi dati di backup a riposo e in transito, garantendo una completa soluzione di crittografia che protegge i dati di backup e consente di soddisfare i requisiti di conformità. I dati di backup vengono crittografati tramite chiavi di crittografia gestite da Servizio di gestione delle chiavi AWS (AWS KMS), riducendo la necessità di creare e mantenere un'infrastruttura di gestione delle chiavi. Le chiavi utilizzate per crittografare i tuoi dati in Backup AWS sono indipendenti dalla chiavi impiegate per crittografare le risorse su cui si basano i backup. La presenza di chiavi di crittografia separate per i dati di produzione e di backup costituisce un importante meccanismo di tutela per le tue applicazioni.

Puoi creare backup gestiti da piani di backup, consentendoti di definire i requisiti di backup e applicare queste policy alle risorse AWS che desideri proteggere. I piani di backup semplificano e ridimensionano la strategia di protezione dei dati in tutte le applicazioni e l'organizzazione.

Puoi applicare piani di backup alle tue risorse AWS contrassegnandole. I tag AWS costituiscono un ottimo strumento per organizzare coerentemente e classificare le tue risorse AWS.

Puoi personalizzare le pianificazioni di backup o scegliere tra le pianificazioni predefinite basate su best practice comuni. Backup AWS esegue automaticamente il backup delle risorse dell'applicazione in base alle policy e alle pianificazioni definite per evitare conflitti con la produzione.

Puoi configurare policy di conservazione dei backup che conservano e fanno scadere automaticamente i backup, riducendo al minimo i costi di archiviazione dei backup. Configura le policy del ciclo di vita che trasferiscono automaticamente i backup dall'archiviazione a caldo all'archiviazione a freddo, contribuendo a ridurre i costi di archiviazione dei backup memorizzando i backup in un livello di archiviazione a freddo a basso costo.

Puoi copiare i backup in diverse regioni e account AWS da una console centrale per soddisfare le esigenze di conformità e ripristino di emergenza. Puoi copiare i backup sia manualmente, come copia on demand, che automaticamente, come parte di un piano di backup programmato in più regioni e account diversi, per poi ripristinare tali backup in una nuova regione o un nuovo account.

Puoi creare policy di protezione dei dati e utilizzare AWS Organizations per applicare le policy di protezione a tutti gli account dell'organizzazione. Ciò fornisce backup tra più account e offre ai clienti un livello di protezione aggiuntivo nel caso in cui l'account di origine subisca interruzioni a causa di eliminazioni, danni o ransomware accidentali o dolosi.

Con Backup AWS, un operatore di backup può eseguire il backup di tutte le risorse supportate su AWS senza dover avere l'accesso diretto a tali risorse. Ciò fornisce una separazione del controllo in cui i proprietari delle risorse non possono influire sulla conservazione dei backup e gli operatori di backup non possono mutare o esfiltrare i dati.

Grazie a Backup AWS puoi configurare policy basate sulle risorse per i backup vault. Le policy di accesso basate sulle risorse ti consentono di controllare l'accesso ai backup in un backup vault di tutti gli utenti invece di definire dei permessi per ciascun utente.

Puoi delegare la gestione delle policy di backup in AWS Organizations e il monitoraggio tra account in Backup AWS. Ciò consente di delegare la gestione del backup ad account di amministrazione del backup dedicati, eliminando la necessità per gli account membri di accedere agli account di gestione per l'amministrazione del backup. Gli amministratori di backup delegati possono creare e gestire criteri di backup e monitorare l'attività di backup tra gli account. La delega dell'amministrazione dei backup a livello di organizzazione tramite AWS Organizations consente una gestione dei backup centralizzata e sicura su larga scala.

La console di Backup AWS include un pannello di controllo Amazon CloudWatch per visualizzare i parametri sui processi di backup, copia e ripristino riusciti o non riusciti. All'interno di questo pannello di controllo, puoi visualizzare lo stato del processo per periodo di tempo, personalizzato in base alla pianificazione che desideri.

Backup AWS si integra con AWS CloudTrail, che fornisce una vista consolidata dei log delle attività di backup e semplifica il processo di controllo per le risorse protette.

Backup AWS si integra con il Servizio di notifica semplice Amazon (Amazon SNS), un servizio che ti avvisa automaticamente sullo stato dell'attività di backup, ad esempio alla conclusione di un backup o all'avvio di un ripristino.

Per un'esperienza completamente gestita, puoi utilizzare AWS Backup Audit Manager e monitorare l'attività di backup tra account e regioni.

Ripristino da ransomware multi-account e multi-regione

Backup AWS fornisce funzionalità che aiutano a proteggere e recuperare i dati critici da eventi ransomware e dalla compromissione degli account. Il termine ransomware si riferisce a un modello di business e a un'ampia gamma di tecnologie associate che gli utenti malintenzionati utilizzano per estorcere denaro alle entità. Questi utenti utilizzano una serie di tattiche per ottenere l'accesso non autorizzato ai dati e ai sistemi delle loro vittime, incluso lo sfruttamento di vulnerabilità senza patch e credenziali deboli o rubate. L'accesso a dati e sistemi viene quindi limitato da questi attori e viene presentata una richiesta di riscatto per la restituzione sicura di queste risorse digitali. Esistono diversi metodi utilizzati da tali utenti per limitare o ridurre l'accesso legittimo alle risorse, tra cui crittografia ed eliminazione, controlli degli accessi modificati e attacchi Denial of Service basati sulla rete. 

Puoi eseguire il backup del tuo stack AWS CloudFormation insieme alle relative risorse come ruoli AWS IAM e gruppi di sicurezza Amazon VPC. Ciò significa che puoi ripristinare più facilmente l'intero stack dell'applicazione e gestire la conformità delle policy di protezione dei dati nello stack.

Puoi importare le definizioni delle applicazioni e creare piani di protezione a livello di applicazione gestiti secondo una pianificazione ricorrente e una copia tra account o tra regioni per una protezione aggiuntiva dagli eventi ransomware.

È possibile archiviare copie di backup immutabili in una vault logicamente isolata, ovvero un tipo di vault di Backup AWS bloccato per impostazione predefinita e protetto da crittografia utilizzando chiavi di proprietà di AWS. La vault logicamente isolata consente la condivisione sicura dell'accesso tramite AWS Resource Access Manager (RAM), tra account e organizzazioni, supportando il ripristino diretto per ridurre i tempi di ripristino in caso di perdita di dati.

Puoi eseguire una valutazione automatica e periodica della fattibilità del ripristino e monitorare i tempi di durata del processo di ripristino con la funzionalità di test di ripristino. Puoi eseguire prove di idoneità al ripristino per prepararti a eventuali tempi di inattività dei dati o eventi di perdita dei dati, soddisfacendo i requisiti normativi o di conformità.

Vault Lock di Backup AWS ti permette di proteggere i tuoi backup dall'eliminazione o dalle modifiche ai loro cicli di vita causate inavvertitamente o dettate da cattive intenzioni. Puoi utilizzare AWS CLI, l'API di Backup AWS o l'SDK di Backup AWS per applicare la protezione di Vault Lock di Backup AWS a un vault esistente o a uno nuovo. Vault Lock di Backup AWS funziona anche con policy di backup come periodi di conservazione, transizioni di archiviazione a freddo e copia su più account/regioni. Ciò fornisce un ulteriore livello di protezione e aiuta a soddisfare i requisiti di conformità. Vault Lock di Backup AWS è stato valutato da Cohasset Associates per l'uso in ambienti soggetti alle normative SEC 17a-4, CFTC e FINRA.

Il NIST definisce Zero Trust come un insieme in evoluzione di controlli di sicurezza informatica che passa da perimetri statici basati sulla rete a una difesa attiva in profondità focalizzata su utenti, asset e risorse. Utilizza l'amministrazione delegata di Backup AWS con AWS Organizations, AWS Backup Audit Manager e Vault Lock di Backup AWS per costruire la tua difesa in profondità come parte di un'architettura Zero Trust.

Conformità alla protezione dei dati con analisi e approfondimenti in tempo reale

AWS Backup Audit Manager è una funzionalità che monitora e genera report di audit della tua attività di protezione dei dati, come la frequenza dei backup o il periodo di conservazione dei backup. AWS Backup Audit Manager è un'esperienza completamente gestita in grado di generare report giornalieri con approfondimenti sullo stato di conformità dei tuoi framework di protezione dei dati.

Puoi verificare ed effettuare report sulla conformità delle tue policy di protezione dei dati in modo da soddisfare le tue esigenze in termini di attività e conformità alle normative con AWS Backup Audit Manager. Offre controlli di conformità integrati che possono essere personalizzati in modo da poter definire le tue policy di protezione dei dati (ad esempio la frequenza di backup o il periodo di conservazione). È progettato per rilevare automaticamente le violazioni rispetto a ciò che hai definito come guardrail per la protezione dei dati e ti chiederà di intraprendere azioni correttive. Con AWS Backup Audit Manager potrai valutare in maniera continua le attività di backup e generare report di verifica che ti aiuteranno a dimostrare la tua conformità ai requisiti di legge.

Backup AWS supporta i blocchi a fini legali che sono utilizzati quando un'organizzazione deve mantenere determinati dati per la conservazione, il controllo o come prova nei procedimenti legali e nell'e-Discovery. Questi blocchi impediscono l'eliminazione dei backup, anche se il loro periodo di conservazione è scaduto e rimangono in vigore fino al loro rilascio esplicito.

Puoi utilizzare i modelli di rapporto di conformità per generare rapporti giornalieri sulla conformità dell'attività e delle risorse di backup rispetto ai controlli definiti in uno o più framework. Un framework è una raccolta di controlli che ti aiuta a valutare la tua posizione di conformità.

Puoi utilizzare controlli predefiniti o personalizzabili per definire le tue policy e valutare se le tue pratiche di backup sono conformi alle tue policy. Per ulteriori informazioni sui controlli, consulta la Guida per gli sviluppatori di Backup AWS. Puoi anche impostare report giornalieri automatici per ottenere informazioni sullo stato di conformità dei tuoi framework.