REL 9: Was ist bei der Sicherung von Daten zu beachten?

Sichern Sie Daten, Anwendungen und Konfigurationen, um die Anforderungen im Hinblick auf das Recovery Time Objective (RTO, Wiederherstellungsdauer) und das Recovery Point Objective (RPO, Wiederherstellungszeitpunkt) zu erfüllen.

Ressourcen

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

Bewährte Methoden:

• Ermitteln und Sichern aller zu sichernden Daten oder Reproduzieren der Daten aus Quellen: Amazon S3 kann als Sicherungsziel für mehrere Datenquellen verwendet werden. AWS-Services wie Amazon EBS, Amazon RDS und Amazon DynamoDB verfügen über integrierte Funktionen zum Erstellen von Datensicherungen. Sicherungssoftware von Drittanbietern kann ebenfalls eingesetzt werden. Wenn die Daten zur Einhaltung des RPO aus anderen Quellen reproduziert werden können, ist möglicherweise keine Sicherung erforderlich.

• Schützen und Verschlüsseln von Sicherungen: Es ist wichtig, dass Sie Zugriffe anhand der Authentifizierung und Autorisierung etwa mit AWS IAM überwachen und mittels Verschlüsselung Verletzungen der Datenintegrität feststellen können.

• Automatische Datensicherung: Sie können die Sicherungen so konfigurieren, dass sie automatisch nach Zeitplan oder bei Änderungen am Datensatz durchgeführt werden. RDS-Instances, EBS-Volumes, DynamoDB-Tabellen und S3-Objekte können für die automatische Sicherung konfiguriert werden. Lösungen aus AWS Marketplace oder von Drittanbietern können ebenfalls verwendet werden.

• Verifizieren der Sicherungsintegrität und -verfahren durch regelmäßiges Wiederherstellen der Daten: Überprüfen Sie mit einem Wiederherstellungstest, ob sich mit Ihren Sicherungsverfahren das RTO und das RPO einhalten lassen.

Verbesserungsplan

Ermitteln und Sichern aller zu sichernden Daten oder Reproduzieren der Daten aus Quellen

Verstehen und Verwenden der Sicherungsfunktionen der von der Workload genutzten AWS-Services und -Ressourcen: AWS bietet Funktionen zum Sichern der Workload-Daten.
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

Erstellen von Snapshots verschlüsselter Amazon EC2 EBS-Volumes: Die Daten in Ihren Amazon EBS-Volumes können Sie in Amazon S3 sichern, indem Sie Point-in-Time-Snapshots erstellen. Bei Snapshots handelt es sich um inkrementelle Sicherungen. Das bedeutet, dass nur die Blöcke auf dem Gerät gespeichert werden, die sich seit dem letzten Snapshot geändert haben. Planen Sie Snapshots und legen Sie Ihren Anforderungen entsprechende Aufbewahrungsrichtlinien fest.

• Erstellen Sie mit AWS CloudFormation (oder dem vertrauenswürdigen Tool eines Drittanbieters) das EBS-Volume mit KMS-Verschlüsselung.
  AWS CloudFormation: AWS::EC2::Volume
• Erstellen regelmäßiger Snapshots: Bestimmen Sie einen Zeitplan und die entsprechenden Verfahren für die Erstellung regelmäßiger Snapshots von EBS-Volumes. Diese können je nach Anwendung variieren.
  Amazon EBS snapshots
  • Bestimmen Sie entsprechend Ihren Anforderungen hinsichtlich der Notfallwiederherstellung, wie diese Snapshots repliziert werden müssen.: Möglicherweise ist eine Replikation in anderen Konten oder AWS-Regionen erforderlich.
    Copying an Amazon EBS snapshot

Replizieren der Amazon EFS-Dateisysteme: AWS erstellt standardmäßig keine Snapshots von Amazon EFS-Dateisystemen. Planen Sie Snapshots, und legen Sie Ihren Anforderungen entsprechende Aufbewahrungsrichtlinien fest.

• Automatisieren einer EFS-zu-EFS-Sicherung
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• Erstellen Sie ein geplantes Ereignis, damit die Sicherungslösung bereitgestellt und ausgeführt wird.
  • Sobald die Datenkopie vorliegt, können Sie die Daten mithilfe der AWS-API oder der vertrauenswürdigen Lösung eines Drittanbieters zur längerfristigen Aufbewahrung in Amazon S3 kopieren.: Wenn die genutzte AWS-Region Amazon EFS nicht unterstützt, verwenden Sie AWS Data Pipeline.
    Backing up Amazon EFS file systems using AWS Data Pipeline

Erstellen von Snapshots verschlüsselter Amazon RDS-Instances: AWS erstellt standardmäßig täglich einen Snapshot und bewahrt diesen für die Dauer dieses Tages auf. Planen Sie Snapshots und legen Sie Ihren Anforderungen entsprechende Aufbewahrungsrichtlinien fest.

• Erstellen Sie mit AWS CloudFormation (oder dem vertrauenswürdigen Tool eines Drittanbieters) die RDS-Instance mit KMS-Verschlüsselung.
  AWS::RDS::DBInstance
• Legen Sie das gewünschte Sicherungsfenster, den Aufbewahrungszeitraum der Sicherungen, die KMS-Schlüssel-ID und Optionen für die Speicherverschlüsselung fest.
  • Bestimmen Sie entsprechend Ihren Anforderungen hinsichtlich der Notfallwiederherstellung, wie diese Snapshots repliziert werden müssen.
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

Erstellen von Snapshots der Amazon DynamoDB-Tabellen: AWS erstellt standardmäßig keine Snapshots von DynamoDB-Tabellen. Planen Sie Snapshots, und legen Sie Ihren Anforderungen entsprechende Aufbewahrungsrichtlinien fest.

• Erstellen Sie mithilfe von CloudFormation oder dem vertrauenswürdigen Tool eines Drittanbieters die DynamoDB-Tabelle und die zugehörigen TTL-Einstellungen, IAM-Richtlinien und CloudWatch-Alarme.: Richten Sie mit AWS CLI, AWS SDKs oder dem vertrauenswürdigen Tool eines Drittanbieters das DynamoDB Auto Scaling ein.
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• Erstellen Sie mithilfe der DynamoDB-API Sicherungen und stellen Sie diese wieder her.: Die Snapshots werden automatisch mit AWS-verwalteten Schlüsseln verschlüsselt.
  On-Demand Instance backup and restore for DynamoDB.
• Aktivieren Sie über die DynamoDB-API die Point-in-Time-Wiederherstellung.: Dadurch können Sie den Zustand zu einem beliebigen Zeitpunkt innerhalb der vergangenen 35 Tage wiederherstellen.
  Point-in-time recovery for DynamoDB

Kopieren der CloudWatch Logs-Protokolldateien zur Aufbewahrung und Archivierung in Amazon S3: AWS speichert CloudWatch Logs-Protokolldateien entsprechend Ihrer Aufbewahrungsrichtlinie. Wenn Sie die Protokolle zu Analyse-, Forensik- oder Archivierungszwecken länger benötigen, können Sie sie nach Amazon S3 exportieren.
Exporting log data to Amazon S3

• Erstellen Sie mit CloudFormation oder dem vertrauenswürdigen Tool eines Drittanbieters CloudWatch Logs-Protokollgruppen und legen Sie den Aufbewahrungszeitraum der Protokolle in Tagen fest.
  AWS::Logs::LogGroup
• Erstellen Sie das geplante Ereignis, um eine AWS Lambda-Funktion auszulösen, die die Protokolldaten mithilfe der GetLogEvents-API von CloudWatch Logs an Amazon S3 übermittelt.
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • Legen Sie die Lebenszyklusrichtlinie für den S3-Bucket fest, die greift, wenn die Protokolle zum Archivieren und späteren Löschen in Amazon S3 Glacier gespeichert werden.
    Object lifecycle management

Schützen und Verschlüsseln von Sicherungen

Verwenden von Verschlüsselung für jeden Datenspeicher: Wenn Ihre Quelldaten verschlüsselt sind, wird die Sicherung ebenfalls verschlüsselt.

• Aktivieren der Verschlüsselung in RDS: Beim Erstellen einer RDS-Instance können Sie die Verschlüsselung im Ruhezustand mit dem AWS Key Management Service konfigurieren.
  Encrypting Amazon RDS Resources
• Aktivieren der Verschlüsselung in EBS-Volumes: Bei der Erstellung von Volumes können Sie eine Standardverschlüsselung konfigurieren oder einen eindeutigen Schlüssel angeben.
  Amazon EBS Encryption
• Verwenden der erforderlichen Amazon DynamoDB-Verschlüsselung: DynamoDB verschlüsselt alle Daten im Ruhezustand. Sie können entweder einen AWS-eigenen Customer Master Key (CMK) oder einen AWS-verwalteten CMK verwenden und dabei einen Schlüssel angeben, der in Ihrem Konto gespeichert wird.
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• Verschlüsseln der in Amazon EFS gespeicherten Daten: Konfigurieren Sie die Verschlüsselung beim Erstellen des Dateisystems.
  Encrypting Data and Metadata in EFS
• Konfigurieren der Verschlüsselung in den Quell- und Zielregionen: Sie können die Verschlüsselung im Ruhezustand in S3 mit Schlüsseln konfigurieren, die in KMS gespeichert sind. Die Schlüssel sind jedoch regionsspezifisch. Die Zielschlüssel können Sie beim Konfigurieren der Replikation angeben.
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

Implementieren möglichst eingeschränkter Berechtigungen für den Zugriff auf die Sicherungen: Beschränken Sie den Zugriff auf die Sicherungen, Snapshots und Replikate entsprechend den bewährten Methoden für die Sicherheit.
Security Pillar: AWS Well-Architected

Automatische Datensicherung

Planen Sie mit AWS Backup die Sicherungen von unterstützten Services.: Bei AWS Backup handelt es sich um einen vollständig verwalteten Sicherungsservice, der die Zentralisierung und Automatisierung der Datensicherung für AWS-Services in der Cloud und vor Ort vereinfacht.
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• Erstellen von Sicherungsplänen: Ein Sicherungsplan ist eine Richtlinie, die festlegt, wann und wie AWS-Ressourcen gesichert werden sollen.
  Managing Backups Using AWS Backup Plans
• Erstellen von Sicherungstresoren: Bei einem Sicherungstresor handelt es sich um einen Container für die Organisation Ihrer Sicherungen.
  Organizing Backups Using AWS Backup Vaults
• Erstellen von Sicherungen: Eine Sicherung stellt den Inhalt von Ressourcen zu einem bestimmten Zeitpunkt dar.
  AWS Backup: Backups

Erstellen Sie ein EventBridge-Ereignis, das zur Durchführung der Sicherungen einen Step Function-Zustandsautomaten aufruft.: Sie können in AWS Step Functions einen Zustandsautomaten erstellen, der die Sicherungen koordiniert.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

Verifizieren der Sicherungsintegrität und -verfahren durch regelmäßiges Wiederherstellen der Daten

Beziehen Sie die Wiederherstellung in die Automatisierung der Sicherungen mit ein.: Sie können den Zustandsautomaten in AWS Step Functions so erweitern, um er die Wiederherstellung aller Systeme durchführt, für die Sie eine Sicherung erstellen.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language