Bloqueo de almacenes de AWS Backup
nota
Cohasset Associates ha evaluado el uso del Bloqueo de almacenes de AWS Backup en entornos sujetos a las normativas SEC 17a-4, CFTC y FINRA. Para obtener más información acerca de cómo el Bloqueo de almacenes de AWS Backup está relacionado con estas regulaciones, consulte la Cohasset Associates Compliance Assessment.
El Bloqueo de almacenes de AWS Backup es una característica opcional de los almacenes de copia de seguridad, que puede resultar útil para proporcionarle seguridad y control adicionales sobre los almacenes de copia de seguridad. Cuando hay un bloqueo activo en el modo de cumplimiento y finaliza el periodo de gracia, ni el cliente ni el propietario de la cuenta o los datos ni AWS pueden modificar ni eliminar la configuración del almacén mientras contenga puntos de recuperación. Cada almacén puede tener implementado un bloqueo de almacén.
AWS Backup garantiza que las copias de seguridad estén a su disposición hasta que venzan sus periodos de retención. Si algún usuario (incluido el usuario raíz) intenta eliminar una copia de seguridad o cambiar las propiedades del ciclo de vida de un almacén bloqueado, AWS Backup denegará la operación.
Los usuarios con permisos de IAM suficientes pueden eliminar el bloqueo de los almacenes bloqueadas en modo de gobernanza.
Los almacenes bloqueadas en modo de gobernanza no se pueden eliminar una vez que el periodo de reflexión (“periodo de gracia”) venza si hay puntos de recuperación en el almacén. Durante el periodo de gracia, aún puede eliminar el bloqueo del almacén y cambiar la configuración del bloqueo.
Modos de bloqueo del almacén
Al crear un bloqueo de almacén, puede elegir entre dos modos: el modo de gobernanza o el modo de cumplimiento. El modo de gobernanza está diseñado para permitir que solo usuarios con suficientes privilegios de IAM administren el almacén. El modo de gobernanza ayuda a una organización a cumplir los requisitos de gobernanza, ya que garantiza que solo el personal designado pueda hacer cambios en un almacén de copias de seguridad. El modo de cumplimiento está pensado para almacenes de copias de seguridad en los que se espera que el almacén (y, por extensión, su contenido) no se vaya a eliminar ni modificar nunca hasta que se complete el periodo de retención de datos. Una vez que un almacén en modo de conformidad está bloqueado, es inmutable, lo que significa que el bloqueo no se puede eliminar (el propio almacén se puede eliminar si está vacío y no contiene ningún punto de recuperación).
Los usuarios que dispongan de los permisos de IAM adecuados pueden administrar o eliminar un almacén bloqueado en modo gobernanza.
Un bloqueo de almacén en modo de cumplimiento no puede ser modificado ni eliminado por ningún usuario ni por AWS. Un almacén bloqueado en modo de cumplimiento tiene un periodo de gracia que se establece antes de que se bloquee y los contenidos del almacén pasan a ser inmutables.
Ventajas del bloqueo de almacenes
El Bloqueo de almacenes de AWS Backup ofrece varias ventajas, entre las que se incluyen:
Configuración de WORM (escritura única y lectura múltiple) para todas las copias de seguridad que almacene y cree en un almacén de copias de seguridad.
Una capa de defensa adicional que protege las copias de seguridad (puntos de recuperación) de sus almacenes de copias de seguridad contra eliminaciones involuntarias o malintencionadas.
Aplicación de periodos de retención, que evitan eliminaciones antes de tiempo por parte de usuarios privilegiados (incluido el usuario raíz de la Cuenta de AWS), además de ayudar a cumplir las políticas y los procedimientos de protección de datos de su organización.
Bloqueo de un almacén de copias de seguridad mediante la consola
Puede agregar un bloqueo de almacén a su almacén de AWS Backup mediante la consola de Backup.
Para agregar un bloqueo de almacén a su almacén de copias de seguridad:
Inicie sesión en la AWS Management Console y abra la consola AWS Backup en https://console.aws.amazon.com/backup
. En el panel de navegación, elija Almacenes de copia de seguridad. Haga clic en el enlace anidado debajo de Almacenes de copia de seguridad denominado Bloqueos de almacén.
En Cómo funcionan los bloqueos de almacén o Bloqueos de almacén, haga clic en + crear bloqueo de almacén.
En el panel Detalles del bloqueo de almacén, elija el almacén al que desea que se aplique el bloqueo.
En Modo de bloqueo de almacenes, elija el modo en el que desea bloquear su almacén. Para obtener más información sobre cómo elegir los modos, consulte Modos de bloqueo del almacén , que aparece antes en esta página.
Para el Periodo de retención, elija los periodos de retención mínimo y máximo (los periodos de retención son opcionales). Los nuevos trabajos de copia y copia de seguridad creados en el almacén darán un error si no se ajustan a los periodos de retención que haya establecido; estos periodos no se aplicarán a los puntos de recuperación que ya estén en el almacén.
Si ha elegido el modo de cumplimiento, aparecerá una sección denominada Fecha de inicio del bloqueo de almacén. Si ha elegido el modo de gobernanza, esto no se mostrará y podrá omitir este paso.
En el modo de cumplimiento, un bloqueo de almacén tiene un periodo de reflexión desde su creación hasta que el almacén y su bloqueo se vuelven inmutables e incambiables. Usted elige la duración de este periodo (denominado periodo de gracia), aunque debe ser de al menos 3 días (72 horas).
importante
Una vez transcurrido el periodo de gracia, el almacén y su bloqueo son inmutables. Ningún usuario ni AWS puede cambiarlo ni eliminarlo.
Cuando esté satisfecho con las opciones de configuración, haga clic en Crear bloqueo de almacén.
Para confirmar que desea crear este bloqueo en el modo elegido, escriba
confirmen el cuadro de texto y, a continuación, marque la casilla para confirmar que la configuración es la deseada.
Si los pasos se han completado correctamente, aparecerá un banner en la parte superior de la consola que indica que el proceso se ha realizado correctamente.
Bloqueo de un almacén de copias de seguridad mediante programación
Para configurar el Bloqueo de almacenes de AWS Backup, utilice la API PutBackupVaultLockConfiguration. Los parámetros que se incluyan dependerán del modo de bloqueo de almacén que desee utilizar. Si desea crear un bloqueo de almacén en modo de gobernanza, no incluya ChangeableForDays. Si incluye este parámetro, el bloqueo del almacén se creará en modo de cumplimiento.
Este es una CLI de ejemplo de creación de un bloqueo de almacén en modo de cumplimiento:
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --changeable-for-days3\ --min-retention-days7\ --max-retention-days30
Este es una CLI de ejemplo de creación de un bloqueo de almacén en modo de gobernanza:
aws backup put-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock\ --min-retention-days7\ --max-retention-days30
Puede configurar cuatro opciones.
-
BackupVaultNameEl nombre del almacén que se va a bloquear.
-
ChangeableForDays(se incluye solo para el modo de cumplimiento)Este parámetro indica a AWS Backup que cree el bloqueo del almacén en modo de cumplimiento. Omita este parámetro si desea crear el bloqueo en el modo de gobernanza.
Este valor se expresa en días. Debe ser un número no inferior a 3 ni superior a 36 500; de lo contrario, se generará un error.
Desde la creación de este bloqueo de almacén hasta el vencimiento de la fecha especificada, el bloqueo de almacén se puede quitar de la bóveda mediante
DeleteBackupVaultLockConfiguration. Como alternativa, durante este tiempo, puede cambiar la configuración mediantePutBackupVaultLockConfiguration.A partir de la fecha especificada, determinada por este parámetro, el almacén de copias de seguridad será inmutable y no se podrá modificar ni eliminar.
-
MaxRetentionDays(opcional)Es un valor numérico expresado en días. Es el periodo máximo de retención durante el cual el almacén retiene sus puntos de recuperación.
El periodo máximo de retención que elija debe estar en consonancia con las políticas de retención de datos de su organización. Si su organización exige que los datos se retengan durante un periodo determinado, este valor se puede establecer en ese periodo (en días). Por ejemplo, es posible que sea necesario conservar los datos financieros o bancarios durante 7 años (aproximadamente 2557 días, según los años bisiestos).
Si no se especifica este parámetro, el Bloqueo de almacenes de AWS Backup no impondrá un periodo máximo de retención. Si se especifica, no se podrán realizar copias ni copias de seguridad en este almacén con periodos de retención del ciclo de vida superiores al periodo máximo de retención. Los puntos de recuperación ya guardados en el almacén antes de la creación del bloqueo no se ven afectados. El periodo de retención máximo más largo que puede especificar es de 36 500 días (aproximadamente 100 años).
-
MinRetentionDays(opcional; obligatorio para CloudFormation)Es un valor numérico expresado en días. Es el periodo mínimo de retención durante el cual el almacén retiene sus puntos de recuperación. Esta configuración debe ajustarse a la cantidad de tiempo que su organización está obligada a mantener los datos. Por ejemplo, si la normativa o las leyes exigen que los datos se conserven durante al menos siete años, el valor en días sería de aproximadamente 2557, según los años bisiestos.
Si no se especifica, el Bloqueo de almacenes de AWS Backup no impondrá un periodo mínimo de retención. Si se especifica, no se podrán realizar copias ni copias de seguridad en este almacén con periodos de retención del ciclo de vida inferiores al periodo mínimo de retención. Los puntos de recuperación ya guardados en el almacén antes del bloqueo del almacén de AWS Backup no se ven afectados. El periodo de retención mínimo más corto que puede especificar es de 1 día.
Revisión del almacén de copias de seguridad para su configuración del Bloqueo de almacenes de AWS Backup
Puede revisar los detalles del Bloqueo de almacenes de AWS Backup de un almacén en cualquier momento llamando a las API DescribeBackupVault o ListBackupVaults.
Para determinar si ha aplicado un bloqueo de almacén a un almacén de copias de seguridad, llama a DescribeBackupVault y comprueba la propiedad Locked. Si "Locked": true, como en el ejemplo siguiente, ha aplicado el Bloqueo de almacenes de AWS Backup a su almacén de copias de seguridad.
{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 1, "Locked": true, "MinRetentionDays": 7, "MaxRetentionDays": 30, "LockDate": "2021-09-30T10:12:38.089000-07:00" }
El resultado anterior confirma las opciones siguientes:
-
Lockedes un booleano que indica si ha aplicado el Bloqueo de almacenes de AWS Backup a su almacén de copias de seguridad.Truesignifica que el Bloqueo de almacenes AWS Backup provoca un error en las operaciones de eliminación o actualización de los puntos de recuperación almacenados en el almacén (independientemente de si aún se encuentra o no en el periodo de gracia de reflexión). -
LockDatees la fecha y hora UTC en las que finaliza el periodo de gracia de reflexión. Pasado este tiempo, no podrá eliminar ni cambiar el bloqueo de este almacén. Utilice cualquier conversor de hora disponible al público para convertir esta cadena a su hora local.
Si "Locked":false, como en el ejemplo siguiente, no ha aplicado un bloqueo de almacén (o se ha eliminado uno anterior).
{ "BackupVaultName": "my_vault_to_lock", "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock", "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000", "CreationDate": "2021-09-24T12:25:43.030000-07:00", "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709", "NumberOfRecoveryPoints": 3, "Locked": false }
Eliminación del bloqueo del almacén durante el periodo de gracia (modo de cumplimiento)
Para eliminar el bloqueo del almacén durante el periodo de gracia (es decir, después de bloquear el almacén, pero antes de la LockDate) mediante la consola de AWS Backup,
Inicie sesión en la AWS Management Console y abra la consola AWS Backup en https://console.aws.amazon.com/backup
. En el menú de navegación de la izquierda, en Mi cuenta, haga clic en Almacenes de copia de seguridad y, a continuación, en Bloqueo de almacén de copias de seguridad.
Haga clic en el bloqueo del almacén que desee eliminar y, a continuación, en Administrar el bloqueo de almacén.
Haga clic en Eliminar el bloqueo de almacén.
Aparecerá un cuadro de advertencia en el que se le pedirá que confirme su intención de eliminar el bloqueo del almacén. Escriba
confirmen el cuadro de texto y, a continuación, haga clic en confirmar.
Cuando todos los pasos se hayan completado correctamente, aparecerá un banner en la parte superior de la pantalla de la consola que indica que el proceso se ha realizado correctamente.
Para eliminar el bloqueo del almacén durante el periodo de gracia mediante un comando de la CLI, utilice DeleteBackupVaultLockConfiguration como en este ejemplo de CLI:
aws backup delete-backup-vault-lock-configuration \ --backup-vault-namemy_vault_to_lock
Cierre de una Cuenta de AWS con un almacén bloqueado
Si cierra una Cuenta de AWS que contiene un almacén de copias de seguridad, AWS y AWS Backup suspenden su cuenta durante 90 días con las copias de seguridad intactas. Si no vuelve a abrir la cuenta durante esos 90 días, AWS borra el contenido del almacén de copias de seguridad, incluso si el Bloqueo de almacenes de AWS Backup estaba activado.
Consideraciones adicionales de seguridad
El Bloqueo de almacenes de AWS Backup agrega un nivel adicional de seguridad a su defensa en profundidad en materia de protección de datos. El bloqueo de almacenes se puede combinar con estas otras características de seguridad:
-
Políticas de acceso a almacenes y puntos de recuperación de AWS Backup, que le permiten conceder o denegar permisos a nivel de almacén,
-
Prácticas recomendadas de seguridad de AWS Backup, incluida su biblioteca de políticas administradas por el cliente que le permiten conceder o denegar permisos de copia de seguridad y restauración mediante un servicio de AWS compatible, y
-
AWS Backup Audit Manager, que le permite automatizar las comprobaciones de conformidad de sus copias de seguridad con respecto a una lista de controles que usted defina.
Puede trabajar a través de Creación de marcos mediante la API de AWS Backup para Las copias de seguridad están protegidas por el Bloqueo de almacenes de AWS Backup de control con AWS Backup Audit Manager para asegurarse de que los recursos deseados estén protegidos con un bloqueo de almacén.
-
Los mecanismos que inactivan los recursos pueden afectar a la capacidad de restaurarlos. Si bien todavía no se pueden eliminar en una bóveda cerrada, pueden estar en un estado distinto al activo. Por ejemplo, la configuración de Amazon Elastic Compute Cloud que permite deshabilitar una AMI puede bloquear temporalmente la capacidad de restaurar las copias de seguridad de las instancias de EC2. Esto afecta a todos los puntos de recuperación de EC2, incluso a las copias de seguridad afectadas por un bloqueo del almacén o una retención legal.
Si una copia de seguridad de EC2 está deshabilitada, puede volver a activar una AMI deshabilitada. Una vez que se vuelva a activar, podrá restaurarse. Para bloquear la característica de desactivación de la AMI, puede utilizar las políticas de IAM para no permitir
ec2:DisableImage.
nota
AWS Backup Vault Lock no es la misma característica que Amazon S3 Glacier Vault Lock, que solo es compatible con S3 Glacier.
