10 แนวทางปฏิบัติการสำรองข้อมูลบน AWS อย่างมั่นคงปลอดภัย

[Joe524]

สำหรับผู้ใช้งาน AWS ที่สนใจเรื่อง Best Practice สำหรับในการทำ Backup วันนี้พวกเราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันครับผม


1.) มีแผนการด้านการสำรองข้อมูล

มีแผนสำหรับการแบ็กอัพข้อมูลชัดเจน เป็นต้นว่า ข้อมูลส่วนใด จะทำบ่อยครั้งแค่ไหน ติดตามการสำรองรวมทั้งกู้คืนอย่างไร
ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง และจะทำให้เกิดผลกระทบเช่นไร
มีเนื้อหาการสำรองรวมทั้งกู้คืนเชิงลึกชัดแจ้ง ตัวอย่างเช่น Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance เป็นต้น และทำแล้วตอบโจทย์ RTO/RPO ไหม
กลอุบายที่ดีควรจะมีรายละเอียดกิจกรรมย่อยที่สามารถปกป้องการโจมตีโดยละเอียด อย่างเช่น ต้นแบบการยืมเป็นแบบผ่านบัญชี AWS หรือข้าม Region
บางอุตสาหกรรมจำต้องนึกถึงเรื่องกฏหมายและข้อกำหนดเพราะจะเก็บกี่ชุด นานเท่าใด
ขอความเห็นกับกลุ่ม Security ที่ทำข้อปฏิบัติเพราะว่าทรัพยากรที่จะต้อง Backup และกิจกรรมพวกนั้นควรจะรวมหรือแยกจากโปรแกรมที่บังคับในหน่วยงาน
2.) แนวทางสำรองข้อมูลควรจะเป็นส่วนหนึ่งส่วนใดของการทำ DR และก็ BCP

DR คือการตระเตรียม กรรมวิธีสนองตอบ แล้วก็กู้คืนจากภัยพินาศ อย่างเช่น ความผิดพลาดทางเทคนิค ภัยที่เกิดขึ้นจากธรรมชาติ หรือความผิดพลาดของมนุษย์ ส่วน BCP ซึ่งก็คือวิธีการทำให้ธุรกิจสามารถเดินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่มิได้วางแผน ดังนี้ DR แล้วก็ AWS Backup จะต้องเป็นส่วนย่อยภายใต้ BCP เพื่อตระเตรียมกับสถานการณ์เป็นต้นว่า เกิดเหตุการด้านความมั่นคงไม่มีอันตรายที่กระทบกับข้อมูล Production ทำให้ต้องใช้ข้อมูลที่สำรองไว้ นอกเหนือจากนี้ผู้ปฏิบัติการควรมีทักษะที่ทำเป็นจริงด้วย

3.) สร้างวิธีการให้เป็นอัตโนมัติถ้าหากหน่วยงานสามารถสร้างกรรมวิธีการที่อัตโนมัติได้จะช่วยให้ การ Deploy Policy เป็นไปได้อย่างเป็นมาตรฐาน โดยเครื่องมือ AWS Organization เป็นสิ่งซึ่งสามารถตอบโจทย์ที่ตรงนี้ได้ ยิ่งไปกว่านี้ควรจะมีวิธีการทำ Infrastructure as Code หรือกระทำการได้แบบ Event-driven ซึ่งเมื่อกำเนิดความอัตโนมัติแล้วจะช่วยลดความผิดพลาดจากการทำงานแบบ Manual ได้

4.) มีกลไกการควบคุมและการมอบอำนาจสิทธิ์ในเบื้องต้นท่านสามารถใช้เครื่องมือ AWS IAM เพื่อตอบโจทย์ด้านการ Authentication & Authorization แล้วก็ควรพินิจตามหลัก Least Privilege โดยการให้สิทธิ์ต่ำที่สุดที่จำเป็น เพื่อเข้าถึงข้อมูล Backup หรือ Vault นอกนั้นท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในองค์กร มากกว่านั้น AWS ยังมีเครื่องมือ IAM Access Analyzer ที่จะช่วยพินิจพิจารณา IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User และอื่นๆ

5.) เข้ารหัสข้อมูลและ Vaultกรณีที่ Access Control ยังไม่สามารถป้องกันได้ทั้งผองเป็นต้นว่า การให้สิทธิ์มากมายไปสำหรับการเข้าถึง ระบบบริหารจัดการ Key จะช่วยลดผลพวงของเหตุได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการคุ้มครองป้องกันแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แม้กระนั้นในช่วงเก็บข้อมูลท่านสามารถใช้วัสดุ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว เพียงแค่ท่านเลือกใช้ให้เหมาะกับความต้องการของกฏหมาย ข้อปฏิบัติของหน่วยงานเท่านั้น

มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดแจงอีก Region ได้ทำให้การเปลี่ยนที่ข้อมูลเข้ารหัสง่ายมากขึ้น

6.) ใช้ Immutable StorageImmutable Storage หรือการใช้แรงงานในลักษณะซึ่งสามารถเขียนครั้งเดียวแม้กระนั้นเรียกอ่านได้เสมอ โดยฐานรากแล้วการทำเช่นนี้จะช่วยเรื่อง Integrity คุ้มครองปกป้องการเขียนทับ ลบ หรือสร้างความเสียหาย ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยปกป้องกิจกรรมความประพฤติใดๆก็ตามกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์ต่อให้ Root User ในบัญชี AWS

7.) มีการติดตามรวมทั้งระบบแจ้งเตือนงาน Backup อาจล้มเหลวได้ ซึ่งจะกระทบกับขั้นตอนการทั้งผอง ซึ่งผู้ใช้สามารถทำความเข้าใจปัจจัยได้จากการตำหนิดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup และก็ Event รวมทั้ง CloudTrail จะสามารถบอกได้ว่า Backup API เป็นอย่างไร

8.) วิเคราะห์การตั้งค่าการ Backupองค์กรจำเป็นต้องตรวจตราให้แน่ใจว่า Backup Policy ตรงกับกฎข้อบังคับหรือไม่ แล้วก็จำเป็นต้องทำอย่างต่อเนื่อง ซึ่งควรจะติดตามผลของการตรวจดูได้อัตำหนิโนมัติ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีและ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากกลยุทธ์แบ็กอัพข้อมูล มีการทำหลายครั้งขนาดไหน

9.) ทดลองแนวทางกู้คืนข้อมูลว่าทำเป็นจริงควรจะมีการทดลองเพื่อให้ทราบว่า Recovery Point ใดที่สามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกคุ้มครองป้องกันไปยัง Recovery Point อัตโนมัติแม้กระนั้นในทางตรงกันข้ามจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรจะเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามกระบวรการ Replicate

อย่างไรก็ตามองค์กรจะต้องมี Workflow ง่ายๆสำหรับกู้คืนข้อมูลที่จะทำได้บ่อยเป็นต้นว่า การกู้ยืมคืนข้อมูลข้ามบัญชีหรือ Region จากการสำรองข้อมูลส่วนกลาง ถ้ามีการทดลองไม่บ่อยพอเพียงท่านบางทีอาจเจอข้อผิดพลาดของ KMS Encryption สำหรับในการข้ามบัญชีหรือ Region

10.) ใส่แผนเรื่อง Backup ลงสำหรับในการทำ Incident Responseแนวทางตอบสนองเหตุการณ์กลับตาลปัตรควรมีเรื่องการทดสอบ Backup ไว้ด้วย เพื่อจะได้รับรู้ว่าหากเกิดเหตุจริงจะมีขั้นตอนอย่างไรให้พร้อมจัดการ โดยท่านสามารถใช้ AWS Backup เพื่อลองการ Backup ระดับ Instance และก็ Volume โดยการ Snapshot ข้ามบัญชี ซึ่งข้อมูลนี้จะช่วยให้ทีมพิสูจน์หลักฐานปฏิบัติงานก้าวหน้าขึ้นตัวอย่างเช่น การเก็บ Disk จุดเกิดเหตุหรือรู้ Recovery Point ที่ลดผลกระทบจากการจู่โจม