REL 9: Como você faz backup dos dados?

Faça backup de dados, aplicativos e configurações para atender aos seus requisitos de Recovery Time Objective (RTO – Objetivo do tempo de recuperação) e de Recovery Point Objective (RPO – Objetivo do ponto de recuperação).

Recursos

What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Amazon S3: Protecting Data Using Encryption
Encryption for Backups in AWS
On-demand backup and restore for DynamoDB
EFS-to-EFS backup
AWS Marketplace: products that can be used for backup
APN Partner: partners that can help with backup

Melhores práticas:

• Identifique e faça backup de todos os dados que precisam ser incluídos no backup ou reproduza os dados das fontes: O Amazon S3 pode ser usado como destino de backup para várias fontes de dados. Os serviços da AWS, como Amazon EBS, Amazon RDS e Amazon DynamoDB, têm recursos integrados para criar backups. É possível também usar um software de backup de terceiros. Por outro lado, se os dados puderem ser reproduzidos de outras fontes para atender ao RPO, talvez você não precise de um backup

• Proteja e criptografe backups: Use a autenticação e a autorização, como o AWS IAM, para detectar acessos e use a criptografia para detectar o comprometimento da integridade dos dados.

• Execute o backup de dados automaticamente: Configure os backups para serem feitos automaticamente com base em uma programação periódica ou de acordo com as alterações feitas no conjunto de dados. É possível configurar instâncias do RDS, volumes do EBS, tabelas do DynamoDB e objetos do S3 para backup automático. É possível também usar soluções do AWS Marketplace ou de terceiros.

• Execute a recuperação periódica dos dados para verificar a integridade e os processos de backup: Execute um teste de recuperação para confirmar se a implementação do processo de backup atende aos seus objetivos do tempo de recuperação e de ponto de recuperação.

Plano de melhoria

Identifique e faça backup de todos os dados que precisam ser incluídos no backup ou reproduza os dados das fontes

Compreenda e use os recursos de backup dos serviços e recursos da AWS usados por sua carga de trabalho: A AWS oferece recursos para fazer backup dos dados da carga de trabalho
What Is AWS Backup?
Well-Architected lab: Level 200: Testing Backup and Restore of Data
Creating a DB Snapshot
Amazon EBS Snapshots
On-Demand Backup and Restore for DynamoDB
Creating a DB Cluster Snapshot in Neptune
Cross-Region Replication
Working with Amazon OpenSearch Service Index Snapshots
Backup and Restore for ElastiCache for Redis
Backing Up Amazon EFS
Exporting Log Data to Amazon S3

Tire snapshots dos volumes criptografados do Amazon EC2 EBS: Você pode fazer backup dos dados nos volumes do Amazon EBS para o Amazon S3 por meio de snapshots point-in-time. Os snapshots são backups incrementais, o que significa que apenas os blocos no dispositivo que foram alterados após o snapshot mais recente são salvos. Configure cronogramas de snapshots e políticas de retenção que atendam aos seus requisitos.

• Use o AWS CloudFormation (ou um provedor terceirizado confiável) para criar o volume do EBS com criptografia KMS.
  AWS CloudFormation: AWS::EC2::Volume
• Tire snapshots regulares: Determine a programação e os processos apropriados para tirar snapshots regulares dos volumes do EBS. Isso pode variar dependendo do aplicativo.
  Amazon EBS snapshots
  • Determine se é necessário replicar esses snapshots, de acordo com os requisitos de recuperação de desastres.: Talvez seja necessário replicá-los para outras contas ou regiões da AWS
    Copying an Amazon EBS snapshot

Replique seus sistemas de arquivos do Amazon EFS: Por padrão, AWS não tira snapshots de sistemas de arquivos do Amazon EFS. Configure cronogramas de snapshots e políticas de retenção que atendam aos seus requisitos.

• Automatize um backup entre os serviços EFS
  EFS-to-EFS AWS Backup
  Using AWS Backup with Amazon EFS
• Crie um evento programado que acione a implantação e a execução da solução de backup.
  • Depois que você tiver a cópia, poderá usar as operações de API da AWS (ou uma solução confiável de terceiros) para copiar os dados no Amazon S3 e aumentar a durabilidade: Se a região da AWS em uso não for compatível com o Amazon EFS, use o AWS Data Pipeline.
    Backing up Amazon EFS file systems using AWS Data Pipeline

Tire snapshots das instâncias criptografadas do Amazon RDS: Por padrão, a AWS tira um snapshot por dia e o mantém durante aquele dia. Configure cronogramas de snapshots e políticas de retenção que atendam aos seus requisitos.

• Use o AWS CloudFormation (ou um provedor terceirizado confiável) para criar a instância do RDS com criptografia KMS.
  AWS::RDS::DBInstance
• Defina a janela de backup preferida, o período de retenção de backup, o ID da chave KMS e as opções de criptografia de armazenamento.
  • Determine se é necessário replicar esses snapshots, de acordo com os requisitos de recuperação de desastres.
    Encrypting Amazon RDS resources
    How Amazon Relational Database Service (Amazon RDS) uses AWS KMS

Tire snapshots das tabelas do Amazon DynamoDB: Por padrão, a AWS não tira snapshots das tabelas do DynamoDB. Configure cronogramas de snapshots e políticas de retenção que atendam aos seus requisitos.

• Use o CloudFormation ou um provedor terceirizado confiável para criar uma tabela do DynamoDB e suas configurações TTL, políticas do IAM e alarmes do CloudWatch associados: Use a CLI da AWS, os SDKs da AWS ou um provedor terceirizado confiável para criar um Auto Scaling do DynamoDB.
  AWS::DynamoDB::Table
  Using the AWS CLI to manage DynamoDB automatic scaling
  Application programming with DynamoDB automatic scaling
• Use as operações de API do DynamoDB para criar backups e restaurá-los: O snapshot é criptografado automaticamente por meio de chaves gerenciadas pela AWS.
  On-Demand Instance backup and restore for DynamoDB.
• Use as operações de API do DynamoDB para habilitar a recuperação point-in-time: Isso permite a restauração para qualquer momento nos últimos 35 dias.
  Point-in-time recovery for DynamoDB

Copie os arquivos de log no CloudWatch Logs para o Amazon S3 para retenção e arquivamento: A AWS armazena os arquivos de log do CloudWatch Logs pelo tempo especificado na política de retenção. Se você precisar dos logs por mais tempo para estudos analíticos comuns, análise forense e arquivamento, exporte-os para o Amazon S3.
Exporting log data to Amazon S3

• Use o CloudFormation ou um provedor terceirizado confiável para criar os grupos de logs do CloudWatch Logs e o período de retenção associado em dias.
  AWS::Logs::LogGroup
• Crie o evento programado para invocar uma função do AWS Lambda que usará a API GetLogEvents do CloudWatch Logs e salve os dados do log no Amazon S3.
  Creating an EventBridge Rule That Triggers on a Schedule
  Using AWS Lambda with scheduled events
  Exporting log data to Amazon S3
  • Especifique a política de ciclo de vida do bucket do S3, que define quando os logs serão armazenados no Amazon S3 Glacier para arquivamento e eventual exclusão.
    Object lifecycle management

Proteja e criptografe backups

Use a criptografia em cada um dos seus datastores: Se os dados de origem forem criptografados, o backup também será.

• Habilitar a criptografia no RDS: Você pode configurar a criptografia em repouso por meio do AWS Key Management Service ao criar uma instância do RDS.
  Encrypting Amazon RDS Resources
• Habilitar a criptografia nos volumes do EBS: Você pode configurar a criptografia padrão ou especificar uma chave exclusiva após a criação do volume.
  Amazon EBS Encryption
• Use a criptografia necessária do Amazon DynamoDB: O DynamoDB criptografa todos os dados em repouso. Você pode usar uma Customer Master Key (CMK – Chave mestra de cliente) de propriedade da AWS ou uma CMK gerenciada pela AWS, especificando uma chave que seja armazenada na sua conta.
  DynamoDB Encryption at Rest
  Managing Encrypted Tables
• Criptografe seus dados armazenados no Amazon EFS: Configure a criptografia ao criar seu sistema de arquivos.
  Encrypting Data and Metadata in EFS
• Configure a criptografia nas regiões de origem e de destino: Você pode configurar a criptografia em repouso no S3 usando as chaves armazenadas no KMS, mas as chaves são específicas da região. Você pode especificar as chaves de destino ao configurar a replicação.
  CRR Additional Configuration: Replicating Objects Created with Server-Side Encryption (SSE) Using Encryption Keys stored in AWS KMS

Implementar permissões de privilégio mínimo para acessar seus backups: Siga as melhores práticas para limitar o acesso aos backups, aos snapshots e às réplicas de acordo com as melhores práticas de segurança.
Security Pillar: AWS Well-Architected

Execute o backup de dados automaticamente

Use o AWS Backup para programar backups de serviços compatíveis.: O AWS Backup é um serviço de backup totalmente gerenciado que facilita a centralização e a automatização do backup de dados de todos os serviços da AWS na nuvem e no local.
What Is AWS Backup?
AWS re:Invent 2019: Deep dive on AWS Backup, ft. Rackspace (STG341)

• Crie planos de backup: Um plano de backup é uma expressão de política que define quando e como você deseja fazer backup de seus recursos da AWS.
  Managing Backups Using AWS Backup Plans
• Crie cofres de backup: Um cofre de backup é um contêiner para organizar seus backups.
  Organizing Backups Using AWS Backup Vaults
• Crie backups: Um backup representa o conteúdo dos recursos em um horário especificado.
  AWS Backup: Backups

Crie um evento do EventBridge que invoque uma máquina de estado do Step Functions para executar seus backups.: Você pode criar uma máquina de estado no AWS Step Functions para coordenar seus backups.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language

Execute a recuperação periódica dos dados para verificar a integridade e os processos de backup

Inclua a restauração na automação dos seus backups.: Você pode estender sua máquina de estado no AWS Step Functions para executar a restauração de cada um dos sistemas em que você faz um backup.
Creating an EventBridge Rule That Triggers on a Schedule
What Is AWS Step Functions?
Amazon States Language