AWS Backup 安全性最佳實踐

AWS 提供多項基於雲端的產品,涵蓋運算、儲存、分析等領域。其中有兩項產品常被企業用於備份儲存:用於雲端物件儲存的 Amazon S3,以及用於儲存 EC2 卷宗及其備份的 Amazon Elastic Block Store (EBS)。

雲端儲存平台是實施"3-2-1"資料保護策略的理想選擇。AWS 同時也是儲存與運算資源的絕佳選擇,因為它透過跨不同地理區域的地理冗餘,提供卓越的可用性與韌性。您無需擔心災難發生在您所在的地區並危及資料中心;您的資料副本已分散於全球各地。

然而,隨著新型網路威脅迅速演變,了解如何實施 AWS 雲端備份的安全最佳實踐以降低組織端的潛在風險至關重要,因為雲端中多數的安全事件皆源於客戶自身疏失,而非雲端供應商所致。閱讀這篇文章,進一步了解各種 AWS 儲存產品的完整安全選項,以及如何從中獲益。

NAKIVO 適用於 AWS EC2 備份

將 Amazon EC2 執行個體備份至 EC2、AWS S3 及本地端。提供防勒索軟體功能。可快速還原執行個體及應用程式物件。

探索解決方案

AWS 共同責任模式

無論是使用 AWS 雲端儲存方案,還是將整個基礎架構遷移至 Amazon EC2,您都應了解 AWS 共同責任模型,以釐清 AWS 備份安全性的責任歸屬。部分責任由雲端供應商承擔,特別是雲端平台的安全性與可用性。然而,針對工作負載與資料所面臨的許多其他威脅,其防護責任仍由您(即客戶)承擔。

與大多數雲端供應商的情況相同,資料安全責任由 AWS 與雲端客戶共同分擔。作為雲端供應商,Amazon 負責確保 AWS 基礎架構的安全性。平台的安全性對於保護客戶的重要資料和應用程式至關重要。AWS 會偵測詐欺和濫用行為,並將相關事件通知客戶。

與此同時,客戶須負責其於 AWS 中所使用產品的安全設定。客戶必須確保從組織內部或外部存取敏感資料的權限已受到適當限制,並確實採用建議的資料保護政策。

AWS Backup 儲存選項

AWS 提供 2 種主要的雲平台: Amazon S3 與 Amazon EC2 的不同使用情境. Amazon EC2 運算產品仰賴 Elastic Block Store (EBS) 儲存平台。

• Amazon 簡易儲存服務 或 Amazon S3 這是一個物件儲存平台,專為儲存來自任何來源的資料而設計——例如網頁或行動應用程式、網站,或是來自物聯網(IoT)感測器的資料。它同時也是用於儲存虛擬機器及 Amazon EC2 執行個體備份與備份複製的熱門選擇。

• Amazon 彈性區塊儲存 (EBS) 此服務由 Amazon 設計,旨在為 Amazon EC2 中的工作負載提供持久性區塊儲存卷。

在 Amazon EC2 執行個體的備份策略中,這兩種備份儲存選項通常可以結合使用:您可以將執行個體的備份傳送至 Amazon EBS,並建立一份備份複製儲存於 Amazon S3,以提升可靠性。

AWS 雲端備份安全最佳實踐

雖然 AWS 服務種類繁多,但主要服務包括 Amazon EC2、Amazon S3,以及 Amazon Virtual Private Cloud (VPC)——這是一種託管於公有雲內的隔離式私有雲。

如前所述,"共同責任模式"規定客戶須全權負責配置安全控制措施。為確保您在 AWS 中的資料完整無缺且受到保護,請遵循以下 5 個關鍵領域的最佳實踐:

• 安全監控
• 帳戶安全
• 安全性設定
• 非活躍實體管理
• 存取限制

此外,也請考慮針對每項特定的 Amazon 服務,實施 AWS 安全最佳實踐:

• Amazon S3
• Amazon EC2
• Amazon VPC

安全監控

安全監控是 AWS 安全最佳實踐的主要項目之一,因為它能讓您及時偵測可疑事件,並主動解決與資料保護相關的問題。

1. 啟用 CloudTrail。 CloudTrail 服務會為所有 Amazon Web Services 產生日誌,包括那些不具區域特定性的服務,例如 IAM、CloudFront 等。
2. 使用 CloudTrail 日誌檔驗證。 此特點可為日誌檔案的完整性提供額外的保護層。啟用日誌檔案驗證後,日誌檔案傳送至 Amazon S3 儲存桶後所做的任何變更皆可追溯。
3. 啟用 CloudTrail 多區域記錄功能。 CloudTrail 提供 AWS API 呼叫記錄,讓資安分析師能夠追蹤 AWS 環境中的變更、進行合規性稽核、調查事件,並確保遵循 AWS 的資安最佳實踐。透過在所有區域啟用 CloudTrail,組織便能偵測到在未使用區域中發生的意外或可疑活動。
4. 將 CloudTrail 服務與 CloudWatch 整合。 CloudWatch 元件可持續監控來自 EC2 執行個體、CloudTrail 及其他來源的日誌檔案。CloudWatch 還能收集並追蹤指標,協助您快速偵測威脅。此整合功能可針對使用者、API、資源及 IP 位址,進行即時與歷史活動記錄。您可針對異常或可疑的帳戶活動設定警報與通知。
5. 啟用 CloudTrail S3 儲存桶的存取記錄功能。 此特點旨在防止攻擊者進一步入侵 CloudTrail S3 儲存桶。這些日誌包含由 CloudTrail 擷取的日誌資料,用於監控活動及進行事件調查。請保持 CloudTrail S3 儲存桶的存取日誌記錄功能啟用。如此一來,您便能追蹤存取請求,並迅速偵測未經授權的存取嘗試。
6. 啟用 Elastic Load Balancer (ELB) 的存取記錄功能。 啟用 ELB 存取記錄功能,可讓 ELB 記錄並儲存每個 TCP 或 HTTP 請求的相關資訊。這些資料對於資安與疑難排解專業人員而言極具價值。例如,在分析可能顯示特定類型攻擊的流量模式時,您的 ELB 記錄資料便能發揮重要作用。
7. 啟用 Redshift 稽核記錄。 Amazon Redshift 是一項 AWS 服務,會記錄使用者活動的詳細資訊,例如在資料庫中執行的查詢和連線。啟用 Redshift 後,您即可針對特定資料庫執行稽核,並支援事件發生後的鑑識調查。
8. 啟用虛擬私有雲 (VPC) 流量記錄。 VPC 流量記錄是一項網路監控服務,可提供 VPC 網路流量的可視性。此特點可用於偵測異常或可疑的流量、提供安全洞察,並在發現任何異常活動時向您發出警示。啟用 VPC 後,您便能識別各種安全與存取問題,例如異常龐大的資料傳輸量、遭拒的連線請求、權限過於寬鬆的安全群組或網路存取控制清單 (ACL) 等。

AWS 帳戶安全最佳實踐

保護使用者帳戶至關重要,以確保其不會輕易遭到入侵。為此,請遵循以下 AWS 帳戶安全最佳實踐:

1. 刪除 CloudTrail S3 儲存桶時需進行多因素驗證 (MFA)。 如果您的 AWS 帳戶遭到入侵,攻擊者最可能採取的第一步就是刪除 CloudTrail 日誌,以掩蓋入侵痕跡並延遲偵測。為刪除包含 CloudTrail 日誌的 S3 儲存桶設定多重驗證 (MFA),將使駭客更難刪除日誌,從而降低他們不被察覺的機率。
2. root 帳戶的 MFA。 註冊 AWS 時建立的第一個使用者帳戶稱為根帳戶。根帳戶是權限最高的使用者類型,可存取所有 AWS 資源。因此,您應盡快為根帳戶啟用多因素驗證 (MFA)。 AWS 針對根帳戶 MFA 的最佳實踐之一,是避免將憑證綁定在用戶的個人裝置上。為此,您應準備一台專用的行動裝置,並將其存放於遠端位置。此舉可增添一層保護,並確保無論誰的個人裝置遺失或損壞,都能隨時存取根帳戶。
3. IAM 用戶的 MFA。 若您的帳戶遭到入侵,多重驗證(MFA)將成為最後一道防線。所有擁有身分與存取管理(IAM)服務主控台密碼的使用者,均應被要求進行多重驗證。
4. IAM 用戶的多模式存取。 啟用 IAM 用戶的多模式存取功能,可讓您將用戶分為兩類:具備 API 存取權限的應用程式用戶,以及具備控制台存取權限的管理員。此舉能降低 IAM 用戶憑證(存取金鑰或密碼)遭洩露時,發生未經授權存取的風險。
5. 指派給群組或角色的 IAM 政策。 請勿直接將政策和權限指派給使用者。相反地,應在群組和角色層級為使用者配置權限。此方法能讓權限管理更為簡便。此外,也能降低個別使用者意外獲得過多權限或特權的風險。
6. 定期輪替 IAM 存取金鑰。 您越頻繁地輪替存取金鑰對,因金鑰遺失或遭竊而導致資料遭未經授權存取的風險就越低。
7. 嚴格的密碼政策。 毫不意外地,使用者往往傾向設定過於簡單的密碼。這是因為他們希望密碼容易記憶。然而,這類密碼通常也容易被他人猜中。 實施並維持嚴格的密碼政策,是 AWS 另一項用於保護帳戶免受暴力破解登入攻擊的安全最佳實踐。雖然具體政策細節可能有所不同,但您應要求密碼至少包含一個大寫字母、一個小寫字母、一個數字、一個符號,且長度至少為 14 個字元。

AWS 中的安全性最佳實踐設定

設定安全性選項以保護您在 AWS 中的資料,包括備份。

1. 限制對 CloudTrail S3 儲存桶的存取權限。 請勿為任何使用者或管理員帳戶啟用 CloudTrail 日誌的存取權限。其背後的原因在於,這些帳戶始終面臨遭受網路釣魚攻擊的風險。請僅限於因工作需要此特點的人員進行存取。如此一來,即可降低不必要存取的發生機率。
2. 加密 CloudTrail 日誌檔案. 解密靜態儲存的 CloudTrail 日誌檔案有兩項需求。首先,必須透過"客戶主金鑰"政策授予解密權限。其次,必須授予存取 Amazon S3 儲存桶的權限。僅有因工作需要而應具備相關職責的使用者,才應獲得這兩項權限。
3. 加密 EBS 資料庫。 確保 EBS 資料庫已加密,可提供額外的保護層。請注意,此操作僅能在建立 EBS 卷時進行——無法在事後啟用加密功能。因此,若存在任何未加密的卷,您必須建立新的加密卷,並將資料從未加密的卷中遷移至新卷。
4. 縮小 EC2 安全群組中開放埠口的範圍。 大量開放的端口會讓系統暴露更多漏洞,使攻擊者得以利用端口掃描進行攻擊。
5. 設定 EC2 安全群組以限制存取權限。 應避免授予過多存取 EC2 執行個體的權限。切勿允許大型 IP 範圍存取 EC2 執行個體。相反地,請具體指定,並僅在存取清單中包含確切的 IP 位址。遵循 AWS 安全群組最佳實踐.
6. 避免使用 root 使用者帳戶。 當您註冊 AWS 帳戶時,您使用的 email 地址和密碼會自動成為 root使用者帳戶。root使用者是系統中權限最高的使用者,可無例外地存取 AWS 帳戶中的所有服務和資源。最佳實踐是僅在建立第一個 IAM 使用者時使用此帳戶一次。此後,您應將 root使用者的憑證存放在安全的地方,並確保任何人皆無法存取。
7. 使用安全的 SSL 版本與加密演算法。 在建立客戶端與 Elastic Load Balancing (ELB) 系統之間的連線時,請避免使用過時的 SSL 版本或已廢棄的加密演算法。這些做法可能會導致客戶端與負載平衡器之間的連線不安全。
8. Amazon Relational Database Service (RDS) 的加密功能。 對 Amazon RDS 進行加密可提供額外的保護層。建議您使用 AWS RDS 安全性最佳實踐.
9. 避免在 root 帳戶中使用存取金鑰。 請建立具有有限權限和存取金鑰的基於角色的帳戶。切勿將存取金鑰用於 root 帳戶,因為這無疑會使帳戶面臨遭入侵的風險。
10. 定期輪替 SSH 金鑰。 定期輪替 SSH 金鑰。這項 AWS 安全最佳實踐可降低員工因誤操作或疏忽而意外分享 SSH 金鑰所帶來的風險。
11. 盡量減少獨立安全群組的數量。 組織應盡可能減少獨立安全群組的數量。此舉可降低設定錯誤的風險,避免帳戶遭入侵,這也是 AWS 安全群組的最佳實踐之一。

非活躍實體管理

管理及刪除非活躍實體至關重要,因為這類實體可能被第三方用於未經授權的存取。

1. 盡可能減少 IAM 群組的數量刪除未使用或過期的 IAM 群組,可降低因誤用舊版安全性設定而意外為新實體進行資源配置的風險。
2. 終止未使用的存取金鑰根據 AWS 安全最佳實踐,超過 30 天未使用的存取金鑰應予以終止。若長期保留未使用的存取金鑰,勢必會增加帳戶遭入侵或內部威脅的風險。
3. 停用非活躍 IAM 使用者的存取權限。 同樣地,您應停用超過 90 天未登入的 IAM 使用者帳戶。此舉可降低遭棄置或閒置帳戶遭入侵的風險。
4. 刪除未使用的 SSH 公開金鑰。 刪除未使用的 SSH 公開金鑰,以降低從未受限制的位置透過 SSH 進行未經授權存取的風險。

存取限制

限制存取權限是 AWS 安全最佳實踐的一環,可協助您將 AWS 中儲存的資料遭洩漏的機率降至最低,並提升安全性。

1. 限制對 Amazon 機器映像 (AMI) 的存取權限。 若開放 Amazon 機器映像 (AMI) 的存取權限,這些 AMI 便會出現在"社群 AMI"中。在那裡,任何擁有 AWS 帳戶的社群成員皆可使用這些 AMI 來啟動 Amazon EC2 執行個體。AMI 通常包含特定組織應用程式的快照,其中包含配置資訊與應用程式資料。強烈建議您謹慎限制對 AMI 的存取權限。
2. 限制對非常用埠的傳入存取。 應限制對非常用埠口的存取,因為這些埠口可能成為惡意活動的潛在弱點(例如:暴力破解攻擊、駭客入侵、DDoS 攻擊等)。
3. 限制對 EC2 安全群組的存取權限。 應限制對 EC2 安全群組的存取權限。此舉有助於進一步防止遭受惡意活動的侵害。
4. 限制對 RDS 執行個體的存取權限。 透過 RDS 執行個體存取權限,網際網路上的實體即可與您的資料庫建立連線。若未限制存取權限,組織將面臨 SQL 注入、暴力破解攻擊或駭客入侵等惡意活動的風險。
5. 限制外連存取。 若允許從端口進行不受限制的外發連線,可能會使組織面臨網路威脅。您應僅允許特定實體進行連線——例如,特定端口或特定目的地。
6. 限制對已知協定埠的存取。 必須限制對知名埠口的存取。若未加以管控,將使您的組織面臨未經授權存取資料的風險——例如透過 445 埠的 CIFS、透過 20/21 埠的 FTP,以及透過 3306 埠的 MySQL 等。

AWS S3 安全性最佳實踐

作為最常見的雲端儲存類型之一,用於儲存備份,您應該了解 Amazon S3 的運作原理 並遵循 AWS S3 的安全最佳實踐。

1. 啟用版本控制。 版本控制功能用於在將變更寫入物件後,於 S3 儲存桶中保留該物件的多個版本。若儲存桶中的物件發生了不希望的變更,您可以還原至任何之前的物件版本。
2. 使用不可變(WORM)儲存。 Amazon S3 支援"寫入一次、多次讀取"(WORM)模型,用於存取 S3 儲存桶中的資料。此方法可防止資料因使用者誤刪,或遭勒索軟體及其他惡意軟體蓄意刪除而受損。將備份儲存於不可變動備份儲存中,能顯著提升 AWS 備份的安全性。
3. 封鎖公開的 Amazon S3 儲存桶。 請封鎖 S3 儲存桶的公開存取權限,以防止未經授權存取資料,包括您儲存於 AWS S3 中的備份。您可以在帳戶層級或針對個別儲存桶進行此設定。

AWS EC2 安全性最佳實踐

不同的 AWS EC2 執行個體 使用 EBS 儲存卷是將備份儲存於 Amazon 雲端環境的另一種方式。請參考這些 AWS Amazon EC2 安全性最佳實踐,以保護您在 Amazon EC2 雲端環境中建立的備份。

1. 保護存取金鑰對。 請妥善保護用於存取 Amazon EC2 執行個體所生成的金鑰對(即 Amazon EC2 中的公開金鑰與私密金鑰)。任何取得這些憑證且知曉執行個體 ID 的人,皆可存取該執行個體及其所含的資料。另請注意,您僅能在建立 Amazon EC2 執行個體時下載此金鑰一次,且 AWS 系統中並未保留私密金鑰的副本。下載後,請將此金鑰存放於安全之處。
2. 正在安裝更新。 在 Amazon EC2 執行個體上運行的 Windows 等客體作業系統中,安裝安全性更新並更新驅動程式。
3. 使用獨立的 EBS 卷。 EBS 卷是 AWS 中 EC2 執行個體的虛擬磁碟。請分別使用不同的 EBS 卷來執行作業系統及儲存備份。請確保包含備份資料的 EBS 卷在 EC2 執行個體終止後仍能保留。
4. 設定臨時存取權限。 請勿將安全金鑰放置於 EC2 執行個體或 AMI 中以供臨時存取。若需提供臨時存取權限,請使用有效期短暫的臨時存取憑證。請使用執行個體角色。

AWS VPC 安全性最佳實踐

Amazon Virtual Private Cloud (VPC) 是一種可透過指定網路配置進行隔離的雲端環境。此位於 AWS 中的邏輯隔離環境(非公有雲)可用於儲存安全性更高的備份。

若要保護儲存於 VPC 中的備份,請參閱以下列出的 AWS VPC 安全性最佳實踐:

• 在將子網添加至 VPC 時,請使用多個可用區域以確保高可用性。
• 使用網路存取控制清單 (ACL) 來控制對子網的存取權限。
• 使用安全群組來控制子網中 EC2 執行個體的流量。
• 使用 VC 流量日誌來檢視 VPC 中產生的事件。
• 請將您的 VPC 環境(例如開發、測試、備份等)進行隔離。

AWS 雲端資料安全的其他最佳實踐

還有其他 AWS 安全最佳實踐,可同時套用至多個類別:

1. 採用統一的安全策略。 請在 AWS 雲端與本地伺服器中採用統一的安全策略。若針對 AWS 與本地環境的安全措施各不相同,可能會導致其中一方出現安全漏洞。由於這兩類環境透過網路相互連線,最終將使兩者皆面臨安全風險。
2. 自動化備份工作。 使用專用的資料保護軟體,將資料自動備份至 AWS。為確保最佳的 AWS 備份安全性,請排程定期執行備份及備份複製,並將其儲存至 Amazon S3 儲存桶。

NAKIVO Backup & Replication 是支援 Amazon EC2 備份/複寫 以及 備份至 Amazon S3:

• Amazon EC2 執行個體的增量且一致性備份
• 具備多種自動化特點,包括基於政策的備份/複製、進階排程,以及備份鏈功能,可根據成功的主備份自動在 Amazon S3 中建立備份複製
• 整合 S3 Object Lock 功能,在 Amazon S3 儲存桶中建立不可變且具有勒索軟體韌性的備份

1 年免費資料保護: NAKIVO Backup & Replication

2 分鐘即可部署,並保護虛擬、雲端、實體及 SaaS 資料。提供備份、複製及快速還原選項。

立即下載免費版本