REL 9: ¿Cómo realiza las copias de seguridad de los datos?

Realice copias de seguridad de los datos, las aplicaciones y las configuraciones a fin de cumplir con los requisitos de los objetivos de tiempo de recuperación (RTO) y los objetivos de puntos de recuperación (RPO).

Recursos

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

Prácticas recomendadas:

• Identifique todos los datos y haga una copia de seguridad de aquellos que la necesitan o reproduzca los datos desde sus orígenes: Amazon S3 se puede utilizar como destino de copia de seguridad para múltiples orígenes de datos. Los servicios de AWS como Amazon EBS, Amazon RDS y Amazon DynamoDB poseen capacidades integradas de creación de copias de seguridad. También se puede utilizar software de copia de seguridad de terceros. Otra alternativa es que, si los datos se pueden reproducir desde otros orígenes para cumplir con los RPO, tal vez no sea necesario hacer una copia de seguridad de ellos

• Proteja y cifre las copias de seguridad: Detecte el acceso mediante la autenticación y autorización, como IAM de AWS y detecte el riesgo de la integridad de los datos mediante el cifrado.

• Realice copias de seguridad de los datos de manera automática: Configure las copias de seguridad, de modo que se realicen de manera automática en función de un programa periódico o debido a los cambios en el conjunto de datos. Configure las instancias de RDS, los volúmenes de EBS, las tablas de DynamoDB y los objetos de S3 para que se realice una copia de seguridad automática de ellos. También se pueden utilizar las soluciones de AWS Marketplace o de terceros.

• Realice la recuperación periódica de los datos para verificar la integridad y los procesos de la copia de seguridad: Mediante una prueba de recuperación, corrobore que la implementación del proceso de copia de seguridad cumpla con sus objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO).

Plan de mejora

Identifique todos los datos y haga una copia de seguridad de aquellos que la necesitan o reproduzca los datos desde sus orígenes

Comprender y usar las capacidades de copia de seguridad de los servicios y recursos de AWS que utiliza su carga de trabajo: AWS proporciona capacidades para que pueda hacer copias de seguridad de los datos de la carga de trabajo
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

Tome instantáneas de sus volúmenes cifrados de Amazon EC2 EBS: Puede hacer una copia de seguridad de los datos de sus volúmenes de Amazon EBS en Amazon S3 si toma instantáneas en un punto en el tiempo. Las instantáneas son copias de seguridad incrementales, es decir, solo se guardan en el dispositivo los bloques que han cambiado después de la instantánea más reciente. Configure la programación de las instantáneas y las políticas de conservación que cumplan con sus requisitos.

• Utilice AWS CloudFormation (o un proveedor externo de confianza) para crear su volumen EBS con cifrado KMS.
  AWS CloudFormation: AWS::EC2::Volume
• Tome instantáneas en intervalos regulares: Determine la programación y los procesos adecuados para tomar instantáneas regulares de los volúmenes de EBS. Esto puede cambiar en función de la aplicación.
  Amazon EBS snapshots
  • Determine la necesidad de replicar estas instantáneas en función de sus requisitos de recuperación ante desastres.: Es posible que necesite replicarlas en otras cuentas o regiones de AWS
    Copying an Amazon EBS snapshot

Replique sus sistemas de archivos EFS de Amazon: AWS no toma instantáneas de los sistemas de archivos EFS de Amazon de forma predeterminada. Configure la programación de las instantáneas y las políticas de conservación que cumplan con sus requisitos.

• Automatice un EFS para realizar una copia de seguridad del EFS
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• Cree un evento programado para implementar y ejecutar la solución de copia de seguridad.
  • Después de generar la copia, use las operaciones de la API de AWS (o una solución externa de confianza) para copiar los datos a Amazon S3 para una mayor durabilidad: Si la región de AWS que utiliza no es compatible con Amazon EFS, use AWS Data Pipeline.
    Backing up Amazon EFS file systems using AWS Data Pipeline

Tome instantáneas de sus instancias cifradas de Amazon RDS: De manera predeterminada, AWS toma una instantánea cada día y la conserva ese día. Configure la programación de las instantáneas y las políticas de conservación que cumplan con sus requisitos.

• Utilice AWS CloudFormation (o un proveedor externo de confianza) para crear su instancia RDS con cifrado KMS.
  AWS::RDS::DBInstance
• Establezca la ventana de copia de seguridad preferida, el periodo de conservación de la copia de seguridad, el ID de la clave KMS y las opciones de cifrado de almacenamiento.
  • Determine la necesidad de replicar estas instantáneas en función de sus requisitos de recuperación ante desastres.
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

Tome instantáneas de sus tablas de Amazon DynamoDB: AWS no toma instantáneas de las tablas de DynamoDB de forma predeterminada. Configure la programación de las instantáneas y las políticas de conservación que cumplan con sus requisitos.

• Use CloudFormation o un proveedor externo de confianza para crear su tabla DynamoDB y sus configuraciones TTL asociadas, políticas de IAM y alarmas de CloudWatch: Use la CLI o los SDK de AWS o un proveedor externo de confianza para crear su Auto Scaling de DynamoDB.
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• Use las operaciones de la API DynamoDB para crear copias de seguridad y restaurarlas: La instantánea se cifra automáticamente con claves administradas por AWS.
  On-Demand Instance backup and restore for DynamoDB.
• Use las operaciones de la API de DynamoDB para llevar a cabo la recuperación en un punto en el tiempo: Esto le permite restaurar a cualquier momento en los últimos 35 días.
  Point-in-time recovery for DynamoDB

Copie los archivos de registro de CloudWatch Logs en Amazon S3 para conservarlos y archivarlos: AWS almacena los archivos de registro de CloudWatch Logs durante el tiempo que especifique en la política de conservación. Si necesita los registros por más tiempo para realizar análisis, exámenes forenses y archivarlos, puede exportarlos a Amazon S3.
Exporting log data to Amazon S3

• Use CloudFormation o un proveedor externo de confianza para crear los grupos de registro de CloudWatch Logs y su periodo de conservación asociado en días.
  AWS::Logs::LogGroup
• Cree el evento programado para invocar una función de AWS Lambda que utilizará la API GetLogEvents de CloudWatch Logs y colocará los datos de registro en Amazon S3.
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • Especifique la política sobre ciclo de vida para el bucket de S3 en torno al momento en que los registros se colocarán en Amazon S3 Glacier para archivarlos y posiblemente eliminarlos.
    Object lifecycle management

Proteja y cifre las copias de seguridad

Utilice el cifrado en cada uno de sus almacenes de datos: Si sus datos de origen están cifrados, la copia de seguridad también lo estará.

• Implemente el cifrado en RDS: Cuando crea una instancia de RDS, puede configurar el cifrado en reposo con AWS Key Management Service.
  Encrypting Amazon RDS Resources
• Implemente el cifrado en los volúmenes de EBS: Puede configurar el cifrado predeterminado o especificar una clave única al crear el volumen.
  Amazon EBS Encryption
• Use el cifrado de Amazon DynamoDB requerido: DynamoDB cifra todos los datos en reposo. Puede usar una clave maestra de cliente (CMK) de AWS o una CMK administrada por AWS, si especifica una clave que se almacena en su cuenta.
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• Cifre sus datos almacenados en EFS de Amazon: Configure el cifrado cuando cree su sistema de archivos.
  Encrypting Data and Metadata in EFS
• Configure el cifrado en las regiones de origen y destino: Puede configurar el cifrado en reposo en S3 con claves almacenadas en KMS, pero las claves son específicas de la región. Puede especificar las claves de destino cuando configura la replicación.
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

Implemente los permisos de mínimo privilegio para acceder a las copias de seguridad: Siga las prácticas recomendadas para limitar el acceso a las copias de seguridad, instantáneas y réplicas de acuerdo con las prácticas recomendadas de seguridad.
Security Pillar: AWS Well-Architected

Realice copias de seguridad de los datos de manera automática

Use AWS Backup para programar sus copias de seguridad de los servicios compatibles.: AWS Backup es un servicio de copias de seguridad completamente administrado que facilita la tarea de centralizar y automatizar la copia de seguridad de los datos en los servicios de AWS en la nube y en las instalaciones.
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• Cree planes de copia de seguridad: Un plan de copia de seguridad es una expresión de política que define cuándo y cómo desea hacer una copia de seguridad de sus recursos de AWS.
  Managing Backups Using AWS Backup Plans
• Cree almacenes de copia de seguridad: Un almacen de copia de seguridad es un contenedor donde se organizan sus copias de seguridad.
  Organizing Backups Using AWS Backup Vaults
• Cree copias de seguridad: Una copia de seguridad representa el contenido de los recursos en un momento específico.
  AWS Backup: Backups

Para realizar sus copias de seguridad, cree un evento de EventBridge que invoque una máquina de estado de Step Functions.: Puede crear una máquina de estado en AWS Step Functions que coordine sus copias de seguridad.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

Realice la recuperación periódica de los datos para verificar la integridad y los procesos de la copia de seguridad

En la automatización de sus copias de seguridad incluya la restauración.: Puede ampliar su máquina de estado en AWS Step Functions para restaurar cada uno de los sistemas en los que realiza una copia de seguridad.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language