REL09-BP02 Proteger e criptografar backups

Controle e detecte o acesso a backups usando autenticação e autorização. Use a criptografia para prevenir e detectar se a integridade dos dados de backups está comprometida.

Implemente controles de segurança para evitar o acesso não autorizado aos dados de backup. Criptografe os backups para proteger a confidencialidade e a integridade dos dados.

Práticas comuns que devem ser evitadas:

Ter o mesmo acesso à automação de backups e restauração que tem aos dados.
Não criptografar seus backups.
Não implementar a imutabilidade para proteção contra exclusão ou adulteração.
Usar o mesmo domínio de segurança para sistemas de produção e backup.
Não validar a integridade do backup por meio de testes regulares.

Benefícios de implementar esta prática recomendada:

A proteção de backups impede a violação dos dados, ao passo que a criptografia de dados impede o acesso a eles caso sejam expostos por engano.
Proteção aprimorada contra ransomware e outras ameaças cibernéticas que visam à infraestrutura de backup.
Tempo de recuperação reduzido após incidentes cibernéticos por meio de processos de recuperação validados.
Recursos aprimorados de continuidade dos negócios durante incidentes de segurança.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Controle e detecte o acesso a backups usando autenticação e autorização, como o AWS Identity and Access Management (IAM). Use a criptografia para prevenir e detectar se a integridade dos dados de backups está comprometida.

O Amazon S3 oferece suporte a vários métodos de criptografia de dados em repouso. Ao usar a criptografia do lado do servidor, o Amazon S3 aceita os objetos como dados não criptografados e, depois, criptografa-os à medida que são armazenados. Ao usar a criptografia do lado do cliente, a aplicação da workload é responsável por criptografar os dados antes de serem enviados ao Amazon S3. Ambos os métodos permitem que você use o AWS Key Management Service (AWS KMS) para criar e armazenar a chave de dados, ou você pode fornecer sua própria chave, pela qual você é responsável. Usando o AWS KMS, você pode definir políticas usando o IAM sobre quem pode e não pode acessar suas chaves de dados e dados descriptografados.

Para o Amazon RDS, se você tiver optado por criptografar seus bancos de dados, seus backups também serão criptografados. Os backups do DynamoDB sempre são criptografados. Quando o AWS Elastic Disaster Recovery é usado, todos os dados em trânsito e em repouso são criptografados. Com o Elastic Disaster Recovery, os dados em repouso podem ser criptografados usando a chave de criptografia de volume padrão do Amazon EBS ou uma chave personalizada gerenciada pelo cliente.

Considerações sobre resiliência cibernética

Para aprimorar a segurança do backup contra ameaças cibernéticas, considere a possibilidade de implementar estes controles adicionais além da criptografia:

Implemente a imutabilidade usando a Trava de Segurança do AWS Backup ou o Bloqueio de Objetos do Amazon S3 para evitar que os dados de backup sejam alterados ou excluídos durante o período de retenção e oferecer proteção contra ransomware e exclusão mal-intencionada.
Estabeleça um isolamento lógico entre os ambientes de produção e backup com um cofre logicamente isolado do AWS Backup para sistemas essenciais a fim de criar uma separação que ajude a evitar o comprometimento dos dois ambientes simultaneamente.
Valide a integridade do backup regularmente usando testes de restauração do AWS Backup para verificar se os backups não estão corrompidos e podem ser restaurados com êxito após incidentes cibernéticos.
Implemente a aprovação multilateral de operações essenciais de recuperação usando a aprovação multilateral do AWS Backup para evitar tentativas de recuperação não autorizadas ou mal-intencionadas ao exigir a autorização de vários aprovadores designados.

Etapas de implementação

Use criptografia em cada um dos seus datastores. Se os dados de origem forem criptografados, o backup também será.
- Use criptografia no Amazon RDS. Você pode configurar a criptografia em repouso usando o AWS Key Management Service ao criar uma instância do RDS.
- Use criptografia nos volumes do Amazon EBS. Você pode configurar a criptografia padrão ou especificar uma chave exclusiva após a criação do volume.
- Use a criptografia do Amazon DynamoDB necessária. O DynamoDB criptografa todos os dados em repouso. Você pode usar uma chave do AWS KMS pertencente à AWS ou uma chave do KMS gerenciada pela AWS, especificando uma chave armazenada na sua conta.
- Criptografe seus dados armazenados no Amazon EFS. Configure a criptografia ao criar seu sistema de arquivos.
- Configure a criptografia nas regiões de origem e de destino. Você pode configurar a criptografia em repouso no Amazon S3 usando as chaves armazenadas no KMS, mas as chaves são específicas da região. É possível especificar as chaves de destino ao configurar a replicação.
- Escolha se deseja usar a criptografia padrão ou usar a criptografia do Amazon EBS para Elastic Disaster Recovery. Essa opção criptografa os dados em repouso replicados nos discos da sub-rede da área de preparação e os discos replicados.
Implemente permissões de privilégio mínimo para acessar seus backups. Siga as práticas recomendadas para limitar o acesso aos backups, aos snapshots e às réplicas de acordo com as práticas recomendadas de segurança.
Configure a imutabilidade para backups essenciais. Para dados essenciais, implemente a Trava de Segurança do AWS Backup ou o Bloqueio de Objetos do S3 para evitar exclusão ou alteração durante o período de retenção especificado. Para ver detalhes sobre a implementação, consulte AWS Backup Vault Lock.
Crie uma separação lógica para ambientes de backup. Implemente um cofre logicamente isolado do AWS Backup para sistemas essenciais que exigem proteção aprimorada contra ameaças cibernéticas. Para obter orientações sobre implementação, consulte Building cyber resiliency with AWS Backup logically air-gapped vault.
Implemente processos de validação de backup. Configure testes de restauração do AWS Backup para verificar regularmente se os backups não estão corrompidos e podem ser restaurados com êxito após incidentes cibernéticos. Para ter mais informações, consulte Validate recovery readiness with AWS Backup restore testing.
Configure a aprovação multilateral de operações de recuperação confidenciais. Para sistemas essenciais, implemente a aprovação multilateral do AWS Backup a fim de exigir a autorização de vários aprovadores designados para que a recuperação possa prosseguir. Para ver detalhes sobre a implementação, consulte Improve recovery resilience with AWS Backup support for Multi-party approval.

Recursos

Documentos relacionados:

Exemplos relacionados:

Implementing Bi-Directional Cross-Region Replication (CRR) for Amazon Simple Storage Service (Amazon S3)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

REL09-BP01 Identificar e fazer backup de todos os dados que precisam de backup ou reproduzir os dados das fontes

REL09-BP03 Realizar backups de dados automaticamente