10 แนวทางปฏิบัติการสำรองข้อมูลบน AWS อย่างมั่นคงปลอดภัย

สำหรับผู้ใช้งาน AWS ที่สนใจเรื่อง Best Practice ในการทำ Backup วันนี้เราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันครับ

1.) มีกลยุทธ์ด้านการสำรองข้อมูล

• มีแผนการสำรองข้อมูลชัดเจน เช่น ข้อมูลส่วนใด จะทำบ่อยแค่ไหน ติดตามการสำรองและกู้คืนอย่างไร 
• ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง และจะส่งผลกระทบอย่างไร
• มีรายละเอียดการสำรองและกู้คืนเชิงลึกชัดเจน เช่น Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance เป็นต้น และทำแล้วตอบโจทย์ RTO/RPO หรือไม่
• กลยุทธ์ที่ดีควรมีรายละเอียดกิจกรรมย่อยที่สามารถป้องกันการโจมตีโดยละเอียด เช่น รูปแบบการกู้คือแบบข้ามบัญชี AWS หรือข้าม Region 
• บางอุตสาหกรรมต้องคิดถึงเรื่องกฏหมายและข้อบังคับด้วยว่าจะเก็บกี่ชุด นานเท่าใด
• ปรึกษากับทีม Security ที่จัดทำข้อบังคับด้วยว่าทรัพยากรที่ต้อง Backup และกิจกรรมเหล่านั้นควรรวมหรือแยกจากโปรแกรมที่บังคับในองค์กร

2.) แผนการสำรองข้อมูลควรเป็นส่วนหนึ่งของการทำ DR และ BCP

DR คือการเตรียมการ วิธีการตอบสนอง และกู้คืนจากภัยพิบัติ เช่น ความผิดพลาดทางเทคนิค ภัยธรรมชาติ หรือความผิดพลาดของมนุษย์ ส่วน BCP หมายถึงการทำให้ธุรกิจสามารถดำเนินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่ไม่ได้วางแผน ทั้งนี้ DR และ AWS Backup ควรจะเป็นส่วนย่อยภายใต้ BCP เพื่อเตรียมกับสถานการณ์เช่น เกิดเหตุการณ์ด้านความมั่นคงปลอดภัยที่กระทบกับข้อมูล Production ทำให้ต้องใช้ข้อมูลที่สำรองไว้ นอกจากนี้ผู้ปฏิบัติงานควรมีทักษะที่ทำได้จริงด้วย

3.) สร้างกระบวนการให้เป็นอัตโนมัติ

หากองค์กรสามารถสร้างกระบวนการที่อัตโนมัติได้จะช่วยให้ การ Deploy Policy เป็นไปได้อย่างเป็นมาตรฐาน โดยเครื่องมือ AWS Organization คือสิ่งที่สามารถตอบโจทย์ตรงนี้ได้ นอกจากนี้ควรมีการทำ Infrastructure as Code หรือปฏิบัติการได้แบบ Event-driven ซึ่งเมื่อเกิดความอัตโนมัติแล้วจะช่วยลดความผิดพลาดจากการทำงานแบบ Manual ได้ 

4.) มีกลไกการควบคุมและการให้อำนาจสิทธิ์

ในเบื้องต้นท่านสามารถใช้เครื่องมือ AWS IAM เพื่อตอบโจทย์ด้านการ Authentication & Authorization และควรพิจารณาตามหลัก Least Privilege โดยการให้สิทธิ์น้อยที่สุดที่จำเป็น เพื่อเข้าถึงข้อมูล Backup หรือ Vault นอกจากนี้ท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในองค์กร มากกว่านั้น AWS ยังมีเครื่องมือ IAM Access Analyzer ที่สามารถช่วยวิเคราะห์ IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User และอื่นๆ

5.) เข้ารหัสข้อมูลและ Vault

กรณีที่ Access Control ยังไม่สามารถป้องกันได้ทั้งหมดเช่น การให้สิทธิ์มากไปในการเข้าถึง ระบบบริหารจัดการ Key จะช่วยลดผลกระทบของเหตุการณ์ได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการป้องกันแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แต่ในช่วงเก็บข้อมูลท่านสามารถใช้เครื่องมือ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว เพียงแค่ท่านเลือกใช้ให้เหมาะกับความต้องการของกฏหมาย ข้อบังคับขององค์กรเท่านั้น

มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดการอีก Region ได้ทำให้การเคลื่อนย้ายข้อมูลเข้ารหัสง่ายมากขึ้น

6.) ใช้ Immutable Storage

Immutable Storage หรือการใช้งานในลักษณะที่สามารถเขียนครั้งเดียวแต่เรียกอ่านได้เสมอ โดยพื้นฐานแล้วการทำเช่นนี้จะช่วยเรื่อง Integrity ป้องกันการเขียนทับ ลบ หรือสร้างความเสียหาย ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยป้องกันกิจกรรมการกระทำใดๆกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์แม้กระทั่ง Root User ในบัญชี AWS

7.) มีการติดตามและระบบแจ้งเตือน

งาน Backup อาจล้มเหลวได้ ซึ่งจะกระทบกับกระบวนการทั้งหมด ซึ่งผู้ใช้สามารถเรียนรู้สาเหตุได้จากการติดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup และ Event รวมถึง CloudTrail จะสามารถบอกได้ว่า Backup API เป็นอย่างไร 

8.) ตรวจสอบการตั้งค่าการ Backup

องค์กรต้องตรวจสอบให้แน่ใจว่า Backup Policy ตรงกับข้อบังคับหรือไม่ และต้องทำอย่างต่อเนื่อง ซึ่งควรจะติดตามผลการตรวจสอบได้อัติโนมัติ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีและ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากแผนการสำรองข้อมูล มีการทำบ่อยครั้งแค่ไหน 

9.) ทดสอบแผนการกู้คืนข้อมูลว่าทำได้จริง

ควรมีการทดสอบเพื่อให้รู้ว่า Recovery Point ใดที่สามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกปกป้องไปยัง Recovery Point โดยอัตโนมัติแต่ในทางกลับกันจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามกระบวนการ Replicate 

อย่างไรก็ดีองค์กรควรมี Workflow ง่ายๆ สำหรับกู้คืนข้อมูลที่จะทำได้บ่อยเช่น การกู้คืนข้อมูลข้ามบัญชีหรือ Region จากการสำรองข้อมูลส่วนกลาง หากมีการทดสอบไม่บ่อยพอท่านอาจพบความผิดพลาดของ KMS Encryption สำหรับการข้ามบัญชีหรือ Region

10.) บรรจุแผนเรื่อง Backup ลงในการทำ Incident Response

แผนการตอบสนองเหตุการณ์ไม่คาดฝันควรมีเรื่องการทดสอบ Backup ไว้ด้วย เพื่อจะได้ทราบว่าหากเกิดเหตุจริงจะมีขั้นตอนอย่างไรให้พร้อมรับมือ โดยท่านสามารถใช้ AWS Backup เพื่อลองการ Backup ระดับ Instance และ Volume โดยการ Snapshot ข้ามบัญชี ซึ่งข้อมูลนี้จะช่วยให้ทีมพิสูจน์หลักฐานทำงานได้ดีขึ้นเช่น การเก็บ Disk ที่เกิดเหตุหรือทราบ Recovery Point ที่ลดผลกระทบจากการโจมตี

ที่มา : https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/