- Armazenamento›
- AWS Backup›
- Atributos do AWS Backup
Recursos do AWS Backup
Visão geral
O AWS Backup é um serviço totalmente gerenciado que centraliza e automatiza a proteção de dados em serviços da AWS e workloads híbridas. Ele fornece recursos básicos de proteção de dados, recursos de recuperação de ransomware e insights e análises de conformidade para políticas e operações de proteção de dados. O AWS Backup oferece um serviço econômico baseado em políticas com recursos que simplificam a proteção de dados em escala de exabytes em toda a sua propriedade da AWS.
Proteção de dados de recursos de aplicações na AWS e em serviços híbridos
Visão geral de proteção de dados de recursos de aplicações na AWS e em serviços híbridos
O AWS Backup ajuda a proteger os recursos de aplicações, incluindo armazenamento, banco de dados e serviços de computação da AWS, bem como workloads híbridas como VMware. O AWS Backup oferece suporte aos seguintes recursos para todos os seus serviços compatíveis e aplicações de terceiros: agendamento automatizado de backup e gerenciamento de retenção, monitoramento centralizado de proteção de dados, criptografia de backup integrada ao AWS KMS, gerenciamento entre contas com o AWS Organizations, auditoria de proteção de dados e relatórios de conformidade com o AWS Backup Audit Manager e Write-Once, Read-Many (WORM – Gravação única, várias leituras) com a Trava de Segurança do AWS Backup.
Visão geral
O AWS Backup ajuda a proteger os recursos de aplicações, incluindo armazenamento, banco de dados e serviços de computação da AWS, bem como workloads híbridas como VMware. O AWS Backup oferece suporte aos seguintes recursos para todos os seus serviços compatíveis e aplicações de terceiros: agendamento automatizado de backup e gerenciamento de retenção, monitoramento centralizado de proteção de dados, criptografia de backup integrada ao AWS KMS, gerenciamento entre contas com o AWS Organizations, auditoria de proteção de dados e relatórios de conformidade com o AWS Backup Audit Manager e Write-Once, Read-Many (WORM – Gravação única, várias leituras) com a Trava de Segurança do AWS Backup.
Proteção de dados centralizada e baseada em políticas
O AWS Backup fornece um console de backup, APIs públicas e uma interface de linha de comando para gerenciar de forma centralizada os backups no armazenamento, na computação, no banco de dados e nos serviços híbridos da AWS em que suas aplicações são executadas, incluindo Amazon Simple Storage Service (S3), Amazon Elastic Block Store (EBS), Amazon FSx, Amazon Elastic File System (EFS), AWS Storage Gateway, Amazon Elastic Compute Cloud (EC2), Amazon Relational Database Service (RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (compatível com MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA no Amazon EC2 e toda a pilha de aplicações definida pelo AWS CloudFormation, bem como aplicações híbridas como workloads do VMware em execução on-premises e no VMware CloudTM na AWS e AWS Outposts.
O cofre do AWS Backup é um contêiner lógico que armazena e gerencia seus backups criptografados. Ao criar um cofre de backup, você deve especificar a chave de criptografia do AWS Key Management Service (AWS KMS) que criptografa os backups colocados nesse cofre. Todos os backups copiados são criptografados com a chave do cofre de destino. Para obter mais informações sobre criptografia, consulte o gráfico em Encryption for backups in AWS Backup (Criptografia para backups no AWS Backup).
O AWS Backup criptografa dados de backup em trânsito e em repouso, fornecendo uma solução de criptografia abrangente que protege os dados de backup e ajuda a cumprir requisitos de conformidade. Seus dados de backup são criptografados usando chaves de criptografia gerenciadas pelo AWS Key Management Service (KMS), reduzindo a necessidade de criar e manter uma infraestrutura de gerenciamento de chaves. As chaves usadas para criptografar os dados do AWS Backup são independentes das chaves usadas para criptografar os recursos abrangidos pelos backups. As chaves de criptografia separadas para dados de produção e backup fornecem uma camada importante de proteção para os aplicativos.
Você pode criar backups gerenciados por planos de backup, permitindo definir seus requisitos de backup e aplicar essas políticas aos recursos da AWS que deseja proteger. Os planos de backup simplificam e escalam sua estratégia de proteção de dados em suas aplicações e organização.
Você pode aplicar planos de backup aos seus recursos da AWS marcando-os com tags. As tags da AWS são uma maneira excelente de organizar e classificar recursos da AWS de maneira consistente.
É possível personalizar programações de backup ou escolher entre as predefinidas com base nas práticas recomendadas comuns. O AWS Backup faz backup automaticamente dos recursos de sua aplicação de acordo com as políticas e programações que você define para evitar conflitos com a produção.
Você pode definir políticas que façam a retenção e a expiração de backups automaticamente, minimizando os custos de armazenamento de backup. Configure políticas de ciclo de vida que fazem a transição automática dos backups do armazenamento morno para o armazenamento frio, que é uma camada de baixo custo que ajuda a reduzir os custos com armazenamento.
Os backups podem ser copiados em diferentes regiões e contas da AWS usando um console central para atender às necessidades de conformidade e recuperação de desastres. Você pode copiar backups manualmente, como cópia sob demanda ou automaticamente como parte de um plano de backup programado para várias regiões e contas diferentes, como também recuperar esses backups em uma nova região ou conta.
Você pode criar políticas de proteção de dados e usar o AWS Organizations para aplicá-las em todas as contas dessa organização. Isso fornece backups de várias contas e fornece uma camada adicional de proteção caso a conta de origem sofra interrupção devido a exclusão acidental ou maliciosa, desastres ou ransomware.
Controle de acesso baseado em função
Com o AWS Backup, um operador de backup pode fazer backup de todos os recursos com suporte na AWS sem ter acesso direto a esses recursos. Assim ocorre uma separação do controle, em que os proprietários dos recursos não podem afetar a retenção dos backups e os operadores de backup não podem modificar ou exfiltrar os dados.
Você pode definir políticas de acesso baseadas em recursos em cofres de backup. Com políticas de acesso baseadas em recursos, você pode controlar o acesso a backups em um cofre de backup para todos os usuários, em vez de precisar definir permissões para cada usuário.
Você pode delegar o gerenciamento de políticas de backup no AWS Organizations e o monitoramento entre contas no AWS Backup. Isso permite delegar o gerenciamento de backup para uma conta de administração de backup dedicadas, removendo a necessidade de contas de membro para acessar contas de gerenciamento para administração de backup. Os administradores de backup delegados podem criar e gerenciar políticas de backup e monitorar a atividade de backup nas contas. A delegação de administração de backup em toda a organização por meio do AWS Organizations permite o gerenciamento de backup centralizado e seguro em escala.
Monitoramento da atividade de backups
O console do AWS Backup inclui um painel do Amazon CloudWatch para ver as métricas de trabalhos de backup, cópia e restauração concluídos ou com falha. Nesse painel, você pode visualizar o status do trabalho por período, personalizado de acordo com a programação desejada.
O AWS Backup integra-se ao AWS CloudTrail, que fornece uma visão consolidada dos logs de atividades de backup e simplifica o processo de auditoria para recursos protegidos.
O AWS Backup integra-se ao Amazon Simple Notification Service (Amazon SNS), que pode alertar você automaticamente sobre a atividade de backup, como quando um backup é bem-sucedido ou uma restauração é iniciada.
Para uma experiência totalmente gerenciada, você pode usar o AWS Backup Audit Manager para monitorar sua atividade de backup em suas contas e regiões.
Recuperação de ransomware em várias contas e várias regiões
Visão geral
O AWS Backup fornece recursos que ajudam a proteger e recuperar dados críticos de eventos de ransomware e comprometimento de contas. Ransomware refere-se a um modelo de negócios e uma ampla gama de tecnologias associadas que atores proibidos usam para extorquir dinheiro de entidades. Esses atores usam uma variedade de táticas para obter acesso não autorizado aos dados e sistemas de suas vítimas, incluindo a exploração de vulnerabilidades não corrigidas e credenciais fracas ou roubadas. O acesso a dados e sistemas é então restringido por esses atores, e um pedido de resgate é feito para o retorno seguro desses ativos digitais. Existem vários métodos que esses atores usam para restringir ou reduzir o acesso legítimo a recursos, incluindo criptografia e exclusão, controles de acesso modificados e ataques de negação de serviço baseados em rede.
Proteção e recuperação da pilha de aplicações
Você pode fazer backup de sua pilha do AWS CloudFormation junto com seus recursos, como perfis do AWS IAM e grupos de segurança da Amazon VPC. Isso significa que você pode recuperar mais facilmente toda a sua pilha de aplicações e gerenciar a conformidade de suas políticas de proteção de dados em toda a pilha de aplicações.
É possível importar definições de aplicações e criar planos de proteção para toda a aplicação gerenciados em uma programação recorrente e com cópias entre contas ou entre regiões para proteção adicional contra eventos de ransomware.
É possível armazenar cópias de backup imutáveis em um cofre logicamente isolado, que é um tipo de cofre do AWS Backup, bloqueado por padrão e isolado com criptografia usando chaves de propriedade da AWS. O cofre logicamente isolado possibilita o compartilhamento seguro de acesso por meio do AWS Resource Access Manager (RAM), entre contas e organizações, oferecendo suporte à restauração direta que ajuda a reduzir o tempo de recuperação de um evento de perda de dados.
Você pode realizar uma avaliação automática e periódica da viabilidade da restauração, bem como monitorar os tempos de duração do trabalho de restauração com o recurso de teste de restauração. Também é possível realizar exercícios de teste de prontidão de recuperação para se preparar para possíveis eventos de inatividade ou perda de dados enquanto atende aos requisitos regulamentares ou de conformidade.
Imutabilidade de dados (SEC-17a, WORM) e cofres
A Trava de Segurança do AWS Backup permite que você proteja seus backups contra exclusão ou alterações em seu ciclo de vida (tornando os dados imutáveis) por alterações inadvertidas ou mal-intencionadas. Você pode usar a AWS CLI, a API do AWS Backup ou o AWS Backup SDK para aplicar a proteção da Trava de Segurança do AWS Backup a um cofre existente ou a um novo. A Trava de Segurança do AWS Backup funciona com políticas de backup, como períodos de retenção, transição para armazenamento frio e cópia entre contas e regiões. Isso fornece uma camada adicional de proteção e ajuda a atender aos seus requisitos de conformidade. A Trava de Segurança do AWS Backup foi avaliada pela Cohasset Associates para uso em ambientes sujeitos aos regulamentos SEC 17a-4, CFTC e FINRA.
O NIST define a Confiança zero como um conjunto em evolução de controles de segurança cibernética que muda de perímetros estáticos baseados em rede para defesa ativa em profundidade focada em usuários, ativos e recursos. Use o administrador delegado do AWS Backup com AWS Organizations, AWS Backup Audit Manager e Trava de Segurança do AWS Backup para ajudar a criar sua defesa em profundidade como parte de uma arquitetura de Confiança zero.
Conformidade de proteção de dados com análises e insights em tempo real
Visão geral
O AWS Backup Audit Manager é um recurso que monitora e gera relatórios de auditoria de sua atividade de proteção de dados, como frequência de backup ou período de retenção de backup. O AWS Backup Audit Manager é uma experiência totalmente gerenciada que pode gerar relatórios diários com informações sobre o status de conformidade de suas estruturas de proteção de dados.
Auditorias de backup para postura de conformidade
Você pode auditar e relatar a conformidade de suas políticas de proteção de dados para ajudar a atender às suas necessidades comerciais e regulatórias com o AWS Backup Audit Manager. Ele fornece controles de conformidade integrados que você pode personalizar para definir suas políticas de proteção de dados (como frequência de backup ou período de retenção). Ele foi projetado para detectar automaticamente violações contra o que você definiu como suas barreiras de proteção de dados e solicitará que você tome ações corretivas. Com o AWS Backup Audit Manager, você pode avaliar continuamente a atividade de backup e gerar relatórios de auditoria que podem ajudá-lo a comprovar a compatibilidade com os requisitos regulamentares.
Retenção em conformidade para retenção legal e e-discovery
O AWS Backup oferece suporte à retenção legal, que é usada quando uma organização deve reter determinados dados para preservação, auditoria ou como evidência em processos legais e e-Discovery. Você pode usar retenções legais para evitar que os backups sejam excluídos mesmo que o período de retenção tenha terminado e permaneçam até que sejam explicitamente liberados.
Relatórios para conformidade e governança
Você pode usar modelos de relatório de conformidade para gerar relatórios diários sobre a conformidade de sua atividade e recursos de backup em relação aos controles definidos em uma ou mais estruturas. Uma estrutura é uma coleção de controles que ajudam você a avaliar sua postura de conformidade.
Você pode usar controles predefinidos ou personalizáveis para definir suas políticas e avaliar se suas práticas de backup estão de acordo com suas políticas. Para obter mais informações sobre controles, acesse o Guia do desenvolvedor do AWS Backup. Você também pode configurar relatórios diários automáticos para obter informações sobre o status de conformidade de suas estruturas.