สำหรับผู้ใช้งาน AWS ที่สนใจเรื่อง Best Practice ในการทำ Backup วันนี้เราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันครับ
1.) มีแผนการด้านการสำรองข้อมูล
มีแผนการสำรองข้อมูลแจ่มแจ้ง ตัวอย่างเช่น ข้อมูลส่วนใด จะทำบ่อยมากขนาดไหน ติดตามการสำรองรวมทั้งกู้คืนเช่นไร
ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง และก็จะก่อให้เกิดผลเสียเช่นไร
มีเนื้อหาการสำรองแล้วก็กู้คืนเชิงลึกกระจ่าง อย่างเช่น Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance เป็นต้น และก็ทำแล้วตอบโจทย์ RTO/RPO หรือไม่
อุบายที่ดีจะต้องมีเนื้อหากิจกรรมย่อยที่สามารถป้องกันการโจมตีโดยละเอียด ยกตัวอย่างเช่น รูปแบบการกู้เป็นแบบผ่านบัญชี AWS หรือผ่าน Region
บางอุตสาหกรรมจำต้องนึกถึงเรื่องกฏหมายและข้อบัญญัติเหตุว่าจะเก็บกี่ชุด นานเท่าไร
ขอคำแนะนำกับกลุ่ม Security ที่จัดทำข้อบัญญัติเพราะว่าทรัพยากรที่ต้อง Backup และก็กิจกรรมพวกนั้นควรจะรวมหรือแยกจากโปรแกรมที่บังคับในหน่วยงาน
2.) แนวทางสำรองข้อมูลควรเป็นส่วนใดส่วนหนึ่งของแนวทางการทำ DR แล้วก็ BCP
DR คือการตระเตรียม กระบวนการตอบสนอง และกู้คืนจากภัยพิบัติ ยกตัวอย่างเช่น ความผิดพลาดด้านเทคนิค ภัยที่เกิดจากธรรมชาติ หรือความบกพร่องของผู้คน ส่วน BCP หมายคือวิธีการทำให้ธุรกิจสามารถดำเนินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่มิได้คิดแผน ทั้งนี้ DR รวมทั้ง AWS Backup ต้องเป็นส่วนย่อยภายใต้ BCP เพื่อตระเตรียมกับเหตุการณ์ได้แก่ เกิดเหตุการด้านความมั่นคงยั่งยืนปลอดภัยที่กระทบกับข้อมูล Production ทำให้จำต้องใช้ข้อมูลที่สำรองไว้ นอกจากนั้นผู้ปฏิบัติงานควรจะมีความชำนาญที่ทำเป็นจริงด้วย
3.) สร้างกรรมวิธีการให้เป็นอัตโนมัติถ้าหน่วยงานสามารถสร้างขั้นตอนที่อัตโนมัติได้จะช่วยให้ การ Deploy Policy เป็นไปได้อย่างเป็นมาตรฐาน โดยวัสดุ AWS Organization คือสิ่งที่สามารถตอบปัญหาที่ตรงนี้ได้ นอกนั้นจะต้องมีวิธีการทำ Infrastructure as Code หรือดำเนินการได้แบบ Event-driven ซึ่งเมื่อกำเนิดความอัตโนมัติแล้วจะช่วยลดความบกพร่องจากการทำงานแบบ Manual ได้
4.) มีกลไกการควบคุมแล้วก็การมอบอำนาจสิทธิ์ในเบื้องต้นท่านสามารถใช้วัสดุ AWS IAM เพื่อตอบปัญหาด้านการ Authentication & Authorization แล้วก็ควรพินิจพิเคราะห์ตามหลัก Least Privilege โดยการให้สิทธิ์ต่ำที่สุดที่จำเป็นต้อง เพื่อเข้าถึงข้อมูล Backup หรือ Vault นอกนั้นท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในหน่วยงาน มากกว่านั้น AWS ยังมีเครื่องไม้เครื่องมือ IAM Access Analyzer ที่สามารถจะช่วยวิเคราะห์ IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User และก็อื่นๆ
5.) เข้ารหัสข้อมูลแล้วก็ Vaultในกรณีที่ Access Control ยังไม่อาจจะคุ้มครองได้ทั้งผองตัวอย่างเช่น การให้สิทธิ์มากไปสำหรับเพื่อการเข้าถึง ระบบบริหารจัดการ Key จะช่วยลดผลพวงของเหตุได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการคุ้มครองป้องกันแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แม้กระนั้นในช่วงเก็บข้อมูลท่านสามารถใช้วัสดุ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว แค่เพียงท่านเลือกใช้ให้เหมาะสมกับสิ่งที่จำเป็นของกฏหมาย กฎเกณฑ์ของหน่วยงานเพียงแค่นั้น
มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดแจงอีก Region ได้ทำให้การย้ายที่ข้อมูลเข้ารหัสง่ายดายมากยิ่งขึ้น
6.) ใช้ Immutable StorageImmutable Storage หรือการใช้แรงงานในลักษณะซึ่งสามารถเขียนครั้งเดียวแต่เรียกอ่านได้เสมอ โดยเบื้องต้นแล้วแนวทางการทำแบบนี้จะช่วยเรื่อง Integrity ป้องกันการเขียนทับ ลบ หรือสร้างความเสียหาย ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยปกป้องกิจกรรมความประพฤติใดๆกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์แม้กระทั่ง Root User ในบัญชี AWS
7.) มีการติดตามและระบบแจ้งเตือนงาน Backup บางทีอาจล้มเหลวได้ ซึ่งจะกระทบกับกระบวนการทั้งหมดทั้งปวง ซึ่งผู้ใช้สามารถทำความเข้าใจต้นเหตุได้จากการต่อว่าดตามระบบแจ้งเตือนจาก Amazon SNS รวมถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup และ Event รวมถึง CloudTrail จะสามารถพูดได้ว่า Backup API เป็นเยี่ยงไร
8
.) ตรวจดูการตั้งค่าการ Backupองค์กรจะต้องวิเคราะห์ให้มั่นใจว่า Backup Policy ตรงกับข้อกำหนดหรือเปล่า และก็ต้องทำโดยตลอด ซึ่งน่าจะติดตามผลการพิจารณาได้อัติโนมัติ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีและ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากแนวทางสำรองข้อมูล มีการทำบ่อยครั้งเพียงใด
9.) ทดสอบกลยุทธ์กู้คืนข้อมูลว่าทำเป็นจริงต้องมีการทดลองเพื่อให้ทราบว่า Recovery Point ใดซึ่งสามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกป้องกันไปยัง Recovery Point อัตโนมัติแต่ว่าในทางกลับกันจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรที่จะเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามกระบวรการ Replicate
อย่างไรก็ตามหน่วยงานจะต้องมี Workflow ง่ายๆสำหรับกู้คืนข้อมูลที่จะทำได้หลายครั้งเป็นต้นว่า การยืมคืนข้อมูลผ่านบัญชีหรือ Region จากการสำรองข้อมูลศูนย์กลาง ถ้าเกิดมีการทดลองไม่บ่อยพอเพียงท่านอาจพบข้อผิดพลาดของ KMS Encryption สำหรับเพื่อการข้ามบัญชีหรือ Region
10.) บรรจุแผนเรื่อง Backup ลงในการทำ Incident Responseแนวทางสนองตอบเหตุการณ์ไม่คาดฝันควรจะมีเรื่องการทดลอง Backup ไว้ด้วย เพื่อจะได้ทราบว่าแม้เกิดเหตุจริงจะมีขั้นตอนอย่างไรให้พร้อมรับมือ โดยท่านสามารถใช้ AWS Backup เพื่อทดลองการ Backup ระดับ Instance และ Volume โดยการ Snapshot ข้ามบัญชี ซึ่งข้อมูลนี้จะช่วยให้ทีมพิสูจน์หลักฐานดำเนินงานได้ดีขึ้นเช่น การเก็บ Disk จุดเกิดเหตุหรือรู้ Recovery Point ที่ลดผลพวงจากการโจมตี
