# REL09-BP02 保護和加密備份
使用身分驗證和授權控制並偵測對備份的存取。使用加密來防止並檢測是否危及備份的資料完整性。
實作安全控制,以防止未經授權存取備份資料。加密備份,以保護資料的機密性和完整性。
**常見的反模式:**
+ 讓備份和還原自動化的存取權與資料的存取權相同。
+ 不加密您的備份。
+ 不實作不變性,以防止刪除或竄改。
+ 針對生產和備份系統使用相同的安全網域。
+ 不透過定期測試驗證備份完整性。
**建立此最佳實務的優勢:**
+ 保護您的備份可防止資料遭到竄改,加密資料可防止意外暴露時存取該資料。
+ 增強保護,防止遭到鎖定備份基礎結構為目標的勒索軟體和其他網路威脅攻擊。
+ 透過經驗證的復原程序,縮短發生網路事件後的復原時間。
+ 加強安全事件期間的業務持續性功能。
**未建立此最佳實務時的曝險等級:**高
## 實作指引
使用身分驗證和授權控制並偵測對備份的存取,例如 AWS Identity and Access Management (IAM)。使用加密來防止並檢測是否危及備份的資料完整性。
Amazon S3 支援多種靜態資料的加密方法。使用伺服器端加密時,Amazon S3 會以未加密資料的形式接受物件,然後在儲存這些物件之前將其加密。使用用戶端加密時,您的工作負載應用程式需負責加密資料,然後將資料傳送至 Amazon S3。這兩種方法都可讓您使用 AWS Key Management Service (AWS KMS) 來建立和存放資料金鑰,或者您也可以提供自己的金鑰,之後由您對其負責。使用 AWS KMS 時,您可以透過 IAM 設定政策,設定誰可以和誰無法存取您的資料金鑰和解密資料。
對於 Amazon RDS,如果您已選擇加密資料庫,則備份也會加密。DynamoDB 備份一律會加密。使用 AWS Elastic Disaster Recovery 時,所有傳輸中的資料和靜態資料都會加密。使用 Elastic Disaster Recovery,靜態資料可以使用預設 Amazon EBS 加密磁碟區加密金鑰或自訂客戶受管金鑰進行加密。
**網路恢復能力考量事項**
若要增強備份安全以防範網路威脅,除了加密之外,請考慮實作下列這些額外的控制:
+ 使用 AWS Backup 文件庫鎖定或 Amazon S3 物件鎖定來實作不變性,以防止備份資料在保留期間遭到更改或刪除,以防範勒索軟體和惡意刪除。
+ 針對關鍵系統使用 AWS Backup 邏輯氣隙隔離保存庫在正式執行環境和備份環境之間建立邏輯隔離,讓兩種環境彼此分隔,有助於防止其同時遭到入侵。
+ 使用 AWS Backup 還原測試定期驗證備份完整性,以確認備份未損毀,且可在網路事件後成功還原。
+ 針對關鍵復原操作使用 AWS Backup 多方核准實作多方核准,藉由要求多個指定核准者授權,以防止未經授權或惡意復原嘗試。
### 實作步驟
1. 在每個資料存放區使用加密。如果來源資料已加密,則備份也會加密。
+ [在 Amazon RDS 中使用加密](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。您可以在建立 RDS 執行個體時,使用 AWS Key Management Service 設定靜態加密。
+ [在 Amazon EBS 磁碟區中使用加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。您可以在建立磁碟區時設定預設加密或指定唯一金鑰。
+ 使用必要的 [Amazon DynamoDB 加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)。DynamoDB 會加密所有靜態資料。您可以使用 AWS 自有的 AWS KMS 金鑰或 AWS 受管 KMS 金鑰,指定帳戶中儲存的金鑰。
+ [加密存放在 Amazon EFS 中的資料](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。在建立檔案系統時設定加密。
+ 在來源和目的地區域設定加密。您可以使用 KMS 中存放的金鑰來設定 Amazon S3 中的靜態加密,但金鑰是區域限定的。您可以在設定複寫時指定目的地金鑰。
+ 選擇使用預設還是自訂 [Amazon EBS 加密進行彈性災難復原](https://docs.aws.amazon.com/drs/latest/userguide/volumes-drs.html#ebs-encryption)。此選項會在模擬區域子網路磁碟和複寫磁碟上加密您的複寫靜態資料。
1. 實作存取備份的最低權限。遵循最佳實務,以根據[安全最佳實務](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)限制對備份、快照和複本的存取。
1. 設定關鍵備份的不變性。針對關鍵資料實作 AWS Backup 文件庫鎖定或 S3 物件鎖定,以防止在指定的保留期間遭到刪除或修改。如需實作的詳細資訊,請參閱 [AWS Backup 文件庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)。
1. 建立備份環境的邏輯分隔。針對要求增強保護防範網路威脅的關鍵系統,實作 AWS Backup 邏輯氣隙隔離保存庫。如需實作指引,請參閱[使用 AWS Backup 邏輯氣隙隔離保存庫建置網路恢復能力](https://aws.amazon.com/blogs/storage/building-cyber-resiliency-with-aws-backup-logically-air-gapped-vault/)。
1. 實作備份驗證程序。設定 AWS Backup 還原測試以定期驗證備份未損毀,且可在網路事件後成功還原。如需詳細資訊,請參閱[使用 AWS Backup 還原測試驗證復原整備度](https://aws.amazon.com/blogs/storage/validate-recovery-readiness-with-aws-backup-restore-testing/)。
1. 針對敏感復原操作設定多方核准。針對關鍵系統實作 AWS Backup 多方核准,以要求取得多個指定核准者授權,才能繼續復原。如需實作詳細資訊,請參閱[透過 AWS Backup 支援多方核准來加強復原能力](https://aws.amazon.com/blogs/storage/improve-recovery-resilience-with-aws-backup-support-for-multi-party-approval/)。
## 資源
**相關文件:**
+ [AWS Marketplace:可用於備份的產品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Amazon S3:使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [CRR 其餘組態:複寫使用 AWS KMS 中儲存的加密金鑰,透過伺服器端加密 (SSE) 所建立的物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ [DynamoDB 靜態加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [在 Amazon EFS 中加密資料和中繼資料](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ [ 中的備份加密AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [管理加密資料表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ [安全支柱 – AWS Well Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
+ [ 什麼是 AWS Elastic Disaster Recovery?](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [FSISEC11:如何防範勒索軟體?](https://docs.aws.amazon.com/wellarchitected/latest/financial-services-industry-lens/fsisec11.html)
+ [在 AWS 上使用 NIST 網路安全架構進行勒索軟體風險管理](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/welcome.html)
+ [使用 AWS Backup 邏輯氣隙隔離保存庫建置網路恢復能力](https://aws.amazon.com/blogs/storage/building-cyber-resiliency-with-aws-backup-logically-air-gapped-vault/)
+ [使用 AWS Backup 還原測試驗證復原整備度](https://aws.amazon.com/blogs/storage/validate-recovery-readiness-with-aws-backup-restore-testing/)
+ [透過 AWS Backup 支援多方核准來加強復原能力](https://aws.amazon.com/blogs/storage/improve-recovery-resilience-with-aws-backup-support-for-multi-party-approval/)
**相關範例:**
+ [針對 Amazon S3 實作雙向跨區域複寫 (CRR)](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)