NAKIVO > Blog > Cloud

Najlepsze rozwiązania dotyczące bezpieczeństwa w AWS Backup

Updated: 7 maja, 2026

Autor:: Zespół NAKIVO

AWS oferuje szereg produktów chmurowych do przetwarzania danych, przechowywania, analizy itp. Dwa z tych produktów są często wykorzystywane przez organizacje do tworzenia kopii zapasowych: Amazon S3 do przechowywania obiektów w chmurze oraz Amazon Elastic Block Store (EBS) do przechowywania woluminów EC2 i ich kopii zapasowych.

Platformy magazynu-chmury idealnie nadają się do wdrożenia podejścia 3-2-1 do ochrony danych. AWS to też świetny wybór zarówno pod względem zasobów pamięci masowej, jak i mocy obliczeniowej, bo zapewnia wyjątkową dostępność i odporność dzięki georedundancji w różnych regionach geograficznych. Nie musisz się martwić, że katastrofa dotknie Twój region i zagrozi centrum danych; kopie Twoich danych są rozrzucone po całym świecie.

Jednak w obliczu szybko ewoluujących nowych cyberzagrożeń ważne jest, aby zrozumieć, w jaki sposób można wdrożyć najlepsze rozwiązania AWS w zakresie bezpieczeństwa kopii zapasowych w chmurze, aby zmniejszyć potencjalne ryzyko po stronie organizacji, ponieważ większość incydentów bezpieczeństwa w chmurze wynika z winy klienta, a nie dostawcy usług w chmurze. Przeczytaj ten post, aby dowiedzieć się więcej o wszystkich opcjach bezpieczeństwa dla różnych produktów pamięci masowej AWS i o tym, jak z nich skorzystać.

NAKIVO do wykonywania kopii zapasowej AWS EC2

NAKIVO do wykonywania kopii zapasowej AWS EC2

Tworzenie kopii zapasowej instancji Amazon EC2 na platformie EC2, w usłudze AWS S3 oraz na miejscu. Ochrona przed oprogramowaniem wymuszającym okup. Szybkie odzyskiwanie instancji i obiektów aplikacji.

ODKRYJ ROZWIĄZANIE

Model wspólnej odpowiedzialności AWS

Niezależnie od tego, czy korzystasz z opcji magazynu-chmury w AWS, czy też przenosisz całą infrastrukturę do Amazon EC2, powinieneś zapoznać się z modelem wspólnej odpowiedzialności AWS, aby zrozumieć, kto odpowiada za bezpieczeństwo kopii zapasowej w AWS. Część odpowiedzialności spoczywa na dostawcy usług w chmurze, zwłaszcza w zakresie bezpieczeństwa i dostępności platformy chmurowej. Jednak ochrona przed wieloma innymi zagrożeniami dla Twoich obciążeń i danych nadal leży w zakresie Twojej odpowiedzialności, czyli klienta.

Podobnie jak w przypadku większości dostawców usług w chmurze, odpowiedzialność za bezpieczeństwo danych jest dzielona między AWS a klientem chmury. Jako dostawca usług w chmurze, Amazon przyjmuje na siebie odpowiedzialność za bezpieczeństwo infrastruktury AWS. Bezpieczeństwo platformy ma kluczowe znaczenie dla ochrony krytycznych danych i aplikacji klientów. AWS wykrywa przypadki oszustw i nadużyć, powiadamiając swoich klientów o tych incydentach.

Tymczasem klienci są odpowiedzialni za konfiguracje zabezpieczeń produktów, z których korzystają w AWS. Muszą upewnić się, że dostęp do wrażliwych danych z wewnątrz lub z zewnątrz organizacji jest odpowiednio ograniczony oraz że stosują zalecane zasady ochrony danych.

AWS shared responsibility model Customer and vendor responsibilities

Opcje pamięci masowej AWS Backup

AWS oferuje 2 główne platformy chmurowe: Amazon S3 i Amazon EC2 w różnych przypadkach użycia. Produkt obliczeniowy Amazon EC2 opiera się na platformie pamięci masowej Elastic Block Store (EBS).

  • Amazon Simple Storage Service lub Amazon S3 to platforma pamięci obiektowej zaprojektowana do przechowywania danych z dowolnego źródła – na przykład z aplikacji internetowych lub mobilnych, stron internetowych lub danych z czujników IoT (Internetu rzeczy). Jest to również bardzo popularna opcja jako miejsce docelowe dla kopii zapasowych i kopii zapasowych maszyn wirtualnych oraz instancji Amazon EC2.
Jeśli chodzi o bezpieczeństwo i zgodność z przepisami, S3 wykazuje potężne możliwości spełnienia nawet najsurowszych wymagań regulacyjnych. Amazon S3 oferuje prostą i wygodną platformę magazynu-chmury do wdrażania Podejście 3-2-1 do ochrony danych, umożliwiającą przechowywanie kopii krytycznych danych zdalnie.

AWS backup storage options Creating backup copies to the cloud

  • Amazon Elastic Block Store (EBS) został zaprojektowany przez Amazon w celu zapewnienia trwałych woluminów pamięci blokowej dla obciążeń w Amazon Elastic Cloud (Amazon EC2).
Woluminy EBS są automatycznie replikowane w kilku centrach danych w określonym regionie, co w AWS nazywa się strefami dostępności. Technologia ta chroni dane przed awariami w centrum danych obsługiwanym przez Amazon, zapewniając tym samym bardzo wysoką dostępność (99,999% według Amazon). Woluminy EBS umożliwiają uruchamianie obciążeń w sposób spójny i przy niskim opóźnieniu, co pozwala na skalowanie w górę (lub w dół) obciążenia infrastruktury w ciągu kilku minut.

Te dwie opcje przechowywania kopii zapasowych często można połączyć w ramach strategii tworzenia kopii zapasowych dla instancji Amazon EC2: Można wysyłać kopie zapasowe instancji do Amazon EBS i tworzyć kopię zapasową do usługi Amazon S3 w celu zwiększenia niezawodności.

AWS backup best practices - combining EBS and S3 storage to protect EC2 instances

Najlepsze rozwiązania dotyczące bezpieczeństwa w chmurze AWS w zakresie kopii zapasowych

Chociaż istnieje szeroka gama usług AWS, głównymi z nich są Elastic Compute Cloud (EC2), Amazon S3 oraz Amazon Virtual Private Cloud (VPC), izolowana chmura prywatna hostowana w chmurze publicznej.

Jak wspomniano, model wspólnej odpowiedzialności nakłada na klienta pełną odpowiedzialność za konfigurację zabezpieczeń. Aby zapewnić nienaruszalność i ochronę danych w AWS, należy stosować najlepsze rozwiązania w 5 kluczowych obszarach:

  • Monitorowanie bezpieczeństwa
  • Bezpieczeństwo konta
  • Konfiguracja zabezpieczeń
  • Zarządzanie nieaktywnymi podmiotami
  • Ograniczenia dostępu

Należy również rozważyć wdrożenie najlepszych rozwiązań bezpieczeństwa AWS dla każdej konkretnej usługi Amazon:

  • Amazon S3
  • Amazon EC2
  • Amazon VPC

Monitorowanie bezpieczeństwa

Monitorowanie bezpieczeństwa jest jednym z głównych najlepszych rozwiązań bezpieczeństwa AWS, ponieważ pozwala na wykrywanie podejrzanych zdarzeń w odpowiednim czasie i proaktywne rozwiązywanie problemów związanych z ochroną danych.

  1. Włączanie CloudTrail. Usługa CloudTrail generuje logi dla wszystkich usług internetowych Amazon, w tym tych, które nie są specyficzne dla regionu, takich jak IAM, CloudFront itp.
  2. Korzystanie z walidacji plików logów CloudTrail. Ta funkcja stanowi dodatkową warstwę ochrony integralności plików dziennika. Po włączeniu weryfikacji plików dziennika wszelkie zmiany wprowadzone w pliku dziennika po dostarczeniu go do zasobnika Amazon S3 są identyfikowalne.
  3. Włączanie rejestrowania wieloregionalnego w CloudTrail. CloudTrail udostępnia historię wywołań interfejsu API AWS, co pozwala analitykom bezpieczeństwa śledzić zmiany w środowisku AWS, przeprowadzać audyty zgodności, badać incydenty oraz upewniać się, że przestrzegane są najlepsze rozwiązania bezpieczeństwa w AWS. Włączając usługę CloudTrail we wszystkich regionach, organizacje mogą wykrywać nieoczekiwane lub podejrzane działania w regionach, które w innym przypadku pozostawałyby niewykorzystane.
  4. Integracja usługi CloudTrail z CloudWatch. Komponent CloudWatch zapewnia ciągłe monitorowanie plików dziennika z instancji EC2, usługi CloudTrail i innych źródeł. CloudWatch może również gromadzić i śledzić wskaźniki, pomagając w szybkim wykrywaniu zagrożeń. Integracja ta umożliwia rejestrowanie aktywności w czasie rzeczywistym oraz historycznej w odniesieniu do użytkownika, interfejsu API, zasobu i adresu IP. Można skonfigurować alarmy i powiadomienia dotyczące nietypowej lub podejrzanej aktywności na koncie.
  5. Włączanie rejestrowania dostępu do zasobników CloudTrail S3. Ta funkcja ma na celu zapobieganie głębszej penetracji zasobników CloudTrail S3 przez atakujących. Logi te zawierają dane logów przechwycone przez CloudTrail, które są wykorzystywane do monitorowania aktywności i badania incydentów. Należy pozostawić włączone rejestrowanie dostępu dla zasobników CloudTrail S3. Pozwala to na śledzenie żądań dostępu i szybkie wykrywanie prób nieautoryzowanego dostępu.
  6. Włączanie rejestrowania dostępu dla Elastic Load Balancer (ELB). Włączenie rejestrowania dostępu ELB pozwala ELB na rejestrowanie i zapisywanie informacji o każdym żądaniu TCP lub HTTP. Dane te mogą być niezwykle przydatne dla specjalistów ds. bezpieczeństwa i rozwiązywania problemów. Na przykład dane z logów ELB mogą być przydatne podczas analizowania wzorców ruchu, które mogą wskazywać na określone rodzaje ataków.
  7. Włączanie logowania audytowego Redshift. Amazon Redshift to usługa AWS, która rejestruje szczegóły dotyczące działań użytkowników, takich jak zapytania i połączenia nawiązywane w bazie danych. Włączając Redshift, można przeprowadzać audyty i wspierać śledztwa kryminalistyczne po incydentach dla danej bazy danych.
  8. Włączanie logowania przepływu w wirtualnej chmurze prywatnej (VPC). Rejestrowanie przepływu VPC to usługa monitorowania sieci, która zapewnia wgląd w ruch sieciowy VPC. Funkcja ta może służyć do wykrywania nietypowego lub podejrzanego ruchu, dostarczania informacji dotyczących bezpieczeństwa oraz ostrzegania o wszelkich nietypowych działaniach. Włączenie VPC pozwala zidentyfikować problemy związane z bezpieczeństwem i dostępem, takie jak nietypowe ilości przesyłanych danych, odrzucone żądania połączeń, zbyt liberalne grupy zabezpieczeń lub listy kontroli dostępu (ACL) itp.

Najlepsze rozwiązania dotyczące bezpieczeństwa kont AWS

Ważne jest, aby chronić konta użytkowników, aby nie można było ich łatwo przejąć. W tym celu należy postępować zgodnie z poniższymi najlepszymi rozwiązaniami dotyczącymi bezpieczeństwa kont AWS:

  1. Uwierzytelnianie wieloskładnikowe (MFA) przy usuwaniu zasobników S3 z danymi CloudTrail. W przypadku włamania na konto AWS pierwszym krokiem, jaki prawdopodobnie podejmie osoba atakująca, będzie usunięcie logów CloudTrail w celu zatuszowania włamania i opóźnienia wykrycia. Skonfigurowanie uwierzytelniania wieloskładnikowego (MFA) przy usuwaniu zasobników S3 zawierających logi CloudTrail znacznie utrudnia hakerowi usunięcie logów, zmniejszając tym samym jego szanse na pozostanie niezauważonym.
  2. Uwierzytelnianie wieloskładnikowe (MFA) dla konta root. Pierwsze konto użytkownika utworzone podczas rejestracji w AWS nazywa się kontem root. Konto root jest typem użytkownika o najwyższych uprawnieniach, z dostępem do wszystkich zasobów AWS. Dlatego należy jak najszybciej włączyć uwierzytelnianie wieloskładnikowe (MFA) dla konta root. Jednym z najlepszych rozwiązań bezpieczeństwa AWS dotyczących uwierzytelniania wieloskładnikowego (MFA) dla użytkownika głównego jest unikanie przechowywania danych uwierzytelniających na osobistym urządzeniu użytkownika. W tym celu należy posiadać dedykowane urządzenie mobilne, które będzie przechowywane w odległej lokalizacji. Zapewnia to dodatkową warstwę ochrony i gwarantuje, że konto użytkownika głównego będzie zawsze dostępne, niezależnie od tego, czy czyjeś osobiste urządzenia zostaną zgubione lub ulegną uszkodzeniu.
  3. Uwierzytelnianie wieloskładnikowe (MFA) dla użytkowników IAM. Jeśli Twoje konto zostanie przejęte, uwierzytelnianie wieloskładnikowe (MFA) staje się ostatnią linią obrony. Wszyscy użytkownicy posiadający hasło do konsoli usługi zarządzania tożsamością i dostępem (IAM) powinni być zobowiązani do przechodzenia przez proces uwierzytelniania wieloskładnikowego (MFA).
  4. Dostęp wielomodowy dla użytkowników IAM. Włączenie dostępu wielomodowego dla użytkowników IAM pozwala podzielić użytkowników na dwie grupy: użytkowników aplikacji z dostępem do API oraz administratorów z dostępem do konsoli. Zmniejsza to ryzyko nieautoryzowanego dostępu w przypadku naruszenia danych uwierzytelniających użytkownika IAM (kluczy dostępu lub haseł).
  5. Zasady IAM przypisane do grup lub ról. Nie przypisuj zasad i uprawnień bezpośrednio do użytkowników. Zamiast tego przydzielaj uprawnienia użytkownikom na poziomie grup i ról. Takie podejście sprawia, że zarządzanie uprawnieniami jest prostsze i wygodniejsze. Zmniejsza to również ryzyko, że pojedynczy użytkownik przypadkowo otrzyma nadmierne uprawnienia lub przywileje.
  6. Regularna rotacja kluczy dostępu IAM. Im częściej zmieniasz pary kluczy dostępu, tym mniejsze jest prawdopodobieństwo, że ktoś uzyska nieuprawniony dostęp do Twoich danych w wyniku zgubienia lub kradzieży klucza.
  7. Rygorystyczne zasady dotyczące haseł. Nie jest zaskoczeniem, że użytkownicy mają tendencję do tworzenia zbyt prostych haseł. Wynika to z tego, że chcą mieć hasło, które łatwo zapamiętają. Jednak takie hasła są często łatwe do odgadnięcia. Wdrożenie i przestrzeganie rygorystycznych zasad dotyczących haseł to kolejne najlepsze rozwiązanie w zakresie bezpieczeństwa w AWS, mające na celu ochronę kont przed atakami typu „brute force”. Szczegóły tych zasad mogą się różnić, jednak hasła powinny zawierać co najmniej jedną wielką literę, jedną małą literę, jedną cyfrę, jeden znak specjalny oraz mieć długość co najmniej 14 znaków.
Użytkownicy często używają tego samego hasła w wielu serwisach, co stanowi poważne zagrożenie dla bezpieczeństwa systemu. Dlatego należy skonfigurować politykę haseł IAM tak, aby rejestrowała ostatnie 24 hasła każdego użytkownika i uniemożliwiała ponowne użycie haseł. Należy włączyć wygasanie haseł, ale ustawić okres ważności hasła na co najmniej 90 dni. Zbyt częste wymuszanie zmian haseł wprowadza nowe zagrożenia (na przykład przechwycenie danych uwierzytelniających lub phishing).

Konfigurowanie najlepszych rozwiązań bezpieczeństwa w AWS

Skonfiguruj opcje bezpieczeństwa, aby chronić swoje dane w AWS, w tym kopie zapasowe.

  1. Ograniczanie dostępu do zasobników S3 CloudTrail. Nie należy włączać dostępu do logów CloudTrail dla żadnego konta użytkownika ani administratora. Wynika to z faktu, że zawsze istnieje ryzyko, że zostaną one narażone na ataki phishingowe. Ogranicz dostęp wyłącznie do osób, które potrzebują tej funkcji do wykonywania swojej pracy. W ten sposób zmniejszasz prawdopodobieństwo niepotrzebnego dostępu.
  2. Szyfrowanie plików dziennika CloudTrail . Istnieją dwa wymagania dotyczące odszyfrowywania plików dziennika CloudTrail w stanie spoczynku. Po pierwsze, uprawnienie do odszyfrowywania musi być przyznane zgodnie z polityką kluczy głównych klienta. Po drugie, należy przyznać uprawnienie dostępu do zasobników Amazon S3. Oba uprawnienia powinny otrzymać wyłącznie użytkownicy, których zadania służbowe tego wymagają.
  3. Szyfrowanie bazy danych EBS. Zapewnienie szyfrowania bazy danych EBS stanowi dodatkową warstwę ochrony. Należy pamiętać, że można to zrobić wyłącznie w momencie tworzenia woluminu EBS — szyfrowania nie można włączyć później. W związku z tym, jeśli istnieją jakiekolwiek niezaszyfrowane woluminy, należy utworzyć nowe woluminy zaszyfrowane i przenieść dane z tych niezaszyfrowanych.
  4. Ograniczenie zakresów otwartych portów dla grup zabezpieczeń EC2. Duże zakresy otwartych portów narażają system na więcej luk w zabezpieczeniach przed atakami wykorzystującymi skanowanie portów.
  5. Konfiguracja grup zabezpieczeń EC2 w celu ograniczenia dostępu. Należy unikać przyznawania zbyt wielu uprawnień dostępu do instancji EC2. Nigdy nie zezwalaj na dostęp do instancji EC2 dla dużych zakresów adresów IP. Zamiast tego należy być konkretnym i uwzględniać na liście dostępu tylko dokładne adresy IP. Zobacz Najlepsze rozwiązania dotyczące grup zabezpieczeń AWS.
  6. Unikanie korzystania z kont użytkownika głównego. Podczas rejestracji konta AWS podany e-mail i hasło automatycznie stają się danymi logowania do konta użytkownika głównego. Użytkownik główny jest użytkownikiem o najwyższych uprawnieniach w systemie, posiadającym dostęp do wszystkich usług i zasobów na koncie AWS bez wyjątku. Najlepszym rozwiązaniem jest użycie tego konta tylko raz, podczas tworzenia pierwszego użytkownika IAM. Następnie należy przechowywać dane logowania użytkownika głównego w bezpiecznym miejscu, niedostępnym dla nikogo.
  7. Korzystanie z bezpiecznych wersji SSL i szyfrów. Podczas nawiązywania połączeń między klientem a systemem Elastic Load Balancing (ELB) należy unikać używania przestarzałych wersji SSL lub wycofanych szyfrów. Mogą one spowodować powstanie niebezpiecznego połączenia między klientem a modułem równoważenia obciążenia.
  8. Szyfrowanie usługi Amazon Relational Database Service (RDS). Szyfrowanie usługi Amazon RDS tworzy dodatkową warstwę ochrony. Zaleca się korzystanie z Najlepsze rozwiązania dotyczące bezpieczeństwa w AWS RDS.
  9. Unikanie używania kluczy dostępu z kontami root. Twórz konta oparte na rolach z ograniczonymi uprawnieniami i kluczami dostępu. Nigdy nie używaj kluczy dostępu z kontem root, ponieważ jest to pewny sposób na narażenie konta na atak.
  10. Regularna rotacja kluczy SSH. Należy okresowo rotować klucze SSH. Ta najlepsza praktyka bezpieczeństwa AWS zmniejsza ryzyko związane z przypadkowym udostępnieniem kluczy SSH przez pracowników, czy to przez pomyłkę, czy przez zaniedbanie.
  11. Minimalizowanie liczby odrębnych grup bezpieczeństwa. Organizacje powinny utrzymywać liczbę odrębnych grup bezpieczeństwa na jak najniższym poziomie. Zmniejsza to ryzyko błędnej konfiguracji, która może prowadzić do naruszenia bezpieczeństwa konta i jest jednym z najlepszych rozwiązań dotyczących grup bezpieczeństwa AWS.

Zarządzanie nieaktywnymi podmiotami

Zarządzanie nieaktywnymi podmiotami i ich usuwanie jest ważne, ponieważ tego typu podmioty mogą być wykorzystywane przez osoby trzecie do uzyskania nieautoryzowanego dostępu.

  1. Minimalizowanie liczby grup IAM . Usunięcie nieużywanych lub nieaktualnych grup IAM zmniejsza ryzyko przypadkowego przydzielania nowych podmiotów ze starszymi konfiguracjami zabezpieczeń.
  2. Wycofywanie nieużywanych kluczy dostępu . Najlepsze rozwiązania dotyczące bezpieczeństwa AWS nakazują wycofanie kluczy dostępu, które pozostają nieużywane przez ponad 30 dni. Przechowywanie nieużywanych kluczy dostępu przez dłuższy czas nieuchronnie zwiększa ryzyko włamania na konto lub zagrożenia ze strony osób z wewnątrz.
  3. Wyłączanie dostępu dla nieaktywnych użytkowników IAM. Podobnie należy wyłączyć konta użytkowników IAM, którzy nie logowali się od ponad 90 dni. Zmniejsza to prawdopodobieństwo włamania na porzucone lub nieużywane konto.
  4. Usuwanie nieużywanych kluczy publicznych SSH. Usuń nieużywane klucze publiczne SSH, aby zmniejszyć ryzyko nieautoryzowanego dostępu przy użyciu SSH z nieograniczonych lokalizacji.

Ograniczenia dostępu

Ograniczanie dostępu to kategoria najlepszych rozwiązań bezpieczeństwa AWS, która pozwala zminimalizować prawdopodobieństwo naruszenia bezpieczeństwa danych przechowywanych w AWS i poprawia poziom bezpieczeństwa.

  1. Ograniczanie dostępu do obrazów Amazon Machine Images (AMI). Swobodny dostęp do obrazów Amazon Machine Images (AMI) sprawia, że są one dostępne w sekcji Community AMIs. Tam każdy członek społeczności posiadający konto AWS może z nich korzystać w celu uruchamiania instancji EC2. Obrazy AMI często zawierają migawki aplikacji specyficznych dla organizacji wraz z danymi konfiguracyjnymi i danymi aplikacji. Zdecydowanie zaleca się staranne ograniczenie dostępu do obrazów AMI.
  2. Ograniczanie dostępu przychodzącego na rzadko używanych portach. Należy ograniczyć dostęp na rzadko używanych portach, ponieważ mogą one stać się potencjalnymi słabymi punktami dla złośliwych działań (na przykład ataków brute-force, hakowania, ataków DDoS itp.).
  3. Ograniczanie dostępu do grup zabezpieczeń EC2. Dostęp do grup zabezpieczeń EC2 powinien być ograniczony. Pomaga to dodatkowo zapobiegać narażeniu na złośliwe działania.
  4. Ograniczanie dostępu do instancji RDS. Dzięki dostępowi do instancji RDS podmioty w Internecie mogą nawiązać połączenie z bazą danych. Nieograniczony dostęp naraża organizację na złośliwe działania, takie jak wstrzyknięcia SQL, ataki brute-force lub hakowanie.
  5. Ograniczanie dostępu wychodzącego. Nieograniczony dostęp wychodzący z portów może narazić organizację na cyberzagrożenia. Należy zezwolić na dostęp tylko określonym podmiotom — na przykład do określonych portów lub określonych miejsc docelowych.
  6. Ograniczanie dostępu do dobrze znanych portów protokołów. Dostęp do dobrze znanych portów musi być ograniczony. Jeśli nie zapewnisz odpowiedniej kontroli, narażasz swoją organizację na nieautoryzowany dostęp do danych – na przykład przez protokół CIFS na porcie 445, FTP na portach 20/21, MySQL na porcie 3306 itp.

Najlepsze rozwiązania dotyczące bezpieczeństwa AWS S3

Ponieważ jest to jeden z najpopularniejszych rodzajów magazynu-chmury służącego do przechowywania kopii zapasowych, należy zapoznać się z jak działa Amazon S3 i uwzględnić najlepsze rozwiązania dotyczące bezpieczeństwa AWS S3.

  1. Przechowywanie wersji. Przechowywanie wersji służy do przechowywania wielu wersji obiektu w zasobniku S3 po zapisaniu zmian w obiekcie. Jeśli w obiektach w zasobniku zostaną wprowadzone niepożądane zmiany, można przywrócić dowolną poprzednią wersję obiektu.
  2. Korzystanie z niezmiennego magazynu (WORM). Amazon S3 obsługuje model WORM (write-once-read-many) w celu uzyskania dostępu do danych w zasobnikach S3. Takie podejście pozwala chronić dane przed przypadkowym usunięciem przez użytkowników lub celowym usunięciem przez oprogramowanie ransomware lub inne złośliwe oprogramowanie. Przechowywanie kopii zapasowych w niezmiennym magazynie znacznie poprawia bezpieczeństwo kopii zapasowych AWS.
  3. Blokowanie publicznych zasobników Amazon S3. Zablokuj publiczny dostęp do zasobników S3, aby uniknąć nieautoryzowanego dostępu do danych, w tym kopii zapasowych przechowywanych w AWS S3. Opcję tę można skonfigurować na poziomie konta oraz dla poszczególnych zasobników.

Najlepsze rozwiązania dotyczące bezpieczeństwa AWS EC2

Różne instancje AWS EC2 z woluminami EBS to kolejny sposób przechowywania kopii zapasowych w chmurze Amazon. Rozważ zastosowanie tych najlepszych rozwiązań dotyczących bezpieczeństwa AWS EC2, aby chronić kopie zapasowe utworzone w chmurze AWS EC2.

  1. Ochrona par kluczy dostępu. Chroń pary kluczy (klucze publiczne i prywatne, które są poświadczeniami w AWS EC2) wygenerowane w celu uzyskania dostępu do instancji Amazon EC2. Każdy, kto ma dostęp do tych poświadczeń i zna identyfikator instancji, może uzyskać dostęp do instancji i zawartych w niej danych. Należy również pamiętać, że klucz ten można pobrać tylko raz podczas tworzenia instancji EC2 i nie ma kopii klucza prywatnego w AWS. Po pobraniu klucz ten należy przechowywać w bezpiecznym miejscu.
  2. Instalowanie aktualizacji. Zainstaluj aktualizacje zabezpieczeń i zaktualizuj sterowniki w systemie operacyjnym gościa, takim jak Windows, działającym na instancji Amazon EC2.
  3. Korzystanie z oddzielnych woluminów EBS. Wolumin EBS to dysk wirtualny dla instancji EC2 w AWS. Używaj oddzielnych woluminów EBS do uruchamiania systemu operacyjnego i przechowywania kopii zapasowych. Upewnij się, że wolumin EBS z danymi kopii zapasowej pozostaje zachowany po zakończeniu działania instancji EC2.
  4. Konfigurowanie dostępu tymczasowego. Nie umieszczaj kluczy bezpieczeństwa w instancjach EC2 ani obrazach AMI w celu zapewnienia tymczasowego dostępu. Jeśli konieczne jest udzielenie tymczasowego dostępu, używaj tymczasowych poświadczeń dostępu, które są ważne przez krótki czas. Korzystaj z ról instancji.

Najlepsze rozwiązania dotyczące bezpieczeństwa AWS VPC

Amazon Virtual Private Cloud (VPC) to środowisko chmurowe, które można odizolować za pomocą określonej konfiguracji sieciowej. To logicznie odizolowane środowisko (chmura niepubliczna) w AWS może służyć do przechowywania kopii zapasowych o wyższym poziomie bezpieczeństwa.

Aby chronić kopie zapasowe przechowywane w VPC, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi bezpieczeństwa AWS VPC wymienionymi poniżej:

  • Korzystaj z wielu stref dostępności, aby zapewnić wysoką dostępność podczas dodawania podsieci do VPC.
  • Korzystaj z list kontroli dostępu do sieci (ACL) w celu kontrolowania dostępu do podsieci.
  • Korzystaj z grup zabezpieczeń, aby kontrolować ruch do instancji EC2 w podsieciach.
  • Używaj dzienników przepływu VC do przeglądania zdarzeń generowanych w VPC.
  • Oddziel swoje środowiska VPC, takie jak Dev, Test, kopie zapasowe itp.

Inne najlepsze rozwiązania dotyczące bezpieczeństwa danych w chmurze AWS

Istnieją inne najlepsze rozwiązania bezpieczeństwa AWS, które można wdrożyć dla wielu kategorii jednocześnie:

  1. Korzystanie z ujednoliconego podejścia do bezpieczeństwa. Zastosuj ujednolicone podejście do bezpieczeństwa w chmurze AWS i na serwerach lokalnych. Różne zasady zabezpieczania środowisk AWS i lokalnych mogą powodować lukę w zabezpieczeniach w jednym z nich. W rezultacie oba środowiska stają się podatne na ataki, ponieważ są ze sobą połączone przez sieć.
  2. Automatyzacja zadań wykonywania kopii zapasowej. Użyj dedykowanego oprogramowania do ochrony danych, aby automatycznie wykonać kopie zapasowe danych w AWS. Aby zapewnić najlepsze bezpieczeństwo kopii zapasowej w AWS, zaplanuj regularne wykonywanie kopii zapasowych i ich kopiowanie do zasobników Amazon S3.

NAKIVO Backup & Replication to uniwersalne rozwiązanie obsługujące Tworzenie kopii zapasowej i replikacja w usłudze Amazon EC2 oraz kopia zapasowa do usługi Amazon S3:

  • Przyrostowe, spójne kopie zapasowe instancji Amazon EC2
  • Wiele funkcji automatyzacji, w tym tworzenie kopii zapasowych/replikacja oparta na zasadach, zaawansowane planowanie oraz łańcuchowanie kopii zapasowych w celu tworzenia automatycznych kopii zapasowych w Amazon S3 na podstawie pomyślnie wykonanych kopii zapasowych podstawowych
  • Zintegrowane z funkcją S3 Object Lock w celu tworzenia niezmiennych, odpornych na oprogramowanie wymuszające okup kopii zapasowych w zasobnikach Amazon S3
Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Wdrażanie w 2 minuty i ochrona danych wirtualnych, w chmurze, fizycznych oraz SaaS. Opcje tworzenia kopii zapasowych, replikacji i natychmiastowego odzyskiwania.

Pobierz edycję bezpłatną

People also read

Picture
Zagrożenia dla bezpieczeństwa magazynu-chmury w organizacjach
Picture
Dodawanie zespołów do programu Outlook: poradnik
Picture
Rodzaje kopii zapasowej: pełna, przyrostowa i różnicowa