Sie stimmen sicher zu, dass Daten ein wertvolles und für Ihr Unternehmen einzigartiges Asset sind. Wir wissen zwar, dass die Sicherung unserer Daten eine zwingend erforderliche Maßnahme ist, aber die Entscheidung, wie man Cloud-Backup-Prozesse für Plattformen wie Amazon Web Services (AWS) umsetzt, kann schwierig sein. Dieser Leitfaden zu AWS-Backups legt dar, wie Sie Probleme beim Schutz Ihrer geschäftskritischen AWS-Workloads vermeiden können.
AWS ist mit einem Marktanteil von 32 % der führende Anbieter beim Cloud Computing. Wahrscheinlich nutzen auch Sie AWS für die Infrastruktur, Speicherung und Datenverwaltung in Ihrem Unternehmen. Aber AWS setzt bei der Sicherheit – wie alle Cloud-Anbieter – auf das Modell der geteilten Verantwortung. Das bedeutet, dass AWS für die Sicherung seiner Cloud-Infrastruktur, einschließlich Hardware und Netzwerke, verantwortlich ist. Doch Sie als AWS-Kunde sind für alles zuständig, was Sie in der AWS-Cloud speichern.
Dazu gehören Datensicherheit und Backups. Wie können Sie also sicherstellen, dass Sie nichts übersehen?
Best Practices für AWS-Backups
IT-Experten haben eine Reihe von Best Practices für die Sicherung von AWS-Daten entwickelt und diese empfohlenen Maßnahmen entwickeln sich ständig weiter. Viele davon haben mit Sicherheit zu tun. Schließlich ist die Datensicherung eine wichtige Gegenmaßnahme zur Eindämmung von Cyber-Bedrohungen wie Ransomware. Die gesicherten Daten selbst sind jedoch ebenfalls ein Ziel für böswillige Akteure.
Native Backups und Drittanbieter-Backups im Vergleich
Lassen Sie uns zunächst eine häufig gestellte Frage beantworten: „Gibt es für AWS denn nicht den AWS Backup-Service?“ Ja, das stimmt schon. Dennoch sollten Sie das Wesen von AWS Backup verstehen und seine Grenzen kennen.
Positiv ist, dass AWS Backup eine breite Abdeckung für Workloads bietet. Sie können also eine Vielzahl von AWS-Ressourcen sichern. Wenn Sie AWS bereits nutzen, ist der Einstieg auch relativ einfach. Ein weiterer Vorteil ist, dass Sie für Sicherung und Wiederherstellung keinen weiteren Anbieter benötigen.
Dennoch lohnt es sich, eine Backup-Lösung eines Drittanbieters für AWS in Betracht zu ziehen. Alternativen von Drittanbietern verfügen über zusätzliche Funktionen, die Sie von einer Backup- und Wiederherstellungslösung erwarten sollten, darunter:
Erweiterte Sicherheitsfunktionen wie die Erkennung von sensiblen Daten und von Ransomware
Backup- und Wiederherstellungsprozesse für Multi-Cloud- und Hybrid-Cloud-Architekturen, die AWS Backup nicht bietet
Kostengünstigere Backup-Optionen
Bessere Transparenz, differenziertere Governance und eine einfachere Verwaltung von Backups für mehrere AWS-Accounts und -Regionen
Mehr Funktionen bei der Datensicherung und -wiederherstellung für die gesamte Bandbreite von AWS-Workloads wie EC2, S3, Amazon Elastic Block Store (Amazon EBS) und Amazon Relational Database Service (RDS).
Diese Vorteile einer externen Backup-Lösung tragen zu niedrigeren Gesamtbetriebskosten (TCO) für die AWS-Sicherung bei.
Das Modell der geteilten Verantwortung in Bezug auf die Sicherheit
Angesichts der Realität einer geteilten Sicherheitsverantwortung gilt es als Best Practice, die Sicherheitsaspekte in Bezug auf Backups und Wiederherstellung auf AWS genauer zu betrachten. Was den Schutz von Cloud-Daten angeht, so stellen Datei-Backups ein einladendes Ziel für Hacker dar. Es ist Ihre Aufgabe, Ihre Backups zu schützen. Es ist ratsam, die gleichen Sicherheitsvorkehrungen zu treffen wie bei anderen geschäftskritischen IT-Systemen.
Ransomware ist wohl die stärkste Bedrohung für Daten-Backups. Um zu ermitteln, wie Sie Ihre Backups am besten schützen, ist es hilfreich, sich Amazons eigene Untersuchungen zum Ransomware-Risiko auf AWS anzusehen. Das Customer Incident Response Team (CIRT) von AWS hat Ransomware-Angriffe untersucht und festgestellt, dass das häufigste Ereignis, das zu einem Ransomware-Angriff führt, die unbeabsichtigte Offenlegung von IAM-Zugriffsschlüsseln (Identity and Access Management) ist. Mit gestohlenen Anmeldeinformationen können Hacker leicht in AWS-Backup-Instanzen eindringen. Dies ist eine von vielen Gefahren für Daten auf AWS.
Zu den Best Practices für die Sicherheit gehören unter anderem:
Management von Anmeldeinformationen: Backup-Funktionen sind in eine IAM-Lösung integriert, die Anmeldedaten von Benutzern über mehrere Clouds und lokale Umgebungen hinweg verwaltet und schützt.
Multi-Faktor-Authentifizierung (MFA): MFA wird zwingend durchgesetzt, um zu verhindern, dass Hacker gestohlene Anmeldedaten ausnutzen, um auf gesicherte Daten auf nicht autorisierten Geräten zuzugreifen.
Rollenbasierte Zugriffskontrollen (RBAC): Zugriffsprivilegien werden möglichst nach Rollen organisiert und können leichter verwaltet werden. Dadurch wird die Wahrscheinlichkeit verringert, dass zu großzügiger Zugriff gewährt wird oder dass versäumt wird, ehemaligen Mitarbeitern den Zugriff zu entziehen.
Datenverschlüsselung: Auf AWS gesspeicherte Daten sind auch im Ruhezustand verschlüsselt, um die Auswirkungen von Datenpannen zu verringern.
AWS KMS (Key Management Service) für die Verschlüsselung: Durch die Nutzung von KMS wird das Risiko des Missbrauchs von Schlüsseln durch böswillige Akteure reduziert, die sich auf diese Weise unbefugten Zugriff auf Daten verschaffen könnten.
Zero-Trust-Design: Standardmäßig wird kein Zugriff auf die Backup-Systeme gewährt, sondern nur nach sorgfältiger Überprüfung der Benutzeridentitäten und Geräte.
Per logischem Air Gap geschützte Backups: Logische Methoden, die ein Air Gap zum Isolieren der Backups schaffen, machen es für Angreifer unmöglich, auf die gesicherten Daten zuzugreifen.
Worauf Sie bei einer AWS-Backup-Lösung achten sollten
Der Anbieter einer Lösung für AWS-Backups sollte Ihre Ziele in Bezug auf Sicherung und Geschäftskontinuität unterstützen. Dies könnte bedeuten, dass er kostengünstige Cloud-Speicheroptionen zur Verfügung stellt oder es ermöglicht, andere Plattformen als AWS zu nutzen. Die Lösung sollte einfach zu verwalten sein, idealerweise mit einem hohen Automatisierungsgrad.
Sie benötigen wahrscheinlich eine AWS-Backup-Lösung, die Ihre Daten über mehrere Clouds und lokale Speicherumgebungen hinweg verwaltet und sichert und RTOs und RPOs von nahezu Null ermöglicht.
Kostengünstige Optionen für Cloud-Speicher
AWS Backup bietet Kunden keine Möglichkeit, Backup-Daten in kostengünstigeren Speicheroptionen aufzubewahren. Das kann dazu führen, dass Sie viel Geld ausgeben müssen, nur um Ihre Backups aufzubewahren. IT-Abteilungen suchten 2024 zunehmend nach Lösungen für dieses Kostenproblem. Die Lösung ist offensichtlich: AWS bietet Speicherklassen zu unterschiedlichen Preisen an, wobei Sie gewisse (akzeptable) Kompromisse bei der Leistung eingehen müssen. Eine gute Backup-Lösung eines Drittanbieters ermöglicht es Ihnen, diese kostengünstigeren Optionen für Ihre Backups zu nutzen, aber zusätzlich auch andere Cloud-Speicherdienste.
Unkomplizierte Verwaltung mit richtliniengesteuerter Automatisierung
Eine Lösung für AWS-Backups sollte Ihnen idealerweise ermöglichen, die Backup- und Wiederherstellungsfunktionen für alle Workloads einfach und effizient zu verwalten. Dazu gehört auch die Möglichkeit, sämtliche Workloads automatisch zu erkennen und dann ein Backup mit einheitlichen Datensicherheitsrichtlinien als Baseline zu erstellen.
Automatisierte Prozesse sollten durch Richtlinien gesteuert werden. Wenn Ihre Richtlinie beispielsweise eine bestimmte Aufbewahrungsfrist auf Grundlage des Datentyps vorsieht, sollte die AWS-Backup-Lösung in der Lage sein, diese Richtlinie automatisch für alle Ihre AWS-Daten durchzusetzen.
Schnelle Wiederherstellung für RTOs und RPOs von nahezu Null
Eine gute Lösung für AWS-Backups muss eine schnelle Wiederherstellung ermöglichen. Ein bewährter Ansatz ist die punktgenaue Wiederherstellung der wichtigsten Anwendungen, Dateien und Objekte im großen Umfang. Die Priorisierung kritischer Daten hilft, die Wiederaufnahme des Betriebs zu beschleunigen.
Ziel sollte es sein, eine möglichst schnelle RTO (Recovery Time Objective) und eine möglichst niedrige RPO (Recovery Point Objective) zu erreichen. RTO bezieht sich auf die Zeit zwischen dem Beginn eines Ausfalls und der Wiederherstellung des betroffenen Systems. RPO ist der Zeitpunkt, zu dem Daten aufgrund eines Ereignisses verloren gehen, z. B. die jüngste Transaktion, die nach einem Ausfall wiederhergestellt werden kann. Eine punktgenaue Datenwiederherstellung trägt dazu bei, dass RTOs und RPOs fast auf Null reduziert werden können.
Datenbedrohungsanalysen
Der Schutz gesicherter Daten erfordert ständige Wachsamkeit. Anbieter einer AWS-Backup-Lösung sollten diesen Prozess durch Gegenmaßnahmen wie die Integration in IAM- und DLP (Data Loss Prevention)-Lösungen sowie in Sicherheitstools wie SOAR (Security Orchestration Automation and Response) unterstützen. Zudem sollten Datenbedrohungsanalysen unterstützt werden, damit der Status der Daten kontinuierlich überwacht wird und erkannt wird, wenn sensible Daten gefährdet sind.
Es ist beispielsweise denkbar, dass ein Mitarbeiter versehentlich eine Datei auf AWS speichert, die Malware enthält. Diese Datei wird dann in einem S3-Bucket gesichert, wo die Malware darauf wartet, aktiviert zu werden. Der erste Schritt, um die Auswirkungen der Malware einzudämmen, besteht darin, zu wissen, dass sie vorhanden ist. Das bedeutet, dass gesicherte Daten gescannt und auf Bedrohungssignaturen untersucht werden müssen, damit die richtigen Personen benachrichtigt werden, die die Gefahr beseitigen können.
Unterstützung bei der Einhaltung von Vorschriften
Backups sind ein wichtiger Faktor bei der Compliance, insbesondere wenn Datensätze personenbezogene Daten, Gesundheitsdaten oder andere Daten enthalten, die unter Datenschutzbestimmungen fallen. Im Rahmen von Compliance-Prüfungen werden Cloud-Speicher und Backups untersucht. Aus diesen Gründen sollte eine Lösung für AWS-Backups den Compliance-Prozess samt Überprüfbarkeit unterstützen.