Bảo vệ dữ liệu Amazon S3 với Rubrik Security Cloud
Dữ liệu là trọng tâm của hầu hết mọi hoạt động kinh doanh và điều quan trọng là bảo mật và đảm bảo tính toàn vẹn của dữ liệu đó. Amazon Simple Storage Service (S3) từ lâu đã là lựa chọn phổ biến cho các tổ chức doanh nghiệp đang tìm kiếm giải pháp lưu trữ có khả năng mở rộng, tiết kiệm chi phí và linh hoạt cho nhu cầu dữ liệu của họ.
Trên thực tế, gần một triệu công ty trên khắp thế giới dựa vào Amazon S3 để lưu trữ hàng trăm exabyte dữ liệu quan trọng trong kinh doanh, phi cấu trúc. Nhưng trên hết, các cuộc tấn công mạng đang gia tăng và đám mây đang trở thành mục tiêu chính. Việc thực hiện các biện pháp để đảm bảo chúng vừa an toàn vừa được bảo vệ là điều mà các công ty quan tâm nhất lúc này.
Điều đó cho thấy, việc đạt được khả năng khôi phục và phục hồi cho S3 không phải là một công việc dễ dàng. Mặc dù hầu hết các công ty đều dựa vào việc lưu phiên bản để khôi phục cho các đối tượng riêng lẻ, nhưng dữ liệu vẫn nằm trong giới hạn của tài khoản AWS nguồn, khiến những kẻ xâm nhập có thể truy cập được và dễ bị tấn công trước các mối đe dọa nội bộ đã được xác thực.
Các công ty phải đối mặt với nhiều thách thức trong việc bảo vệ dữ liệu S3 của mình, bao gồm:
- Bảo vệ dữ liệu không nhất quán: Các công ty thường tận dụng nhiều tài khoản AWS để cung cấp phạm vi bảo mật và phân tách dữ liệu. Việc coi mỗi tài khoản là một thực thể riêng biệt thường dẫn đến nhu cầu duy trì các kế hoạch dự phòng trong mỗi tài khoản — một cơn ác mộng trong quản lý. Hơn nữa, nếu các tài khoản này đều thuộc cùng một organization trong AWS thì các doanh nghiệp có nguy cơ bị kẻ xấu giành quyền truy cập vào “Tháp điều khiển” AWS và tàn phá tất cả các tài khoản của họ.
- Shadow S3 Bucket: Với hàng trăm bucket được triển khai trên hàng trăm tài khoản, các tổ chức thiếu khả năng giám sát và nhận thức về dữ liệu nằm trong S3, dẫn đến dữ liệu quan trọng của tổ chức không được bảo vệ.
- Phục hồi chậm: Các tổ chức cần tìm kiếm dữ liệu và đối tượng một cách hiệu quả trên toàn bộ không gian S3 của họ. Việc khôi phục toàn bucket có thể tốn thời gian và thậm chí còn khó khăn hơn khi dữ liệu được phân phối trên nhiều bucket bên trong môi trường đó.
- Sao lưu tốn kém: Các giải pháp sao lưu đã triển khai cần có khả năng tận dụng bộ nhớ theo phân cấp trong AWS để giữ chi phí ở mức thấp hơn so với chi phí liên quan đến việc lưu trữ dữ liệu production ngay từ đầu.
Để đạt được khả năng chống chịu trên không gian mạng cho dữ liệu của mình, các tổ chức cần một giải pháp bảo vệ dữ liệu cung cấp khả năng giám sát tất cả dữ liệu S3 trên tất cả các tài khoản của họ, cung cấp quy trình tìm kiếm và khôi phục hiệu quả cũng như hỗ trợ lưu trữ theo phân cấp trong đám mây.
Thông báo về việc hỗ trợ cho AWS S3 của Rubrik Security Cloud
Chúng tôi rất vui mừng được thông báo rằng Rubrik Security Cloud đang mở rộng phạm vi phủ sóng AWS của mình để bảo vệ Amazon S3 dưới dạng tải xử lý được hỗ trợ. Bằng cách sử dụng giao diện hợp nhất của Rubrik Security Cloud, khách hàng có thể tự động khám phá và kiểm kê các S3 Bucket trên tất cả các tài khoản AWS của họ. Từ đó, khả năng bảo vệ dựa trên chính sách Thỏa thuận cấp độ dịch vụ (SLA) mạnh mẽ và thông minh của Rubrik mang lại khả năng chống chịu trên không gian mạng cho các đối tượng S3 của bạn, cung cấp các tính năng bảo mật quan trọng chẳng hạn như sao lưu bất biến, air-gapped, kiểm soát truy cập từ xa (RBAC) và tất nhiên là tìm kiếm và phục hồi ở mức đối tượng nhanh chóng và hiệu quả.
Hãy tưởng tượng bạn có thể nói rằng dữ liệu S3 của bạn được bảo vệ hoàn toàn với khả năng được giám sát hoàn toàn — đồng thời tối đa hóa tổng chi phí sở hữu của bạn. Tính năng bảo vệ S3 của Rubrik mang lại điều đó!
Bảo vệ Rubrik S3: Cách thức hoạt động
Khả năng bảo vệ của Rubrik dành cho Amazon S3 được phân phối thông qua 4 danh mục chính:
-
Automatic Discovery and Onboarding
- Global Policy-Driven Protection
- Efficient Backups
- Rapid Restore
Chúng ta hãy xem xét từng yếu tố.
Automatic Discovery and Onboarding
Việc đưa Amazon S3 lên Rubrik Security Cloud có thể đạt được bằng cách chỉ cần cung cấp cho Rubrik Security Cloud tên và ID tài khoản AWS của bạn. Sau khi được xác thực vào tài khoản, Rubrik sẽ triển khai lớp AWS CloudFormation chịu trách nhiệm cung cấp tất cả các tài nguyên cần thiết để cho phép Rubrik Security Cloud thực hiện các quy trình sao lưu và phục hồi dựa trên S3. Sau khi onboard, quá trình xác thực tiếp theo được xử lý bởi các role trên tài khoản chéo mới được triển khai, cho phép khách hàng cấp quyền truy cập Rubrik vào tài khoản của họ một cách an toàn trong khi vẫn duy trì khả năng kiểm soát và kiểm tra hoạt động trong tổ chức của họ.
Ngoài vai trò “liên tài khoản” (cross-account), một phiên bản điện toán tồn tại trong thời gian ngắn (Rubrik Exocompute) cũng được cấu hình để hỗ trợ lập chỉ mục cho các S3 Bucket và các đối tượng tương ứng của chúng. Đối với những khách hàng muốn tích hợp nhiều tài khoản, file CSV chứa thông tin tài khoản của họ cũng có thể được tải lên Rubrik Security Cloud, cho phép họ cấu hình nhiều tài khoản AWS cùng một lúc.
Sau khi tích hợp Amazon S3, Rubrik Security Cloud sẽ tự động phát hiện và kiểm kê tất cả các S3 Bucket trong tài khoản AWS, cung cấp một giao diện duy nhất để quản lý nhu cầu bảo vệ dữ liệu của bạn.
Bảo vệ theo chính sách toàn cục
Giống như các tải xử lý được bảo vệ khác trong Rubrik Security Cloud, Amazon S3 bucket được bảo vệ bằng cách sử dụng SLA Domain toàn cầu của Rubrik. SLA Domain loại bỏ cách tiếp cận cũ để bảo vệ dữ liệu bằng cách thay thế các “job” bằng một chính sách duy nhất được áp dụng đơn giản cho S3 Bucket của bạn.
Ví dụ: SLA Domain lấy các cấu trúc bảo vệ dữ liệu, chẳng hạn như RPO (tần suất bạn muốn sao lưu) và Retention (thời gian lưu giữ các bản sao lưu đó) và hội tụ chúng thành một chính sách bảo vệ dữ liệu duy nhất. Không cần tạo job sao lưu, công việc lập chỉ mục, công việc lưu trữ, v.v.
Sau khi được cấu hình, SLA sẽ chỉ được gán cho Amazon S3 Bucket của chúng tôi trên:
- Account Level: Việc chỉ định SLA cho toàn bộ tài khoản AWS đảm bảo rằng mọi bucket hiện có cũng như mọi bucket mới được tạo trong tài khoản sẽ tự động kế thừa chính sách và được bảo vệ tự động bởi Rubrik.
- Bucket Level: SLA domain cũng có thể được chỉ định cho các bucket riêng lẻ. Mọi SLA được chỉ định ở cấp độ bucket sẽ ghi đè mọi hoạt động chỉ định ở cấp tài khoản. Điều này cho phép các tổ chức cung cấp biện pháp bảo vệ ở cấp độ tổng thể cho toàn bộ tài khoản của họ nhưng vẫn chỉ định SLA với RPO linh hoạt hơn cho các bucket quan trọng nhất của họ.
- Tag-based Assignment: Các SLA domain có thể được tự động gán cho các bucket dựa trên cặp tag AWS Key-Value của chúng. Nhiều tổ chức tận dụng nhiều tài khoản AWS do nhiều bộ phận và người khác nhau quản lý nhưng vẫn sử dụng chiến lược gắn tag chung trên các tài khoản đó. Việc chỉ định SLA domain dựa trên các cặp Key-Value cụ thể cho phép quản trị viên đám mây quản lý và sắp xếp môi trường Amazon S3 theo cách họ luôn làm, trong khi vẫn triển khai bảo vệ dữ liệu trên tất cả các tài khoản AWS của họ bằng cách chỉ cần thêm và sửa đổi tag trên bucket.
Bất kỳ bucket nào chạy trong S3 Standard hoặc S3 Infrequently Accessed đều có thể được bảo vệ bởi Rubrik Security Cloud thông qua việc sử dụng SLA domain toàn cục.
Sao lưu hiệu quả
Rubrik sử dụng phương pháp Incremental Forever vì nó liên quan đến khả năng bảo vệ của Amazon S3, nghĩa là bản sao lưu đầu tiên là bản sao lưu đầy đủ, xử lý toàn bộ dữ liệu trong bucket, trong khi các bản sao lưu tiếp theo được xử lý theo từng bước, chỉ sao lưu dữ liệu đã thay đổi kể từ điểm sao lưu cuối cùng. Điều này không chỉ cung cấp một cách hiệu quả để đảm bảo S3 được sao lưu kịp thời mà còn giảm tổng chi phí lưu trữ dữ liệu trong các bản sao lưu.
Rubrik Exompute, một ‘compute instance’ tồn tại trong thời gian ngắn, được sử dụng để thực hiện các quy trình sao lưu và khôi phục, cùng với việc lập chỉ mục và gửi metadata tới Rubrik Security Cloud sau mỗi sự kiện sao lưu. Nhu cầu sử dụng Exocompute chỉ có hiệu lực trong các tác vụ sao lưu, khôi phục và lập chỉ mục và sẽ ‘tắt’ ngay lập tức khi không sử dụng.
Bản thân các bản sao lưu được lưu trữ trong S3, dù là Standard, Infrequently Accessed hoặc Glacier và tính năng air-gapping được cung cấp bằng cách cho phép các tổ chức đặt các bản sao lưu trong các khu vực khác nhau hoặc thậm chí các tài khoản khác với dữ liệu nguồn của họ. Và như chúng ta biết, việc chỉ lưu trữ các bản sao lưu không hẳn đã đảm bảo khả năng khôi phục trên mạng — để đạt được khả năng khôi phục hoàn toàn, chúng ta cần đảm bảo các bản sao lưu là không thể thay đổi (immutable) và được bảo vệ khỏi các tác nhân xấu. Để đảm bảo tính bất biến, Rubrik có thể tận dụng tính năng Object Lock của Amazon S3 để bảo vệ các bản sao lưu khỏi việc xóa hoặc mã hóa vô tình hoặc chủ ý.
Khôi phục nhanh
Tính năng bảo vệ S3 của Rubrik cho phép khôi phục trên cả hệ thống phân cấp ở bucket-level và object-level. Để khôi phục ở cấp độ bucket, khách hàng chỉ cần chọn nhóm mà họ muốn khôi phục trong Giao diện của Rubrik Security Cloud và chỉ định mục tiêu cần khôi phục, có thể là S3 bucket nguồn hoặc S3 bucket nào hoàn toàn khác.
Đối với khôi phục cấp đối tượng, khách hàng có thể tìm kiếm các đối tượng dựa trên tên của chúng ở cấp độ snapshot, chọn các đối tượng mong muốn để khôi phục và khôi phục về bucket ban đầu (tại chỗ) hoặc một bucket khác (xuất).
Cả bucket và các đối tượng riêng lẻ đều có thể được khôi phục vào bất kỳ khu vực nào trong bất kỳ tài khoản nào, bất kể bản sao lưu ban đầu tồn tại ở đâu, mang lại sự linh hoạt hoàn toàn để duy trì tính liên tục trong kinh doanh.
Rubrik hiện đã có thể bảo vệ dữ liệu quan trọng trên S3
Việc bảo vệ dữ liệu được lưu trữ trong Amazon S3 là rất quan trọng trong việc đảm bảo tính sẵn sàng, bảo mật và tính toàn vẹn của dữ liệu quan trọng trong tổ chức. Rubrik Security Cloud mang lại khả năng phục hồi mạng cho dữ liệu S3 của bạn, đảm bảo các bản sao lưu không chỉ sẵn sàng mà còn bất biến và được bảo vệ an toàn khỏi hoạt động vô tình hoặc chủ ý phá hoại. Cho dù bạn là doanh nghiệp lớn với hàng nghìn bucket trên hàng trăm tài khoản AWS hay doanh nghiệp nhỏ tận dụng một bucket duy nhất, Rubrik Security Cloud đều có thể đáp ứng nhu cầu của bạn.
Hiện đang ở giai đoạn thử nghiệm với bản phát hành chính thức dự kiến vào tháng 2 năm sau. Vui lòng liên hệ CSC để được tư vấn tham gia thử nghiệm beta.