AWS Backup Vault Lock

Nota

AWS Backup Vault Lock è stato valutato da Cohasset Associates per l'uso in ambienti soggetti alle normative SEC 17a-4, CFTC e FINRA. Per ulteriori informazioni su come AWS Backup Vault Lock si rapporta a queste normative, consulta la valutazione della conformità di Cohasset Associates.

AWS Backup Vault Lock è una funzionalità opzionale di un archivio di backup, che può essere utile per fornire maggiore sicurezza e controllo sui vault di backup. Quando un blocco è attivo in modalità Compliance e il periodo di prova è scaduto, la configurazione del vault non può essere modificata o eliminata dal cliente, dal proprietario dell'account/dei dati o AWS purché contenga punti di ripristino. Ogni vault può disporre di un solo blocco del vault.

AWS Backup assicura che i backup siano disponibili per te fino alla scadenza dei periodi di conservazione. Se un utente (incluso l'utente root) tenta di eliminare un backup o modificare le proprietà del ciclo di vita in un archivio bloccato, AWS Backup negherà l'operazione.

• Nel caso di vault bloccati in modalità Governance, il blocco può essere rimosso da utenti con autorizzazioni IAM sufficienti.

• Gli archivi bloccati in modalità di conformità non possono essere eliminati una volta scaduto il periodo di riflessione («periodo di grazia») se nel vault sono presenti punti di ripristino. Durante il periodo di tolleranza, è comunque possibile rimuovere il blocco del vault e modificare la configurazione del blocco.

Modalità di blocco del vault

Quando si crea un blocco del vault, è possibile scegliere tra due modalità: modalità Governance o modalità Compliance. La modalità Governance ha lo scopo di consentire la gestione di un vault solo da parte di utenti con privilegi IAM sufficienti. La modalità Governance permette a un'organizzazione di soddisfare i requisiti di governance, garantendo che solo il personale designato possa apportare modifiche a un vault di backup. La modalità Compliance è destinata ai vault di backup in cui si prevede che il vault (e, per estensione, il suo contenuto) non venga mai eliminato o modificato fino al termine del periodo di conservazione dei dati. Una volta che un archivio in modalità di conformità è bloccato, è immutabile, il che significa che il blocco non può essere rimosso (l'archivio stesso può essere eliminato se è vuoto e non contiene punti di ripristino).

Un vault bloccato in modalità Governance può essere gestito o eliminato dagli utenti che dispongono delle autorizzazioni IAM appropriate.

Un blocco del vault in modalità Compliance non può essere modificato o eliminato da nessun utente né da AWS. Un blocco del vault in modalità di conformità ha un periodo di tolleranza impostato dall'utente prima che venga bloccato e il contenuto e il blocco del vault diventino immutabili.

Vantaggi del blocco del vault

AWS Backup Vault Lock offre diversi vantaggi, tra cui:

• Configurazione WORM (write-once, read-many) per tutti i backup archiviati e creati in un vault di backup.

• Un ulteriore livello di difesa che protegge i backup (punti di ripristino) negli vault di backup da eliminazioni involontarie o dolose.

• Applicazione di periodi di conservazione, che impediscono l'eliminazione anticipata da parte degli utenti privilegiati (incluso l'utente Account AWS root) e soddisfano le politiche e le procedure di protezione dei dati dell'organizzazione.

Blocco di un vault di backup tramite la console

Puoi aggiungere un blocco del vault al tuo AWS Backup Vault utilizzando la console di Backup.

Per aggiungere un blocco al vault di backup:

1. Accedi a e apri AWS Management Console la AWS Backup console all'indirizzo https://console.aws.amazon.com/backup.

2. Nel riquadro di navigazione, individuare Vault di backup. Fare clic sul link annidato all'interno di Vault di backup denominato Lock del vault.

3. Nella sezione Come funzionano i blocchi del vault o Blocco del vault, fare clic su + Crea blocco del vault.

4. Nel riquadro Dettagli del blocco del vault, scegliere a quale vault si intende applicare il blocco.

5. In Modalità di blocco del vault, scegli in quale modalità bloccare il vault. Per ulteriori informazioni sulla scelta delle modalità, consulta la sezione Modalità di blocco del vault all'inizio di questa pagina.

6. Alla voce Periodo di conservazione, scegliere i periodi di conservazione minimo e massimo (l'indicazione dei periodi di conservazione è opzionale). I nuovi processi di backup e copia creati nel vault non andranno a buon fine se non sono conformi ai periodi di conservazione impostati. Questi periodi non si applicheranno ai punti di ripristino già presenti nel vault.

7. Se si sceglie la modalità Compliance, viene visualizzata una sezione denominata Data di inizio del blocco di vault. Se si sceglie la modalità Governance, questa sezione non verrà visualizzata e il presente passaggio può essere ignorato.

   In modalità Compliance, un blocco del vault è associato a un periodo di riflessione dalla creazione del blocco fino a quando il vault e il relativo blocco diventano immutabili e immodificabili. L'utente può scegliere la durata di questo periodo, denominato periodo di tolleranza, anche se deve essere di almeno 3 giorni (72 ore).

   Importante

   Una volta scaduto il periodo di tolleranza, il vault e il relativo blocco diventano immutabili. Non può più essere modificato o eliminato da nessun utente né da AWS.

8. Quando si è soddisfatti delle scelte di configurazione, fare clic su Crea blocco del vault.

9. Per confermare che si desidera creare questo blocco nella modalità scelta, digitare confirm nella casella di testo, quindi selezionare la casella per confermare che la configurazione è quella prevista.

Se i passaggi sono stati completati correttamente, nella parte superiore della console verrà visualizzato il banner "Operazione riuscita".

Creazione di un blocco di un vault utilizzando il codice

Per configurare AWS Backup Vault Lock, usa l'APIPutBackupVaultLockConfiguration. I parametri da includere dipenderanno dalla modalità di blocco del vault desiderata. Se desideri creare un blocco del vault in modalità Governance, non includere ChangeableForDays. Se questo parametro è incluso, il blocco del vault verrà creato in modalità Compliance.

Ecco un esempio di creazione di un blocco del vault in modalità Compliance attraverso l'uso della CLI:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --changeable-for-days 3 \
        --min-retention-days 7 \
        --max-retention-days 30

Ecco un esempio di creazione di un blocco del vault in modalità Governance attraverso l'uso della CLI:

aws backup put-backup-vault-lock-configuration \
        --backup-vault-name my_vault_to_lock \
        --min-retention-days 7 \
        --max-retention-days 30

È possibile configurare quattro opzioni.

1. BackupVaultName

   Il nome del vault da bloccare.

2. ChangeableForDays (da includere solo per la modalità Compliance)

   Questo parametro indica di AWS Backup creare il blocco del vault in modalità di conformità. Ometti questo parametro se intendi creare il blocco in modalità Governance.

   Questo valore deve essere espresso in giorni. Deve essere un numero non inferiore a 3 e non superiore a 36.500. In caso contrario, verrà restituito un errore.

   Dalla creazione di questo blocco del vault fino alla scadenza della data specificata, il blocco può essere rimosso dal vault utilizzando DeleteBackupVaultLockConfiguration. In alternativa, durante questo periodo, è possibile modificare la configurazione utilizzando PutBackupVaultLockConfiguration.

   A partire dalla data specificata determinata da questo parametro, il vault di backup sarà immutabile e non potrà più essere modificato o eliminato.

3. MaxRetentionDays (opzionale)

   Questo è un valore numerico che deve essere espresso in giorni. Questo è il periodo di conservazione massimo durante il quale il vault conserva i punti di ripristino.

   Il periodo di conservazione massimo scelto deve essere in linea con le policy dell'organizzazione in tema di conservazione dei dati. Se l'organizzazione richiede che i dati debbano essere conservati per un certo periodo, questo valore può essere impostato su tale periodo (in giorni). Ad esempio, potrebbe essere necessario conservare i dati finanziari o bancari per 7 anni (circa 2.557 giorni, a seconda del numero di anni bisestili).

   Se non specificato, AWS Backup Vault Lock non applicherà un periodo di conservazione massimo. Se specificato, i processi di backup e copia in questo vault con periodi di conservazione del ciclo di vita superiori al periodo di conservazione massimo avranno esito negativo. I punti di ripristino già salvati nel vault prima dell'applicazione del Vault Lock non sono interessati. Il periodo di conservazione massimo più lungo che è possibile specificare è di 36500 giorni (circa 100 anni).

4. MinRetentionDays(opzionale; obbligatorio per) CloudFormation

   Questo è un valore numerico che deve essere espresso in giorni. Questo è il periodo di conservazione minimo durante il quale il vault conserva i punti di ripristino. Questa impostazione deve essere valorizzata in base al periodo di tempo per il quale la tua organizzazione è obbligata a conservare i dati. Ad esempio, se i regolamenti o le leggi richiedono la conservazione dei dati per almeno sette anni, il valore in giorni sarebbe di circa 2.557, a seconda del numero di anni bisestili.

   Se non specificato, AWS Backup Vault Lock non applicherà un periodo di conservazione minimo. Se specificato, i processi di backup e copia in questo vault con periodi di conservazione del ciclo di vita inferiori al periodo di conservazione minimo avranno esito negativo. I punti di ripristino già salvati nel vault prima di AWS Backup Vault Lock non sono interessati. Il periodo di conservazione minimo più breve che è possibile specificare è di 1 giorno.

Controlla la configurazione di un archivio di backup per verificarne AWS Backup la configurazione di Vault Lock

Puoi rivedere i dettagli di AWS Backup Vault Lock su un vault in qualsiasi momento tramite chiamate o API. DescribeBackupVault ListBackupVaults

Per determinare se hai applicato un blocco del vault a un vault di backup, invoca DescribeBackupVault e controlla la proprietà Locked. Se"Locked": true, come nell'esempio seguente, hai applicato AWS Backup Vault Lock al tuo vault di backup.

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 1,
    "Locked": true,
    "MinRetentionDays": 7,
    "MaxRetentionDays": 30,
    "LockDate": "2021-09-30T10:12:38.089000-07:00"
}

L'output precedente conferma le opzioni seguenti:

1. Lockedè un valore booleano che indica se è stato applicato AWS Backup Vault Lock a questo archivio di backup. Truesignifica che AWS Backup Vault Lock causa il fallimento delle operazioni di eliminazione o aggiornamento dei punti di ripristino archiviati nel vault (indipendentemente dal fatto che sia ancora in corso il periodo di tolleranza).

2. LockDate è la data e ora UTC in cui termina il periodo di tolleranza legato al periodi di riflessione. Trascorso questo periodo, non è più possibile eliminare o modificare il blocco di questo vault. Utilizza qualsiasi convertitore orario disponibile pubblicamente per convertire questa stringa nell'ora locale.

Se "Locked":false, come nell'esempio seguente, non hai applicato un blocco del vault (o ne è stato eliminato uno precedente applicato).

{
    "BackupVaultName": "my_vault_to_lock",
    "BackupVaultArn": "arn:aws:backup:us-east-1:555500000000:backup-vault:my_vault_to_lock",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:555500000000:key/00000000-1111-2222-3333-000000000000",
    "CreationDate": "2021-09-24T12:25:43.030000-07:00",
    "CreatorRequestId": "ac6ce255-0456-4f84-bbc4-eec919f50709",
    "NumberOfRecoveryPoints": 3,
    "Locked": false
}

Rimozione del blocco del vault durante il periodo di tolleranza (modalità Compliance)

Per eliminare il blocco del vault durante il periodo di prova (il periodo dopo il blocco del vault ma prima del) utilizzando la console, LockDate AWS Backup

1. Accedi a e apri AWS Management Console la AWS Backup console all'indirizzo https://console.aws.amazon.com/backup.

2. Nella barra di navigazione a sinistra sotto Il mio account, fare clic su Vault di backup, quindi su Vault Lock di AWS Backup.

3. Fare clic sul blocco del vault che si desidera rimuovere, quindi fare clic su Gestisci blocco del vault.

4. Fare clic su Elimina vault.

5. Apparirà una finestra di avviso che chiederà di confermare l'intenzione di eliminare il blocco del vault. Digitare confirm nella casella di testo, quindi fare clic su conferma.

Dopo che i passaggi sono stati tutti completati correttamente, nella parte superiore della schermata della console verrà visualizzato il banner "Operazione riuscita".

Per eliminare il blocco del vault durante il periodo di tolleranza utilizzando un comando CLI, utilizzare DeleteBackupVaultLockConfiguration come in questo esempio di CLI:

aws backup delete-backup-vault-lock-configuration \
          --backup-vault-name my_vault_to_lock

Account AWS chiusura con un caveau chiuso

Quando chiudi un archivio Account AWS che contiene un archivio di backup AWS e AWS Backup sospendi il tuo account per 90 giorni con i backup intatti. Se non riapri l'account durante questi 90 giorni, AWS elimina il contenuto del tuo archivio di backup, anche se Vault Lock era attivo. AWS Backup

Ulteriori considerazioni sulla sicurezza

AWS Backup Vault Lock aggiunge un ulteriore livello di sicurezza alla difesa approfondita della protezione dei dati. Vault Lock può essere combinato con queste altre funzionalità di sicurezza:

• Crittografia per i punti di ripristino

• AWS Backup politiche di accesso ai vault e ai punti di ripristino, che consentono di concedere o negare le autorizzazioni a livello di vault,

• AWS Backup le migliori pratiche di sicurezza, inclusa la libreria di policy gestite dai clienti che consentono di concedere o negare le autorizzazioni di backup e ripristino tramite il servizio supportato, e AWS

• AWS Backup Audit Manager, che consente di automatizzare i controlli di conformità per i backup rispetto a un elenco di controlli definito dall'utente.

  Consulta Creazione di framework utilizzando l'API AWS Backup per il controllo I backup sono protetti da AWS Backup Vault Lock con AWS Backup Audit Manager per garantire che le risorse previste siano protette con un blocco del vault.

• I meccanismi che rendono inattive le risorse possono influire sulla capacità di ripristinarle. Sebbene non possano ancora essere eliminate in un archivio chiuso, possono trovarsi in uno stato diverso da quello attivo. Ad esempio, l'impostazione Amazon Elastic Compute Cloud che consente di disabilitare un'AMI può bloccare temporaneamente la possibilità di ripristinare i backup delle istanze EC2. Ciò influisce su tutti i punti di ripristino EC2, anche sui backup interessati dal blocco del vault o dalla conservazione a fini legali.

  Se un backup EC2 è disabilitato, puoi riattivare un'AMI disabilitata. Una volta riattivato, può essere ripristinato. Per bloccare la funzionalità di disabilitazione dell'AMI, puoi utilizzare le politiche IAM per non consentireec2:DisableImage.

Nota

AWS Backup Vault Lock non è la stessa funzionalità di Amazon S3 Glacier Vault Lock, che è compatibile solo con S3 Glacier.