# REL09-BP02 保护并加密备份
使用身份验证和授权功能来控制并检测对备份的访问。使用加密功能防止备份的数据完整性遭到破坏,以及检测其完整性是否遭到损坏。
实施安全控制措施,以防止未经授权访问备份数据。加密备份以保护数据的机密性和完整性。
**常见反模式:**
+ 对备份和还原自动化的访问权限与对数据的访问权限相同。
+ 不加密备份。
+ 未实施不可变性来防止删除或篡改。
+ 对生产系统和备份系统使用相同的安全域。
+ 未通过定期测试来验证备份完整性。
**建立此最佳实践的好处:**
+ 保护备份安全可防止篡改数据,而对数据进行加密可防止数据在意外暴露时遭到访问。
+ 增强了对勒索软件及其它针对备份基础设施的网络威胁的防护。
+ 通过经过验证的恢复流程,缩短了网络事件后的恢复时间。
+ 提高了安全事件期间的业务连续性能力。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
使用 AWS Identity and Access Management(IAM)等身份验证和授权服务来控制并检测对备份的访问。使用加密功能防止备份的数据完整性遭到破坏,以及检测其完整性是否遭到损坏。
Amazon S3 支持多种对静态数据进行加密的方式。借助服务器端加密功能,Amazon S3 以未加密数据的形式接受对象,然后在存储此类数据时进行加密。若采用客户端加密,工作负载应用程序需要负责在将数据发送到 Amazon S3 之前加密数据。这两种方式都让您可以使用 AWS Key Management Service(AWS KMS)创建并存储数据密钥,或者您也可以提供自己的密钥并自行对其负责。使用 AWS KMS,您可以通过 IAM 设置策略,决定谁可以、谁不可以访问数据密钥与解密数据。
针对 Amazon RDS,如果您已选择对数据库进行加密,那么备份也会被加密。DynamoDB 备份始终加密。使用 AWS Elastic Disaster Recovery 时,加密所有传输中数据和静态数据。借助弹性灾难恢复,可以使用默认的 Amazon EBS 加密“卷加密密钥”或自定义的客户自主管理型密钥来加密静态数据。
**网络弹性注意事项**
为了增强针对网络威胁的备份安全性,除了加密之外,还可以考虑实施这些额外的控制措施:
+ 使用 AWS Backup 保管库锁或 Amazon S3 对象锁定来实现不可变性,以防止备份数据在其保留期内遭到更改或删除,从而防范勒索软件和恶意删除。
+ 使用 AWS Backup 逻辑上受物理隔离的保管库为关键系统建立生产环境与备份环境之间的逻辑隔离,从而实现分离来协助防止这两个环境同时受到危害。
+ 定期使用 AWS Backup 还原测试来验证备份的完整性,以验证备份没有受损并且可以在发生网络事件后成功恢复。
+ 使用 AWS Backup 多方审批对关键的恢复操作实施多方审批,通过要求由多个指定批准者授权来防止未经授权或恶意的恢复尝试。
### 实施步骤
1. 对每个数据存储使用加密。如果源数据已加密,则备份也将被加密。
+ [在 Amazon RDS 中使用加密](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。当您创建 RDS 实例时,可以使用 AWS Key Management Service 配置静态加密。
+ [在 Amazon EBS 卷上使用加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。您可以配置默认加密或在创建卷时指定唯一密钥。
+ 使用所需的 [Amazon DynamoDB 加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)。DynamoDB 可加密所有静态数据。您可以使用 AWS 拥有的 AWS KMS 密钥或者 AWS 托管式 KMS 密钥,指定存储在账户中的密钥。
+ [加密 Amazon EFS 中存储的数据](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。在创建文件系统时配置加密。
+ 在源和目标区域中配置加密。您可以使用 KMS 中存储的密钥在 Amazon S3 中配置静态加密,但这些密钥是区域特定密钥。您在配置复制时可以指定目标密钥。
+ 选择是为弹性灾难恢复使用默认还是自定义 [Amazon EBS 加密](https://docs.aws.amazon.com/drs/latest/userguide/volumes-drs.html#ebs-encryption)。使用此选项会加密暂存区域子网磁盘和复制磁盘上的已复制静态数据。
1. 实施用于访问备份的最低权限。请遵循最佳实践,根据[安全最佳实践](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)来限制对备份、快照和副本的访问。
1. 为关键备份配置不可变性。对于关键数据,实施 AWS Backup 保管库锁或 S3 对象锁定,以防止在指定的保留期内遭到删除或更改。有关实施详细信息,请参阅 [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)。
1. 为备份环境创建逻辑分离。为需要增强网络威胁防护的关键系统实施 AWS Backup 逻辑上受物理隔离的保管库。有关实施指南,请参阅 [Building cyber resiliency with AWS Backup logically air-gapped vault](https://aws.amazon.com/blogs/storage/building-cyber-resiliency-with-aws-backup-logically-air-gapped-vault/)。
1. 实施备份验证流程。配置 AWS Backup 还原测试,以定期验证备份没有受损并且可以在发生网络事件后成功恢复。有关更多信息,请参阅 [Validate recovery readiness with AWS Backup restore testing](https://aws.amazon.com/blogs/storage/validate-recovery-readiness-with-aws-backup-restore-testing/)。
1. 为敏感的恢复操作配置多方审批。对于关键系统,实施 AWS Backup 多方审批,以便要求在继续恢复之前获得多个指定批准者的授权。有关实施详细信息,请参阅 [Improve recovery resilience with AWS Backup support for Multi-party approval](https://aws.amazon.com/blogs/storage/improve-recovery-resilience-with-aws-backup-support-for-multi-party-approval/)。
## 资源
**相关文档:**
+ [AWS Marketplace:可用于备份的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Amazon S3:利用加密来保护数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [CRR 附加配置:复制通过存储在 AWS KMS 中的加密密钥、使用服务器端加密(SSE)创建的对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ [DynamoDB 静态加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Encrypting Data and Metadata in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ [Encryption for Backups in AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [管理加密表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ [安全性支柱 - AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
+ [什么是 AWS Elastic Disaster Recovery?](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [FSISEC11: How are you protecting against ransomware?](https://docs.aws.amazon.com/wellarchitected/latest/financial-services-industry-lens/fsisec11.html)
+ [Ransomware Risk Management on AWS Using the NIST Cyber Security Framework](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/welcome.html)
+ [Building cyber resiliency with AWS Backup logically air-gapped vault](https://aws.amazon.com/blogs/storage/building-cyber-resiliency-with-aws-backup-logically-air-gapped-vault/)
+ [Validate recovery readiness with AWS Backup restore testing](https://aws.amazon.com/blogs/storage/validate-recovery-readiness-with-aws-backup-restore-testing/)
+ [Improve recovery resilience with AWS Backup support for Multi-party approval](https://aws.amazon.com/blogs/storage/improve-recovery-resilience-with-aws-backup-support-for-multi-party-approval/)
**相关示例:**
+ [Implementing Bi-Directional Cross-Region Replication (CRR) for Amazon S3](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)