AWS Backup 功能
概觀
AWS Backup 是一項全受管服務,能夠跨 AWS 服務和混合工作負載對資料保護進行集中化和自動化。它為資料保護政策和操作提供核心資料保護功能、勒索軟體復原功能,以及合規洞察和分析。AWS Backup 提供了經濟實惠、基於政策的服務,其功能可以簡化整個 AWS 資產中 EB 級的資料保護。
我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。
如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。
必要 Cookie 對於我們所提供的網站和服務而是必要的,而且無法停用。它們的設定通常是對您在網站上的動作的回應,例如,設定您的隱私偏好、登入或填寫表單。
效能 Cookie 提供有關客戶如何瀏覽我們網站的匿名統計資料,以便我們改善網站體驗和效能。獲核准的第三方可代表我們執行分析,但他們無法將資料用於自己的用途。
功能 Cookie 可協助我們提供實用的網站功能、記住您的偏好設定,以及顯示相關內容,獲核准的第三方可能會設定這些 Cookie 以提供特定網站功能。若您不允許這些 Cookie,則部分或全部服務可能無法正常運作。
我們或我們的廣告合作夥伴可以透過網站對廣告 Cookie 進行設定,協助我們提供相關的行銷內容。若您不允許這些 Cookie,您將看到相關程度較低的廣告。
封鎖部分類型的 Cookie 可能會影響您在使用我們的網站時的體驗。您可以隨時在本網站頁尾按一下「Cookie 偏好設定」來變更您的 Cookie 偏好設定。若要進一步了解我們和獲核准的第三方如何在我們的網站上使用 Cookie,請閱讀我們的 AWS Cookie 通知。
我們會在 AWS 網站和其他資產上顯示與您興趣相關的廣告,包括跨情境行為廣告。跨情境行為廣告使用來自一個網站或應用程式的資料,在不同公司的網站或應用程式上向您投放廣告。
若要不允許 AWS 根據 Cookie 或類似技術進行跨情境行為廣告,請在下方選取「不允許」並「儲存隱私權選擇」,或造訪已啟用法律認可拒絕訊號的 AWS 網站,例如全域隱私權控制。如果您刪除 Cookie 或從其他瀏覽器或裝置造訪本網站,您需要重新選擇。如需關於 Cookie 及其使用方式的詳細資訊,請參閱 AWS Cookie 聲明。
若要不允許所有其他 AWS 跨情境行為廣告,請透過電子郵件填寫此表單。
如需有關 AWS 如何處理您的資訊的詳細資訊,請閱讀 AWS 隱私權聲明。
我們目前只會儲存基本 Cookie,因為我們無法儲存您的 Cookie 偏好設定。
如果您想要變更 Cookie 偏好設定,請稍後使用 AWS 主控台頁尾中的連結重試,如果問題仍存在,請聯絡支援部門。
AWS Backup 是一項全受管服務,能夠跨 AWS 服務和混合工作負載對資料保護進行集中化和自動化。它為資料保護政策和操作提供核心資料保護功能、勒索軟體復原功能,以及合規洞察和分析。AWS Backup 提供了經濟實惠、基於政策的服務,其功能可以簡化整個 AWS 資產中 EB 級的資料保護。
AWS Backup 有助於保護應用程式資源,包括您的 AWS 儲存、資料庫和計算服務,以及 VMware 等混合工作負載。AWS Backup 為所有其支援的服務和第三方應用程式提供以下功能的支援:自動備份排程和保留管理、集中資料保護監控、AWS KMS 整合式備份加密、使用 AWS Organizations 的跨賬戶管理、使用 AWS Backup Audit Manager 的資料保護稽核和合規報告,以及使用 AWS Backup Vault Lock 的一次寫入多次讀取 (WORM)。
AWS Backup 有助於保護應用程式資源,包括您的 AWS 儲存、資料庫和計算服務,以及 VMware 等混合工作負載。AWS Backup 為所有其支援的服務和第三方應用程式提供以下功能的支援:自動備份排程和保留管理、集中資料保護監控、AWS KMS 整合式備份加密、使用 AWS Organizations 的跨賬戶管理、使用 AWS Backup Audit Manager 的資料保護稽核和合規報告,以及使用 AWS Backup Vault Lock 的一次寫入多次讀取 (WORM)。
AWS Backup 提供備份主控台、公共 API 和命令列介面,可集中式管理執行應用程式在其上執行之所有 AWS 儲存、計算、資料庫和混合服務的備份,包括 Amazon Simple Storage Service (S3)、Amazon Elastic Block Store (EBS)、Amazon FSx、Amazon Elastic File System (EFS)、AWS Storage Gateway、Amazon Elastic Compute Cloud (EC2)、Amazon Relational Database Service (RDS)、Amazon Aurora、Amazon DynamoDB、Amazon Neptune、Amazon DocumentDB (with MongoDB compatibility), Amazon Timestream、Amazon Redshift、SAP HANA on Amazon EC2、AWS CloudFormation 定義的整個應用程式堆疊,以及混合應用程式,例如在內部部署、VMware CloudTM on AWS 和 AWS Outposts 中執行的 VMware 工作負載。
AWS Backup 文件庫是一個邏輯容器,用於儲存和管理您的加密備份。建立備份文件庫時,您必須指定 AWS Key Management Service (KMS) 加密金鑰,以加密放置在該文件庫中的備份。所有複製的備份都使用目標文件庫的金鑰進行加密。有關加密的更多資訊,請參閱 AWS 中備份加密中的圖表。
AWS Backup 可靜態和動態加密備份資料,提供保護備份資料和協助滿足合規需求的全方位加密解決方案。使用 AWS Key Management Service (KMS) 管理的加密金鑰來加密備份資料,無須建立和維護金鑰管理基礎設施。用來加密 AWS Backup 資料的金鑰與用來加密備份所屬資源的金鑰不同。在生產和備份資料時使用不同的加密金鑰可為應用程式提供很重要的保護層。
您可以建立由備份計畫管理的備份,使您能夠定義備份要求,並將這些政策套用到您想要保護的 AWS 資源。備份計畫可簡化和擴展您在應用程式和組織中的資料保護策略。
您可以透過標記將備份計畫套用於您的 AWS 資源。AWS 標籤是始終如一地組織和分類 AWS 資源最好的方法。
您可以自訂備份排程或選擇根據通用最佳實務預先定義的備份排程。AWS Backup 會根據您定義的政策和計畫自動備份您的應用程式資源,以避免與生產衝突。
您可以設定自動保留和終止備份的備份保留政策,從而大幅降低備份儲存成本。設定自動將備份從溫儲存轉移到冷儲存的生命週期政策,透過將備份儲存在低成本的冷存儲層中,協助降低備份儲存成本。
您可以從中央主控台跨不同 AWS 區域和帳戶複製備份,以滿足合規和災難復原需求。您可以將其作為隨需複製來手動複製備份,也可以將其作為排程備份計畫的一部分,自動複製到多個不同區域和帳戶,並在新區域或帳戶中復原這些備份。
您可以建立資料保護政策,並使用 AWS Organizations 在該組織的所有帳戶中強制執行保護政策。如果來源帳戶因意外或惡意刪除、災害或勒索軟體而中斷,這提供了多帳戶備份,並可為客戶提供額外的保護。
使用 AWS Backup,備份操作人員可以在 AWS 上備份所有受支援的資源,而無需備份操作人員直接存取這些資源。這提供了控制分離,令資源擁有者不能影響備份的保留,以及備份操作人員不能改變或洩露資料。
您可以在備份文件庫設定以資源為基礎的存取政策。使用以資源為基礎的存取政策,您可以控制所有使用者對備份文件庫中備份的存取,無須定義每個使用者的許可。
您可以委派 AWS Organizations 中的備份政策管理和 AWS Backup 中的跨帳戶監控。由此將備份管理委派給專用的備份管理帳戶,從而消除了成員帳戶存取管理帳戶,以進行備份管理的需要。委派的備份管理員可以建立和管理備份策略,並監控跨帳戶的備份活動。透過 AWS Organizations,組織範圍內的備份管理委派實現了安全地大規模集中備份管理。
AWS Backup 主控台包括 Amazon CloudWatch 儀表板,用於查看有關已完成或失敗的備份、複製和還原作業的指標。在此儀表板中,您可以按時間段檢視作業狀態,並根據您需要的排程自訂。
AWS Backup 與 AWS CloudTrail 整合,可提供備份活動日誌的合併檢視,並簡化了受保護資源的稽核流程。
AWS Backup 與 Amazon Simple Notification Service (Amazon SNS) 整合,可自動提醒您備份成功或初始還原等備份活動。
為獲得全受管體驗,您可以使用 AWS Backup Audit Manager 監控您的帳戶和區域中的備份活動。
AWS Backup 提供各種功能,協助您保護關鍵資料免受勒索軟體事件和帳戶受損的影響並進行復原。勒索軟體是指惡意人士用於向實體勒索錢財的商業模型和廣泛的關聯技術。這些行為者使用一系列策略來未經授權地存取受害者的資料和系統,包括利用未修補的漏洞以及薄弱或盜取的憑證。然後,這些行為者會限制對資料和系統的存取,並以安全歸還這些數位資產的條件提出贖金要求。這些行為者使用多種方法來限製或減少對資源的合法存取,包括加密和刪除、修改存取控制,以及基於網路的拒絕服務攻擊。
您可以備份您的 AWS CloudFormation 堆棧及其資源,例如 AWS IAM 角色和 Amazon VPC 安全群組。這意味著,您可以更輕鬆地復原整個應用程式堆棧,並管理整個應用程式堆棧中資料保護政策的合規。
您可以匯入應用程式定義,並建立按重複排程管理的全應用程式保護計畫,以及跨帳戶或跨區域複製,以提供針對勒索軟體事件的額外保護。
您可以將不可變的備份副本存放在邏輯氣隙隔離保存庫中,這是一種 AWS Backup 保存庫,預設會鎖定,並使用 AWS 擁有的金鑰透過加密來隔離。邏輯氣隙隔離保存庫允許透過 AWS Resource Access Manager (RAM),跨帳戶和組織安全來共用存取權,支援直接還原以協助縮短資料遺失事件的復原時間。
您可以使用還原測試功能執行自動和定期評估還原可行性,以及監控還原作業持續時間。您可以進行復原準備測試演練,為可能的資料停機或資料遺失事件做準備,以滿足合規性或法規要求。
AWS Backup Vault Lock 可讓您保護備份不被無意或惡意變更刪除或變更其生命週期 (使資料不可變)。您可以使用 AWS CLI、AWS Backup API 或 AWS Backup SDK 將 AWS Backup Vault Lock 保護套用至現有文件庫或新文件庫。AWS Backup Vault Lock 可與保留期、冷儲存轉換和跨帳戶和跨區域複製等備份政策配合使用。這提供了額外的保護,並有助於滿足您的合規要求。AWS Backup Vault Lock 已經過 Cohasset Associates 的評估,適用於受 SEC 17a-4、CFTC 和 FINRA 法規約束的環境。
NIST 將「零信任」定義為一組不斷發展的網路安全控制,從靜態的、基於網路的邊界轉變為專注於使用者、資產和資源的深度主動防禦。將 AWS Backup 委派的管理員與 AWS Organizations、AWS Backup Audit Manager 和 AWS Backup Vault Lock 結合使用,以協助建置作為「零信任」架構一部分的縱深防禦。
AWS Backup Audit Manager 是監控資料保護活動並生成稽核報告的功能,例如備份頻率或備份保留期。AWS Backup Audit Manager 是一種全受管體驗,可生成每日報告,其中包含有關資料保護架構合規狀態的洞察。
您可以使用 AWS Backup Audit Manager,對資料保護政策的合規進行稽核和報告,以協助您滿足業務和法規要求。它提供內建合規控制,讓您可自訂以定義資料保護政策 (例如,備份頻率或保留期)。它旨在自動檢測違反您定義為資料保護護防護機制的行為,並將提示您採取補救措施。使用 AWS Backup Audit Manager,您可以持續評估備份活動並產生稽核報告,以協助您示範遵循法規要求。
AWS Backup 支援當組織必須保留某些資料以用於保存、稽核,或作為法律程序的證據和電子蒐證時使用的法務保留。即使保留期已過,您可以使用法務保存來防止備份被刪除,並一直保留直至明確釋放。
您可以使用合規報告模板來生成每日合規報告,以說明您的備份活動和資源是否符合您在一個或多個架構中定義的控制。架構是一組控件,可協助您評估合規狀態。
您可以使用預先建置或可自訂的控件來定義您的政策,並評估您的備份實務是否符合您的政策。有關控件的更多資料,請瀏覽 AWS Backup 開發人員指南。您還可以設定自動的每日報告,以深入了解架構的合規狀態。