10 แนวทางปฏิบัติการสำรองข้อมูลบน AWS อย่างมั่นคงปลอดภัย

[deam205]

สำหรับผู้ใช้งาน AWS ที่พึงพอใจเรื่อง Best Practice สำหรับเพื่อการทำ Backup วันนี้พวกเราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันครับผม


1.) มีกลอุบายด้านการสำรองข้อมูล

มีแผนในการสำรองข้อมูลชัดแจ้ง ยกตัวอย่างเช่น ข้อมูลส่วนใด จะทำบ่อยครั้งแค่ไหน ติดตามการสำรองและก็กู้คืนเช่นไร
ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง และก็จะทำให้เกิดผลกระทบเช่นไร
มีเนื้อหาการสำรองรวมทั้งกู้คืนเชิงลึกแจ่มชัด เป็นต้นว่า Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance ฯลฯ และก็ทำแล้วตอบโจทย์ RTO/RPO หรือไม่
กลยุทธ์ที่ดีต้องมีเนื้อหากิจกรรมย่อยซึ่งสามารถป้องกันการโจมตีโดยละเอียด อย่างเช่น ต้นแบบการกู้คือแบบข้ามบัญชี AWS หรือข้าม Region
บางอุตสาหกรรมต้องคิดถึงเรื่องกฏหมายแล้วก็ข้อกำหนดเพราะว่าจะเก็บกี่ชุด นานเท่าไร
ขอความเห็นกับทีม Security ที่ทำข้อบัญญัติเพราะว่าทรัพยากรที่จำต้อง Backup รวมทั้งกิจกรรมพวกนั้นควรรวมหรือแยกจากโปรแกรมที่บังคับในองค์กร
2.) แนวทางสำรองข้อมูลต้องเป็นส่วนใดส่วนหนึ่งของกระบวนการทำ DR และ BCP

DR เป็นการตระเตรียม แนวทางการตอบสนอง และก็กู้คืนจากภัยอันตราย ตัวอย่างเช่น ข้อผิดพลาดทางด้านเทคนิค ภัยที่เกิดจากธรรมชาติ หรือข้อผิดพลาดของมนุษย์ ส่วน BCP ซึ่งก็คือการทำให้ธุรกิจสามารถก้าวเดินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่มิได้คิดแผน ดังนี้ DR และก็ AWS Backup ควรเป็นส่วนย่อยภายใต้ BCP เพื่อเตรียมกับเหตุการณ์อาทิเช่น เกิดเหตุการด้านความยั่งยืนและมั่นคงปลอดภัยที่กระทบกับข้อมูล Production ทำให้จำเป็นต้องใช้ข้อมูลที่สำรองไว้ นอกเหนือจากนี้ผู้ปฏิบัติงานควรจะมีความชำนาญที่ทำเป็นจริงด้วย

3.) สร้างกระบวนการให้เป็นอัตโนมัติแม้องค์กรสามารถสร้างวิธีการที่อัตโนมัติได้จะช่วยทำให้ การ Deploy Policy เป็นได้อย่างเป็นมาตรฐาน โดยอุปกรณ์ AWS Organization คือสิ่งที่สามารถตอบปัญหาที่ตรงนี้ได้ ยิ่งกว่านั้นจะต้องมีวิธีการทำ Infrastructure as Code หรือปฏิบัติการได้แบบ Event-driven ซึ่งเมื่อเกิดความอัตโนมัติแล้วจะช่วยลดความผิดพลาดจากการทำงานแบบ Manual ได้

4.) มีกลไกการควบคุมและก็การมอบอำนาจสิทธิ์ในเบื้องต้นท่านสามารถใช้วัสดุ AWS IAM เพื่อตอบโจทย์ด้านการ Authentication & Authorization แล้วก็ควรจะใคร่ครวญตามหลัก Least Privilege โดยการให้สิทธิ์น้อยที่สุดที่ต้อง เพื่อเข้าถึงข้อมูล Backup หรือ Vault ยิ่งไปกว่านี้ท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในหน่วยงาน มากกว่านั้น AWS ยังมีเครื่องมือ IAM Access Analyzer ที่สามารถช่วยวิเคราะห์ IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User และก็อื่นๆ

5.) เข้ารหัสข้อมูลและก็ Vaultในกรณีที่ Access Control ยังไม่สามารถที่จะปกป้องได้ทั้งสิ้นดังเช่นว่า การให้สิทธิ์มากมายไปสำหรับในการเข้าถึง ระบบบริหารจัดแจง Key จะช่วยลดผลกระทบของสถานะการณ์ได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการคุ้มครองปกป้องแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แต่ในช่วงเก็บข้อมูลท่านสามารถใช้เครื่องไม้เครื่องมือ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว เพียงแต่ท่านเลือกใช้ให้เหมาะสมกับความต้องการของกฏหมาย กฎข้อบังคับขององค์กรแค่นั้น

มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดการอีก Region ได้ทำให้การโยกย้ายข้อมูลเข้ารหัสง่ายมากขึ้น

6.) ใช้ Immutable StorageImmutable Storage หรือการใช้แรงงานในลักษณะที่สามารถเขียนครั้งเดียวแต่เรียกอ่านได้เสมอ โดยเบื้องต้นแล้ววิธีการทำเช่นนี้จะช่วยเรื่อง Integrity คุ้มครองปกป้องการเขียนทับ ลบ หรือทำความเสียหาย ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยปกป้องกิจกรรมความประพฤติอะไรก็แล้วแต่กับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์กระทั่ง Root User ในบัญชี AWS

7.) มีการติดตามและระบบแจ้งเตือนงาน Backup บางทีอาจล้มเหลวได้ ซึ่งจะกระทบกับขั้นตอนการทั้งสิ้น ซึ่งผู้ใช้สามารถศึกษาต้นสายปลายเหตุได้จากการตำหนิดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup แล้วก็ Event รวมทั้ง CloudTrail จะสามารถกล่าวได้ว่า Backup API เป็นยังไง

8.) ตรวจตราการตั้งค่าการ Backupองค์กรจำต้องวิเคราะห์ให้มั่นใจว่า Backup Policy ตรงกับข้อบัญญัติหรือเปล่า แล้วก็จำเป็นต้องทำโดยตลอด ซึ่งน่าจะติดตามผลของการตรวจตราได้อัติโนมัตำหนิ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีรวมทั้ง Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากแนวทางสำรองข้อมูล มีการทำบ่อยขนาดไหน

9.) ทดลองแนวทางกู้คืนข้อมูลว่าทำเป็นจริงควรมีการทดลองเพื่อรู้ดีว่า Recovery Point ใดที่สามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกป้องกันไปยัง Recovery Point อัตโนมัติแต่ว่าในทางกลับกันจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามวิจิตรการ Replicate

อย่างไรก็แล้วแต่หน่วยงานต้องมี Workflow ง่ายๆสำหรับกู้คืนข้อมูลที่จะทำได้หลายครั้งยกตัวอย่างเช่น การยืมคืนข้อมูลข้ามบัญชีหรือ Region จากการสำรองข้อมูลส่วนกลาง ถ้าหากมีการทดสอบไม่บ่อยพอเพียงท่านอาจพบความผิดพลาดของ KMS Encryption สำหรับการผ่านบัญชีหรือ Region

10.) บรรจุแผนเรื่อง Backup ลงในการทำ Incident Responseกลยุทธ์สนองตอบเหตุการณ์กลับตาลปัตรต้องมีเรื่องการทดลอง Backup ไว้ด้วย เพื่อจะได้ทราบว่าถ้าเกิดเกิดเหตุจริงจะมีขั้นตอนยังไงให้พร้อมต่อกร โดยท่านสามารถใช้ AWS Backup เพื่อทดลองการ Backup ระดับ Instance แล้วก็ Volume โดยการ Snapshot ข้ามบัญชี ซึ่งข้อมูลนี้จะช่วยทำให้ทีมพิสูจน์หลักฐานทำงานก้าวหน้าขึ้นอย่างเช่น การเก็บ Disk ที่เกิดเหตุหรือรู้ Recovery Point ที่ลดผลพวงจากการโจมตี