10 แนวทางปฏิบัติการสำรองข้อมูลบน AWS อย่างมั่นคงปลอดภัย

[fairya]

สำหรับผู้ใช้งาน AWS ที่พึงพอใจเรื่อง Best Practice สำหรับเพื่อการทำ Backup วันนี้เราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันครับผม


1.) มีวิธีการด้านการสำรองข้อมูล

มีแผนแบ็กอัพข้อมูลแจ้งชัด ตัวอย่างเช่น ข้อมูลส่วนใด จะทำบ่อยมากแค่ไหน ติดตามการสำรองรวมทั้งกู้คืนเช่นไร
ประเมินว่าอาจมีเหตุก่อกวนใดเกิดขึ้นได้บ้าง และก็จะทำให้เกิดผลเสียเช่นไร
มีเนื้อหาการสำรองรวมทั้งกู้คืนเชิงลึกแน่ชัด อาทิเช่น Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance ฯลฯ รวมทั้งทำแล้วตอบโจทย์ RTO/RPO ไหม
ยุทธวิธีที่ดีควรมีรายละเอียดกิจกรรมย่อยซึ่งสามารถป้องกันการโจมตีอย่างละเอียด ยกตัวอย่างเช่น แบบอย่างการกู้ยืมคือแบบผ่านบัญชี AWS หรือผ่าน Region
บางอุตสาหกรรมจะต้องคิดถึงเรื่องกฏหมายและข้อกำหนดเพราะจะเก็บกี่ชุด นานเท่าใด
หารือกับกลุ่ม Security ที่ทำกฎข้อบังคับเพราะทรัพยากรที่จำต้อง Backup และก็กิจกรรมพวกนั้นควรจะรวมหรือแยกจากโปรแกรมที่บังคับในหน่วยงาน
2.) แผนการแบ็กอัพข้อมูลควรเป็นส่วนหนึ่งส่วนใดของวิธีการทำ DR รวมทั้ง BCP

DR คือการตระเตรียม กรรมวิธีการสนองตอบ แล้วก็กู้คืนจากภัยอันตราย ยกตัวอย่างเช่น ความผิดพลาดทางเทคนิค ภัยธรรมชาติ หรือความผิดพลาดของคนเรา ส่วน BCP หมายความว่ากระบวนการทำให้ธุรกิจสามารถเดินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่ไม่ได้วางแผน ดังนี้ DR รวมทั้ง AWS Backup จะต้องเป็นส่วนย่อยภายใต้ BCP เพื่อเตรียมกับสถานการณ์ดังเช่น เกิดเหตุการด้านความมั่นคงไม่มีอันตรายที่กระทบกับข้อมูล Production ทำให้จำต้องใช้ข้อมูลที่สำรองไว้ ยิ่งไปกว่านี้พนักงานจะต้องมีความสามารถที่ทำได้จริงด้วย

3.) สร้างแนวทางการให้เป็นอัตโนมัติถ้าหากหน่วยงานสามารถสร้างวิธีการที่อัตโนมัติได้จะช่วยทำให้ การ Deploy Policy เป็นได้อย่างเป็นมาตรฐาน โดยเครื่องไม้เครื่องมือ AWS Organization คือสิ่งซึ่งสามารถตอบโจทย์ตรงนี้ได้ ยิ่งไปกว่านี้ควรมีแนวทางการทำ Infrastructure as Code หรือทำการได้แบบ Event-driven ซึ่งเมื่อเกิดความอัตโนมัติแล้วจะช่วยลดความผิดพลาดจากการทำงานแบบ Manual ได้

4.) มีกลไกการควบคุมรวมทั้งการให้สิทธิสิทธิ์ในพื้นฐานท่านสามารถใช้อุปกรณ์ AWS IAM เพื่อตอบปัญหาด้านการ Authentication & Authorization แล้วก็ควรใคร่ครวญตามหลัก Least Privilege โดยการให้สิทธิ์น้อยที่สุดที่จำเป็นต้อง เพื่อเข้าถึงข้อมูล Backup หรือ Vault นอกจากนั้นท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในหน่วยงาน มากกว่านั้น AWS ยังมีอุปกรณ์ IAM Access Analyzer ที่สามารถจะช่วยพินิจพิจารณา IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User และก็อื่นๆ

5.) เข้ารหัสข้อมูลแล้วก็ Vaultในกรณีที่ Access Control ยังไม่อาจจะคุ้มครองป้องกันได้ทั้งปวงดังเช่น การให้สิทธิ์มากมายไปในการเข้าถึง ระบบบริหารจัดแจง Key จะช่วยลดผลพวงของเหตุได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการปกป้องแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แต่ในช่วงเก็บข้อมูลท่านสามารถใช้เครื่องมือ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว เพียงแต่ท่านเลือกใช้ให้เหมาะกับความอยากของกฏหมาย ข้อบังคับขององค์กรแค่นั้น

มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดแจงอีก Region ได้ทำให้การเปลี่ยนที่ข้อมูลเข้ารหัสง่ายมากขึ้น

6.) ใช้ Immutable StorageImmutable Storage หรือการใช้งานในลักษณะที่สามารถเขียนครั้งเดียวแต่ว่าเรียกอ่านได้เสมอ โดยรากฐานแล้ววิธีการทำแบบนี้จะช่วยเรื่อง Integrity คุ้มครองป้องกันการเขียนทับ ลบ หรือสร้างความเสียหาย ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยคุ้มครองปกป้องกิจกรรมพฤติกรรมอะไรก็ตามกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์กระทั่ง Root User ในบัญชี AWS

7.) มีการติดตามและระบบแจ้งเตือนงาน Backup บางทีอาจล้มเหลวได้ ซึ่งจะกระทบกับขั้นตอนการทั้งหมดทั้งปวง ซึ่งผู้ใช้สามารถศึกษาต้นเหตุได้จากการติดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup รวมทั้ง Event รวมถึง CloudTrail จะสามารถพูดได้ว่า Backup API เป็นอย่างไร

8.) ตรวจสอบการตั้งค่าการ Backupองค์กรจำต้องตรวจสอบให้มั่นใจว่า Backup Policy ตรงกับกฎข้อบังคับหรือเปล่า และต้องทำโดยตลอด ซึ่งควรติดตามผลการสำรวจได้อัติโนมัตำหนิ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีแล้วก็ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากแนวทางสำรองข้อมูล มีการทำหลายครั้งขนาดไหน

9.) ทดลองแผนการกู้คืนข้อมูลว่าทำเป็นจริงควรมีการทดสอบเพื่อให้ทราบว่า Recovery Point ใดที่สามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกป้องกันไปยัง Recovery Point โดยอัตโนมัติแม้กระนั้นในทางกลับกันจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรจะเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามกระบวรการ Replicate

อย่างไรก็แล้วแต่องค์กรจะต้องมี Workflow กล้วยๆสำหรับกู้คืนข้อมูลที่จะทำได้หลายครั้งดังเช่นว่า การยืมคืนข้อมูลผ่านบัญชีหรือ Region จากการสำรองข้อมูลส่วนกลาง ถ้ามีการทดลองนานๆครั้งพอท่านอาจเจอความผิดพลาดของ KMS Encryption สำหรับในการข้ามบัญชีหรือ Region

10.) บรรจุแผนเรื่อง Backup ลงสำหรับเพื่อการทำ Incident Responseแผนการตอบสนองเหตุการณ์ไม่คาดฝันจะต้องมีหัวข้อการทดลอง Backup ไว้ด้วย เพื่อจะได้รับรู้ว่าหากเกิดเหตุจริงจะมีขั้นตอนอย่างไรให้พร้อมต่อกร โดยท่านสามารถใช้ AWS Backup เพื่อทดลองการ Backup ระดับ Instance และก็ Volume โดยการ Snapshot ข้ามบัญชี ซึ่งข้อมูลนี้จะช่วยให้กลุ่มพิสูจน์หลักฐานดำเนินการก้าวหน้าขึ้นเป็นต้นว่า การเก็บ Disk ที่เกิดเหตุหรือรู้ Recovery Point ที่ลดผลกระทบจากการโจมตี