10 แนวทางปฏิบัติการสำรองข้อมูลบน AWS อย่างมั่นคงปลอดภัย

[PostDD]

สำหรับผู้ใช้งาน AWS ที่พอใจเรื่อง Best Practice ในการทำ Backup วันนี้พวกเราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันขอรับ


1.) มีแผนการด้านการสำรองข้อมูล

มีแผนแบ็กอัพข้อมูลแจ่มกระจ่าง เช่น ข้อมูลส่วนใด จะทำหลายครั้งเพียงใด ติดตามการสำรองรวมทั้งกู้คืนเช่นไร
ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง รวมทั้งจะทำให้เกิดผลกระทบอย่างไร
มีรายละเอียดการสำรองรวมทั้งกู้คืนเชิงลึกแน่ชัด เป็นต้นว่า Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance ฯลฯ แล้วก็ทำแล้วตอบโจทย์ RTO/RPO ไหม
แผนการที่ดีควรมีรายละเอียดกิจกรรมย่อยซึ่งสามารถป้องกันการโจมตีโดยละเอียด อย่างเช่น ต้นแบบการกู้ยืมเป็นแบบข้ามบัญชี AWS หรือผ่าน Region
บางอุตสาหกรรมจำเป็นต้องคิดถึงเรื่องกฏหมายและก็กฎเกณฑ์เพราะว่าจะเก็บกี่ชุด นานเท่าใด
ขอคำแนะนำกับกลุ่ม Security ที่จัดทำข้อปฏิบัติเพราะว่าทรัพยากรที่จำต้อง Backup และกิจกรรมพวกนั้นควรรวมหรือแยกจากโปรแกรมที่บังคับในหน่วยงาน
2.) แผนการแบ็กอัพข้อมูลควรเป็นส่วนหนึ่งของการทำ DR แล้วก็ BCP

DR คือการเตรียมตัว กรรมวิธีการตอบสนอง และกู้คืนจากภัยอันตราย ดังเช่นว่า ข้อผิดพลาดด้านเทคนิค ภัยที่เกิดจากธรรมชาติ หรือข้อผิดพลาดของผู้คน ส่วน BCP หมายถึงการทำให้ธุรกิจสามารถดำเนินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่มิได้คิดแผน ดังนี้ DR และ AWS Backup จะต้องเป็นส่วนย่อยภายใต้ BCP เพื่อตระเตรียมกับสถานการณ์ยกตัวอย่างเช่น เกิดเหตุการด้านความมั่นคงยั่งยืนไม่มีอันตรายที่กระทบกับข้อมูล Production ทำให้จำเป็นต้องใช้ข้อมูลที่สำรองไว้ นอกจากนี้ผู้ปฏิบัติงานต้องมีความถนัดที่ทำเป็นจริงด้วย

3.) สร้างขั้นตอนการให้เป็นอัตโนมัติถ้าเกิดหน่วยงานสามารถสร้างขั้นตอนการที่อัตโนมัติได้จะช่วยทำให้ การ Deploy Policy เป็นไปได้อย่างเป็นมาตรฐาน โดยวัสดุ AWS Organization เป็นสิ่งซึ่งสามารถตอบปัญหานี้ได้ ยิ่งไปกว่านี้ต้องมีวิธีการทำ Infrastructure as Code หรือดำเนินการได้แบบ Event-driven ซึ่งเมื่อเกิดความอัตโนมัติแล้วจะช่วยลดข้อผิดพลาดจากการทำงานแบบ Manual ได้

4.) มีกลไกการควบคุมแล้วก็การมอบอำนาจสิทธิ์ในพื้นฐานท่านสามารถใช้วัสดุ AWS IAM เพื่อตอบโจทย์ด้านการ Authentication & Authorization รวมทั้งควรพิจารณาตามหลัก Least Privilege โดยการให้สิทธิ์ต่ำที่สุดที่ต้อง เพื่อเข้าถึงข้อมูล Backup หรือ Vault นอกนั้นท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในหน่วยงาน มากกว่านั้น AWS ยังมีเครื่องมือ IAM Access Analyzer ที่สามารถช่วยวิเคราะห์ IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User รวมทั้งอื่นๆ

5.) เข้ารหัสข้อมูลรวมทั้ง Vaultกรณีที่ Access Control ยังไม่อาจจะป้องกันได้ทั้งผองตัวอย่างเช่น การให้สิทธิ์มากมายไปในการเข้าถึง ระบบบริหารจัดการ Key จะช่วยลดผลพวงของสถานะการณ์ได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการปกป้องแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แต่ในตอนเก็บข้อมูลท่านสามารถใช้เครื่องมือ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว เพียงแต่ท่านเลือกใช้ให้เหมาะกับความอยากได้ของกฏหมาย ข้อกำหนดของหน่วยงานแค่นั้น

มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดการอีก Region ได้ทำให้การเคลื่อนย้ายข้อมูลเข้ารหัสง่ายดายมากยิ่งกว่าเดิม

6.) ใช้ Immutable StorageImmutable Storage หรือการใช้แรงงานในลักษณะซึ่งสามารถเขียนครั้งเดียวแต่ว่าเรียกอ่านได้เสมอ โดยฐานรากแล้วการทำเช่นนี้จะช่วยเรื่อง Integrity ปกป้องการเขียนทับ ลบ หรือสร้างความย่ำแย่ ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยป้องกันกิจกรรมการกระทำอะไรก็ตามกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์ต่อให้ Root User ในบัญชี AWS

7.) มีการติดตามรวมทั้งระบบแจ้งเตือนงาน Backup อาจล้มเหลวได้ ซึ่งจะกระทบกับกระบวนการทั้งหมดทั้งปวง ซึ่งผู้ใช้สามารถเรียนรู้มูลเหตุได้จากการต่อว่าดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup และ Event รวมทั้ง CloudTrail จะสามารถพูดได้ว่า Backup API เป็นอย่างไร

8.) วิเคราะห์การตั้งค่าการ Backupหน่วยงานจำต้องตรวจสอบให้แน่ใจว่า Backup Policy ตรงกับกฎเกณฑ์ไหม และจำเป็นต้องทำอย่างสม่ำเสมอ ซึ่งน่าจะติดตามผลของการตรวจตราได้อัติเตียนโนมัตำหนิ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีและก็ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากแผนการแบ็กอัพข้อมูล มีการทำบ่อยมากมากแค่ไหน

9.) ทดลองแผนการกู้คืนข้อมูลว่าทำเป็นจริงจะต้องมีการทดลองเพื่อให้ทราบว่า Recovery Point ใดซึ่งสามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกป้องกันไปยัง Recovery Point โดยอัตโนมัติแต่ว่าในทางกลับกันจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามวิจิตรการ Replicate

อย่างไรก็แล้วแต่หน่วยงานต้องมี Workflow กล้วยๆสำหรับกู้คืนข้อมูลที่จะทำเป็นหลายครั้งเป็นต้นว่า การกู้ยืมคืนข้อมูลผ่านบัญชีหรือ Region จากการสำรองข้อมูลศูนย์กลาง ถ้ามีการทดสอบนานๆครั้งพอเพียงท่านบางทีอาจพบข้อผิดพลาดของ KMS Encryption สำหรับเพื่อการผ่านบัญชีหรือ Region

10.) ใส่แผนเรื่อง Backup ลงในการทำ Incident Responseแผนการตอบสนองเหตุการณ์กลับตาลปัตรจะต้องมีเรื่องการทดลอง Backup ไว้ด้วย เพื่อจะได้รับรู้ว่าแม้เกิดเหตุจริงจะมีขั้นตอนอย่างไรให้พร้อมรับมือ โดยท่านสามารถใช้ AWS Backup เพื่อทดลองการ Backup ระดับ Instance รวมทั้ง Volume โดยการ Snapshot ผ่านบัญชี ซึ่งข้อมูลนี้จะช่วยทำให้กลุ่มพิสูจน์หลักฐานปฏิบัติงานได้ดีขึ้นได้แก่ การเก็บ Disk จุดเกิดเหตุหรือทราบ Recovery Point ที่ลดผลพวงจากการจู่โจม