Fitur AWS Backup

Ikhtisar

AWS Backup adalah layanan terkelola penuh yang memusatkan dan mengotomatiskan perlindungan data di seluruh layanan AWS dan beban kerja hibrida. Layanan ini memberikan fitur perlindungan data inti, kemampuan pemulihan ransomware, serta kepatuhan wawasan dan analitik untuk kebijakan dan operasi perlindungan data. AWS Backup menawarkan layanan yang hemat biaya dan berbasis kebijakan dengan berbagai fitur yang menyederhanakan perlindungan data pada skala eksabita di seluruh kawasan AWS Anda. 

Perlindungan data sumber daya aplikasi pada layanan AWS dan hibrida

AWS Backup membantu melindungi sumber daya aplikasi, termasuk layanan penyimpanan, basis data, dan komputasi AWS, serta beban kerja hibrida seperti VMware. AWS Backup mendukung kemampuan berikut untuk semua layanan yang didukungnya dan aplikasi pihak ketiga: penjadwalan pencadangan otomatis dan manajemen retensi, pemantauan perlindungan data terpusat, enkripsi pencadangan terintegrasi AWS KMS, manajemen lintas akun dengan AWS Organizations, audit perlindungan data dan pelaporan kepatuhan dengan Manajer Audit AWS Backup, serta tulis-sekali-baca-berulang-kali (WORM) dengan Kunci Brankas Cadangan AWS.

AWS Backup membantu melindungi sumber daya aplikasi, termasuk layanan penyimpanan, basis data, dan komputasi AWS, serta beban kerja hibrida seperti VMware. AWS Backup mendukung kemampuan berikut untuk semua layanan yang didukungnya dan aplikasi pihak ketiga: penjadwalan pencadangan otomatis dan manajemen retensi, pemantauan perlindungan data terpusat, enkripsi pencadangan terintegrasi AWS KMS, manajemen lintas akun dengan AWS Organizations, audit perlindungan data dan pelaporan kepatuhan dengan Manajer Audit AWS Backup, serta tulis-sekali-baca-berulang-kali (WORM) dengan Kunci Brankas Cadangan AWS.

AWS Backup menyediakan konsol pencadangan, API publik, dan antarmuka baris perintah untuk mengelola pencadangan secara terpusat di seluruh layanan penyimpanan, komputasi, basis data, dan hibrida AWS yang dijalankan oleh aplikasi Anda, termasuk Amazon Simple Storage Service (S3), Amazon Elastic Block Store (EBS), Amazon FSx, Amazon Elastic File System (EFS), Gateway AWS Storage , Amazon Elastic Compute Cloud (EC2), Amazon Relational Database Service (RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB (dengan kompatibilitas MongoDB), Amazon Timestream, Amazon Redshift, SAP HANA di Amazon EC2, dan seluruh tumpukan aplikasi yang ditentukan oleh AWS CloudFormation, serta aplikasi hibrida seperti beban kerja VMware yang berjalan on-premise dan di VMware CloudTM on AWS dan AWS Outposts.

Brankas AWS Backup adalah kontainer logis yang menyimpan dan mengelola cadangan terenkripsi Anda. Saat membuat brankas cadangan, Anda harus menentukan kunci enkripsi AWS Key Management Service (AWS KMS) yang mengenkripsi cadangan yang ditempatkan di brankas ini. Seluruh cadangan yang disalin terenkripsi dengan kunci brankas target. Untuk informasi selengkapnya mengenai enkripsi, lihat bagan dalam Enkripsi untuk cadangan di AWS.

AWS Backup mengenkripsi data cadangan diam dan bergerak Anda, sehingga memberikan solusi enkripsi komprehensif yang akan mengamankan data cadangan Anda dan membantu memenuhi persyaratan kepatuhan. Data cadangan Anda terenkripsi menggunakan kunci enkripsi yang dikelola oleh AWS Key Management Service (KMS), sehingga mengurangi kebutuhan untuk membuat dan memelihara infrastruktur manajemen kunci. Kunci yang digunakan untuk mengenkripsi data AWS Backup Anda tidak bergantung pada kunci yang digunakan untuk mengenkripsi sumber daya yang menjadi dasar cadangan tersebut. Penggunaan kunci enkripsi yang terpisah untuk data produksi dan data cadangan akan memberikan Anda lapisan perlindungan penting untuk aplikasi Anda.

Anda dapat membuat cadangan yang dikelola oleh rencana pencadangan, sehingga memungkinkan Anda untuk menentukan persyaratan pencadangan dan menerapkan kebijakan ini ke sumber daya AWS yang ingin Anda lindungi. Rencana pencadangan akan menyederhanakan dan menskalakan strategi perlindungan data di seluruh aplikasi dan organisasi Anda.

Anda dapat menerapkan rencana pencadangan ke sumber daya AWS Anda dengan menandainya. Tanda AWS adalah cara yang bagus untuk mengatur dan mengklasifikasikan sumber daya AWS Anda secara konsisten.

Anda dapat menyesuaikan jadwal pencadangan atau memilih dari jadwal pencadangan yang telah ditentukan sebelumnya berdasarkan praktik terbaik yang umum. AWS Backup akan mencadangkan sumber daya aplikasi Anda secara otomatis sesuai dengan kebijakan dan jadwal yang Anda tentukan guna menghindari konflik dengan produksi.

Anda dapat menyiapkan kebijakan retensi cadangan yang secara otomatis mempertahankan dan mengakhiri cadangan, sehingga akan meminimalkan biaya penyimpanan cadangan. Konfigurasikan kebijakan siklus hidup yang secara otomatis mengalihkan cadangan dari penyimpanan hangat ke penyimpanan dingin, sehingga membantu mengurangi biaya penyimpanan dengan menyimpan cadangan dalam tingkat penyimpanan dingin berbiaya rendah.

Anda dapat menyalin cadangan di seluruh Wilayah dan akun AWS yang berbeda dari konsol pusat untuk memenuhi kebutuhan kepatuhan dan pemulihan bencana. Anda dapat menyalin cadangan baik secara manual sebagai salinan sesuai permintaan, atau secara otomatis sebagai bagian dari rencana pencadangan terjadwal ke beberapa Wilayah dan akun yang berbeda, dan memulihkan cadangan tersebut di Wilayah atau akun baru.

Anda dapat membuat kebijakan perlindungan data dan menggunakan AWS Organizations untuk memberlakukan kebijakan perlindungan di seluruh akun di dalam organisasi tersebut. hal ini akan menyediakan cadangan multiakun dan memberikan lapisan perlindungan tambahan jika akun sumber mengalami gangguan penghapusan yang tidak disengaja atau berbahaya, bencana, atau ransomware.

Dengan AWS Backup, operator pencadangan dapat mencadangkan seluruh sumber daya yang didukung di AWS tanpa mengharuskan operator pencadangan memiliki akses langsung ke sumber daya tersebut. AWS Backup menyediakan pemisahan kontrol tempat pemilik sumber daya tidak dapat memengaruhi retensi cadangan, dan operator pencadangan tidak dapat mengubah atau mengekstraksi data.

Anda dapat mengatur kebijakan akses berbasis sumber daya pada brankas cadangan. Dengan kebijakan akses berbasis sumber daya, Anda dapat mengontrol akses ke cadangan di brankas cadangan semua pengguna, alih-alih harus menentukan izin untuk tiap-tiap pengguna.

Anda dapat mendelegasikan manajemen kebijakan pencadangan di AWS Organizations dan pemantauan lintas akun di AWS Backup. Hal ini memungkinkan adanya pendelegasian manajemen cadangan ke akun administrasi cadangan khusus, sehingga akun anggota tidak perlu mengakses akun manajemen untuk administrasi cadangan. Administrator cadangan yang terdelegasi dapat membuat dan mengelola kebijakan pencadangan serta memantau aktivitas pencadangan di seluruh akun. Pendelegasian administrasi pencadangan di seluruh organisasi melalui AWS Organizations memungkinkan adanya manajemen pencadangan terpusat yang aman dalam skala besar.

Konsol AWS Backup menyertakan dasbor Amazon CloudWatch untuk melihat metrik pada tugas pencadangan, penyalinan, dan pemulihan yang selesai atau gagal. Di dalam dasbor ini, Anda dapat melihat status pekerjaan berdasarkan periode waktu, yang disesuaikan dengan jadwal yang Anda inginkan.

AWS Backup terintegrasi dengan AWS CloudTrail, yang memberikan tampilan terkonsolidasi dari log aktivitas pencadangan dan menyederhanakan proses audit untuk sumber daya yang dilindungi.

AWS Backup terintegrasi dengan Amazon Simple Notification Service (Amazon SNS), yang dapat secara otomatis memberi tahu Anda tentang aktivitas pencadangan, seperti saat pencadangan berhasil atau saat pemulihan telah dimulai.

Untuk pengalaman yang terkelola penuh, Anda dapat menggunakan Manajer Audit AWS Backup guna memantau aktivitas pencadangan di seluruh akun dan Wilayah Anda.

Pemulihan ransomware multiakun dan multiwilayah

AWS Backup menyediakan kemampuan yang membantu melindungi dan memulihkan data penting dari peristiwa ransomware dan penyusupan akun. Ransomware mengacu pada model bisnis dan berbagai teknologi terkait yang digunakan aktor jahat untuk memeras uang dari entitas. Pelaku ini menggunakan berbagai taktik untuk mendapatkan akses tidak resmi ke data dan sistem korbannya, termasuk mengeksploitasi kerentanan yang belum di-patch dan kredensial yang lemah atau dicuri. Selanjutnya, akses ke data dan sistem akan dibatasi oleh para pelaku ini, dan mereka akan meminta tebusan jika ingin aset digital ini dikembalikan seperti semula. Ada beberapa metode yang digunakan para pelaku untuk membatasi atau mengurangi akses yang sah ke sumber daya, termasuk enkripsi dan penghapusan, kontrol akses yang diubah, dan serangan penolakan layanan berbasis jaringan. 

Anda dapat mencadangkan tumpukan AWS CloudFormation beserta sumber dayanya, seperti peran IAM AWS dan grup keamanan Amazon VPC. Artinya, Anda dapat dengan lebih mudah memulihkan seluruh tumpukan aplikasi dan mengelola kepatuhan terhadap kebijakan perlindungan data Anda di seluruh tumpukan aplikasi.

Anda dapat mengimpor definisi aplikasi dan membuat rencana perlindungan di seluruh aplikasi yang dikelola dengan jadwal berulang dan salinan lintas akun atau lintas Wilayah untuk perlindungan tambahan dari peristiwa ransomware.

Anda dapat menyimpan salinan cadangan yang tidak dapat diubah di penyimpanan yang terisolasi secara logis, yang merupakan jenis vault AWS Backup, serta dikunci secara default dan diisolasi dengan enkripsi menggunakan kunci milik AWS. Penyimpanan yang terisolasi secara logis memungkinkan berbagi akses yang aman melalui AWS Resource Access Manager (RAM), di seluruh akun dan organisasi, yang mendukung pemulihan langsung untuk membantu mengurangi waktu pemulihan dari peristiwa kehilangan data.

Anda dapat melakukan evaluasi otomatis dan berkala terhadap kelayakan pemulihan serta memantau waktu durasi tugas pemulihan dengan fitur pengujian pemulihan. Anda dapat melakukan latihan uji kesiapan pemulihan untuk bersiap menghadapi kemungkinan waktu henti data atau peristiwa kehilangan data sehingga memenuhi persyaratan kepatuhan atau peraturan.

Kunci Brankas Cadangan AWS memungkinkan Anda melindungi cadangan dari penghapusan atau perubahan pada siklus hidupnya (membuat data tidak dapat diubah) melalui perubahan yang tidak disengaja atau berbahaya. Anda dapat menggunakan AWS CLI, API AWS Backup, atau SDK AWS Backup untuk menerapkan perlindungan Kunci Brankas Cadangan AWS ke brankas yang sudah ada atau yang baru. Kunci Brankas Cadangan AWS bekerja dengan kebijakan pencadangan seperti periode retensi, transisi penyimpanan dingin, lintas akun, dan salinan lintas Wilayah. Hal ini akan memberikan lapisan perlindungan tambahan dan membantu memenuhi persyaratan kepatuhan Anda. Kunci Brankas Cadangan AWS telah dinilai oleh Cohasset Associates untuk digunakan di lingkungan yang tunduk pada peraturan SEC 17a-4, CFTC, dan FINRA.

NIST mendefinisikan Zero Trust sebagai serangkaian kontrol keamanan siber yang terus berkembang dan beralih dari perimeter statis berbasis jaringan ke pertahanan aktif secara mendalam yang berfokus pada pengguna, aset, dan sumber daya. Gunakan admin terdelegasi AWS Backup dengan AWS Organizations, Manajer Audit AWS Backup, dan Kunci Penyimpanan AWS Backup untuk membantu membangun pertahanan Anda secara mendalam sebagai bagian dari arsitektur Zero Trust.

Kepatuhan perlindungan data dengan analitik dan wawasan waktu nyata

Manajer Audit AWS Backup adalah kemampuan yang memantau dan menghasilkan laporan audit dari aktivitas perlindungan data Anda, seperti frekuensi pencadangan atau periode retensi pencadangan. Manajer Audit AWS Backup adalah pengalaman terkelola penuh yang dapat menghasilkan laporan harian dengan wawasan atas status kepatuhan kerangka kerja perlindungan data Anda.

Anda dapat mengaudit dan melaporkan kepatuhan kebijakan perlindungan data Anda untuk membantu memenuhi kebutuhan bisnis dan peraturan Anda dengan Manajer Audit AWS Backup. Manajer Audit AWS Backup menyediakan kontrol kepatuhan bawaan yang dapat Anda sesuaikan untuk menentukan kebijakan perlindungan data Anda (seperti frekuensi pencadangan atau periode retensi). Ini didesain untuk secara otomatis mendeteksi pelanggaran terhadap hal yang telah Anda tentukan sebagai pagar pembatas perlindungan data Anda dan akan mengizinkan Anda untuk mengambil tindakan remediasi. Dengan Manajer Audit AWS Backup, Anda dapat terus mengevaluasi aktivitas pencadangan dan menghasilkan laporan audit yang dapat membantu mendemonstrasikan kepatuhan dengan persyaratan peraturan.

AWS Backup mendukung kontrol legal, yang digunakan saat organisasi harus mempertahankan data tertentu, baik untuk preservasi, audit, ataupun sebagai bukti dalam proses hukum dan Penemuan elektronik. Anda dapat menggunakan kontrol legal untuk mencegah cadangan terhapus bahkan jika periode retensinya telah berakhir, dan tetap ada hingga cadangan tersebut dirilis secara eksplisit.

Anda dapat menggunakan templat laporan kepatuhan untuk menghasilkan laporan harian tentang kepatuhan aktivitas dan sumber daya pencadangan Anda terhadap kontrol yang telah Anda tentukan dalam satu atau beberapa kerangka kerja. Kerangka kerja adalah kumpulan kontrol yang membantu mengevaluasi postur kepatuhan Anda.

Anda dapat menggunakan kontrol yang sudah dibuat sebelumnya atau kontrol yang dapat disesuaikan untuk menentukan kebijakan Anda dan mengevaluasi apakah praktik pencadangan Anda sudah patuh terhadap kebijakan. Untuk informasi selengkapnya tentang kontrol, kunjungi Panduan Developer AWS Backup. Anda juga dapat menyiapkan laporan harian otomatis untuk mendapatkan wawasan tentang status kepatuhan kerangka kerja Anda.