กิมหยง - ตะลุงเว็บบอร์ด

สำหรับผู้ใช้งาน AWS ที่พึงพอใจเรื่อง Best Practice สำหรับเพื่อการทำ Backup วันนี้เราขอสรุปสาระจากบล็อกของ AWS มาให้ติดตามกันนะครับ


1.) มีอุบายด้านการสำรองข้อมูล

มีแผนในการสำรองข้อมูลแจ่มกระจ่าง เป็นต้นว่า ข้อมูลส่วนใด จะทำบ่อยครั้งมากแค่ไหน ติดตามการสำรองแล้วก็กู้คืนเช่นไร
ประเมินว่าอาจมีเหตุรบกวนใดเกิดขึ้นได้บ้าง และก็จะทำให้เกิดผลกระทบอย่างไร
มีเนื้อหาการสำรองรวมทั้งกู้คืนเชิงลึกกระจ่างแจ้ง อาทิเช่น Point-in-time, Continuous Backup, ทำที่ระดับไฟล์ แอป Volume หรือ instance ฯลฯ และก็ทำแล้วตอบโจทย์ RTO/RPO หรือเปล่า
กลอุบายที่ดีควรมีเนื้อหากิจกรรมย่อยที่สามารถคุ้มครองการโจมตีอย่างละเอียด เช่น แบบการยืมเป็นแบบผ่านบัญชี AWS หรือข้าม Region
บางอุตสาหกรรมจำเป็นต้องคิดถึงเรื่องกฏหมายและก็ข้อบังคับเพราะจะเก็บกี่ชุด นานเท่าไร
หารือกับทีม Security ที่ทำกฎข้อบังคับเพราะทรัพยากรที่ต้อง Backup รวมทั้งกิจกรรมเหล่านั้นควรรวมหรือแยกจากโปรแกรมที่บังคับในหน่วยงาน
2.) กลยุทธ์สำรองข้อมูลจะต้องเป็นส่วนหนึ่งของแนวทางการทำ DR และก็ BCP

DR คือการเตรียมการ ขั้นตอนการสนองตอบ รวมทั้งกู้คืนจากหายนะ ดังเช่น ความผิดพลาดทางด้านเทคนิค ภัยที่เกิดขึ้นจากธรรมชาติ หรือความผิดพลาดของคนเรา ส่วน BCP ซึ่งก็คือการทำให้ธุรกิจสามารถก้าวเดินต่อไปเมื่อเกิดเหตุที่กระทบต่อการให้บริการที่ไม่ได้วางแผน ทั้งนี้ DR และก็ AWS Backup ควรจะเป็นส่วนย่อยภายใต้ BCP เพื่อจัดเตรียมกับสถานการณ์ได้แก่ เกิดเหตุการด้านความมั่นคงยั่งยืนไม่เป็นอันตรายที่กระทบกับข้อมูล Production ทำให้ต้องใช้ข้อมูลที่สำรองไว้ ยิ่งไปกว่านี้ผู้ปฏิบัติการควรจะมีทักษะที่ทำเป็นจริงด้วย

3.) สร้างกระบวนการให้เป็นอัตโนมัติหากองค์กรสามารถสร้างแนวทางการที่อัตโนมัติได้จะช่วยทำให้ การ Deploy Policy เป็นได้อย่างเป็นมาตรฐาน โดยอุปกรณ์ AWS Organization เป็นสิ่งซึ่งสามารถตอบโจทย์ที่ตรงนี้ได้ นอกนั้นควรมีวิธีการทำ Infrastructure as Code หรือดำเนินการได้แบบ Event-driven ซึ่งเมื่อกำเนิดความอัตโนมัติแล้วจะช่วยลดข้อผิดพลาดจากการทำงานแบบ Manual ได้

4.) มีกลไกการควบคุมและการมอบอำนาจสิทธิ์ในเบื้องต้นท่านสามารถใช้อุปกรณ์ AWS IAM เพื่อตอบโจทย์ด้านการ Authentication & Authorization และควรจะตรึกตรองตามหลัก Least Privilege โดยการให้สิทธิ์ต่ำที่สุดที่ต้อง เพื่อเข้าถึงข้อมูล Backup หรือ Vault นอกจากนี้ท่านยังสามารถใช้ Service Control Policy (SCP) เพื่อควบคุมสิทธิ์สูงสุดของบัญชีในองค์กร มากกว่านั้น AWS ยังมีเครื่องมือ IAM Access Analyzer ที่จะช่วยวิเคราะห์ IAM Role ที่แชร์ในบัญชี AWS, Root User, IAM User หรือ Federate User และก็อื่นๆ

5.) เข้ารหัสข้อมูลและ Vaultกรณีที่ Access Control ยังไม่สามารถที่จะคุ้มครองได้ทั้งหมดดังเช่นว่า การให้สิทธิ์มากมายไปสำหรับการเข้าถึง ระบบบริหารจัดแจง Key จะช่วยลดผลกระทบของสถานะการณ์ได้ ซึ่งในส่วนของการส่งผ่านข้อมูล (in transit) AWS Backup ได้มีการคุ้มครองแล้วระหว่างการเรียกใช้ API ด้วย Transport Layer Security (TLS) แต่ในช่วงเก็บข้อมูลท่านสามารถใช้เครื่องไม้เครื่องมือ AWS Key Management system (KMS) หรือ Cloud HSM ซึ่งมีอัลกอรึทึมการเข้ารหัสที่เป็นมาตรฐานให้แล้ว แค่เพียงท่านเลือกใช้ให้เหมาะกับความต้องการของกฏหมาย ข้อบังคับของหน่วยงานแค่นั้น

มากกว่านั้นผู้ใช้งาน AWS ยังสามารถสร้าง KMS Multi-region key เพื่อใช้ Key จาก Region อื่นมาจัดแจงอีก Region ได้ทำให้การเคลื่อนย้ายข้อมูลเข้ารหัสง่ายดายมากยิ่งขึ้น

6.) ใช้ Immutable StorageImmutable Storage หรือการใช้งานในลักษณะที่สามารถเขียนครั้งเดียวแม้กระนั้นเรียกอ่านได้เสมอ โดยรากฐานแล้วการทำแบบนี้จะช่วยเรื่อง Integrity คุ้มครองปกป้องการเขียนทับ ลบ หรือสร้างความย่ำแย่ ซึ่งการใช้ AWS Backup Vault Lock สามารถช่วยคุ้มครองกิจกรรมการกระทำใดๆกับข้อมูล Backup จากผู้ใช้ที่มีสิทธิ์ถึงแม้ว่าจะ Root User ในบัญชี AWS

7.) มีการติดตามแล้วก็ระบบแจ้งเตือนงาน Backup อาจล้มเหลวได้ ซึ่งจะกระทบกับกรรมวิธีการทั้งหมด ซึ่งผู้ใช้สามารถทำความเข้าใจต้นสายปลายเหตุได้จากการต่อว่าดตามระบบแจ้งเตือนจาก Amazon SNS รวมไปถึงติดตามค่าเมทริกซ์ได้ผ่านทาง CloudWatch หรือ EventBridge เพื่อติดตามการ Backup แล้วก็ Event รวมทั้ง CloudTrail จะสามารถบอกได้ว่า Backup API คืออะไร

8.) ตรวจสอบการตั้งค่าการ Backupองค์กรจะต้องสำรวจให้มั่นใจว่า Backup Policy ตรงกับกฎเกณฑ์หรือไม่ และต้องทำอย่างสม่ำเสมอ ซึ่งควรติดตามผลการตรวจตราได้อัติโนมัตำหนิ โดยท่านสามารถสร้างรายงานอัตโนมัติด้วย Backup Audit Manager ตามบัญชีแล้วก็ Region ได้ ว่ามีทรัพยากรใดที่ครอบคลุมจากแผนการสำรองข้อมูล มีการทำบ่อยมากแค่ไหน

9.) ทดลองกลยุทธ์กู้คืนข้อมูลว่าทำเป็นจริงต้องมีการทดลองเพื่อให้ทราบว่า Recovery Point ใดที่สามารถกู้คืนได้แน่ โดย AWS จะมีการ Copy Tag ของทรัพยากรที่ถูกคุ้มครองปกป้องไปยัง Recovery Point อัตโนมัติแต่ในทางกลับกันจะไม่มีการ Copy Tag จาก Recovery Point ไปยังทรัพยากรที่ถูกกู้คืน ซึ่งท่านควรเก็บ Tag ที่สร้างโดยงาน Backup เอาไว้ด้วยการใช้ AWS Backup Event เพื่อติดตามวิจิตรการ Replicate

อย่างไรก็ตามหน่วยงานจะต้องมี Workflow กล้วยๆสำหรับกู้คืนข้อมูลที่จะทำเป็นบ่อยมากดังเช่นว่า การกู้คืนข้อมูลข้ามบัญชีหรือ Region จากการสำรองข้อมูลศูนย์กลาง ถ้ามีการทดสอบนานๆครั้งพอท่านอาจเจอความบกพร่องของ KMS Encryption สำหรับในการผ่านบัญชีหรือ Region

10.) บรรจุแผนเรื่อง Backup ลงสำหรับการทำ Incident Responseแนวทางสนองตอบเหตุการณ์กลับตาลปัตรควรมีประเด็นการทดสอบ Backup ไว้ด้วย เพื่อจะได้ทราบว่าแม้เกิดเหตุจริงจะมีขั้นตอนยังไงให้พร้อมรับมือ โดยท่านสามารถใช้ AWS Backup เพื่อทดลองการ Backup ระดับ Instance รวมทั้ง Volume โดยการ Snapshot ผ่านบัญชี ซึ่งข้อมูลนี้จะช่วยทำให้ทีมพิสูจน์หลักฐานดำเนินการก้าวหน้าขึ้นดังเช่น การเก็บ Disk ที่เกิดเหตุหรือทราบ Recovery Point ที่ลดผลพวงจากการโจมตี