AWS Backup 功能

概觀

AWS Backup 是一項全受管服務,能夠跨 AWS 服務和混合工作負載對資料保護進行集中化和自動化。它為資料保護政策和操作提供核心資料保護功能、勒索軟體復原功能,以及合規洞察和分析。AWS Backup 提供了經濟實惠、基於政策的服務,其功能可以簡化整個 AWS 資產中 EB 級的資料保護。 

AWS 和混合服務上應用程式資源的資料保護

AWS Backup 有助於保護應用程式資源,包括您的 AWS 儲存、資料庫和計算服務,以及 VMware 等混合工作負載。AWS Backup 為所有其支援的服務和第三方應用程式提供以下功能的支援:自動備份排程和保留管理、集中資料保護監控、AWS KMS 整合式備份加密、使用 AWS Organizations 的跨賬戶管理、使用 AWS Backup Audit Manager 的資料保護稽核和合規報告,以及使用 AWS Backup Vault Lock 的一次寫入多次讀取 (WORM)。

AWS Backup 有助於保護應用程式資源,包括您的 AWS 儲存、資料庫和計算服務,以及 VMware 等混合工作負載。AWS Backup 為所有其支援的服務和第三方應用程式提供以下功能的支援:自動備份排程和保留管理、集中資料保護監控、AWS KMS 整合式備份加密、使用 AWS Organizations 的跨賬戶管理、使用 AWS Backup Audit Manager 的資料保護稽核和合規報告,以及使用 AWS Backup Vault Lock 的一次寫入多次讀取 (WORM)。

AWS Backup 提供備份主控台、公共 API 和命令列介面,可集中式管理執行應用程式在其上執行之所有 AWS 儲存、計算、資料庫和混合服務的備份,包括 Amazon Simple Storage Service (S3)Amazon Elastic Block Store (EBS)Amazon FSxAmazon Elastic File System (EFS)AWS Storage GatewayAmazon Elastic Compute Cloud (EC2)Amazon Relational Database Service (RDS)Amazon AuroraAmazon DynamoDBAmazon NeptuneAmazon DocumentDB (with MongoDB compatibility), Amazon TimestreamAmazon RedshiftSAP HANA on Amazon EC2AWS CloudFormation 定義的整個應用程式堆疊,以及混合應用程式,例如在內部部署、VMware CloudTM on AWS 和 AWS Outposts 中執行的 VMware 工作負載。

AWS Backup 文件庫是一個邏輯容器,用於儲存和管理您的加密備份。建立備份文件庫時,您必須指定 AWS Key Management Service (KMS) 加密金鑰,以加密放置在該文件庫中的備份。所有複製的備份都使用目標文件庫的金鑰進行加密。有關加密的更多資訊,請參閱 AWS 中備份加密中的圖表。

AWS Backup 可靜態和動態加密備份資料,提供保護備份資料和協助滿足合規需求的全方位加密解決方案。使用 AWS Key Management Service (KMS) 管理的加密金鑰來加密備份資料,無須建立和維護金鑰管理基礎設施。用來加密 AWS Backup 資料的金鑰與用來加密備份所屬資源的金鑰不同。在生產和備份資料時使用不同的加密金鑰可為應用程式提供很重要的保護層。

您可以建立由備份計畫管理的備份,使您能夠定義備份要求,並將這些政策套用到您想要保護的 AWS 資源。備份計畫可簡化和擴展您在應用程式和組織中的資料保護策略。

您可以透過標記將備份計畫套用於您的 AWS 資源。AWS 標籤是始終如一地組織和分類 AWS 資源最好的方法。

您可以自訂備份排程或選擇根據通用最佳實務預先定義的備份排程。AWS Backup 會根據您定義的政策和計畫自動備份您的應用程式資源,以避免與生產衝突。

您可以設定自動保留和終止備份的備份保留政策,從而大幅降低備份儲存成本。設定自動將備份從溫儲存轉移到冷儲存的生命週期政策,透過將備份儲存在低成本的冷存儲層中,協助降低備份儲存成本。

您可以從中央主控台跨不同 AWS 區域和帳戶複製備份,以滿足合規和災難復原需求。您可以將其作為隨需複製來手動複製備份,也可以將其作為排程備份計畫的一部分,自動複製到多個不同區域和帳戶,並在新區域或帳戶中復原這些備份。

您可以建立資料保護政策,並使用 AWS Organizations 在該組織的所有帳戶中強制執行保護政策。如果來源帳戶因意外或惡意刪除、災害或勒索軟體而中斷,這提供了多帳戶備份,並可為客戶提供額外的保護。

使用 AWS Backup,備份操作人員可以在 AWS 上備份所有受支援的資源,而無需備份操作人員直接存取這些資源。這提供了控制分離,令資源擁有者不能影響備份的保留,以及備份操作人員不能改變或洩露資料。

您可以在備份文件庫設定以資源為基礎的存取政策。使用以資源為基礎的存取政策,您可以控制所有使用者對備份文件庫中備份的存取,無須定義每個使用者的許可。

您可以委派 AWS Organizations 中的備份政策管理和 AWS Backup 中的跨帳戶監控。由此將備份管理委派給專用的備份管理帳戶,從而消除了成員帳戶存取管理帳戶,以進行備份管理的需要。委派的備份管理員可以建立和管理備份策略,並監控跨帳戶的備份活動。透過 AWS Organizations,組織範圍內的備份管理委派實現了安全地大規模集中備份管理。

AWS Backup 主控台包括 Amazon CloudWatch 儀表板,用於查看有關已完成或失敗的備份、複製和還原作業的指標。在此儀表板中,您可以按時間段檢視作業狀態,並根據您需要的排程自訂。

AWS Backup 與 AWS CloudTrail 整合,可提供備份活動日誌的合併檢視,並簡化了受保護資源的稽核流程。

AWS Backup 與 Amazon Simple Notification Service (Amazon SNS) 整合,可自動提醒您備份成功或初始還原等備份活動。

為獲得全受管體驗,您可以使用 AWS Backup Audit Manager 監控您的帳戶和區域中的備份活動。

多帳戶和多區域勒索軟體復原

AWS Backup 提供各種功能,協助您保護關鍵資料免受勒索軟體事件和帳戶受損的影響並進行復原。勒索軟體是指惡意人士用於向實體勒索錢財的商業模型和廣泛的關聯技術。這些行為者使用一系列策略來未經授權地存取受害者的資料和系統,包括利用未修補的漏洞以及薄弱或盜取的憑證。然後,這些行為者會限制對資料和系統的存取,並以安全歸還這些數位資產的條件提出贖金要求。這些行為者使用多種方法來限製或減少對資源的合法存取,包括加密和刪除、修改存取控制,以及基於網路的拒絕服務攻擊。 

您可以備份您的 AWS CloudFormation 堆棧及其資源,例如 AWS IAM 角色和 Amazon VPC 安全群組。這意味著,您可以更輕鬆地復原整個應用程式堆棧,並管理整個應用程式堆棧中資料保護政策的合規。

您可以匯入應用程式定義,並建立按重複排程管理的全應用程式保護計畫,以及跨帳戶或跨區域複製,以提供針對勒索軟體事件的額外保護。

您可以將不可變的備份副本存放在邏輯氣隙隔離保存庫中,這是一種 AWS Backup 保存庫,預設會鎖定,並使用 AWS 擁有的金鑰透過加密來隔離。邏輯氣隙隔離保存庫允許透過 AWS Resource Access Manager (RAM),跨帳戶和組織安全來共用存取權,支援直接還原以協助縮短資料遺失事件的復原時間。

您可以使用還原測試功能執行自動和定期評估還原可行性,以及監控還原作業持續時間。您可以進行復原準備測試演練,為可能的資料停機或資料遺失事件做準備,以滿足合規性或法規要求。

AWS Backup Vault Lock 可讓您保護備份不被無意或惡意變更刪除或變更其生命週期 (使資料不可變)。您可以使用 AWS CLI、AWS Backup API 或 AWS Backup SDK 將 AWS Backup Vault Lock 保護套用至現有文件庫或新文件庫。AWS Backup Vault Lock 可與保留期、冷儲存轉換和跨帳戶和跨區域複製等備份政策配合使用。這提供了額外的保護,並有助於滿足您的合規要求。AWS Backup Vault Lock 已經過 Cohasset Associates 的評估,適用於受 SEC 17a-4、CFTC 和 FINRA 法規約束的環境。

NIST 將「零信任」定義為一組不斷發展的網路安全控制,從靜態的、基於網路的邊界轉變為專注於使用者、資產和資源的深度主動防禦。將 AWS Backup 委派的管理員與 AWS OrganizationsAWS Backup Audit ManagerAWS Backup Vault Lock 結合使用,以協助建置作為「零信任」架構一部分的縱深防禦。

使用即時分析和洞察的資料保護合規

AWS Backup Audit Manager 是監控資料保護活動並生成稽核報告的功能,例如備份頻率或備份保留期。AWS Backup Audit Manager 是一種全受管體驗,可生成每日報告,其中包含有關資料保護架構合規狀態的洞察。

您可以使用 AWS Backup Audit Manager,對資料保護政策的合規進行稽核和報告,以協助您滿足業務和法規要求。它提供內建合規控制,讓您可自訂以定義資料保護政策 (例如,備份頻率或保留期)。它旨在自動檢測違反您定義為資料保護護防護機制的行為,並將提示您採取補救措施。使用 AWS Backup Audit Manager,您可以持續評估備份活動並產生稽核報告,以協助您示範遵循法規要求。

AWS Backup 支援當組織必須保留某些資料以用於保存、稽核,或作為法律程序的證據和電子蒐證時使用的法務保留。即使保留期已過,您可以使用法務保存來防止備份被刪除,並一直保留直至明確釋放。

您可以使用合規報告模板來生成每日合規報告,以說明您的備份活動和資源是否符合您在一個或多個架構中定義的控制。架構是一組控件,可協助您評估合規狀態。

您可以使用預先建置或可自訂的控件來定義您的政策,並評估您的備份實務是否符合您的政策。有關控件的更多資料,請瀏覽 AWS Backup 開發人員指南。您還可以設定自動的每日報告,以深入了解架構的合規狀態。