AWS Backup 功能
概览
AWS Backup 是一项完全托管式服务,能够跨 AWS 服务和混合工作负载集中、自动进行数据保护。它提供了核心数据保护功能、勒索软件恢复功能,以及针对数据保护策略和操作的合规性洞察和分析。AWS Backup 提供了一种经济高效的基于策略的服务,其功能可简化 AWS 资产中 EB 级的数据保护。
AWS Backup 是一项完全托管式服务,能够跨 AWS 服务和混合工作负载集中、自动进行数据保护。它提供了核心数据保护功能、勒索软件恢复功能,以及针对数据保护策略和操作的合规性洞察和分析。AWS Backup 提供了一种经济高效的基于策略的服务,其功能可简化 AWS 资产中 EB 级的数据保护。
AWS Backup 有助于保护应用程序资源,包括 AWS 存储、数据库和计算服务,以及 VMware 等混合工作负载。AWS Backup 为其所有支持的服务和第三方应用程序支持以下功能:自动备份计划和保留管理、集中数据保护监控、AWS KMS 集成备份加密、AWS Organizations 的跨账户管理、AWS Backup Audit Manager 的数据保护审计和合规报告,以及 AWS 备份保管库锁的一次写入、多次读取(WORM)。
AWS Backup 有助于保护应用程序资源,包括 AWS 存储、数据库和计算服务,以及 VMware 等混合工作负载。AWS Backup 为其所有支持的服务和第三方应用程序支持以下功能:自动备份计划和保留管理、集中数据保护监控、AWS KMS 集成备份加密、AWS Organizations 的跨账户管理、AWS Backup Audit Manager 的数据保护审计和合规报告,以及 AWS 备份保管库锁的一次写入、多次读取(WORM)。
AWS Backup 提供了一个备份控制台、公共 API 和一个命令行界面,可以集中式管理跨 AWS 存储、计算、数据库和混合服务(应用程序在其上运行)的备份,这些服务包括 Amazon Simple Storage Service (S3)、Amazon Elastic Block Store (EBS)、Amazon FSx、Amazon Elastic File System (EFS)、AWS Storage Gateway、Amazon Elastic Compute Cloud (EC2)、Amazon Relational Database Service (RDS)、Amazon Aurora、Amazon DynamoDB、Amazon Neptune、Amazon DocumentDB(与 MongoDB 兼容)、Amazon Timestream、Amazon Redshift、SAP HANA on Amazon EC2 以及 AWS CloudFormation 定义的整个应用程序堆栈,以及混合应用程序,如在本地部署或 VMware Cloud on AWS 和 AWS Outposts 中运行的 VMware 工作负载。
AWS Backup 保管库是一个逻辑容器,用于存储和管理加密备份。创建备份保管库时,必须指定 AWS Key Management Service(AWS KMS)加密密钥,用于加密放置在此保管库中的备份。所有复制的备份都会使用目标保管库的密钥进行加密。有关加密的更多信息,请参阅 AWS 中备份加密中的图表。
AWS Backup 会对静态和传输中的备份数据进行加密,从而提供全面的加密解决方案,以保护您的备份数据,并帮助满足合规性要求。您的备份数据使用由 AWS Key Management Service(KMS)管理的加密密钥进行加密,而减少了构建和维护密钥管理基础设施的需要。用于加密 AWS Backup 数据的密钥与用于加密备份所基于的资源的密钥无关。生产和备份数据具备单独的加密密钥,这为应用程序提供了重要的保护层。
您可以创建由备份计划管理的备份,使您能够定义备份要求,并将这些策略应用于要保护的 AWS 资源。备份计划可简化和扩展您的应用程序和组织中的数据保护战略。
您可以通过标记 AWS 资源,将对 AWS 资源应用备份计划。AWS 标记是对 AWS 资源进行统一组织和分类的好方法。
您可以自定义备份计划,也可以根据常见的最佳实践,从预定义的备份计划中进行选择。AWS Backup 可根据您定义的策略和计划自动备份应用程序资源,以避免与生产冲突。
您可以设置自动保留和过期备份的备份保留策略,从而将备份存储成本降至最低。配置的生命周期策略可自动将备份从热存储转换为冷存储,通过将备份存储在低成本的冷存储层中,帮助降低备份存储成本。
您可以从中央控制台跨不同 AWS 区域和账户复制备份,以满足合规性和灾难恢复需求。您可以手动或按需复制备份,也可以自动将备份作为计划备份计划的一部分复制到多个不同的区域和账户,并在新的区域或账户中恢复这些备份。
您可以创建数据保护策略,并使用 AWS Organizations 在该组织的所有账户中强制实施保护策略。这提供了多账户备份,如果源账户因意外或恶意删除、灾难或勒索软件而中断,可提供额外的保护。
使用 AWS Backup,备份操作员可以备份 AWS 上所有受支持的资源,而无需备份操作员直接访问这些资源。这提供了一种控制分离,使资源所有者不能影响备份的保留,备份操作员也不能改变或泄露数据。
您可以在备份文件库中设置基于资源的访问策略。使用基于资源的访问策略,您可以控制所有用户对备份文件库中备份的访问,而不必为每个用户定义权限。
您可以委派 AWS Organizations 中的备份策略管理和 AWS Backup 中的跨账户监控。这允许将备份管理委派给专用的备份管理账户,从而不需要成员账户访问备份管理的管理账户。委派的备份管理员可以跨账户创建和管理备份策略以及监控备份活动。通过 AWS Organizations 进行的组织范围内的备份管理委派,实现了安全地大规模集中进行备份管理。
AWS Backup 控制台包括一个 Amazon CloudWatch 仪表板,用于查看已完成或失败的备份、复制和恢复作业的指标。在此仪表板中,您可以按时间段查看作业状态,并根据需要的计划进行自定义。
AWS Backup 与 AWS CloudTrail 集成,后者提供了备份活动日志的统一视图,并简化了受保护资源的审计过程。
AWS Backup 与 Amazon Simple Notification Service(Amazon SNS)集成,可以自动向您发出有关备份活动的提示,例如备份成功时或启动还原时。
为了获得全面托管体验,您可以使用 AWS Backup Audit Manager 来监控您的账户和区域的备份活动。
AWS Backup 提供的功能有助于从勒索软件事件和账户泄露中保护和恢复关键数据。勒索软件是指不法分子用来从实体勒索金钱的商业模式及各种相关技术。这些不法分子会使用一系列策略,未经授权访问受害者的数据和系统,包括利用未修补的漏洞和薄弱或被盗的凭证。然后,这些不法分子会限制对数据和系统的访问,并对安全返还这些数字资产提出赎金要求。此类不法分子会使用多种方法来限制或减少对资源的合法访问,包括加密和删除、修改访问控制和基于网络的拒绝服务攻击。
您可以备份 AWS CloudFormation 堆栈及其资源,如 AWS IAM 角色和 Amazon VPC 安全组。这意味着您可以更轻松地恢复整个应用程序堆栈,并跨整个应用程序堆栈管理数据保护策略的合规性。
您可以导入应用程序定义,并创建按定期计划管理的应用程序范围的保护计划,以及跨账户或跨区域副本,以提供针对勒索软件事件的额外保护。
您可以将不可变的备份副本存储在逻辑上受物理隔离的保管库中,这是一种 AWS Backup 保管库,保管库在默认情况下处于锁定状态,并使用 AWS 拥有的密钥进行加密隔离。逻辑上受物理隔离的保管库允许通过 AWS Resource Access Manager (AWS RAM) 跨账户和组织安全共享访问权限,支持直接恢复,有助于缩短从数据丢失事件恢复所需的时间。
您可以使用恢复测试功能对还原可行性进行自动和定期评估,并监测恢复作业持续时间。您可以进行恢复准备测试演练,为可能的数据停机或数据丢失事件做好准备,以满足合规性或监管要求。
通过 AWS 备份保管库锁,您可以防止您的备份被删除或其生命周期受到意外或恶意的更改(使数据不可变)。您可以使用 AWS CLI、AWS Backup API 或 AWS Backup 软件开发工具包对现有文件库或新文件库应用 AWS 备份保管库锁保护。AWS 备份保管库锁适用于备份策略,如保留期、冷存储过渡、跨账户和跨区域复制。这提供了额外的保护层,有助于满足您的合规性要求。AWS 备份保管库锁已经过 Cohasset Associates 评估,适用于符合 SEC 17a-4、CFTC 和 FINRA 法规的环境。
NIST 将“零信任”定义为一套不断发展的网络安全控制,从静态、基于网络的边界向以用户、资产和资源为重点的深度主动防御转变。使用 AWS Backup 授权管理员与 AWS Organizations、AWS Backup Audit Manager 和 AWS 备份保管库锁一起帮助构建深度防御,作为零信任架构的一部分。
AWS Backup Audit Manager 功能可监控和生成数据保护活动(如备份频率或备份保留期)的审计报告。AWS Backup Audit Manager 提供了全面托管的体验,可以生成每日报告,提供数据保护框架合规状态的洞察。
您可以使用 AWS Backup Audit Manager 审核和报告您的数据保护策略的合规性,从而帮助您满足业务和监管需求。它提供内置合规性控件,您可以自定义这些控件以定义您的数据保护策略(例如,备份频率或保留期)。它旨在自动检测违反您定义的数据保护防护机制的行为,并提示您采取补救措施。借助 AWS Backup Audit Manager,您可以持续评估备份活动并生成可以帮助您证明符合法规要求的审计报告。
AWS Backup 支持法律封存,可以用于组织必须保留某些数据以进行保存、审计或作为法律诉讼和电子发现中的证据的情况。您可以使用法律封存来防止删除备份,即使备份的保留期已过,并且在明确发布之前保持不变。
您可以使用合规性报告模板,根据您在一个或多个框架中定义的控件,生成有关备份活动和资源的合规性的每日报告。框架是一组控件,可帮助您评估您的合规状况。
您可以使用预先构建或可自定义的控件来定义策略,并评估备份做法是否符合策略。有关控件的更多信息,请访问 AWS Backup 开发人员指南。您还可以设置自动每日报告,以获得框架合规状态的洞察。