亚马逊AWS官方博客

AWS Backup 为逻辑隔离保管库新增了多方审批机制

现在,我们正式宣布,AWS 推出一项新功能,将 AWS Backup 的逻辑隔离保管库多方审批机制相集成。AWS Backup 是一项完全托管的服务,可集中和自动保护 AWS 服务和混合工作负载的数据。它提供核心数据保护功能、勒索软件恢复功能以及数据保护策略和运营的合规性见解和分析。

作为备份管理员,您可以使用 AWS Backup 的逻辑隔离保管库安全地在账户和组织之间共享备份,隔离您的备份存储,并支持直接还原以帮助缩短意外或恶意事件后的恢复时间。但是,如果恶意或非预期行为者获得了对您的备份账户或组织管理账户的根访问权限,您的备份会突然变得不可访问,尽管它们仍然安全地存储在逻辑隔离保管库中。虽然传统的账户恢复需要通过支持渠道进行,但获得多方审批的 AWS Backup 可立即访问恢复工具,从而使您能够更快地解决问题并更好地控制恢复时间表。

AWS Backup 逻辑隔离保管库的多方审批机制为您增加了额外的保护层,即使您的 AWS 账户完全无法访问,也能恢复应用程序数据。使用多方审批,您可以创建由组织中高度值得信赖的人组成的审批团队,然后将他们与您的逻辑隔离保管库关联起来。如果您由于无意或恶意行为而被锁定在 AWS 账户之外,您可以请求自己的审批团队授权从任何账户共享您的保管库,即使是您的 AWS Organizations 账户之外的账户。获得批准后,您将获得对备份的授权访问权限,并且可以开始恢复过程。

工作原理

AWS Backup 逻辑隔离保管库的多方审批机制将逻辑隔离保管库的安全性与多方审批的监管相结合,以创建一种即使您的 AWS 账户遭到入侵也能正常运行的恢复机制。下面介绍了其工作原理:

1.创建审批团队

首先,在您的 AWS Organizations 管理账户中创建审批团队。如果管理账户是新的,请先创建一个 AWS Identity and Access Management(IAM)Identity Center 实例,然后再创建批准小组。批准团队由可信个人(IAM Identity Center 用户)组成,他们将被授权批准保管库共享请求。每位批准者都会通过新的批准门户收到加入审批团队的邀请。

2.关联保管库

当您的审批团队处于活跃状态时,您可以使用 AWS Resource Access Manager(AWS RAM)将其与拥有逻辑隔离保管库的账户共享,以防来自任意账户的批准请求。然后,备份管理员可以将该审批团队与新的或现有的逻辑隔离保管库关联起来。

3.防止遭到破坏

如果您的 AWS 账户遭到入侵或无法访问,您可以请求从其他账户(干净的恢复账户)访问您的备份。此请求包括格式为 arn:aws:backup:<region>:<account>:backup-vault:<name>逻辑隔离保管库的 Amazon 资源名称(ARN)以及可选的保管库名称和注释。

4.多方审批

该请求将发送给审批团队,后者通过批准门户进行审核。当所需的最低审批者人数全部批准该请求后,保管库将自动与请求的账户共享。所有请求和批准都全面记录在 AWS CloudTrail 中。

5.恢复过程

获得访问权限后,您可以立即开始在新的恢复账户中恢复或复制数据,而无需等待受损的账户得到修复。

这种方法为访问和恢复备份提供了完全独立的身份验证路径,完全独立于您的 AWS 账户凭证。即使恶意行为者拥有您账户的根访问权限,他们也无法阻止基于审批团队的恢复流程。

1.创建一个新的逻辑隔离保管库

要创建新的逻辑隔离保管库,请提供名称标签(可选)和保管库锁定属性

2.分配审批团队

创建保管库后,选择分配审批团队将其分配给现有审批团队。

从下拉菜单中选择现有审批团队组,然后选择提交以完成分配。

现在,您的审批团队已分配到您的逻辑隔离保管库。

在实际紧急情况发生之前测试恢复过程至关重要:

  1. 在不同的 AWS 账户中,使用 AWS Backup 控制台或 API 通过提供保管库 ID 和 ARN 来请求共享您的逻辑隔离保管库。
  2. 请求审批团队批准您的请求。
  3. 获得批准后,请验证您是否可以在测试账户中访问和从保管库中恢复备份。

最佳做法是,使用 AWS Backup Audit Manager 定期监控您的审批团队的运行状况,确保他们有足够的活跃参与者,以达到您的批准门槛。

多方审批-增强云治理

现在,AWS 账户管理员可以使用多方审批功能为其产品增加多方审批。正如本文所强调的,AWS Backup 是首项集成此功能的服务。通过多方审批,管理员可以让应用程序所有者通过分布式审查流程保护敏感的服务操作。

多方审批提供了多个显著的安全优势:

  • 分布式决策,消除单点故障
  • 通过 AWS CloudTrail 集成实现全面的可审计性
  • 防止凭证泄露
  • 对合规敏感型运营的正式治理机制
  • 跨集成服务的一致审批体验

现已推出

目前,提供 AWS Organizations 的所有 AWS 区域均提供多方审批。逻辑隔离保管库的多方审批在提供 AWS Backup 的所有 AWS 区域均提供。

Veliswa