คุณสมบัติของ AWS Backup

ภาพรวม

AWS Backup เป็นบริการที่มีการจัดการแบบเต็มรูปแบบที่รวมศูนย์และดำเนินการปกป้องข้อมูลโดยอัตโนมัติทั่วทั้งบริการของ AWS รวมถึงเวิร์กโหลดต่างๆ แบบไฮบริด โดยนำเสนอคุณสมบัติการปกป้องข้อมูลหลักที่สำคัญ ความสามารถในการกู้คืนแรนซัมแวร์ และข้อมูลเชิงลึก รวมถึงการวิเคราะห์การปฏิบัติตามข้อกำหนดสำหรับนโยบายและการดำเนินการปกป้องข้อมูล AWS Backup นำเสนอบริการตามนโยบายที่คุ้มค่าคุ้มราคาพร้อมกับคุณสมบัติในการลดความซับซ้อนของการปกป้องข้อมูลลงในระดับเอกซะไบต์ทั่วทั้งเอสเตท AWS ของคุณ 

การปกป้องข้อมูลของทรัพยากรแอปพลิเคชันบน AWS และบริการแบบไฮบริด

AWS Backup ช่วยปกป้องทรัพยากรของแอปพลิเคชัน รวมถึงพื้นที่จัดเก็บ AWS ฐานข้อมูล และบริการประมวลผล ตลอดจนเวิร์กโหลดแบบไฮบริด เช่น VMware AWS Backup รองรับความสามารถสำหรับบริการที่รองรับทั้งหมดและแอปพลิเคชันของบุคคลที่สามดังต่อไปนี้: การจัดตารางเวลาการสำรองข้อมูลอัตโนมัติและการจัดการการเก็บรักษา, การตรวจสอบการป้องกันข้อมูลแบบรวมศูนย์, การเข้ารหัสข้อมูลสำรองของ AWS ที่ผสานรวมกับ KMS, การจัดการข้ามบัญชีด้วย AWS Organizations, การตรวจสอบการปกป้องข้อมูลและการรายงานการปฏิบัติตามข้อกำหนดด้วยการล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS และการเขียนครั้งเดียวแต่อ่านจำนวนมาก (WORM) ด้วย AWS Backup Vault Lock

AWS Backup ช่วยปกป้องทรัพยากรของแอปพลิเคชัน รวมถึงพื้นที่จัดเก็บ AWS ฐานข้อมูล และบริการประมวลผล ตลอดจนเวิร์กโหลดแบบไฮบริด เช่น VMware AWS Backup รองรับความสามารถสำหรับบริการที่รองรับทั้งหมดและแอปพลิเคชันของบุคคลที่สามดังต่อไปนี้: การจัดตารางเวลาการสำรองข้อมูลอัตโนมัติและการจัดการการเก็บรักษา, การตรวจสอบการป้องกันข้อมูลแบบรวมศูนย์, การเข้ารหัสข้อมูลสำรองของ AWS ที่ผสานรวมกับ KMS, การจัดการข้ามบัญชีด้วย AWS Organizations, การตรวจสอบการปกป้องข้อมูลและการรายงานการปฏิบัติตามข้อกำหนดด้วยการล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS และการเขียนครั้งเดียวแต่อ่านจำนวนมาก (WORM) ด้วย AWS Backup Vault Lock

AWS Backup มีคอนโซลสำรองข้อมูล API สาธารณะ และอินเทอร์เฟซบรรทัดคำสั่งเพื่อจัดการข้อมูลสำรองจากส่วนกลางทั่วทั้งพื้นที่จัดเก็บ AWS การประมวลผล ฐานข้อมูล และบริการแบบไฮบริดที่แอปพลิเคชันของคุณเรียกใช้ ได้แก่ Amazon Simple Storage Service (S3), Amazon Elastic Block Store (EBS), Amazon FSx, Amazon Elastic File System (EFS), AWS Storage Gateway, Amazon Elastic Compute Cloud (EC2), บริการฐานข้อมูลแบบเชิงสัมพันธ์ของ (Amazon Relational Database Service (RDS)), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (พร้อมฟังก์ชันการทำงานร่วมกับ MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA บน Amazon EC2 และกลุ่มแอปพลิเคชันทั้งหมดที่กำหนดโดย AWS CloudFormation รวมถึงแอปพลิเคชันแบบไฮบริด เช่น เวิร์กโหลด VMware ที่ทำงานในองค์กร และใน VMware Cloud บน AWS และ AWS Outposts

คลังนิรภัยของ AWS Backup คือคอนเทนเนอร์เชิงตรรกะที่จัดเก็บและจัดการข้อมูลสำรองแบบเข้ารหัสของคุณ เมื่อสร้างคลังนิรภัยเก็บข้อมูลสำรอง คุณจะต้องระบุคีย์เข้ารหัส AWS Key Management Service (AWS KMS) ที่เข้ารหัสข้อมูลสำรองที่วางไว้ในคลังนิรภัยนี้ด้วย ข้อมูลสำรองที่คัดลอกทั้งหมดจะถูกเข้ารหัสด้วยคีย์ของคลังนิรภัยเป้าหมาย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัส โปรดดูแผนภูมิในการเข้ารหัสสำหรับการสำรองข้อมูลใน AWS

AWS Backup จะเข้ารหัสข้อมูลที่อยู่ในพื้นที่จัดเก็บของคุณและในระหว่างการส่ง โดยมีโซลูชันการเข้ารหัสที่ครอบคลุมซึ่งรักษาความปลอดภัยข้อมูลสำรองของคุณและช่วยให้เป็นไปตามข้อกำหนด ข้อมูลสำรองของคุณจะเข้ารหัสโดยใช้คีย์การเข้ารหัสที่มีการจัดการโดย AWS Key Management Service (KMS) ซึ่งจะเป็นการลดความจำเป็นในการสร้างและบำรุงรักษาโครงสร้างพื้นฐานการจัดการคีย์ลง คีย์ที่ใช้ในการเข้ารหัสข้อมูล AWS Backup ของคุณไม่ขึ้นกับคีย์ที่ใช้ในการเข้ารหัสทรัพยากรที่ข้อมูลสำรองใช้ การมีคีย์การเข้ารหัสแยกต่างหากสำหรับข้อมูลที่ใช้งานจริงและข้อมูลสำรองของคุณเพิ่มเลเยอร์การปกป้องที่สำคัญสำหรับแอปพลิเคชันของคุณ

คุณสามารถสร้างข้อมูลสำรองที่จัดการโดยแผนสำรอง ทำให้คุณสามารถกำหนดข้อกำหนดในการสำรองข้อมูลและใช้นโยบายเหล่านี้กับทรัพยากร AWS ที่คุณต้องการปกป้อง แผนการสำรองข้อมูลช่วยลดความซับซ้อนและปรับขนาดกลยุทธ์การปกป้องข้อมูลของคุณทั่วทั้งแอปพลิเคชันและองค์กรของคุณได้

คุณสามารถใช้แผนสำรองข้อมูลกับทรัพยากร AWS ของคุณได้โดยการแท็ก แท็ก AWS เป็นวิธีที่ยอดเยี่ยมในการจัดระเบียบและจำแนกประเภททรัพยากร AWS ของคุณได้อย่างสอดคล้องกัน

คุณสามารถปรับแต่งกำหนดการสำรองข้อมูลหรือเลือกจากกำหนดการสำรองข้อมูลที่กำหนดไว้ล่วงหน้าได้ตามแนวทางปฏิบัติทั่วไป AWS Backup จะสำรองทรัพยากรแอปพลิเคชันของคุณโดยอัตโนมัติตามนโยบายและกำหนดการที่คุณกำหนดเพื่อหลีกเลี่ยงความขัดแย้งกับการผลิต

คุณสามารถกำหนดนโยบายการเก็บรักษาข้อมูลสำรองที่จะเก็บและข้อมูลสำรองที่หมดอายุได้โดยอัตโนมัติ ซึ่งจะช่วยลดต้นทุนพื้นที่จัดเก็บข้อมูลสำรอง กำหนดค่านโยบายวงจรการใช้งานที่เปลี่ยนการสำรองข้อมูลโดยอัตโนมัติจากที่เก็บข้อมูลแบบ Warm ไปยังที่เก็บข้อมูลแบบ Cold ซึ่งจะช่วยลดค่าใช้จ่ายของพื้นที่จัดเก็บข้อมูลสำรอง โดยการจัดเก็บข้อมูลสำรองไว้ในระดับพื้นที่เก็บข้อมูลแบบ Cold ที่มีต้นทุนต่ำ

คุณสามารถคัดลอกข้อมูลสำรองข้าม AWS Region และบัญชีต่างๆ ได้จากคอนโซลกลางเพื่อให้เป็นไปตามข้อกำหนดและความต้องการในกระบวนการกู้คืนจากความเสียหาย คุณสามารถคัดลอกข้อมูลสำรองด้วยตนเองเป็นสำเนาได้ตามความต้องการหรือโดยอัตโนมัติให้เป็นส่วนหนึ่งของแผนสำรองข้อมูลตามกำหนดเวลาไปยัง Region และบัญชีต่างๆ หลายแห่ง และกู้คืนข้อมูลสำรองเหล่านั้นใน Region หรือบัญชีใหม่

คุณสามารถสร้างนโยบายการปกป้องข้อมูลและใช้ AWS Organizations เพื่อบังคับใช้นโยบายการป้องกันกับทุกบัญชีในองค์กรนั้นได้ วิธีนี้จะมอบการสำรองข้อมูลหลายบัญชีและให้การป้องกันเพิ่มเติมอีกชั้นหากบัญชีต้นทางประสบปัญหาจากการลบโดยไม่ได้ตั้งใจ หรือโดยประสงค์ร้าย การสูญเสีย หรือแรนซัมแวร์

ด้วย AWS Backup ผู้ดำเนินการสำรองข้อมูลจะสามารถสำรองทรัพยากรที่รองรับทั้งหมดบน AWS ได้ โดยไม่ต้องให้ผู้ดำเนินการสำรองข้อมูลเข้าถึงทรัพยากรเหล่านั้นโดยตรง วิธีนี้จะมอบการแยกการควบคุมโดยที่เจ้าของทรัพยากรจะไม่สามารถส่งผลกระทบต่อการเก็บรักษาข้อมูลสำรอง และผู้ดำเนินการสำรองข้อมูลจะไม่สามารถเปลี่ยนรูปแบบหรือแยกข้อมูลออกได้

คุณสามารถกำหนดนโยบายการเข้าถึงตามทรัพยากรบนคลังนิรภัยข้อมูลสำรองได้ ด้วยนโยบายการเข้าถึงตามทรัพยากร คุณจะสามารถควบคุมการเข้าถึงข้อมูลสำรองในคลังนิรภัยข้อมูลสำรองสำหรับผู้ใช้ทั้งหมดได้ แทนที่จะต้องกำหนดสิทธิ์สำหรับผู้ใช้แต่ละราย

คุณสามารถมอบหมายการจัดการนโยบายการสำรองข้อมูลได้ใน AWS Organizations และการตรวจสอบข้ามบัญชีใน AWS Backup วิธีนี้จะทำให้สามารถมอบหมายการจัดการการสำรองข้อมูลไปยังบัญชีการดูแลระบบสำรองข้อมูลโดยเฉพาะได้ ซึ่งทำให้ไม่จำเป็นต้องมีบัญชีสมาชิกในการเข้าถึงบัญชีการจัดการสำหรับการดูแลระบบสำรองข้อมูล ผู้ดูแลระบบการสำรองข้อมูลที่ได้รับมอบหมายสามารถสร้างและจัดการนโยบายการสำรองข้อมูลและตรวจสอบกิจกรรมการสำรองข้อมูลในบัญชีต่างๆ ได้ การมอบหมายการจัดการข้อมูลสำรองทั่วทั้งองค์กรผ่าน AWS Organizations ช่วยให้สามารถจัดการข้อมูลสำรองแบบรวมศูนย์ได้อย่างปลอดภัยได้ตามขนาด

คอนโซล AWS Backup มีแดชบอร์ด Amazon CloudWatch เพื่อดูตัวชี้วัดเกี่ยวกับงานการสำรองข้อมูลที่เสร็จสมบูรณ์หรือล้มเหลว งานคัดลอก และงานกู้คืน คุณสามารถดูสถานะงานตามช่วงเวลา ปรับแต่งตามกำหนดเวลาที่คุณต้องการได้ภายในแดชบอร์ดนี้

AWS Backup ผสานรวมกับ AWS CloudTrail ซึ่งจะมอบมุมมองแบบรวมของบันทึกกิจกรรมการสำรองข้อมูลบันทึก และทำให้กระบวนการตรวจสอบสำหรับทรัพยากรที่ได้รับการป้องกันมีความซับซ้อนน้อยลง

AWS Backup ผสานรวมกับ Amazon Simple Notification Service (Amazon SNS) ซึ่งจะสามารถแจ้งเตือนคุณเกี่ยวกับกิจกรรมการสำรองข้อมูล เช่น เมื่อสำรองข้อมูลสำเร็จหรือมีการเริ่มต้นการกู้คืนได้โดยอัตโนมัติ

สำหรับประสบการณ์ที่มีการจัดการเต็มรูปแบบ คุณสามารถใช้ AWS Backup Audit Manager เพื่อตรวจสอบกิจกรรมการสำรองข้อมูลของคุณได้ทั่วทั้งบัญชีและ Region ต่างๆ ของคุณ

การกู้คืนแรนซัมแวร์หลายบัญชีและหลาย Region

AWS Backup มอบความสามารถในการช่วยปกป้องและกู้คืนข้อมูลสำคัญจากเหตุการณ์แรนซัมแวร์และการบุกรุกบัญชี แรนซัมแวร์หมายถึงโมเดลทางธุรกิจแบบหนึ่งและเทคโนโลยีที่เกี่ยวข้องซึ่งมีความหลากหลายที่ผู้ไม่ประสงค์ดีใช้เพื่อเรียกค่าไถ่จากหน่วยงานต่าง ๆ ผู้กระทำการเหล่านี้จะใช้กลวิธีที่หลากหลายเพื่อเข้าถึงข้อมูลและระบบของเหยื่อโดยไม่ได้รับอนุญาต รวมถึงการใช้ประโยชน์จากช่องโหว่ที่ยังไม่ได้มีการแพตช์รวมถึงข้อมูลประจำตัวที่อ่อนแอหรือถูกขโมย จากนั้นการเข้าถึงข้อมูลและระบบจะถูกจำกัดโดยผู้แอบอ้างเหล่านี้ และจะมีการเรียกค่าไถ่เพื่อให้ส่งคืนสินทรัพย์ทางดิจิทัลเหล่านี้อย่างปลอดภัย มีหลากหลายวิธีที่บุคคลดังกล่าวใช้เพื่อจำกัดหรือลดการเข้าถึงทรัพยากรที่ถูกต้องตามกฎหมาย รวมถึงการเข้ารหัสและการลบข้อมูล การควบคุมการเข้าถึงการแก้ไข และการโจมตีการปฏิเสธบริการบนเครือข่าย 

คุณสามารถสำรองสแต็ก AWS CloudFormation พร้อมกับทรัพยากรได้ เช่น บทบาทใน IAM ของ AWS และกลุ่มมาตรการรักษาความปลอดภัยของ Amazon VPC ซึ่งหมายความว่าคุณสามารถกู้คืนแอปพลิเคชันสแต็กทั้งหมดของคุณได้ง่ายขึ้น และจัดการการปฏิบัติตามนโยบายการปกป้องข้อมูลของคุณทั่วทั้งสแต็กแอปพลิเคชันทั้งหมด

คุณสามารถนำเข้าข้อกำหนดของแอปพลิเคชันและสร้างแผนการป้องกันทั่วทั้งแอปพลิเคชันที่จัดการตามกำหนดเวลาที่เกิดขึ้นประจำรวมถึงสำเนาข้ามบัญชีหรือข้ามภูมิภาคสำหรับการป้องกันเพิ่มเติมจากเหตุการณ์ของแรนซัมแวร์

คุณสามารถจัดเก็บสำเนาข้อมูลสำรองที่เปลี่ยนแปลงได้จากในคลังนิรภัยที่ประมวลผลแบบออฟไลน์ ซึ่งเป็นคลังเก็บข้อมูลของ AWS Backup ประเภทหนึ่งที่ล็อกเป็นค่าเริ่มต้นและแยกออกด้วยการเข้ารหัสโดยใช้คีย์ของ AWS คลังนิรภัยที่ประมวลผลแบบออฟไลน์ช่วยให้แชร์สิทธิ์เข้าถึงได้อย่างปลอดภัยผ่าน AWS Resource Access Manager (RAM) ทั่วทั้งบัญชีและองค์กร รองรับการกู้คืนโดยตรงเพื่อช่วยลดเวลาในการกู้คืนจากเหตุการณ์การสูญเสียข้อมูล

คุณสามารถทําการประเมินประสิทธิภาพของการกู้คืนได้โดยอัตโนมัติเป็นระยะ รวมทั้งตรวจสอบระยะเวลาการกู้คืนงานด้วยคุณสมบัติการทดสอบการกู้คืน คุณสามารถทําการฝึกซ้อมทดสอบความพร้อมในการกู้คืนเพื่อเตรียมพร้อมสําหรับการหยุดทํางานของข้อมูลที่อาจเกิดขึ้น หรือเหตุการณ์การสูญหายของข้อมูล ซึ่งเป็นไปตามการปฏิบัติตามข้อกําหนดหรือข้อกําหนดด้านกฎระเบียบ

การล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS ช่วยให้คุณสามารถปกป้องข้อมูลสำรองจากการลบหรือการเปลี่ยนแปลง (ทำให้ไม่สามารถเปลี่ยนแปลงแก้ไขข้อมูลได้) รอบการใช้งานโดยการเปลี่ยนแปลงโดยไม่ได้ตั้งใจหรือที่เป็นอันตรายได้ คุณสามารถใช้ AWS CLI, AWS Backup API หรือ AWS Backup SDK เพื่อใช้การล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS กับคลังนิรภัยที่มีอยู่หรือคลังใหม่ได้ การล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS ทำงานควบคู่ไปกับนโยบายการสำรองข้อมูล เช่น ระยะเวลาเก็บรักษา การเปลี่ยนพื้นที่เก็บข้อมูลแบบ Cold ข้ามบัญชี และการคัดลอกข้าม Region วิธีนี้จะมอบการป้องกันเพิ่มเติมอีกหนึ่งชั้น และช่วยให้กระบวนการดังกล่าวเป็นไปตามข้อกำหนดของคุณ การล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS ได้รับการประเมินแล้วโดย Cohasset Associates เพื่อใช้งานในสภาพแวดล้อมภายใต้ข้อบังคับ SEC 17a-4, CFTC และ FINRA

NIST ให้นิยาม Zero Trust ว่าเป็นชุดการควบคุมความปลอดภัยทางไซเบอร์ที่มีการพัฒนา ซึ่งเปลี่ยนจากขอบเขตคงที่ตามเครือข่ายเป็นการป้องกันเชิงลึกในเชิงรุกที่เน้นไปที่ผู้ใช้ ทรัพย์สิน และทรัพยากร ใช้ผู้ดูแลระบบที่ได้รับมอบสิทธิ์ของ AWS Backup กับ AWS Organizations, AWS Backup Audit Manager และการล็อกคลังนิรภัยเก็บข้อมูลสำรองของ AWS เพื่อช่วยสร้างการป้องกันในเชิงลึกในฐานะที่เป็นส่วนหนึ่งของสถาปัตยกรรม Zero Trust

การปกป้องข้อมูลนั้นสอดคล้องกับการวิเคราะห์และข้อมูลเชิงลึกแบบเรียลไทม์

AWS Backup Audit Manager คือความสามารถในการตรวจสอบและสร้างรายงานการตรวจสอบกิจกรรมการปกป้องข้อมูลของคุณ เช่น ความถี่ในการสำรองข้อมูลหรือระยะเวลาการเก็บข้อมูลสำรอง AWS Backup Audit Manager คือประสบการณ์ที่ได้รับการจัดการอย่างเต็มรูปแบบ ซึ่งสามารถสร้างรายงานแบบรายวันพร้อมกับข้อมูลเชิงลึกเกี่ยวกับสถานะการปฏิบัติตามข้อกำหนดของเฟรมเวิร์กการปกป้องข้อมูลของคุณ

คุณสามารถตรวจสอบและรายงานการปฏิบัติตามนโยบายการปกป้องข้อมูลของคุณได้ เพื่อช่วยให้คุณบรรลุความต้องการด้านธุรกิจและข้อบังคับของคุณโดยใช้ AWS Backup Audit Manager บริการนี้จะมอบการควบคุมการปฏิบัติตามข้อกำหนดมาพร้อมในตัว ซึ่งคุณจะสามารถปรับแต่งเพื่อกำหนดนโยบายการปกป้องข้อมูลของคุณได้ (เช่น ความถี่ในการสำรองข้อมูลหรือระยะเวลาการเก็บรักษา) ได้รับการออกแบบมาเพื่อตรวจจับการละเมิดต่อสิ่งที่คุณกำหนดไว้ว่าเป็นกฎควบคุมระบบข้อมูลโดยอัตโนมัติ และจะมีการแจ้งให้คุณดำเนินการแก้ไข AWS Backup Audit Manager ช่วยให้คุณสามารถประเมินกิจกรรมการสำรองข้อมูลอย่างต่อเนื่อง และสร้างรายงานการตรวจสอบที่สามารถช่วยให้คุณแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้

AWS Backup รองรับการเก็บข้อมูลเพื่อการดำเนินคดี ซึ่งจะใช้เมื่อองค์กรต้องเก็บสงวนไว้ซึ่งข้อมูลบางอย่าง เพื่อตรวจสอบ หรือเพื่อเป็นหลักฐานในการดำเนินคดีทางกฎหมายรวมถึงการค้นหาข้อมูลอิเล็กทรอนิกส์ (eDiscovery) คุณสามารถใช้การเก็บข้อมูลเพื่อการดำเนินคดีเพื่อป้องกันไม่ให้ข้อมูลสำรองถูกลบออกไป แม้ว่าระยะเวลาการเก็บรักษาข้อมูลจะสิ้นสุดลงแล้ว และจะยังคงอยู่จนกว่าจะมีการเผยแพร่อย่างชัดแจ้ง

คุณสามารถใช้เทมเพลตรายงานการปฏิบัติตามข้อกำหนดเพื่อสร้างรายงานแบบรายวันเกี่ยวกับความสอดคล้องของกิจกรรมการสำรองข้อมูลและทรัพยากรของคุณเทียบกับการควบคุมที่คุณกำหนดไว้ในเฟรมเวิร์กตั้งแต่หนึ่งเฟรมเวิร์กขึ้นไปได้ เฟรมเวิร์กคือชุดของการควบคุมที่จะช่วยให้คุณสามารถประเมินการปฏิบัติตามเกณฑ์มาตรฐานหรือข้อบังคับของคุณได้

คุณสามารถใช้การควบคุมที่สร้างไว้ล่วงหน้าหรือที่สามารถปรับแต่งได้เพื่อกำหนดนโยบายของคุณ และประเมินว่าแนวทางปฏิบัติในการสำรองข้อมูลของคุณนั้นมีความสอดคล้องกับนโยบายของคุณหรือไม่ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการควบคุม โปรดไปที่คู่มือนักพัฒนาสำหรับ AWS Backup นอกจากนี้ คุณยังสามารถตั้งค่ารายงานแบบรายวันโดยอัตโนมัติ เพื่อรับข้อมูลเชิงลึกเกี่ยวกับสถานะการปฏิบัติตามข้อกำหนดของเฟรมเวิร์กของคุณได้อีกด้วย