AWS Backup – Funktionen

Übersicht

AWS Backup ist ein vollständig verwalteter Service, der die Datensicherung über AWS-Services und hybride Arbeitslasten hinweg zentralisiert und automatisiert. Es bietet Kernfunktionen für den Datenschutz, Wiederherstellungsfunktionen für Ransomware sowie Einblicke in die Compliance und Analysen für Datenschutzrichtlinien und -vorgänge. AWS Backup bietet einen kosteneffektiven, richtlinienbasierten Service mit Funktionen, die die Datensicherung in Exabyte-Größe über Ihr AWS-System hinweg vereinfachen. 

Datenschutz von Anwendungsressourcen auf AWS und hybriden Services

AWS Backup hilft beim Schutz von Anwendungsressourcen, einschließlich Ihrer AWS-Speicher-, Datenbank- und Rechenservices sowie hybrider Workloads wie VMware. AWS Backup unterstützt die folgenden Funktionen für alle unterstützten Services und Anwendungen von Drittanbietern: automatische Backup-Planung und Aufbewahrungsverwaltung, zentralisierte Datenschutzüberwachung, AWS-KMS-integrierte Backup-Verschlüsselung, kontoübergreifende Verwaltung mit AWS Organizations, Datenschutzprüfung und Compliance-Berichterstattung mit AWS Backup Audit Manager sowie Write-Once, Read-Many (WORM) mit AWS Backup Vault Lock.

AWS Backup hilft beim Schutz von Anwendungsressourcen, einschließlich Ihrer AWS-Speicher-, Datenbank- und Rechenservices sowie hybrider Workloads wie VMware. AWS Backup unterstützt die folgenden Funktionen für alle unterstützten Services und Anwendungen von Drittanbietern: automatische Backup-Planung und Aufbewahrungsverwaltung, zentralisierte Datenschutzüberwachung, AWS-KMS-integrierte Backup-Verschlüsselung, kontoübergreifende Verwaltung mit AWS Organizations, Datenschutzprüfung und Compliance-Berichterstattung mit AWS Backup Audit Manager sowie Write-Once, Read-Many (WORM) mit AWS Backup Vault Lock.

AWS Backup bietet eine Sicherungskonsole, öffentliche APIs und eine Befehlszeilenschnittstelle für die zentrale Verwaltung von Sicherungen über die AWS-Speicher-, Rechen-, Datenbank- und Hybridservices, auf denen Ihre Anwendungen laufen, einschließlich Amazon Simple Storage Service (S3), Amazon Elastic Block Store (EBS), Amazon FSx, Amazon Elastic File System (EFS), AWS Storage Gateway, Amazon Elastic Compute Cloud (EC2), Amazon Relational Database Service (RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (with MongoDB compatibility), Amazon Timestream, Amazon Redshift, SAP HANA on Amazon EC2 und der gesamte von AWS CloudFormation definierte Anwendungsstapel sowie hybride Anwendungen wie VMware-Workloads, die vor Ort und in VMware CloudTM in AWS und AWS Outposts laufen.

Der AWS Backup-Tresor ist ein logischer Container, der Ihre verschlüsselten Backups speichert und verwaltet. Bei der Erstellung eines Backup-Vault müssen Sie den AWS-Key-Management-Service- Verschlüsselungsschlüssel (AWS KMS) angeben, mit dem die in diesem Vault abgelegten Backups verschlüsselt werden. Alle kopierten Backups werden mit dem Schlüssel des Ziel-Vault verschlüsselt. Weitere Informationen zur Verschlüsselung finden Sie in der Tabelle unter Verschlüsselung für Backups in AWS.

AWS Backup verschlüsselt Ihre Sicherungsdaten im Ruhezustand und während der Übertragung und bietet eine umfassende Verschlüsselungslösung, die Ihre Sicherungsdaten schützt und die Einhaltung der Compliance-Anforderungen unterstützt. Ihre Backup-Daten werden mit Verschlüsselungsschlüsseln verschlüsselt, die vom AWS Key Management Service (KMS) verwaltet werden, so dass Sie keine Infrastruktur für die Schlüsselverwaltung aufbauen und pflegen müssen. Die Schlüssel, die zur Verschlüsselung Ihrer AWS Backup-Daten verwendet werden, sind unabhängig von den Schlüsseln, die zur Verschlüsselung der Ressourcen verwendet werden, auf denen die Sicherungen basieren. Separate Verschlüsselungsschlüssel für Ihre Produktions- und Backup-Daten bieten eine wichtige Schutzschicht für Ihre Anwendungen.

Sie können Backups erstellen, die durch Backup-Pläne verwaltet werden. So können Sie Ihre Backup-Anforderungen definieren und diese Richtlinien auf die AWS-Ressourcen anwenden, die Sie schützen möchten. Backup-Pläne vereinfachen und skalieren Ihre Datensicherungsstrategie für Ihre Anwendungen und Ihr Unternehmen.

Sie können Sicherungspläne auf Ihre AWS-Ressourcen anwenden, indem Sie sie markieren. AWS-Tags sind eine großartige Möglichkeit, Ihre AWS-Ressourcen konsistent zu organisieren und zu klassifizieren.

Sie können die Backup-Zeitpläne individuell anpassen oder aus vordefinierten Backup-Zeitplänen wählen, die auf gängigen bewährten Methoden basieren. AWS Backup sichert Ihre Anwendungsressourcen automatisch gemäß den von Ihnen festgelegten Richtlinien und Zeitplänen, um Konflikte mit der Produktion zu vermeiden.

Sie können Backup-Aufbewahrungsrichtlinien festlegen, die Backups automatisch aufbewahren und verfallen lassen, um die Kosten für die Speicherung von Backups zu minimieren. Konfigurieren Sie Lebenszyklusrichtlinien, mit denen Backups automatisch vom warmen in den kalten Speicher überführt werden, und senken Sie so die Kosten für den Backup-Speicher, indem Sie Backups in einer kostengünstigen kalten Speicherebene speichern.

Sie können von einer zentralen Konsole aus Backups über verschiedene AWS-Regionen und Konten hinweg kopieren, um Compliance- und Disaster Recovery-Anforderungen zu erfüllen. Sie können Backups entweder manuell als On-Demand-Kopie oder automatisch als Teil eines geplanten Backup-Plans in mehrere verschiedene Regionen und Konten kopieren und diese Backups in einer neuen Region oder einem neuen Konto wiederherstellen.

Sie können Datenschutzrichtlinien erstellen und AWS Organizations verwenden, um die Schutzrichtlinien für alle Konten in dieser Organisation durchzusetzen. Dies ermöglicht Backups von mehreren Konten und bietet eine zusätzliche Schutzschicht, falls das Quellkonto durch versehentliches oder böswilliges Löschen, Katastrophen oder Ransomware unterbrochen wird.

Mit AWS Backup kann ein Backup-Operator alle unterstützten Ressourcen auf AWS sichern, ohne dass der Backup-Operator direkten Zugriff auf diese Ressourcen haben muss. Dies sorgt für eine Trennung der Kontrolle, bei der die Eigentümer der Ressourcen keinen Einfluss auf die Aufbewahrung der Backups haben und die Betreiber der Backups die Daten nicht verändern oder exfiltrieren können.

Sie können ressourcenbasierte Zugriffsrichtlinien für Backup-Vaults festlegen. Mit ressourcenbasierten Zugriffsrichtlinien können Sie den Zugriff zu Backups in einem Backup Vault benutzerübergreifend steuern, anstatt Berechtigungen für jeden Benutzer definieren zu müssen.

Sie können die Verwaltung von Sicherungsrichtlinien in AWS Organizations und die kontoübergreifende Überwachung in AWS Backup delegieren. Dadurch kann die Backup-Verwaltung an ein spezielles Backup-Administrationskonto delegiert werden, so dass die Mitgliedskonten nicht mehr auf die Managementkonten für die Backup-Verwaltung zugreifen müssen. Delegierte Backup-Administratoren können Backup-Richtlinien erstellen und verwalten und Backup-Aktivitäten kontenübergreifend überwachen. Die unternehmensweite Delegation der Backup-Verwaltung durch AWS Organizations ermöglicht eine sichere, zentralisierte Backup-Verwaltung in großem Umfang.

Die AWS-Backup-Konsole enthält ein Amazon-CloudWatch-Dashboard, mit dem Sie Metriken zu abgeschlossenen oder fehlgeschlagenen Sicherungs-, Kopier- und Wiederherstellungsaufträgen einsehen können. In diesem Dashboard können Sie den Auftragsstatus nach Zeitspanne anzeigen, angepasst an den von Ihnen gewünschten Zeitplan.

AWS Backup ist mit AWS CloudTrail integriert, das eine konsolidierte Ansicht der Backup-Aktivitätsprotokolle bietet und den Audit-Prozess für geschützte Ressourcen vereinfacht.

AWS Backup ist in den Amazon Simple Notification Service (Amazon SNS) integriert, der Sie automatisch über Backup-Aktivitäten informieren kann, z. B. wenn ein Backup erfolgreich war oder eine Wiederherstellung initiiert ist.

Für eine vollständig verwaltete Erfahrung können Sie AWS Backup Audit Manager verwenden, um Ihre Backup-Aktivitäten über Ihre Konten und Regionen hinweg zu überwachen.

Wiederherstellung von Ransomware mit mehreren Konten und Regionen

AWS Backup bietet Funktionen, mit denen sich wichtige Daten vor Ransomware-Angriffen und Kontokompromittierungen schützen und wiederherstellen lassen. Ransomware bezieht sich auf ein Geschäftsmodell und vielfältige damit zusammenhängende Technologien, mit deren Hilfe bösartige Akteure Geld von Unternehmen erpressen. Diese Akteure nutzen eine Reihe von Taktiken, um sich unbefugt Zugang zu den Daten und Systemen ihrer Opfer zu verschaffen, einschließlich der Ausnutzung ungepatchter Sicherheitslücken und schwacher oder gestohlener Zugangsdaten. Der Zugriff auf Daten und Systeme wird dann von diesen Akteuren eingeschränkt und es wird ein Lösegeld für die sichere Rückgabe dieser digitalen Werte gefordert. Es gibt mehrere Methoden, mit denen solche Akteure den legitimen Zugriff auf Ressourcen einschränken oder reduzieren, darunter Verschlüsselung und Löschung, veränderte Zugriffskontrollen und netzwerkbasierte Denial-of-Service-Angriffe. 

Sie können Ihren AWS-CloudFormation-Stack zusammen mit seinen Ressourcen wie AWS-IAM-Rollen und Amazon-VPC-Sicherheitsgruppen sichern. Das bedeutet, dass Sie Ihren gesamten Anwendungsstapel leichter wiederherstellen und die Einhaltung Ihrer Datenschutzrichtlinien über den gesamten Anwendungsstapel hinweg verwalten können.

Sie können Anwendungsdefinitionen importieren und anwendungsweite Schutzpläne erstellen, die nach einem wiederkehrenden Zeitplan verwaltet werden, sowie konten- oder regionenübergreifende Kopien für zusätzlichen Schutz vor Ransomware-Ereignissen.

Sie können unveränderliche Sicherungskopien in einem logischen Air-Gapped-Vault speichern, einer Art AWS-Backup-Tresor, der standardmäßig gesperrt und durch Verschlüsselung mithilfe von AWS-eigenen Schlüsseln isoliert ist. Ein logischer Air-Gapped-Vault ermöglicht die sichere gemeinsame Nutzung des Zugriffs über AWS Resource Access Manager (RAM) über Konten und Unternehmen hinweg und unterstützt die direkte Wiederherstellung, um die Wiederherstellungszeit nach einem Datenverlust zu verkürzen.

Mit der Funktion für Wiederherstellungstests können Sie die Realisierbarkeit einer Wiederherstellung automatisch und regelmäßig bewerten und die Dauer von Wiederherstellungsaufträgen überwachen. Sie können Tests zur Vorbereitung auf die Wiederherstellung durchführen, um sich auf mögliche Datenausfälle oder Datenverluste vorzubereiten und dabei die gesetzlichen oder behördlichen Anforderungen zu erfüllen.

Mit AWS Backup Vault Lock können Sie Ihre Backups vor dem Löschen oder vor Änderungen an ihrem Lebenszyklus (wodurch die Daten unveränderbar werden) durch versehentliche oder böswillige Änderungen schützen. Sie können die AWS CLI, AWS Backup API oder AWS Backup SDK verwenden, um den AWS-Backup-Vault-Lock-Schutz auf ein vorhandenes oder ein neues Depot anzuwenden. AWS Backup Vault Lock arbeitet mit Sicherungsrichtlinien wie Aufbewahrungsfristen, Übergang zur kalten Speicherung, konto- und regionenübergreifende Kopien. Dies bietet einen zusätzlichen Schutz und hilft Ihnen, Ihre Compliance-Anforderungen zu erfüllen. AWS Backup Vault Lock wurde von Cohasset Associates für den Einsatz in Umgebungen geprüft, die den Vorschriften von SEC 17a-4, CFTC und FINRA unterliegen.

Das NIST definiert Zero Trust als eine sich entwickelnde Reihe von Cybersicherheitskontrollen, die von statischen, netzwerkbasierten Perimetern zu einer aktiven, in die Tiefe gehenden Verteidigung übergehen, die sich auf Benutzer, Vermögenswerte und Ressourcen konzentriert. Verwenden Sie die delegierte Verwaltung von AWS Backup mit AWS Organizations, AWS Backup Audit Manager und AWS Backup Vault Lock, um Ihre tiefgreifende Verteidigung als Teil einer Zero-Trust-Architektur aufzubauen.

Einhaltung des Datenschutzes mit Echtzeit-Analysen und Einblicken

AWS Backup Audit Manager ist eine Funktion, die Ihre Datensicherungsaktivitäten überwacht und Audit-Berichte erstellt, z.B. die Häufigkeit der Datensicherung oder die Aufbewahrungsdauer der Sicherungen. AWS Backup Audit Manager ist ein vollständig verwaltetes System, das täglich Berichte mit Einblicken in den Compliance-Status Ihrer Datensicherungssysteme erstellen kann.

Mit dem AWS Backup Audit Manager können Sie die Einhaltung Ihrer Datenschutzrichtlinien prüfen und darüber Bericht erstatten, damit Sie Ihre geschäftlichen und gesetzlichen Anforderungen erfüllen können. Es bietet integrierte Compliance-Kontrollen, die Sie anpassen können, um Ihre Datenschutzrichtlinien zu definieren (z.B. die Häufigkeit von Backups oder die Aufbewahrungsfrist). Es ist so konzipiert, dass es automatisch Verstöße gegen die von Ihnen definierten Datenschutzleitplanken erkennt und Sie auffordert, Abhilfemaßnahmen zu ergreifen. Mit AWS Backup Audit Manager können Sie Backup-Aktivitäten kontinuierlich auswerten und Prüfungsberichte erstellen, mit denen Sie die Einhaltung gesetzlicher Anforderungen nachweisen können.

AWS Backup unterstützt die gesetzliche Aufbewahrung, die verwendet wird, wenn ein Unternehmen bestimmte Daten entweder zur Aufbewahrung, für Audits oder als Beweismittel in Gerichtsverfahren und e-Discovery aufbewahren muss. Mit der gesetzlichen Aufbewahrung können Sie verhindern, dass Backups gelöscht werden, auch wenn ihre Aufbewahrungsfrist abgelaufen ist, und sie bleiben bestehen, bis sie ausdrücklich freigegeben werden.

Sie können Vorlagen für Konformitätsberichte verwenden, um täglich Berichte über die Konformität Ihrer Backup-Aktivitäten und -Ressourcen mit den Kontrollen zu erstellen, die Sie in einem oder mehreren Frameworks definiert haben. Ein Framework ist eine Sammlung von Kontrollen, die Ihnen hilft, Ihre Compliance-Situation zu bewerten.

Sie können vorgefertigte oder anpassbare Kontrollen verwenden, um Ihre Richtlinien zu definieren und zu bewerten, ob Ihre Backup-Praktiken mit Ihren Richtlinien übereinstimmen. Weitere Informationen zu Kontrollen finden Sie im AWS-Backup-Entwicklerhandbuch. Sie können auch automatische Tagesberichte einrichten, um Einblicke in den Compliance-Status Ihrer Frameworks zu erhalten.