AWS Backup 기능

개요

AWS Backup은 AWS 서비스 및 하이브리드 워크로드 전반의 데이터 보호를 중앙 집중화하고 자동화하는 완전관리형 서비스입니다. 이 서비스는 핵심 데이터 보호 기능, 랜섬웨어 복구 기능과 데이터 보호 정책 및 작업에 대한 규정 준수 인사이트 및 분석을 제공합니다. AWS Backup은 AWS 자산 전체에서 엑사바이트 규모의 데이터 보호를 간소화하는 기능이 포함된 비용 효율적인 정책 기반 서비스입니다. 

AWS 및 하이브리드 서비스의 애플리케이션 리소스에 대한 데이터 보호

AWS Backup은 AWS 스토리지, 데이터베이스 및 컴퓨팅 서비스와 하이브리드 워크로드(예: VMware)를 포함한 애플리케이션 리소스를 보호하는 데 도움이 됩니다. AWS Backup은 지원되는 모든 서비스 및 서드 파티 애플리케이션에 대해 다음과 같은 기능을 지원합니다. 자동 백업 일정 예약 및 보존 관리, 중앙 집중식 데이터 보호 모니터링, AWS KMS 통합 백업 암호화, AWS Organizations를 통한 크로스 계정 관리, AWS Backup Audit Manager를 통한 데이터 보호 감사 및 규정 준수 보고, AWS Backup Vault Lock을 통한 Write-Once, Read-Many(WORM)

AWS Backup은 AWS 스토리지, 데이터베이스 및 컴퓨팅 서비스와 하이브리드 워크로드(예: VMware)를 포함한 애플리케이션 리소스를 보호하는 데 도움이 됩니다. AWS Backup은 지원되는 모든 서비스 및 서드 파티 애플리케이션에 대해 다음과 같은 기능을 지원합니다. 자동 백업 일정 예약 및 보존 관리, 중앙 집중식 데이터 보호 모니터링, AWS KMS 통합 백업 암호화, AWS Organizations를 통한 크로스 계정 관리, AWS Backup Audit Manager를 통한 데이터 보호 감사 및 규정 준수 보고, AWS Backup Vault Lock을 통한 Write-Once, Read-Many(WORM)

AWS Backup은 Amazon Simple Storage Service(S3), Amazon Elastic Block Store(EBS), Amazon FSx, Amazon Elastic File System(EFS), AWS Storage Gateway, Amazon Elastic Compute Cloud(EC2), Amazon Relational Database Service(RDS), Amazon Aurora, Amazon DynamoDB, Amazon Neptune, Amazon DocumentDB(MongoDB 호환), Amazon Timestream, Amazon Redshift, SAP HANA on Amazon EC2, AWS CloudFormation으로 정의되는 전체 애플리케이션 스택 등 애플리케이션을 실행하는 AWS 스토리지, 컴퓨팅, 데이터베이스 및 하이브리드 서비스와 온프레미스와 AWS의 VMware CloudTM 및 AWS Outposts에서 실행되는 VMware 워크로드와 같은 하이브리드 애플리케이션의 백업을 중앙에서 관리할 수 있는 백업 콘솔, 퍼블릭 API 및 명령줄 인터페이스를 제공합니다.

AWS Backup 저장소는 암호화된 백업을 저장하고 관리하는 논리적 컨테이너입니다. 백업 저장소를 생성할 때는 이 저장소에 배치된 백업을 암호화하는 AWS Key Management Service(AWS KMS) 암호화 키를 지정해야 합니다. 복사된 모든 백업은 대상 저장소의 키로 암호화됩니다. 암호화에 대한 자세한 내용은 Encryption for backups in AWS Backup(AWS Backup의 백업 암호화)를 참조하세요.

AWS Backup은 전송 및 저장 백업 데이터를 암호화하여 백업 데이터를 보호하고 규정 준수 요구 사항을 충족하는 포괄적인 암호화 솔루션을 제공합니다. 백업 데이터는 AWS Key Management Service(KMS)에서 관리하는 암호화 키를 사용하여 암호화되므로, 키 관리 인프라를 구축하고 유지 관리할 필요가 줄어듭니다. AWS Backup 데이터를 암호화하는 데 사용되는 키는 백업의 대상인 리소스를 암호화하는 데 사용되는 키와 별개입니다. 프로덕션 데이터와 백업 데이터에 별도의 암호화 키를 사용하면 애플리케이션 보호에 중요한 계층을 제공할 수 있습니다.

백업 계획으로 관리되는 백업을 생성할 수 있으므로 백업 요구 사항을 정의하고 보호하려는 AWS 리소스에 이러한 정책을 적용할 수 있습니다. 백업 계획을 사용하면 애플리케이션 및 조직 전체의 데이터 보호 전략을 간소화하고 확장할 수 있습니다.

태깅을 사용하여 백업 계획을 AWS 리소스에 적용할 수 있습니다. AWS 태그는 AWS 리소스를 일관되게 구성하고 분류하기에 좋은 방법입니다.

일반적인 모범 사례에 따라 백업 일정을 사용자 지정하거나 미리 정의된 백업 일정에서 선택할 수 있습니다. AWS Backup은 사용자가 정의한 정책 및 일정에 따라 애플리케이션 리소스를 자동으로 백업하므로 프로덕션과의 충돌이 방지됩니다.

백업을 자동으로 보존하고 만료시키는 백업 보존 정책을 설정하여 백업 스토리지 비용을 최소화할 수 있습니다. 웜 스토리지에서 콜드 스토리지로 자동으로 백업을 전환하는 수명 주기 정책을 구성하면 비용이 저렴한 콜드 스토리지 계층에 백업을 저장하여 백업 스토리지 비용을 낮추는 데 도움이 됩니다.

중앙 콘솔에서 여러 AWS 리전과 계정에 백업을 복사하여 규정 준수 및 재해 복구 요구 사항을 충족할 수 있습니다. 온디맨드 복사본으로 백업을 수동으로 복사하거나 예정된 백업 계획의 일환으로 여러 다른 리전에 자동으로 복사하고 새로운 리전 또는 계정에서 이러한 백업을 복구할 수 있습니다.

데이터 보호 정책을 생성하고 AWS Organizations를 사용하여 해당 조직의 모든 계정에 보호 정책을 적용할 수 있습니다. 이렇게 하면 다중 계정 백업을 제공하여 소스 계정이 우발적인 또는 악의적인 삭제, 재해 또는 랜섬웨어로 인한 중단을 경험하지 않도록 하는 추가 보호 계층을 제공할 수 있습니다.

AWS Backup을 사용하면 백업 작업자가 AWS의 리소스에 직접 액세스하지 않고도 지원되는 모든 AWS 리소스를 백업할 수 있습니다. 이렇게 하면 제어 권한 분할을 통해 리소스 소유자가 백업 보존에 영향을 미칠 수 없고 백업 작업자는 데이터를 변형하거나 반출할 수 없습니다.

백업 저장소에 대해 리소스 기반 액세스 정책을 설정할 수 있습니다. 리소스 기반 액세스 정책을 사용하여 사용자별로 권한을 정의하는 대신, 모든 사용자에 대해 백업 저장소의 백업에 대한 액세스를 제어할 수 있습니다.

AWS Organizations의 백업 정책 관리와 AWS Backup의 크로스 계정 모니터링을 위임할 수 있습니다. 전용 백업 관리 계정에 백업 관리를 위임하면 멤버 계정에서 백업 관리를 위해 관리 계정에 액세스할 필요가 없어집니다. 위임된 백업 관리자는 백업 정책을 생성 및 관리하고 여러 계정의 백업 활동을 모니터링할 수 있습니다. AWS Organizations를 통해 조직 전체 백업 관리를 위임하면 중앙에서 대규모로 안전하게 백업을 관리할 수 있습니다.

AWS Backup 콘솔에는 완료 또는 실패한 백업, 복사 및 복원 작업을 볼 수 있는 Amazon CloudWatch 대시보드가 있습니다. 이 대시보드 안에서 원하는 일정에 맞춰진 기간별 작업 상태를 볼 수 있습니다.

AWS Backup을 AWS CloudTrail과 통합하면 백업 활동 로그를 통합하여 보고 보호되는 리소스의 감사 프로세스를 간소화할 수 있습니다.

AWS Backup을 Amazon Simple Notification Service(Amazon SNS)와 통합하여 백업이 성공하거나 복원이 시작된 시점과 같은 백업 활동을 자동으로 알릴 수 있습니다.

완전관리형 경험을 원하는 경우 AWS Backup Audit Manager를 사용하여 계정 및 리전 전체의 백업 활동을 모니터링할 수 있습니다.

다중 계정 및 다중 리전 랜섬웨어 복구

AWS Backup은 랜섬웨어 이벤트 및 계정 침해로부터 중요한 데이터를 보호하고 복구하는 데 도움이 되는 기능을 제공합니다. 랜섬웨어는 범법자가 개인이나 법인으로부터 돈을 갈취하기 위해 사용하는 비즈니스 모델 및 다양한 관련 기술을 나타냅니다. 이들은 광범위한 전술을 사용하여 피해자의 데이터 및 시스템에 무단으로 액세스합니다. 예를 들어 패치되지 않은 취약점과 약하거나 훔친 보안 인증 정보를 악용합니다. 그런 다음 데이터 및 시스템에 대한 액세스를 제한하고 이 디지털 자산의 안전한 반환을 대가로 금전을 요구합니다. 이들은 암호화 및 삭제, 액세스 제어 수정 및 네트워크 기반 서비스 거부 공격 등 여러 방법을 사용하여 리소스에 대한 합법적 액세스를 제한하거나 축소합니다. 

AWS CloudFormation 스택을 AWS IAM 역할 및 Amazon VPC 보안 그룹과 같은 리소스와 함께 백업할 수 있습니다. 이렇게 하면 전체 애플리케이션 스택을 복구하고 전체 애플리케이션 스택에서 데이터 보호 정책의 규정 준수를 관리하기가 더 쉬워집니다.

애플리케이션 정의를 가져와서 반복적인 일정으로 관리되는 애플리케이션 전체 보호 계획과 크로스 계정 또는 크로스 리전 복사본을 생성하여 랜섬웨어 이벤트를 추가로 방지할 수 있습니다.

변경 불가능한 백업 복사본을 논리적 에어 갭 저장소에 저장할 수 있습니다. 이 저장소는 AWS Backup 저장소의 일종으로, 기본적으로 잠겨 있고 AWS 소유 키를 사용한 암호화로 격리됩니다. 논리적 에어 갭 저장소를 사용하면 계정 및 조직 전체에서 AWS Resource Access Manager(RAM)를 통해 액세스 권한을 안전하게 공유할 수 있고 직접 복원을 지원하여 데이터 손실 이벤트로 인한 복구 시간을 줄일 수 있습니다.

복원 테스트 기능을 사용하여 복원 실행 가능성을 정기적으로 자동 평가하고 복원 작업 기간을 모니터링할 수 있습니다. 복구 준비 상태 테스트 훈련을 실시하여 데이터 가동 중단 시간 또는 데이터 손실 발생 가능성에 대비하여 규정 준수 또는 규제 요구 사항을 충족할 수 있습니다.

AWS Backup Vault Lock을 사용하면 우발적인 변경 또는 악의적인 변경에 의한 수명 주기 변경 또는 삭제로부터 백업을 보호할 수 있습니다(데이터를 변경할 수 없게 만듬). AWS CLI, AWS Backup API 또는 AWS Backup SDK를 사용하여 기존 저장소 또는 새 저장소에 AWS Backup Vault Lock 보호를 적용할 수 있습니다. AWS Backup Vault Lock은 보존 기간, 콜드 스토리지 전환, 크로스 계정 및 크로스 리전 복사와 같은 백업 정책에서 작동합니다. 이 기능은 추가 보호 계층을 제공하며 규정 준수 요구 사항을 충족하는 데 도움이 됩니다. AWS Backup Vault Lock은 SEC 17a-4, CFTC 및 FINRA 규제가 적용되는 환경에서 사용할 수 있는 것으로 Cohasset Associates의 평가를 받았습니다.

NIST는 제로 트러스트를 정적인 네트워크 기반 경계에서 사용자, 자산 및 리소스 중심의 심층 활성 방어로 변화하는 발전된 사이버 보안 제어 세트로 정의합니다. AWS Organizations, AWS Backup Audit ManagerAWS Backup Vault Lock과 함께 AWS Backup의 위임된 관리자를 사용하면 제로 트러스트 아키텍처의 일부로 심층 방어를 구축하는 데 도움이 됩니다.

실시간 분석 및 인사이트를 통한 데이터 보호 규정 준수

AWS Backup Audit Manager는 백업 빈도 또는 백업 보존 기간 등 데이터 보호 활동을 모니터링하고 이에 대한 감사 보고서를 생성하는 기능입니다. AWS Backup Audit Manager는 데이터 보호 프레임워크의 규정 준수 상태에 대한 인사이트가 포함된 일일 보고서를 생성할 수 있는 완전관리형 경험을 제공합니다.

AWS Backup Audit Manager를 사용하여 비즈니스 및 규제 요구 사항을 충족하는 데 도움이 되는 데이터 보호 정책의 준수를 감사하고 보고할 수 있습니다. 이 기능은 내장 규정 준수 제어를 제공합니다. 이러한 제어를 사용자 지정하여 데이터 보호 정책을 정의할 수 있습니다(예: 백업 빈도 또는 보존 기간). 이 기능은 정의된 데이터 보호 가드레일을 기준으로 자동으로 위반을 감지하여 교정 조치를 취할 것을 알립니다. AWS Backup Audit Manager를 사용하면 백업 활동을 지속적으로 평가하고 규제 요구 사항 준수를 입증하는 데 도움이 되는 감사 보고서를 생성할 수 있습니다.

AWS Backup은 법적 소송 및 전자 증거 개시에서 보존 또는 감사 목적으로 또는 증거로 특정 데이터를 보존해야 할 때 사용되는 증거 보존을 지원합니다. 증거 보존을 사용하면 보존 기간이 경과한 후에도 백업이 삭제되는 것을 방지하고 명시적으로 해제될 때까지 백업을 유지할 수 있습니다.

규정 준수 보고서 템플릿을 사용하면 하나 이상의 프레임워크에 정의한 제어를 기준으로 백업 활동 및 리소스의 규정 준수에 대한 일일 보고서를 생성할 수 있습니다. 프레임워크는 규정 준수 태세를 평가하는 데 도움이 되는 제어 모음입니다.

미리 구축된 제어 또는 사용자 지정 가능한 제어를 사용하여 정책을 정의하고 백업 방식이 정책을 준수하는지 여부를 평가할 수 있습니다. 제어에 대한 자세한 내용은 AWS Backup 개발자 안내서를 참조하세요. 자동 일일 보고서를 설정하여 프레임워크의 규정 준수 상태에 대한 인사이트를 얻을 수도 있습니다.