REL09-BP02 Sicheres und Verschlüsseln von Backups

Kontrollieren und erkennen Sie den Zugriff auf Backups durch eine Authentifizierung und Autorisierung. Vermeiden und erkennen Sie mittels Verschlüsselung Beeinträchtigungen der Datenintegrität von Backups.

Typische Anti-Muster:

Derselbe Zugriff auf die Sicherungen und die automatisierte Wiederherstellung wie auf die Daten.
Keine Verschlüsselung der Sicherungen.

Vorteile der Nutzung dieser bewährten Methode: Die Absicherung Ihrer Backups verhindert die Manipulation der Daten und die Verschlüsselung der Daten verhindert den Zugriff auf diese Daten, wenn sie versehentlich offengelegt werden.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Steuern und erkennen Sie den Zugriff auf Backups mithilfe von Authentifizierung und Autorisierung, z. B. (). AWS Identity and Access Management IAM Vermeiden und erkennen Sie mittels Verschlüsselung Beeinträchtigungen der Datenintegrität von Backups.

Amazon S3 unterstützt mehrere Verschlüsselungsmethoden für Daten im Ruhezustand. Mithilfe der serverseitigen Verschlüsselung akzeptiert Amazon S3 Ihre Objekte als unverschlüsselte Daten und sorgt für ihre Verschlüsselung bei der Speicherung. Bei der clientseitigen Verschlüsselung ist Ihre Workload-Anwendung für die Verschlüsselung der Daten verantwortlich, bevor sie an Amazon S3 gesendet werden. Bei beiden Methoden können Sie AWS Key Management Service (AWS KMS) verwenden, um den Datenschlüssel zu erstellen und zu speichern, oder Sie können Ihren eigenen Schlüssel angeben, für den Sie dann verantwortlich sind. Mit dieser AWS KMS Methode können Sie Richtlinien festlegen, die festlegen, wer IAM auf Ihre Datenschlüssel und entschlüsselten Daten zugreifen kann und wer nicht.

Wenn Sie sich für Amazon entschieden habenRDS, Ihre Datenbanken zu verschlüsseln, werden auch Ihre Backups verschlüsselt. DynamoDB-Sicherungen werden immer verschlüsselt. Bei der Verwendung werden alle Daten AWS Elastic Disaster Recovery, die übertragen und gespeichert werden, verschlüsselt. Mit Elastic Disaster Recovery können Daten im Ruhezustand entweder mit dem standardmäßigen Amazon EBS Encryption Volume Encryption Key oder einem benutzerdefinierten, vom Kunden verwalteten Schlüssel verschlüsselt werden.

Implementierungsschritte

Verwenden Sie eine Verschlüsselung für jeden Datenspeicher. Wenn Ihre Quelldaten verschlüsselt sind, wird die Sicherung ebenfalls verschlüsselt.
- Verwenden Sie Verschlüsselung in AmazonRDS. . Sie können die Verschlüsselung im Ruhezustand AWS Key Management Service beim Erstellen einer RDS Instanz konfigurieren.
- Verwenden Sie Verschlüsselung auf EBS Amazon-Volumes. . Während der Erstellung von Volumes können Sie eine Standardverschlüsselung konfigurieren oder einen eindeutigen Schlüssel angeben.
- Verwenden Sie die erforderliche Amazon DynamoDB-Verschlüsselung. DynamoDB verschlüsselt alle Daten im Ruhezustand. Sie können entweder einen AWS eigenen AWS KMS Schlüssel oder einen AWS verwalteten KMS Schlüssel verwenden und dabei einen Schlüssel angeben, der in Ihrem Konto gespeichert ist.
- Verschlüsseln Sie Ihre bei Amazon EFS gespeicherten Daten. Konfigurieren Sie die Verschlüsselung beim Erstellen des Dateisystems.
- Konfigurieren Sie die Verschlüsselung in den Quell- und Zielregionen. Sie können die Verschlüsselung im Ruhezustand in Amazon S3 mithilfe von Schlüsseln konfigurierenKMS, die Schlüssel sind jedoch regionsspezifisch. Sie können die Zielschlüssel angeben, während Sie die Replikation konfigurieren.
- Wählen Sie, ob Sie die standardmäßige oder die benutzerdefinierte EBSAmazon-Verschlüsselung für Elastic Disaster Recovery verwenden möchten. Mit dieser Option werden Ihre replizierten Daten im Ruhezustand auf den Staging-Area Subnetz-Datenträgern und den replizierten Datenträgern verschlüsselt.
Implementieren Sie Rechte mit geringsten Berechtigungen für den Zugriff auf Ihre Backups. Begrenzen Sie den Zugriff auf die Backups, Snapshots und Replikate anhand bewährter Methoden im Bereich Sicherheit.

Ressourcen

Zugehörige Dokumente:

Zugehörige Beispiele:

Well-Architected Lab — Implementierung einer bidirektionalen regionsübergreifenden Replikation () CRR für Amazon S3

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

REL09-BP01 Identifizieren und sichern Sie alle Daten, die gesichert werden müssen, oder reproduzieren Sie die Daten aus Quellen

REL09-BP03 Führen Sie die Datensicherung automatisch durch