Ở phần 1 OSAM đã giới thiệu cho bạn đọc 5 phương pháp hay nhất cho securing backups trên AWS. Chúng ta sẽ tiếp tục cùng nhau tìm hiểu về 5 phương pháp tiếp theo trong bài viết sau đây.
# 6 – Bảo vệ các bản sao lưu bằng cách sử dụng bộ nhớ không thay đổi
Immutable storage cho phép các tổ chức ghi dữ liệu ở trạng thái Ghi một lần Đọc nhiều (Write Once Read Many – WORM). Khi ở trạng thái WORM, dữ liệu có thể được ghi một lần, đọc và sử dụng thường xuyên nếu cần sau khi nó đã được cam kết hoặc ghi vào phương tiện lưu trữ. Lưu trữ bất biến đảm bảo tính toàn vẹn của dữ liệu được duy trì và cung cấp khả năng bảo vệ chống lại việc xóa, ghi đè, truy cập vô tình và trái phép, xâm nhập ransomware, v.v. Immutable storage cung cấp một cơ chế hiệu quả để giải quyết các sự kiện bảo mật tiềm ẩn có ảnh hưởng đến hoạt động kinh doanh của bạn.
Immutable storage có thể được sử dụng để quản lý tốt hơn khi kết hợp với các hạn chế mạnh mẽ của SCP hoặc có thể được sử dụng trong chế độ WORM tuân thủ khi văn bản của luật (chẳng hạn như lưu giữ hợp pháp) yêu cầu quyền truy cập vào immutable data.
Bạn có thể duy trì tính khả dụng và tính toàn vẹn của dữ liệu với AWS Backup Vault Lock để bảo vệ các bản sao lưu của mình sao cho các thực thể trái phép không thể xóa, thay đổi hoặc làm hỏng dữ liệu khách hàng hoặc doanh nghiệp của bạn trong khoảng thời gian lưu giữ bắt buộc. AWS Backup Vault Lock giúp bạn đáp ứng các chính sách bảo vệ dữ liệu của tổ chức bằng cách ngăn chặn việc xóa bởi những người dùng có đặc quyền (bao gồm cả người dùng gốc của tài khoản AWS), các thay đổi đối với cài đặt vòng đời sao lưu của bạn và các bản cập nhật làm thay đổi khoảng thời gian lưu giữ đã xác định của bạn.
AWS Backup Vault Lock đảm bảo tính bất biến và thêm một lớp bảo vệ bổ sung để bảo vệ các bản sao lưu (recovery points) trong Backup Vault của bạn, đặc biệt là trong các ngành được quản lý cao với nhu cầu về tính toàn vẹn nghiêm ngặt đối với các bản sao lưu và lưu trữ. AWS Backup Vault Lock đảm bảo dữ liệu của bạn được bảo toàn cùng với bản sao lưu để khôi phục trong trường hợp có những lỗi không mong muốn hoặc độc hại.
# 7 – Thực hiện giám sát và cảnh báo sao lưu
Các công việc sao lưu có thể không thành công. Một công việc không thành công, chẳng hạn như tác vụ sao lưu, khôi phục hoặc sao chép, có thể ảnh hưởng đến các bước tiếp theo trong quy trình. Khi công việc sao lưu ban đầu không thành công, có khả năng cao là các tác vụ tiếp theo khác cũng sẽ thất bại. Trong một tình huống như vậy, bạn có thể hiểu rõ nhất diễn biến của các sự kiện thông qua giám sát và thông báo.
Việc bật và định cấu hình thông báo để tạo email nhằm giám sát các công việc AWS Backup giúp bạn nhận thức được các hoạt động sao lưu của mình, đảm bảo bạn đáp ứng các thỏa thuận cấp dịch vụ quan trọng (service-level agreements – SLA), tăng cường khả năng giám sát thông thường của doanh nghiệp và giúp bạn đáp ứng các nghĩa vụ tuân thủ. Bạn có thể triển khai giám sát dự phòng cho khối lượng công việc của mình bằng cách tích hợp AWS Backup với các dịch vụ AWS và hệ thống bán vé khác để thực hiện quy trình điều tra và báo cáo tự động.
Ví dụ: sử dụng Amazon CloudWatch để theo dõi số liệu, tạo nhắc nhở và xem trang dashboards, Amazon EventBridge để theo dõi các quá trình và sự kiện AWS Backup, AWS CloudTrail để theo dõi các lệnh gọi AWS Backup API với thông tin chi tiết về thời gian, IP nguồn, người dùng và việc tạo tài khoản các cuộc gọi đó và Dịch vụ Thông báo Đơn giản của Amazon (Amazon SNS) để đăng ký các chủ đề liên quan đến AWS Backup, chẳng hạn như các sự kiện sao lưu, khôi phục và sao chép. Giám sát và cảnh báo có thể cung cấp nhận thức về tổ chức cho các công việc sao lưu của bạn, giúp bạn ứng phó với các lỗi sao lưu.
Bạn có thể sử dụng Trình quản lý kiểm tra dự phòng của AWS (AWS Backup Audit Manager) để tự động tạo bằng chứng về các báo cáo kiểm tra dự phòng hàng ngày cho mỗi tài khoản và Region. Bạn cũng có thể mở rộng quy mô giám sát sao lưu của mình trên nhiều tài khoản bằng cách sử dụng một tập hợp các mẫu và trang tổng quan tự động hóa (được gọi là giải pháp trình quan sát sao lưu) để có được báo cáo Dự phòng AWS nhiều khu vực (multi-Region) trên nhiều tài khoản hàng ngày.
# 8 – Kiểm tra cấu hình sao lưu
Các tổ chức nên đánh giá việc tuân thủ các chính sách AWS Backup đối với các biện pháp kiểm soát đã xác định, chẳng hạn như tần suất sao lưu đã xác định. Bạn nên theo dõi liên tục và tự động hoạt động sao lưu của mình và tạo báo cáo tự động để tìm và điều tra các hoạt động sao lưu hoặc tài nguyên không tuân thủ các yêu cầu kinh doanh của bạn.
AWS Backup Audit Manager cung cấp các biện pháp kiểm soát tuân thủ được tích hợp sẵn, có thể tùy chỉnh, phù hợp với các yêu cầu quy định và tuân thủ doanh nghiệp của bạn. AWS Backup Audit Manager cung cấp năm mẫu kiểm soát quản trị dự phòng, bao gồm tài nguyên sao lưu được bảo vệ bởi các kế hoạch sao lưu với tần suất tối thiểu và lưu giữ tối thiểu, v.v. Nếu bạn tận dụng tự động hóa cơ sở hạ tầng dưới dạng mã (infrastructure-as-code), bạn có thể sử dụng AWS Backup Audit Manager với AWS CloudFormation.
Trọng tâm bảo mật AWS cung cấp cho bạn cái nhìn toàn diện về trạng thái bảo mật của bạn trong AWS và giúp bạn kiểm tra môi trường của mình theo các phương pháp hay nhất về bảo mật và các tiêu chuẩn ngành, chẳng hạn như AWS Foundational Security Best Practices controls. Nếu bạn tận dụng AWS Security Hub trong môi trường đám mây của mình, chúng tôi khuyên bạn nên bật AWS Foundational Security Best Practices, vì nó bao gồm các kiểm soát detective có thể giúp bảo vệ các bản sao lưu trong AWS. Các điều khiển detective trong AWS Backup Audit Manager và Security Hub cũng hầu như có sẵn dưới dạng các quy tắc được AWS quản lý trong AWS Config.
# 9 – Kiểm tra khả năng khôi phục dữ liệu
Tốt nhất, bất kỳ dữ liệu nào được lưu trữ dưới dạng bản sao lưu phải có thể được khôi phục thành công khi được yêu cầu. Chiến lược sao lưu của bạn phải bao gồm việc kiểm tra các bản sao lưu của bạn. Chiến lược sao lưu sẽ không hiệu quả nếu không thể khôi phục dữ liệu đã sao lưu. Bạn nên thường xuyên kiểm tra khả năng của mình để tìm ra các điểm khôi phục nhất định và khôi phục chúng. Trong khi AWS Backup tự động sao chép các thẻ từ các tài nguyên mà nó bảo vệ đến các điểm khôi phục, các thẻ không được sao chép từ các điểm khôi phục sang các tài nguyên được khôi phục tương ứng. Để mở rộng quy mô quản lý khoảng không quảng cáo và xác định vị trí các điểm khôi phục, bạn nên cân nhắc việc giữ lại các thẻ của mình trên các tài nguyên được tạo bởi các công việc khôi phục AWS Backup, sử dụng các sự kiện AWS Backup để kích hoạt quá trình sao chép thẻ.
Bạn có thể bắt đầu quy trình khôi phục dữ liệu của mình bằng cách thiết lập các mẫu khôi phục dữ liệu và sau đó thường xuyên kiểm tra chúng. Bạn nên tạo một quy trình đơn giản và có thể lặp lại cho phép bạn thực hiện kiểm tra khôi phục dữ liệu liên tục để tăng sự tự tin vào khả năng khôi phục dữ liệu sao lưu của bạn. Ví dụ: bạn có thể tạo một mẫu để kiểm tra hoạt động khôi phục nhiều tài khoản, xuyên khu vực từ một kho dự phòng DR trung tâm được mã hóa bằng khóa KMS do khách hàng quản lý đến một kho dự phòng tài khoản nguồn được mã hóa bằng khóa KMS khác do khách hàng quản lý.
Nếu bạn không thường xuyên kiểm tra các hoạt động khôi phục như vậy, bạn có thể thấy rằng các giả định của bạn về mã hóa KMS cho các hoạt động liên vùng (cross-region), nhiều tài khoản là không chính xác. Thông thường, mẫu khôi phục sao lưu duy nhất thực sự hoạt động là đường dẫn bạn thường xuyên kiểm tra. Thông qua kiểm tra định kỳ các loại tài nguyên sao lưu được hỗ trợ, bạn có thể phát hiện ra các cảnh báo sớm có khả năng gây ra xáo trộn và mất dữ liệu quan trọng trong tương lai. Nếu có thể, hãy duy trì số lượng đường dẫn và mẫu khôi phục hạn chế nhưng khả thi để tránh lãng phí không gian lưu trữ, tối ưu hóa chi phí và tiết kiệm thời gian. Việc khắc phục sự cố khi kiểm tra khôi phục không thành công sẽ dễ dàng hơn so với việc mất dữ liệu quan trọng hoặc có giá trị.
# 10 – Kết hợp sao lưu trong kế hoạch ứng phó sự cố
Security Incident Response Simulations (SIRS) là các sự kiện nội bộ cung cấp các structured opportunity để thực hành kế hoạch và quy trình ứng phó sự cố của bạn trong một kịch bản thực tế. Việc kiểm tra dữ liệu sao lưu và hoạt động của bạn trong các hoạt động SIRS sáng tạo là rất có giá trị để kiểm tra bản thân trước những điều không mong muốn. Điều này giúp bạn xác nhận sự sẵn sàng của tổ chức ứng phó với những vấn đề bất ngờ không mong muốn. Mô phỏng của bạn phải thực tế và phải liên quan đến các nhóm tổ chức đa chức năng được yêu cầu để đáp ứng các sự kiện.
Bắt đầu với các bài tập mô phỏng cơ bản và dễ dàng, và hướng tới một sự kiện phức tạp, đầy đủ. Ví dụ: bạn có thể xây dựng một mô hình thực tế bao gồm Amazon Virtual Private Cloud và các tài nguyên liên quan simulate inadvertent overexposure of information hoặc có khả năng bị vi phạm dữ liệu do các thay đổi đối với chính sách và danh sách kiểm soát truy cập. Ghi lại các bài học kinh nghiệm để đánh giá kế hoạch ứng phó sự cố của bạn hoạt động tốt như thế nào và xác định các cải tiến cần được thực hiện đối với các quy trình ứng phó trong tương lai.
Bạn có thể sử dụng AWS Backup để thiết lập sao lưu cấp phiên bản tự động dưới dạng AMI và sao lưu cấp khối lượng dưới dạng ảnh chụp nhanh trên nhiều tài khoản AWS. Điều này có thể giúp nhóm phản ứng sự cố của bạn nâng cao quy trình forensic của họ, chẳng hạn như automated forensic disk collection, bằng cách cung cấp điểm khôi phục có thể làm giảm phạm vi và tác động của các sự kiện bảo mật tiềm ẩn như ransomware.
Tổng kết
Trong bài blog này, chúng tôi đã chỉ cho bạn 10 phương pháp kiểm soát và thực tiễn tốt nhất về bảo mật để bảo vệ dữ liệu sao lưu của bạn trong AWS. Chúng tôi khuyến khích bạn sử dụng các phương pháp hay nhất này để thiết kế và triển khai chiến lược, kiến trúc sao lưu và phục hồi với nhiều lớp kiểm soát có thể mở rộng quy mô và đạt được nhu cầu kinh doanh của bạn. Để tìm hiểu thêm về AWS Backup, hãy tham khảo và theo dõi Blog của OSAM ngay nhé.