NAKIVO > Blog > Cloud

Các nguyên tắc bảo mật tốt nhất cho AWS Backup

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

AWS cung cấp nhiều sản phẩm dựa trên đám mây cho các lĩnh vực tính toán, lưu trữ, phân tích, v.v. Trong số đó, hai sản phẩm thường được các tổ chức sử dụng cho mục đích lưu trữ sao lưu là: Amazon S3 dành cho lưu trữ đối tượng trên đám mây và Amazon Elastic Block Store (EBS) để lưu trữ các khối lượng EC2 cùng các bản sao lưu của chúng.

Các nền tảng lưu trữ đám mây là lựa chọn lý tưởng để triển khai phương pháp bảo vệ dữ liệu 3-2-1. AWS cũng là sự lựa chọn tuyệt vời cho cả tài nguyên lưu trữ và tính toán vì nó mang lại tính sẵn sàng và khả năng phục hồi vượt trội nhờ tính dự phòng địa lý trên các khu vực địa lý khác nhau. Bạn không cần lo lắng về việc thảm họa xảy ra tại khu vực của mình và làm ảnh hưởng đến trung tâm dữ liệu; các bản sao dữ liệu của bạn được phân tán trên toàn cầu.

Tuy nhiên, với sự phát triển nhanh chóng của các mối đe dọa mạng mới, điều quan trọng là phải hiểu cách triển khai các thực hành bảo mật tốt nhất của AWS cho sao lưu đám mây để giảm thiểu rủi ro tiềm ẩn cho tổ chức của bạn, vì phần lớn các sự cố bảo mật trên đám mây xảy ra do lỗi của khách hàng, chứ không phải nhà cung cấp dịch vụ đám mây. Đọc bài viết này để tìm hiểu thêm về tất cả các tùy chọn bảo mật cho các sản phẩm lưu trữ AWS khác nhau và cách tận dụng chúng.

NAKIVO cho sao lưu AWS EC2

NAKIVO cho sao lưu AWS EC2

Sao lưu các phiên bản Amazon EC2 lên EC2, AWS S3 và tại chỗ. Các tùy chọn chống ransomware. Khôi phục nhanh các phiên bản và đối tượng ứng dụng.

KHÁM PHÁ GIẢI PHÁP

Mô hình trách nhiệm chung của AWS

Dù bạn đang sử dụng các tùy chọn lưu trữ đám mây của AWS hay di chuyển toàn bộ hạ tầng sang Amazon EC2, bạn cần nắm rõ mô hình trách nhiệm chung của AWS để hiểu ai là người chịu trách nhiệm về an ninh sao lưu trên AWS. Một phần trách nhiệm thuộc về nhà cung cấp dịch vụ đám mây, đặc biệt là về an ninh và tính sẵn sàng của nền tảng đám mây. Tuy nhiên, việc bảo vệ chống lại nhiều mối đe dọa khác đối với khối lượng công việc và dữ liệu của bạn vẫn thuộc trách nhiệm của bạn, tức là khách hàng.

Giống như hầu hết các nhà cung cấp đám mây khác, trách nhiệm về bảo mật dữ liệu được chia sẻ giữa AWS và khách hàng đám mây. Với tư cách là nhà cung cấp đám mây, Amazon chịu trách nhiệm về bảo mật của hạ tầng AWS. Bảo mật nền tảng là yếu tố quan trọng để bảo vệ dữ liệu và ứng dụng quan trọng của khách hàng. AWS phát hiện các trường hợp gian lận và lạm dụng, đồng thời thông báo cho khách hàng về các sự cố này.

Trong khi đó, khách hàng chịu trách nhiệm về các cấu hình bảo mật của các sản phẩm họ sử dụng trên AWS. Họ phải đảm bảo rằng việc truy cập vào dữ liệu nhạy cảm từ bên trong hoặc bên ngoài tổ chức được hạn chế đúng cách và áp dụng các chính sách bảo vệ dữ liệu được khuyến nghị.

AWS shared responsibility model Customer and vendor responsibilities

Các tùy chọn lưu trữ sao lưu AWS

AWS cung cấp 2 nền tảng đám mây chính: Amazon S3 và Amazon EC2 cho các trường hợp sử dụng khác nhau. Sản phẩm tính toán Amazon EC2 dựa trên nền tảng lưu trữ Elastic Block Store (EBS).

  • Amazon Simple Storage Service hoặc Amazon S3 là nền tảng lưu trữ đối tượng được thiết kế để lưu trữ dữ liệu từ bất kỳ nguồn nào – ví dụ: ứng dụng web hoặc di động, trang web, hoặc dữ liệu từ cảm biến IoT (Internet of Things). Đây cũng là lựa chọn rất phổ biến làm đích lưu trữ cho bản sao lưu và bản sao lưu của máy ảo và các phiên bản Amazon EC2.
Về mặt bảo mật và tuân thủ, S3 thể hiện khả năng mạnh mẽ để đáp ứng các yêu cầu quy định nghiêm ngặt nhất. Amazon S3 cung cấp một nền tảng lưu trữ đám mây đơn giản và tiện lợi để triển khai Phương pháp 3-2-1 trong bảo vệ dữ liệu, cho phép bạn lưu trữ một bản sao dữ liệu quan trọng tại một địa điểm khác.

AWS backup storage options Creating backup copies to the cloud

  • Amazon Elastic Block Store (EBS) được Amazon thiết kế để cung cấp các khối lưu trữ khối bền vững cho các khối lượng công việc trong Amazon Elastic Cloud (Amazon EC2).
Các khối EBS được tự động sao chép qua nhiều trung tâm dữ liệu trong một khu vực cụ thể, và điều này được gọi là Khu vực sẵn sàng (Availability Zones) trong AWS. Công nghệ này bảo vệ dữ liệu của bạn khỏi các sự cố tại trung tâm dữ liệu do Amazon vận hành, từ đó đảm bảo độ sẵn sàng rất cao (99,999% theo Amazon). Các khối lượng EBS cho phép chạy các khối lượng công việc của bạn một cách ổn định và có độ trễ thấp, giúp bạn có thể mở rộng (hoặc thu hẹp) khối lượng công việc của cơ sở hạ tầng chỉ trong vài phút.

Hai tùy chọn lưu trữ sao lưu này thường có thể được kết hợp trong một chiến lược sao lưu cho các phiên bản Amazon EC2: Bạn có thể sao lưu các instance vào Amazon EBS và tạo bản sao lưu để lưu trữ trong Amazon S3 nhằm tăng cường độ tin cậy.

AWS backup best practices - combining EBS and S3 storage to protect EC2 instances

Các thực hành tốt nhất về bảo mật đám mây AWS cho sao lưu

Mặc dù có rất nhiều dịch vụ AWS, nhưng các dịch vụ chính bao gồm Elastic Compute Cloud (EC2), Amazon S3 và Amazon Virtual Private Cloud (VPC), một đám mây riêng biệt được lưu trữ trong đám mây công cộng.

Như đã đề cập, Mô hình Trách nhiệm Chung quy định khách hàng phải chịu trách nhiệm hoàn toàn về việc cấu hình các biện pháp bảo mật. Để đảm bảo dữ liệu của bạn trên AWS được bảo vệ và an toàn, hãy tuân thủ các thực hành tốt nhất trong 5 lĩnh vực chính:

  • Giám sát bảo mật
  • Bảo mật tài khoản
  • Cấu hình bảo mật
  • Quản lý các thực thể không hoạt động
  • Hạn chế truy cập

Cũng nên xem xét áp dụng các thực hành bảo mật tốt nhất của AWS cho từng dịch vụ Amazon cụ thể:

  • Amazon S3
  • Amazon EC2
  • Amazon VPC

Giám sát bảo mật

Giám sát bảo mật là một trong những thực hành bảo mật tốt nhất của AWS vì nó cho phép bạn phát hiện các sự kiện đáng ngờ kịp thời và chủ động khắc phục các vấn đề liên quan đến bảo vệ dữ liệu.

  1. Kích hoạt CloudTrail. Dịch vụ CloudTrail tạo nhật ký cho tất cả các dịch vụ web của Amazon, bao gồm cả những dịch vụ không phụ thuộc vào khu vực, như IAM, CloudFront, v.v.
  2. Sử dụng xác thực tệp nhật ký CloudTrail. Tính năng này đóng vai trò như một lớp bảo vệ bổ sung cho tính toàn vẹn của các tệp nhật ký. Khi tính năng xác thực tệp nhật ký được bật, mọi thay đổi được thực hiện đối với tệp nhật ký sau khi được chuyển đến thùng Amazon S3 đều có thể được theo dõi.
  3. Kích hoạt ghi nhật ký đa khu vực của CloudTrail. CloudTrail cung cấp lịch sử các cuộc gọi API AWS, cho phép các nhà phân tích bảo mật theo dõi các thay đổi trong môi trường AWS, kiểm tra tuân thủ, điều tra sự cố và đảm bảo rằng các thực hành bảo mật tốt nhất trên AWS được tuân thủ. Bằng cách kích hoạt CloudTrail trên tất cả các khu vực, các tổ chức có thể phát hiện các hoạt động bất thường hoặc đáng ngờ tại những khu vực vốn không được sử dụng.
  4. Tích hợp dịch vụ CloudTrail với CloudWatch. Thành phần CloudWatch cung cấp khả năng giám sát liên tục các tệp nhật ký từ các phiên bản EC2, CloudTrail và các nguồn khác. CloudWatch cũng có thể thu thập và theo dõi các chỉ số để giúp bạn phát hiện các mối đe dọa một cách nhanh chóng. Sự tích hợp này hỗ trợ việc ghi nhật ký hoạt động theo thời gian thực và lịch sử liên quan đến người dùng, API, tài nguyên và địa chỉ IP. Bạn có thể thiết lập cảnh báo và thông báo cho các hoạt động bất thường hoặc đáng ngờ trên tài khoản.
  5. Kích hoạt ghi nhật ký truy cập cho các thùng S3 của CloudTrail. Tính năng này được thiết kế để ngăn chặn kẻ tấn công xâm nhập sâu hơn vào các thùng S3 của CloudTrail. Các nhật ký này chứa dữ liệu nhật ký được CloudTrail thu thập, được sử dụng để giám sát hoạt động và điều tra sự cố. Giữ tính năng ghi nhật ký truy cập cho các thùng S3 của CloudTrail ở trạng thái bật. Điều này cho phép bạn theo dõi các yêu cầu truy cập và phát hiện nhanh chóng các nỗ lực truy cập trái phép.
  6. Bật tính năng ghi nhật ký truy cập cho Elastic Load Balancer (ELB). Việc bật tính năng ghi nhật ký truy cập ELB cho phép ELB ghi lại và lưu trữ thông tin về mỗi yêu cầu TCP hoặc HTTP. Dữ liệu này có thể cực kỳ hữu ích cho các chuyên gia bảo mật và khắc phục sự cố. Ví dụ, dữ liệu ghi nhật ký ELB của bạn có thể hữu ích khi phân tích các mẫu lưu lượng có thể cho thấy các loại tấn công cụ thể.
  7. Kích hoạt ghi nhật ký kiểm toán Redshift. Amazon Redshift là một dịch vụ AWS ghi lại chi tiết về các hoạt động của người dùng như các truy vấn và kết nối được thực hiện trong cơ sở dữ liệu. Bằng cách kích hoạt Redshift, bạn có thể thực hiện các cuộc kiểm toán và hỗ trợ các cuộc điều tra pháp y sau sự cố cho một cơ sở dữ liệu cụ thể.
  8. Kích hoạt ghi nhật ký lưu lượng Virtual Private Cloud (VPC). Ghi nhật ký lưu lượng VPC là một dịch vụ giám sát mạng giúp tăng cường khả năng hiển thị lưu lượng mạng VPC. Tính năng này có thể được sử dụng để phát hiện lưu lượng bất thường hoặc đáng ngờ, cung cấp thông tin chi tiết về bảo mật và cảnh báo bạn về bất kỳ hoạt động bất thường nào. Việc kích hoạt VPC cho phép bạn xác định các vấn đề về bảo mật và quyền truy cập, chẳng hạn như khối lượng truyền dữ liệu bất thường, các yêu cầu kết nối bị từ chối, các nhóm bảo mật hoặc Danh sách kiểm soát truy cập mạng (ACL) quá thoáng, v.v.

Các phương pháp hay nhất về bảo mật tài khoản AWS

Điều quan trọng là phải bảo vệ tài khoản người dùng để đảm bảo rằng chúng không thể dễ dàng bị xâm phạm. Để làm điều này, hãy làm theo các phương pháp hay nhất về bảo mật tài khoản AWS dưới đây:

  1. Xác thực đa yếu tố (MFA) khi xóa các bucket S3 chứa nhật ký CloudTrail. Nếu tài khoản AWS của bạn bị xâm nhập, bước đầu tiên mà kẻ tấn công có thể thực hiện là xóa nhật ký CloudTrail để che giấu hành vi xâm nhập và trì hoãn việc phát hiện. Việc thiết lập MFA cho thao tác xóa các bucket S3 chứa nhật ký CloudTrail sẽ khiến việc xóa nhật ký trở nên khó khăn hơn đối với hacker, từ đó giảm khả năng chúng thoát khỏi sự phát hiện.
  2. MFA cho tài khoản root. Tài khoản người dùng đầu tiên được tạo khi đăng ký AWS được gọi là tài khoản root. Tài khoản root là loại người dùng có quyền truy cập cao nhất, có quyền truy cập vào mọi tài nguyên AWS. Đây là lý do tại sao bạn nên kích hoạt MFA cho tài khoản root càng sớm càng tốt. Một trong những thực hành bảo mật tốt nhất của AWS cho MFA tài khoản root là tránh lưu trữ thông tin đăng nhập trên thiết bị cá nhân của người dùng. Để làm điều này, bạn nên sử dụng một thiết bị di động chuyên dụng được lưu trữ tại một vị trí từ xa. Điều này tạo thêm một lớp bảo vệ và đảm bảo rằng tài khoản root luôn có thể truy cập được, bất kể thiết bị cá nhân của ai bị mất hoặc hỏng.
  3. MFA cho người dùng IAM. Nếu tài khoản của bạn bị xâm phạm, MFA trở thành hàng phòng thủ cuối cùng. Tất cả người dùng có mật khẩu bảng điều khiển cho dịch vụ Quản lý Danh tính và Quyền truy cập (IAM) phải được yêu cầu thực hiện MFA.
  4. Truy cập đa chế độ cho người dùng IAM. Kích hoạt truy cập đa chế độ cho người dùng IAM cho phép bạn chia người dùng thành hai nhóm: người dùng ứng dụng có quyền truy cập API và quản trị viên có quyền truy cập bảng điều khiển. Điều này giảm thiểu rủi ro truy cập trái phép nếu thông tin đăng nhập của người dùng IAM (khóa truy cập hoặc mật khẩu) bị xâm phạm.
  5. Chính sách IAM được gán cho nhóm hoặc vai trò. Không gán chính sách và quyền truy cập trực tiếp cho người dùng. Thay vào đó, hãy cấp quyền truy cập cho người dùng ở cấp độ nhóm và vai trò. Cách tiếp cận này giúp việc quản lý quyền truy cập trở nên đơn giản và thuận tiện hơn. Bạn cũng giảm thiểu rủi ro một người dùng cá nhân vô tình nhận được quá nhiều quyền truy cập hoặc đặc quyền.
  6. Xoay vòng cặp khóa truy cập IAM định kỳ. Bạn xoay vòng cặp khóa truy cập càng thường xuyên, dữ liệu của bạn càng ít có khả năng bị truy cập trái phép do khóa bị mất hoặc bị đánh cắp.
  7. Chính sách mật khẩu nghiêm ngặt. Không có gì ngạc nhiên khi người dùng có xu hướng tạo mật khẩu quá đơn giản. Điều này là do họ muốn mật khẩu dễ nhớ. Tuy nhiên, những mật khẩu như vậy thường cũng dễ bị người khác đoán ra. Việc triển khai và duy trì một chính sách mật khẩu nghiêm ngặt là một trong những phương pháp hay nhất về bảo mật trên AWS nhằm bảo vệ tài khoản khỏi các nỗ lực đăng nhập bằng phương pháp dò mật khẩu. Các chi tiết cụ thể của chính sách có thể khác nhau, nhưng bạn nên yêu cầu mật khẩu phải chứa ít nhất một chữ cái viết hoa, một chữ cái viết thường, một số, một ký tự đặc biệt và có độ dài tối thiểu là 14 ký tự.
Người dùng thường có xu hướng sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau, điều này gây ra rủi ro cao cho an ninh hệ thống. Do đó, bạn nên cấu hình chính sách mật khẩu IAM để ghi lại 24 mật khẩu gần nhất của mỗi người dùng và không cho phép tái sử dụng mật khẩu. Bật tính năng hết hạn mật khẩu, nhưng đặt thời gian hiệu lực của mật khẩu tối thiểu là 90 ngày. Buộc thay đổi mật khẩu quá thường xuyên sẽ tạo ra các rủi ro mới (ví dụ: đánh cắp thông tin đăng nhập hoặc lừa đảo).

Cấu hình các thực hành bảo mật tốt nhất trên AWS

Cấu hình các tùy chọn bảo mật để bảo vệ dữ liệu của bạn trên AWS, bao gồm sao lưu.

  1. Hạn chế quyền truy cập vào các thùng S3 của CloudTrail. Không cho phép bất kỳ người dùng hoặc tài khoản quản trị viên nào truy cập vào nhật ký CloudTrail. Lý do cơ bản cho việc này là họ luôn có nguy cơ bị tấn công lừa đảo. Hạn chế quyền truy cập chỉ cho những người cần tính năng này để thực hiện công việc. Do đó, bạn giảm thiểu khả năng truy cập không cần thiết.
  2. Mã hóa tệp nhật ký CloudTrail . Có hai yêu cầu để giải mã tệp nhật ký CloudTrail khi lưu trữ. Thứ nhất, quyền giải mã phải được cấp thông qua chính sách Khách hàng Master Keys. Thứ hai, quyền truy cập vào các thùng S3 của Amazon phải được cấp. Chỉ những người dùng có nhiệm vụ công việc liên quan mới nên được cấp cả hai quyền này.
  3. Mã hóa cơ sở dữ liệu EBS. Đảm bảo cơ sở dữ liệu EBS được mã hóa cung cấp một lớp bảo vệ bổ sung. Lưu ý rằng việc này chỉ có thể thực hiện tại thời điểm tạo khối lượng EBS – không thể kích hoạt mã hóa sau này. Do đó, nếu có bất kỳ khối lượng nào chưa được mã hóa, bạn phải tạo các khối lượng mã hóa mới và chuyển dữ liệu từ các khối lượng chưa được mã hóa sang.
  4. Giảm phạm vi các cổng mở cho các nhóm bảo mật EC2. Phạm vi cổng mở rộng sẽ phơi bày nhiều lỗ hổng hơn cho những kẻ tấn công sử dụng quét cổng.
  5. Cấu hình các nhóm bảo mật EC2 để hạn chế quyền truy cập. Nên tránh cấp quá nhiều quyền truy cập vào các phiên bản EC2. Không bao giờ cho phép các phạm vi IP rộng truy cập vào các phiên bản EC2. Thay vào đó, hãy cụ thể và chỉ bao gồm các địa chỉ IP chính xác trong danh sách truy cập của bạn. Theo dõi Các nguyên tắc tốt nhất về nhóm bảo mật AWS.
  6. Tránh sử dụng tài khoản người dùng root. Khi bạn đăng ký tài khoản AWS, địa chỉ email và mật khẩu bạn sử dụng sẽ tự động trở thành tài khoản người dùng root. Người dùng root là người dùng có quyền cao nhất trong hệ thống, có quyền truy cập vào tất cả các dịch vụ và tài nguyên trong tài khoản AWS của bạn mà không có ngoại lệ. Thực hành tốt nhất là chỉ sử dụng tài khoản này một lần duy nhất khi tạo người dùng IAM đầu tiên. Sau đó, bạn nên lưu trữ thông tin đăng nhập của tài khoản root ở một nơi an toàn, được bảo vệ khỏi sự truy cập của mọi người.
  7. Sử dụng các phiên bản SSL và bộ mã hóa an toàn. Khi thiết lập kết nối giữa client và hệ thống Elastic Load Balancing (ELB), hãy tránh sử dụng các phiên bản SSL lỗi thời hoặc các bộ mã hóa đã bị loại bỏ. Những điều này có thể tạo ra kết nối không an toàn giữa client và bộ cân bằng tải.
  8. Mã hóa Amazon Relational Database Service (RDS). Mã hóa Amazon RDS tạo thêm một lớp bảo vệ. Khuyến nghị sử dụng Các nguyên tắc bảo mật tốt nhất cho AWS RDS.
  9. Tránh sử dụng khóa truy cập với tài khoản root. Tạo tài khoản dựa trên vai trò với quyền hạn và khóa truy cập bị giới hạn. Tuyệt đối không sử dụng khóa truy cập với tài khoản root vì điều này sẽ khiến tài khoản dễ bị xâm nhập.
  10. Thay đổi khóa SSH định kỳ. Thay đổi khóa SSH định kỳ. Thực hành bảo mật AWS này giúp giảm thiểu rủi ro liên quan đến việc nhân viên vô tình chia sẻ khóa SSH, dù là do lỗi hay sơ suất.
  11. Giảm thiểu số lượng nhóm bảo mật riêng biệt. Các tổ chức nên giữ số lượng nhóm bảo mật riêng biệt ở mức thấp nhất có thể. Điều này giúp giảm thiểu rủi ro cấu hình sai, có thể dẫn đến việc tài khoản bị xâm nhập và là một trong những thực hành tốt nhất về nhóm bảo mật AWS.

Quản lý các thực thể không hoạt động

Quản lý và xóa các thực thể không hoạt động là rất quan trọng vì các thực thể này có thể bị bên thứ ba lợi dụng để truy cập trái phép.

  1. Giảm thiểu số lượng nhóm IAM . Xóa các nhóm IAM không sử dụng hoặc đã lỗi thời giúp giảm rủi ro vô tình cấp phát các thực thể mới với cấu hình bảo mật cũ.
  2. Hủy bỏ các khóa truy cập không sử dụng . Các nguyên tắc bảo mật AWS khuyến nghị rằng các khóa truy cập không được sử dụng trong hơn 30 ngày nên được hủy bỏ. Việc giữ lại các khóa truy cập không sử dụng trong thời gian dài chắc chắn sẽ làm tăng nguy cơ tài khoản bị xâm phạm hoặc các mối đe dọa từ bên trong.
  3. Vô hiệu hóa quyền truy cập cho người dùng IAM không hoạt động. Tương tự, bạn nên vô hiệu hóa tài khoản của những người dùng IAM đã không đăng nhập trong hơn 90 ngày. Điều này giúp giảm khả năng tài khoản bị bỏ quên hoặc không sử dụng bị xâm phạm.
  4. Xóa các khóa công khai SSH không sử dụng. Xóa các khóa công khai SSH không sử dụng để giảm rủi ro truy cập trái phép qua SSH từ các vị trí không được kiểm soát.

Hạn chế truy cập

Hạn chế truy cập là một trong những thực hành bảo mật tốt nhất của AWS, giúp bạn giảm thiểu nguy cơ dữ liệu lưu trữ trên AWS bị xâm phạm và nâng cao mức độ bảo mật.

  1. Hạn chế truy cập vào các hình ảnh máy ảo Amazon (AMIs). Việc cho phép truy cập tự do vào các hình ảnh máy ảo Amazon (AMIs) của bạn sẽ khiến chúng có sẵn trong kho AMIs cộng đồng. Tại đó, bất kỳ thành viên nào của Cộng đồng có tài khoản AWS đều có thể sử dụng chúng để khởi chạy các instance EC2. AMIs thường chứa các bản sao lưu của các ứng dụng cụ thể của tổ chức cùng với dữ liệu cấu hình và ứng dụng. Việc hạn chế truy cập vào AMIs một cách cẩn thận được khuyến nghị cao.
  2. Hạn chế truy cập vào các cổng không phổ biến. Hạn chế truy cập vào các cổng không phổ biến vì chúng có thể trở thành điểm yếu tiềm ẩn cho các hoạt động độc hại (ví dụ: tấn công brute-force, hacking, tấn công DDoS, v.v.).
  3. Hạn chế truy cập vào các nhóm bảo mật EC2. Truy cập vào các nhóm bảo mật EC2 nên được hạn chế. Điều này giúp ngăn chặn nguy cơ tiếp xúc với các hoạt động độc hại.
  4. Hạn chế truy cập vào các bản sao RDS. Với quyền truy cập vào các bản sao RDS, các thực thể trên internet có thể thiết lập kết nối với cơ sở dữ liệu của bạn. Quyền truy cập không bị hạn chế sẽ khiến tổ chức dễ bị tấn công bởi các hoạt động độc hại như tiêm SQL, tấn công dò mật khẩu hoặc hacking.
  5. Hạn chế truy cập ra ngoài. Quyền truy cập ra ngoài không bị hạn chế từ các cổng có thể khiến tổ chức phải đối mặt với các mối đe dọa mạng. Bạn chỉ nên cho phép truy cập đối với các thực thể được chỉ định – ví dụ: các cổng cụ thể hoặc các đích cụ thể.
  6. Hạn chế quyền truy cập vào các cổng giao thức nổi tiếng. Quyền truy cập vào các cổng nổi tiếng phải bị hạn chế. Nếu bạn không kiểm soát chúng, tổ chức của bạn sẽ dễ bị truy cập dữ liệu trái phép – ví dụ: CIFS qua cổng 445, FTP qua cổng 20/21, MySQL qua cổng 3306, v.v.

Các phương pháp hay nhất về bảo mật AWS S3

Là một trong những loại lưu trữ đám mây phổ biến nhất để lưu trữ bản sao lưu, bạn nên hiểu rõ Cách thức hoạt động của Amazon S3 và tuân thủ các phương pháp hay nhất về bảo mật AWS S3.

  1. Kích hoạt tính năng quản lý phiên bản. Chức năng phiên bản được sử dụng để lưu giữ nhiều phiên bản của một đối tượng trong thùng S3 sau khi ghi các thay đổi vào đối tượng đó. Nếu có những thay đổi không mong muốn đối với các đối tượng trong thùng, bạn có thể khôi phục bất kỳ phiên bản đối tượng nào trước đó.
  2. Sử dụng lưu trữ không thể thay đổi (WORM). Amazon S3 hỗ trợ mô hình ghi một lần, đọc nhiều lần (WORM) để truy cập dữ liệu trong các thùng S3. Phương pháp này cho phép bạn bảo vệ dữ liệu khỏi việc xóa nhầm do người dùng hoặc xóa cố ý do ransomware hoặc phần mềm độc hại khác. Lưu trữ bản sao lưu trong lưu trữ không thể thay đổi giúp cải thiện đáng kể bảo mật sao lưu AWS.
  3. Chặn các thùng Amazon S3 công khai. Chặn quyền truy cập công khai vào các thùng S3 để tránh truy cập trái phép vào dữ liệu, bao gồm cả các bản sao lưu bạn lưu trữ trong AWS S3. Bạn có thể cấu hình tùy chọn này ở cấp tài khoản và cho từng thùng riêng lẻ.

Các thực hành bảo mật tốt nhất cho AWS EC2

Các phiên bản AWS EC2 khác nhau với các khối lượng EBS là một cách khác để lưu trữ bản sao lưu trong đám mây Amazon. Hãy xem xét các thực hành bảo mật tốt nhất cho AWS EC2 này để bảo vệ các bản sao lưu được tạo trong đám mây AWS EC2.

  1. Bảo vệ cặp khóa truy cập. Bảo vệ cặp khóa (khóa công khai và khóa riêng tư, là thông tin xác thực trong AWS EC2) được tạo ra để truy cập các instance Amazon EC2. Bất kỳ ai có quyền truy cập vào các thông tin xác thực này và biết ID instance đều có thể truy cập vào instance và dữ liệu chứa trong đó. Cũng lưu ý rằng bạn chỉ có thể tải xuống khóa này một lần khi tạo instance EC2, và bạn không có bản sao của khóa riêng tư trong AWS. Sau khi tải xuống, khóa này nên được lưu trữ ở nơi an toàn.
  2. Cài đặt bản cập nhật. Cài đặt các bản cập nhật bảo mật và cập nhật trình điều khiển trong hệ điều hành khách như Windows đang chạy trên một instance Amazon EC2.
  3. Sử dụng các khối lượng EBS riêng biệt. Khối lượng EBS là một đĩa ảo cho instance EC2 trên AWS. Sử dụng các khối lượng EBS riêng biệt để chạy hệ điều hành và lưu trữ bản sao lưu. Đảm bảo rằng khối lượng EBS chứa dữ liệu sao lưu vẫn tồn tại sau khi instance EC2 bị ngừng hoạt động.
  4. Cấu hình quyền truy cập tạm thời. Không nên đặt khóa bảo mật trong các instance EC2 hoặc AMI để cấp quyền truy cập tạm thời. Nếu cần cấp quyền truy cập tạm thời, hãy sử dụng thông tin đăng nhập tạm thời chỉ có hiệu lực trong thời gian ngắn. Sử dụng các vai trò instance.

Các nguyên tắc bảo mật tốt nhất cho AWS VPC

Amazon Virtual Private Cloud (VPC) là một môi trường đám mây mà bạn có thể cách ly bằng cấu hình mạng cụ thể. Môi trường được cách ly về mặt logic này (đám mây không công khai) trên AWS có thể được sử dụng để lưu trữ các bản sao lưu với mức độ bảo mật cao hơn.

Để bảo vệ các bản sao lưu được lưu trữ trong VPC, hãy tham khảo các thực hành bảo mật AWS VPC được liệt kê dưới đây:

  • Sử dụng nhiều vùng sẵn sàng (Availability Zones) để đảm bảo tính sẵn sàng cao khi thêm các mạng con (subnets) vào VPC.
  • Sử dụng danh sách kiểm soát truy cập mạng (ACLs) để kiểm soát quyền truy cập vào các mạng con.
  • Sử dụng nhóm bảo mật (Security Groups) để kiểm soát lưu lượng truy cập đến các instance EC2 trong các mạng con.
  • Sử dụng nhật ký lưu lượng VC để xem các sự kiện được tạo trong VPC.
  • Tách biệt các môi trường VPC như Dev, Test, Backup, v.v.

Các thực hành tốt nhất khác về bảo mật dữ liệu đám mây trên AWS

Có các thực hành bảo mật AWS khác có thể được triển khai cho nhiều danh mục cùng lúc:

  1. Sử dụng phương pháp bảo mật thống nhất. Sử dụng phương pháp tiếp cận thống nhất cho bảo mật trên đám mây AWS và máy chủ tại chỗ. Các chính sách bảo mật khác nhau cho môi trường AWS và tại chỗ có thể gây ra lỗ hổng bảo mật trong một trong hai môi trường. Kết quả là cả hai môi trường đều trở nên dễ bị tấn công do chúng được kết nối với nhau qua mạng.
  2. Tự động hóa các tác vụ sao lưu. Sử dụng phần mềm bảo vệ dữ liệu chuyên dụng để sao lưu dữ liệu lên AWS tự động. Để đảm bảo bảo mật sao lưu AWS tốt nhất, hãy lên lịch sao lưu và bản sao lưu để chạy định kỳ vào các thùng Amazon S3.

NAKIVO Backup & Replication là giải pháp toàn diện hỗ trợ Sao lưu/sao chép Amazon EC2sao lưu lên Amazon S3:

  • Sao lưu tăng dần, nhất quán cho các instance Amazon EC2
  • Nhiều tính năng tự động hóa với sao lưu/sao chép dựa trên chính sách, lập lịch nâng cao và chuỗi sao lưu để tạo bản sao lưu tự động trên Amazon S3 từ các bản sao lưu chính thành công
  • Tích hợp với S3 Object Lock để tạo bản sao lưu không thể thay đổi, chống ransomware trên các bucket Amazon S3
1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

Triển khai trong vòng 2 phút và bảo vệ dữ liệu trên môi trường ảo, đám mây, vật lý và SaaS. Các tùy chọn sao lưu, nhân bản và khôi phục tức thì.

Tải xuống phiên bản miễn phí

People also read

Picture
Hướng dẫn chi tiết cách thiết lập phòng thí nghiệm tại nhà với vSphere 7.0
Picture
Cách chạy macOS trên VMware ESXi
Picture
Cài đặt Windows 10 làm hệ điều hành khách trong VMware Fusion