REL09-BP02 Schützen und Verschlüsseln von Backups

Kontrollieren und erkennen Sie den Zugriff auf Backups durch eine Authentifizierung und Autorisierung. Vermeiden und erkennen Sie mittels Verschlüsselung Beeinträchtigungen der Datenintegrität von Backups.

Implementieren Sie Sicherheitskontrollen, um einen unbefugten Zugriff auf Backup-Daten zu verhindern. Verschlüsseln Sie Backups, um die Vertraulichkeit und Integrität Ihrer Daten zu schützen.

Typische Anti-Muster:

Derselbe Zugriff auf die Sicherungen und die automatisierte Wiederherstellung wie auf die Daten.
Keine Verschlüsselung der Sicherungen.
Keine Implementierung von Unveränderlichkeit zum Schutz vor Löschung oder Manipulation.
Verwendung derselben Sicherheitsdomäne für Produktions- und Backup-Systeme.
Keine Überprüfung der Integrität der Backups durch regelmäßige Tests.

Vorteile der Nutzung dieser bewährten Methode:

Die Absicherung Ihrer Backups verhindert eine Manipulation der Daten und die Verschlüsselung der Daten sorgt dafür, dass kein Zugriff auf die Daten möglich ist, wenn sie versehentlich offengelegt werden.
Verbesserter Schutz vor Ransomware und anderen Cyberbedrohungen, die auf die Backup-Infrastruktur abzielen.
Kürzere Wiederherstellungszeit nach einem Cybervorfall dank geprüfter Wiederherstellungsprozesse.
Verbesserte Fähigkeit zur Wahrung der Geschäftskontinuität bei Sicherheitsvorfällen.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Steuern und erkennen Sie den Zugriff auf Backups durch Authentifizierung und Autorisierung wie z. B. mit AWS Identity and Access Management (IAM). Vermeiden und erkennen Sie mittels Verschlüsselung Beeinträchtigungen der Datenintegrität von Backups.

Amazon S3 unterstützt mehrere Verschlüsselungsmethoden für Daten im Ruhezustand. Mithilfe der serverseitigen Verschlüsselung akzeptiert Amazon S3 Ihre Objekte als unverschlüsselte Daten und sorgt für ihre Verschlüsselung bei der Speicherung. Bei der clientseitigen Verschlüsselung ist Ihre Workload-Anwendung für die Verschlüsselung der Daten verantwortlich, bevor sie an Amazon S3 gesendet werden. Beide Methoden ermöglichen Ihnen, zum Erstellen und Speichern des Datenschlüssels AWS Key Management Service (AWS KMS) zu verwenden oder einen eigenen Schlüssel bereitzustellen, für den Sie verantwortlich sind. Bei AWS KMS können Sie mithilfe von IAM festlegen, wer auf Ihre Datenschlüssel und entschlüsselten Daten zugreifen kann.

Wenn Sie bei Amazon RDS Ihre Datenbanken verschlüsseln, werden Ihre Sicherungsdaten ebenfalls verschlüsselt. DynamoDB-Sicherungen werden immer verschlüsselt. Bei Verwendung von AWS Elastic Disaster Recovery werden alle Daten während der Übertragung und im Ruhezustand verschlüsselt. Mit Elastic Disaster Recovery können Daten im Ruhezustand entweder mit dem standardmäßigen -Amazon EBS-Volume-Verschlüsselungsschlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden.

Überlegungen zur Cyberresilienz

Um Ihre Backups besser vor Cyberbedrohungen zu schützen, sollten Sie neben der Verschlüsselung auch die Einführung dieser zusätzlichen Kontrollen in Betracht ziehen:

Implementieren Sie Unveränderlichkeit mithilfe von AWS Backup Vault Lock oder Amazon S3 Object Lock, um zu verhindern, dass Backup-Daten während ihres Aufbewahrungszeitraums verändert oder gelöscht werden. Auf diese Weise schützen Sie sie vor Ransomware und böswilliger Löschung.
Sorgen Sie für eine logische Trennung zwischen Produktions- und Backup-Umgebungen mit einem logischen Air-Gapped Vault von AWS Backup für kritische Systeme. Diese Trennung hilft, eine gleichzeitige Kompromittierung beider Umgebungen zu verhindern.
Überprüfen Sie die Integrität Ihrer Backups regelmäßig. Stellen Sie dazu mithilfe von AWS Backup-Wiederherstellungstests sicher, dass die Backups nicht beschädigt sind und nach einem Cybervorfall erfolgreich wiederhergestellt werden können.
Nutzen Sie die Mehrparteien-Genehmigung von AWS Backup für kritische Wiederherstellungsvorgänge, um sicherzustellen, dass keine unbefugten oder böswilligen Wiederherstellungsversuche erfolgen können, da eine Autorisierung durch mehrere benannte Genehmigungsberechtigte erforderlich ist.

Implementierungsschritte

Verwenden Sie eine Verschlüsselung für jeden Datenspeicher. Wenn Ihre Quelldaten verschlüsselt sind, wird die Sicherung ebenfalls verschlüsselt.
- Nutzen Sie die Verschlüsselung in Amazon RDS. Beim Erstellen einer RDS-Instance können Sie die Verschlüsselung im Ruhezustand mit AWS Key Management Service konfigurieren.
- Nutzen Sie die Verschlüsselung von Amazon EBS-Volumes. Während der Erstellung von Volumes können Sie eine Standardverschlüsselung konfigurieren oder einen eindeutigen Schlüssel angeben.
- Verwenden Sie die erforderliche Amazon DynamoDB-Verschlüsselung. DynamoDB verschlüsselt alle Daten im Ruhezustand. Sie können entweder einen AWS-eigenen AWS KMS-Schlüssel oder einen AWS-verwalteten KMS-Schlüssel verwenden und dabei einen Schlüssel angeben, der in Ihrem Konto gespeichert wird.
- Verschlüsseln Sie Ihre in Amazon EFS gespeicherten Daten Konfigurieren Sie die Verschlüsselung beim Erstellen des Dateisystems.
- Konfigurieren Sie die Verschlüsselung in den Quell- und Zielregionen. Sie können die Verschlüsselung im Ruhezustand in Amazon S3 mit Schlüsseln konfigurieren, die in KMS gespeichert sind. Die Schlüssel sind jedoch regionsspezifisch. Sie können die Zielschlüssel angeben, während Sie die Replikation konfigurieren.
- Entscheiden Sie sich für die Standardverschlüsselung oder die angepasste Amazon EBS-Verschlüsselung für Elastic Disaster Recovery. Mit dieser Option werden Ihre replizierten Daten im Ruhezustand auf den Staging-Area Subnetz-Datenträgern und den replizierten Datenträgern verschlüsselt.
Implementieren Sie Rechte mit geringsten Berechtigungen für den Zugriff auf Ihre Backups. Begrenzen Sie den Zugriff auf die Backups, Snapshots und Replikate anhand bewährter Methoden im Bereich Sicherheit.
Konfigurieren Sie Unveränderlichkeit für kritische Backups. Implementieren Sie für kritische Daten AWS Backup Vault Lock oder S3 Object Lock, um zu verhindern, dass diese Daten während des angegebenen Aufbewahrungszeitraums gelöscht oder verändert werden. Weitere Informationen zur Implementierung finden Sie unter AWS Backup Vault Lock.
Schaffen Sie eine logische Trennung für Backup-Umgebungen. Implementieren Sie einen logischen Air-Gapped Vault von AWS Backup für kritische Systeme, die einen verbesserten Schutz vor Cyberbedrohungen benötigen. Anleitungen zur Implementierung finden Sie unter Building cyber resiliency with AWS Backup logically air-gapped vault.
Implementieren Sie Prozesse zur Backup-Validierung. Konfigurieren Sie AWS Backup-Wiederherstellungstests, um regelmäßig sicherzustellen, dass die Backups nicht beschädigt sind und nach einem Cybervorfall erfolgreich wiederhergestellt werden können. Weitere Informationen finden Sie unter Validate recovery readiness with AWS Backup restore testing.
Konfigurieren Sie eine Mehrparteien-Genehmigung für Wiederherstellungsvorgänge vertraulicher Daten. Implementieren Sie für kritische Systeme die Mehrparteien-Genehmigung von AWS Backup, sodass die Wiederherstellung erst fortgesetzt werden kann, nachdem eine Genehmigung von mehreren benannten Genehmigungsberechtigten eingeholt wurde. Einzelheiten zur Implementierung finden Sie unter Improve recovery resilience with AWS Backup support for Multi-party approval.

Ressourcen

Zugehörige Dokumente:

Zugehörige Beispiele:

Implementing Bi-Directional Cross-Region Replication (CRR) for Amazon S3

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

REL09-BP01 Ermitteln und Sichern aller zu sichernden Daten oder Reproduzieren der Daten aus Quellen

REL09-BP03 Automatische Daten-Backups