هر سازمانی که از Amazon Web Services یا AWS استفاده میکند باید یک راهکار پشتیبانگیری و بازیابی قوی و ایمنِ متناسب با نیازهای خود داشته باشد. صرف نظر از اینکه امنیت، تطبیقپذیری، سرعت بازیابی و غیره محرک نیازهای سازمان است، این ده روش کمک میکند تا هزینههای سازمان را بهینه، دادهها را ایمن و زمان را صرفه جویی کرد.
ارزیابی یا Evaluation
- مشخص نموندن استراتژی حفاظت از داده سازمان
برای طراحی استراتژی پشتیبانگیری و بازیابی متناسبِ با نیاز سازمان خود باید برخی از سوالات اساسی و مهم را درک کرد. پاسخ به این سوالات به شما کمک میکند تا جنبههای مختلف حفاظت از دادههای خود را بشناسید و ابزار مناسب برای نیازهای خود را بیابید.
در سطوح بالاتر بهتر است با موارد زیر هماهنگ شوید:
- سازمان شما تا چه میزان ظرفیت پذیرش از دست دادن داده را دارد؟
پاسخ به این سؤال، که به آن Recovery Point Objective یا RPO گفته میشود، به شما کمک میکند تا بفهمید که یک برنامه یا داده چقدر باید محافظت شود؛ مثلاً، به طور مداوم، ساعتی، روزانه و غیره.
- پس از قطعی، برنامه با چه سرعتی باید در دسترس قرار گیرد؟
این اندازهگیری، که Recovery Time Objective یا RTO نیز نامیده میشود، نه تنها روشهای بازیابیای را که برای برآورده کردن الزامات بدان نیاز دارید (برای مثال، بازیابی کامل یا در سطحِ فایل) مشخص میکند، بلکه نحوهی محافظت و ذخیرهسازی دادهها (مانند اسنپشات، پشتیبانگیری و همسانسازی) را نیز معلوم میکند.
- دادههای پشتیبان تا چه مدت باید نگهداری شوند؟
موارد مربوط به نگهداری دادهها اغلب توسط دستورات سازمان و یا مقررات مربوط به زمان، مکان و مدت زمان ذخیرهسازی دادهها، تعیین میشود. توجه داشته باشید که این متغیرها در اغلب موارد در بارهای کاری محیط شما یکسان نیستند. بلکه، آنها بسته به حیاتی بودن برنامه و دادهها و همچنین حد و حدود و نگهداری دادهها متفاوت هستند.
برای دستیابی به این اهداف، معمولاً چند گزینه دارید:
اسنپشات
دادهها را در یک مقطع زمانی ضبط کنید تا فوراً برای برنامههایی که به دادههای read-only نیاز دارند، در دسترس باشند.
پشتیبانگیری
کپیهایی از مجموعهی داده ایجاد کرده و به طور مستقل دادهها را ذخیره و یا بایگانی کنید.
همسانسازی
دادههایی را در سراسر زیرساخت تکرار کنید، که اغلب برای برنامههای کاربردی مهم که تحمل downtime کمی دارند، استفاده میشود.
معماری
یک معماری با دسترسی بالا را طراحی و اجرا کنید؛ این معماری باید شامل مناطق چندگانه یا Multi-AZ، خوشهبندی، مقیاسبندی خودکار و متعادلسازی بار برای تکمیل موارد فوق باشد.
پیادهسازی و پیکربندی
- امنیت
با توجه به وضعیت فعلی تهدیدات سایبری، که در بالاترین حد خود قرار دارند و همچنان در حال افزایش هستند، داشتن یک برنامه برای پشتیبانگیری و بازیابی برای هر استراتژی موثرِ امنیت سایبری ضروری است. برای اطمینان از امنیت و قابل اعتماد بودن پشتیبانگیریهای خود، چندین روش مناسب وجود دارد که باید آنها را هنگام پیادهسازی امنیت اعمال کنید.
یکی از قدمهای مهم در محافظت از پشتیبانگیریها بههنگام پیادهسازی راهکار انتخابیتان، اجرای آن در یک حساب پشتیبان جداگانه است. دادههای پشتیبان همیشه باید از محیط تولید جدا شوند و در AWS، این جداسازی منطقی را میتوان با پشتیبانگیری در حسابهای جداگانه انجام داد. در صورت حملهی موفقیتآمیز، تکیه بر یک حساب واحد برای تولید و محافظت میتواند همه چیز را به خطر بیاندازد و چیزی برای بازیابی باقی نماند. در کنار جداسازی منطقی دادههای خود، باید از قابلیتهای امنیتمحور AWS برای محافظت بیشتر از دادههای خود در برابر حملات سایبری و خطای انسانی استفاده کنید. برخی از این نمونهها عبارتند از:
مدیریت دسترسی
به صورت تکتک کنترل کنید که چه کسی به دادهها، برنامهها، خدمات و عملکردهای خاص دسترسی دارد. این کنترل را میتوان با مدیریت دقیق، چرخش کاری و حذف نقشهای AWS Identity and Access Management یا IAM و همچنین گزینههای مربوط به شخص ثالث مانند احراز هویت چند عاملی و کنترل دسترسی نقشمحور به دست آورد.
رمزگذاری
رمزگذاری در زمان اجرا و در حالت استراحت میتواند از دسترسی غیرمجاز و افشای دادههای پشتیبان جلوگیری کند. قابلیتهای رمزگذاری شامل AWS Key Management Service یا AWS KMS و نیز پیشنهادات رمزگذاری از وندور پشتیبان است؛ لازم به ذکر است که Customer Managed Keys یا CMKs کنترل بیشتری را برایتان فراهم میکند.
تغییرناپذیری
قرار دادن پشتیبانگیری در حالت «یک نوشته، چند معنی» یا WORM تضمین میکند که دادههای شما نمیتوانند تغییر کنند، و رمزگذاری شده یا حذف شوند، حتی اگر مورد حمله باجافزار قرار بگیرند. Amazon S3 Object Lock یک لایهی حفاظتی اضافی به دادههای پشتیبان شما اضافه میکند.
2) دستهبندی دادهها و برنامهها
3) پیش از ایجاد سیاستها یا مشاغل برای ایمنسازی برنامهها و دادههای میزبانیشده در AWS، باید آنها را دستهبندی کرد. این کار وجود سطوح مناسبی از حفاظت و نگهداری را تضمین میکند. این دستهبندی احتمالاً بر اساس مفاهیم RPO، RTO و نگهداری است که قبلاً دربارهی آن بحث کردیم.
یکی از موثرترین راهبردها برای این دستهبندی و در ادامه محافظت خودکار، مشخص کردن و افزودن تگهایی به منابع AWS خود از طریق AWS Management Console است. این تگها باید با تنظیمات سیاستهای خاص همراستا باشند و اطمینان حاصل شود که تمام بارهای کاری فعلی و آینده بهطور مناسب محافظت میشوند و دارای تطبیقپذیری کامل هستند، بدون اینکه برای منابع غیرضروری هزینههای اضافی داشته باشند.
نمونهای از این تگ گذاری میتواند استفاده از نامگذاری «طلایی، نقرهای و برنز» باشد که طبق آن:
طلایی
برای حیاتیترین برنامهها و دادههایی که کمترین RTO و RPO را میطلبند و به نگهداری طولانیمدت در سطوح مختلف ذخیرهسازی نیاز دارند، اختصاص داده شده است.
نقرهای
برای برنامهها و دادههای حیاتی که به RTO و RPO کمی نیاز دارند اما دورهی نگهداری آنها کوتاهتر است، استفاده میشود.
برنز
برای برنامهها و مجموعههای دادهای است که تحمل از دست دادن دادههای بیشتر و دورههای طولانیتر خرابی را دارند و دورههای نگهداری آنها کوتاه است. با AWS میتوانید تا حداکثر 50 تگ را در هر منبع تعریف و اعمال کنید؛ این امر شما را قادر میسازد تا، از نظر استانداردهای حفاظت و نگهداری، انعطافپذیری بیشتری داشته باشید و در عین حال از اتوماتیکسازی برای داشتن زمان و منابع بیشتر بهرهمند شوید.
4) تطبیقپذیری و آرشیو
تقریباً هر سازمانی ملزم به رعایت استانداردهای نظارتی یا شرکتی برای انواع دادههای خود، حساس یا غیرحساس، است. این الزامات ممکن است شامل RPOها، RTOها و حفظ باشد؛ اما میتواند به زمان حذف، نوع رسانهای که باید در آن ذخیره شود و مکان آن (به عنوان مثال، ایالت، کشور، منطقه و غیره) گسترش یابد. بنابراین، مطمئن شوید که قوانین حفاظت از دادهها و الزامات حاکم بر کشور و صنعتی که در آن فعالیت میکنید را میدانید و اطلاعاتتان دربارهی آنها بهروز است. برخی از سوالات ضروری که باید از خود بپرسید عبارتند از:
- آیا قوانین و مقرراتی وجود دارد که بر نحوهی محافظت سازمان من از دادهها نظارت کند؟ مثلا:
- مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)
- قانون ساربنز-آکسلی ۲۰۰۲ (SOX)
- صنعت کارت پرداخت (PCI)
- قانون انتقال و پاسخگویی الکترونیک بیمه سلامت (HIPAA)
- آیا افرادی در سازمان من وجود دارند که به من در درک و دستیابی به تطبیقپذیری کمک کنند؟
- آیا پلتفرم و یا زیرساخت من این الزامات را برآورده میکند؟ (برای مثال، نوع رسانه، مکان فیزیکی، دسترسی، و غیره)
- در نهایت، دادهها چه زمانی باید حذف شوند؟
پس از درک الزامات تطبیقپذیری، میتوانید شروع به طراحی مناسب و خودکارسازی سیاستها، برای مدیریت صحیح چرخهی عمر دادههای خود کنید. نمایش تطبیقپذیری از طریق گزارش بهمنظور آمادگی برای حسابرسی نیز بسیار مهم است.
عملیات، بازیابی و بهینهسازی
5) برای داشتن پوشش کامل، رویکرد مبتنی بر سیاست را مد نظر داشته باشید.
با داشتن پایهای محکم، زمان اجرای استراتژی شما فرا میرسد. یک رویکرد مبتنی بر سیاست، به دلیل مزایای زیادی که اتوماتیکسازی بههمراه دارد، همیشه باید در صدر فهرست شما قرار گیرد:
دیگر پشتیبانگیری دستی کافی است!
اتوماتیکسازی چیزی که زمانی به صورت دستی اجرا میشد یا مورد پوشش اسکریپتها قرار میگرفت، تضمین میکند که حفاظت از دادهها و عملیاتهای امنیتی همچنان انجام میشود و در عین حال زمان و منابع پرسنل را برای سایر اولویتهای استراتژیک آزاد میکند.
حذف دادههای محافظتنشده
چالشهای shadow IT با سهولت ایجادِ بارهای کاری جدید در فضای ابری تشدید میشود. پشتیبانگیری خودکار کمک میکند تا مطمئن شویم که هر بارکاری جدید، برنامه یا مجموعه دادهای که در فضای ابری مستقر شده است بهطور خودکار محافظت میشود؛ بهویژه هنگام استفاده از تگ، حساب یا رویکرد مبتنی بر منطقه.
دسترسی به تطبیقپذیری
رعایت الزامات تطبیقپذیری برای حفاظت و امنیت دادهها یک چیز است و اثبات آن چیز دیگر. اتوماتیکسازی، علاوه بر فراهم آوردن امکان نظارت، هشدار و گزارش، کمک میکند تا مطمئن شویم که همهی دادهها به درستی به حساب میآیند.
بهینهسازی هزینه
شیوههای دستی اغلب منجر به پراکندگی اسنپشاتها و صورتحساب زیاد و گران برای حفاظت از دادهها میشود. با خودکار کردن چرخهی عمر دادههای پشتیبان در دستهبندی و سطوح ذخیرهسازی، میتوان دادهها را به طور مناسب و بدون صرف هزینهی اضافی حفظ کرد.
سیاستها باید بر اساس توصیههایی باشد، که توسط موافقتنامههای سطح خدمات گوناگون یا SLA و نیز الزامات تطبیقپذیری تعیین شده اند؛ این توصیهها، بالاتر، در این بخش آورده شده است.
