REL 9: In che modo eseguire il backup dei dati?

Esegui il backup dei dati, delle applicazioni e della configurazione per soddisfare i tuoi requisiti relativi agli obiettivi di tempo di ripristino (recovery time objective, RTO) e agli obiettivi di punto di ripristino (recovery point objective, RPO).

Risorse

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

Best practice:

• Identificazione di tutti i dati di cui è necessario eseguire il backup oppure riprodurre dei dati dalle origini : Amazon S3 può essere utilizzato come destinazione di backup per più origini dati. I servizi AWS come Amazon EBS, Amazon RDS e Amazon DynamoDB hanno funzionalità integrate per la creazione di backup. È anche possibile utilizzare software di backup di terze parti. In alternativa, se per soddisfare gli RPO è possibile riprodurre i dati da altre origini, il backup potrebbe non essere necessario.

• Protezione e codifica dei backup: Rileva l'accesso tramite autenticazione e autorizzazione, ad esempio AWS IAM, e individua un'eventuale compromissione dell'integrità dei dati utilizzando la crittografia.

• Esecuzione del backup dei dati in automatico: Configura i backup in modo che vengano eseguiti automaticamente in base a una pianificazione periodica o mediante modifiche nel set di dati. Le istanze RDS, i volumi EBS, le tabelle DynamoDB e gli oggetti S3 possono essere configurati per il backup automatico. È anche possibile utilizzare soluzioni AWS Marketplace o soluzioni di terze parti.

• Esegui periodicamente il ripristino dei dati per verificare l'integrità e i processi di backup: Esegui un test di ripristino per verificare che l'implementazione del processo di backup soddisfi gli obiettivi di tempo di ripristino (recovery time objective, RTO) e gli obiettivi di punto di ripristino (recovery point objective, RPO).

Piano di miglioramento

Identificazione di tutti i dati di cui è necessario eseguire il backup oppure riprodurre dei dati dalle origini

Scopri e utilizza le funzionalità di backup dei servizi e delle risorse AWS utilizzati dal carico di lavoro: AWS offre funzionalità per eseguire il backup dei dati del carico di lavoro
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

Creazione di snapshot dei volumi Amazon EC2 EBS crittografati: È possibile eseguire il backup dei dati nei volumi Amazon EBS in Amazon S3 creando snapshot point-in-time. Gli snapshot sono backup incrementali, il che significa che vengono salvati solo i blocchi sul dispositivo che sono stati modificati dopo lo snapshot più recente. Configura la pianificazione e le policy di conservazione degli snapshot in base ai tuoi requisiti.

• Utilizza AWS CloudFormation (o un fornitore terzo affidabile) per creare il volume EBS con crittografia KMS.
  AWS CloudFormation: AWS::EC2::Volume
• Creazione di snapshot periodici: Determina la pianificazione e i processi appropriati per creare snapshot periodici dei volumi EBS. Questi aspetti possono variare in base all'applicazione.
  Amazon EBS snapshots
  • Determina la necessità di replicare gli snapshot in base ai requisiti stabiliti per il disaster recovery.: Può essere necessario riprodurli in altri account o regioni AWS.
    Copying an Amazon EBS snapshot

Replica dei file system di Amazon EFS: Per impostazione predefinita, AWS non crea snapshot dei file system di Amazon EFS. Configura la pianificazione e le policy di conservazione degli snapshot in base ai tuoi requisiti.

• Automatizza un backup da EFS a EFS
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• Crea un evento pianificato per far sì che la soluzione di backup venga distribuita ed eseguita.
  • Una volta ottenuta la copia, puoi utilizzare le operazioni dell'API AWS (o una soluzione affidabile di terze parti) per copiare i dati in Amazon S3, così da garantire una maggiore durabilità. : Se la tua regione AWS non supporta Amazon EFS, utilizza AWS Data Pipeline.
    Backing up Amazon EFS file systems using AWS Data Pipeline

Creazione di snapshot delle istanze di Amazon RDS crittografate: Per impostazione predefinita, AWS crea e conserva ogni giorno uno snapshot. Configura la pianificazione e le policy di conservazione degli snapshot in base ai tuoi requisiti.

• Utilizza AWS CloudFormation (o un fornitore terzo affidabile) per creare l'istanza RDS con crittografia KMS.
  AWS::RDS::DBInstance
• Configura la finestra di backup preferita, il periodo di conservazione del backup, l'ID della chiave KMS e le opzioni di crittografia dello storage.
  • Determina la necessità di replicare gli snapshot in base ai requisiti stabiliti per il disaster recovery.
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

Creazione di snapshot delle tabelle di Amazon DynamoDB: Per impostazione predefinita, AWS non crea snapshot delle tabelle di DynamoDB. Configura la pianificazione e le policy di conservazione degli snapshot in base ai tuoi requisiti.

• Utilizza CloudFormation o un provider affidabile di terze parti per creare la tua tabella DynamoDB e le relative impostazioni TTL, le policy IAM e gli avvisi CloudWatch.: Utilizza la CLI o gli SDK di AWS o un fornitore terzo affidabile per creare l'Auto Scaling di DynamoDB.
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• Utilizza le operazioni dell'API DynamoDB per creare e ripristinare i backup: Lo snapshot viene crittografato in automatico mediante chiavi gestite da AWS.
  On-Demand Instance backup and restore for DynamoDB.
• Utilizza le operazioni dell'API DynamoDB per attivare il ripristino point-in-time: In questo modo è possibile tornare a qualsiasi momento degli ultimi 35 giorni.
  Point-in-time recovery for DynamoDB

Copia dei file di log in CloudWatch Logs su Amazon S3 a fini di conservazione e archiviazione: AWS memorizza i file di log di CloudWatch Logs per il periodo da te specificato nella policy di conservazione. Se desideri conservare i log più a lungo per motivi di analisi, di archiviazione o legali, puoi esportarli in Amazon S3.
Exporting log data to Amazon S3

• Utilizza CloudFormation o un fornitore terzo affidabile per creare gruppi di log di CloudWatch Logs e il relativo periodo di conservazione espresso in giorni.
  AWS::Logs::LogGroup
• Crea l'evento pianificato per richiamare una funzione di AWS Lambda che utilizzerà l'API CloudWatch Logs GetLogEvents esportando i dati dei log in Amazon S3.
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • Specifica la policy relativa al ciclo di vita nel bucket S3 per quando i log verranno immessi in Amazon S3 Glacier per l'archiviazione e la successiva cancellazione.
    Object lifecycle management

Protezione e codifica dei backup

Utilizzo della crittografia su ciascuno dei datastore: Se i dati di origine sono crittografati, lo sarà anche il backup.

• Abilitazione della crittografia in RDS: Puoi configurare la crittografia dei dati inattivi utilizzando AWS Key Management Service al momento della creazione di un'istanza RDS.
  Encrypting Amazon RDS Resources
• Abilitazione della crittografia sui volumi EBS: Puoi configurare la crittografia predefinita o specificare una chiave univoca al momento della creazione del volume.
  Amazon EBS Encryption
• Utilizzo della crittografia di Amazon DynamoDB richiesta: DynamoDB codifica tutti i dati inattivi. Puoi utilizzare una chiave master cliente (customer master key, CMK) di proprietà di AWS o una CMK gestita da AWS, specificando una chiave archiviata nel tuo account.
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• Codifica dei dati archiviati in Amazon EFS: Configura la crittografia al momento della creazione del file system.
  Encrypting Data and Metadata in EFS
• Configura la crittografia nelle regioni di origine e di destinazione: Puoi configurare la crittografia dei dati inattivi in S3 utilizzando le chiavi archiviate in KMS, ma le chiavi sono specifiche per regione. Puoi specificare le chiavi di destinazione quando configuri la replica.
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

Implementazione delle autorizzazioni con privilegi minimi per accedere ai backup: Segui le best practice per limitare l'accesso a backup, snapshot e repliche in conformità con le best practice di sicurezza.
Security Pillar: AWS Well-Architected

Esecuzione del backup dei dati in automatico

Utilizza AWS Backup per pianificare i backup dei servizi supportati.: AWS Backup è un servizio di backup completamente gestito che semplifica la centralizzazione e l'automazione del backup dei dati tra i servizi AWS nel cloud e in locale.
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• Creazione di piani di backup: Un piano di backup è un'espressione di policy che definisce quando e come desideri eseguire il backup delle risorse AWS.
  Managing Backups Using AWS Backup Plans
• Creazione di vault di backup: Un vault di backup è un container per organizzare i backup.
  Organizing Backups Using AWS Backup Vaults
• Creazione di backup: Un backup rappresenta il contenuto delle risorse in un momento specificato.
  AWS Backup: Backups

Crea un evento EventBridge che richiama una macchina a stati Step Function per eseguire i backup.: In AWS Step Functions puoi creare una macchina a stati che coordini i tuoi backup.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

Esegui periodicamente il ripristino dei dati per verificare l'integrità e i processi di backup

Includi il ripristino nell'automazione dei backup.: Puoi estendere la tua macchina a stati in AWS Step Functions affinché effettui il ripristino di ciascuno dei sistemi in cui esegui un backup.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language