Blog AWS Indonesia

Solusi AWS Backup Vault Lock untuk Perlindungan dari Ransomware

Pendahuluan

Serangan ransomware menjadi ancaman serius bagi keamanan data perusahaan. Ketika data dienkripsi oleh penyerang, operasional bisnis dapat terhenti dan mengakibatkan kerugian signifikan. AWS Blueprint for Ransomware Defense menekankan bahwa strategi backup yang tepat merupakan pertahanan utama dalam menghadapi ancaman ini. Dengan menggunakan backup, Anda dapat melakukan pemulihan terhadap data ataupun konfigurasi ketika terjadi serangan ransomware. Secara efektif, sistem backup harus memenuhi tiga kriteria utama: immutable (tidak dapat diubah), auditable (dapat diaudit), dan cost-effective (hemat biaya).
Pada tulisan ini, kita akan membahas mengenai solusi backup yang ada di AWS menggunakan AWS Backup yang dapat memenuhi kebutuhan kepenuhan (compliance) Anda. Kita juga akan membahas mengenai contoh implementasi AWS Backup serta praktik terbaiknya.

Memahami Solusi AWS Backup

AWS Backup hadir sebagai solusi terpadu yang memenuhi semua kriteria tersebut. Layanan ini menyediakan dashboard terpusat untuk mengelola backup dari berbagai layanan AWS seperti Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon FSx, Amazon Relational Database Service (RDS), dan hybrid workload seperti VMWare on-premises. AWS Backup memungkinkan Anda membuat perencanaan backup seperti frekuensi dan periode retensi secara terpusat. AWS Backup memiliki fitur tambahan bernama Vault Lock, yang dapat mencegah perubahan atau penghapusan backup yang tidak diinginkan melalui kebijakan WORM (Write Once Read Many). Fitur ini mencegah perubahan pada backup lifecycle serta mencegah penghapusan backup secara manual sehingga Anda dapat memenuhi kepatuhan (compliance) Anda.

Untuk monitoring, AWS Backup terintegrasi dengan AWS Audit Manager dan AWS CloudTrail, memberikan visibilitas penuh terhadap aktivitas backup. AWS Backup Audit Manager dapat melakukan audit dan laporan terhadap kepatuhan dan policy pada perlindungan data Anda. Sedangkan, CloudTrail dapat mencatat dan memantau aktivitas pengguna dan API di akun AWS Anda.

Dalam hal penghematan biaya, AWS Backup menawarkan beberapa fitur cerdas. Melalui lifecycle management, backup lama secara otomatis dipindahkan ke penyimpanan yang lebih murah seperti Glacier. Sistem backup incremental memastikan hanya perubahan data yang disimpan, menghemat biaya penyimpanan dan waktu backup secara signifikan. Selain itu, kemampuan untuk mengatur retention period yang berbeda untuk setiap jenis backup memungkinkan optimalisasi biaya sesuai kebutuhan bisnis.

Mode Perlindungan AWS Backup Vault Lock

AWS Backup Vault Lock adalah fitur yang dapat membantu anda untuk mencegah perubahan backup policy dan juga penghapusan backup secara manual. AWS Backup Vault Lock menggunakan safeguard yang melakukan verifikasi menggunakan model Write-Once-Read-Many (WORM). AWS Backup Vault Lock menyediakan dua mode perlindungan yang dapat disesuaikan dengan kebutuhan organisasi.

Governance Mode memberikan fleksibilitas dalam pengelolaan backup, dimana administrator dengan izin khusus masih dapat melakukan perubahan jika diperlukan. Mode ini cocok untuk tahap awal implementasi atau lingkungan pengembangan yang membutuhkan tingkat fleksibilitas tertentu.

Sementara itu, Compliance Mode menawarkan tingkat perlindungan yang jauh lebih ketat. Setelah diaktifkan, pengaturan tidak dapat diubah oleh siapa pun, termasuk menggunakan root akses. Mode ini dirancang khusus untuk memenuhi kebutuhan regulasi yang ketat seperti SEC 17a-4, CTTTC, dan HIPAA. Penting untuk dicatat bahwa setelah Anda menggunakan Compliance Mode, akan ada periode cooling-off selama72 jam. Selama periode ini Anda dapat menghapus dan mengubah konfigurasi Vault Lock. Setelah 72 jam, pengaturan Compliance Mode menjadi permanen dan tidak dapat diubah.

Contoh solusi Automasi AWS Backup

Dalam implementasi AWS Backup yang efektif serta mengurangi proses konfigurasi manual, Anda dapat menggunakan automasi yang memastikan konsistensi dan keandalan dalam backup anda. Untuk melakukan automasi, kita dapat menggunakan beberapa layanan AWS. Arsitektur berikut adalah contoh implementasi yang dilakukan oleh Metrodata . Metrodata adalah AWS Advance Consulting Partner, dengan pengalaman lebih dari 25 tahun di industri IT, dan telah menjadi partner AWS yang kuat sejak 2013.

Solusi komprehensif ini menggabungkan AWS Backup, AWS Lambda, dan IAM Policy untuk menciptakan sistem backup yang sepenuhnya otomatis dan aman.

1.     Langkah pertama dalam otomatisasi adalah penerapan enforce tagging untuk manajemen resources. Setiap instance EC2 yang dibuat harus memiliki tag tertentu, misalnya “environment=production” untuk instance yang memerlukan backup. Sistem akan secara otomatis menolak pembuatan instance yang tidak memiliki tag yang sesuai, mencegah terjadinya kelalaian dalam backup resource penting.

2.     Setelah sistem tagging diterapkan, mekanisme deteksi otomatis akan memantau setiap perubahan pada resource. Ketika ada instance baru yang dibuat atau perubahan tag pada instance yang ada, sistem akan secara otomatis memperbarui daftar backup. Instance yang tidak lagi memenuhi kriteria backup (misalnya karena perubahan tag dari production ke development) akan secara otomatis dihapus dari selection backup.

3.     Manajemen AWS Backup Selection dilakukan secara otomatis berdasarkan perubahan tag. Hal ini mengeliminasi kebutuhan untuk menambah atau menghapus resource dari backup selection secara manual, sekaligus memastikan konsistensi dalam penerapan kebijakan backup. Sistem juga mencegah backup yang tidak perlu, mengoptimalkan penggunaan storage dan biaya.

4.     Implementasi Vault Lock merupakan komponen kritis dalam solusi ini. Backup dijadwalkan secara otomatis dan dilindungi dengan Compliance Mode untuk data-data kritis. Pengaturan ini memastikan bahwa setelah backup dibuat, tidak ada yang dapat memodifikasinya, memberikan perlindungan maksimal terhadap serangan ransomware atau upaya sabotase internal.

5.     Sistem monitoring dan notifikasi menjadi mata dan telinga dari solusi backup ini. Melalui integrasi dengan Amazon Simple Notification Service (Amazon SNS), tim IT akan menerima notifikasi real-time untuk setiap kejadian penting dalam proses backup. Notifikasi ini mencakup kegagalan backup, masalah dengan tag compliance, atau upaya modifikasi terhadap backup yang dilindungi. Dengan monitoring proaktif ini, tim dapat merespons dengan cepat terhadap setiap potensi masalah.

Praktik Terbaik untuk Perlindungan Ransomware

Pengujian pemulihan secara berkala merupakan praktik terbaik yang sering terabaikan namun sangat kritis. Tidak cukup hanya membuat backup, organisasi harus memastikan bahwa backup tersebut dapat dipulihkan dengan sukses saat dibutuhkan. AWS Backup memungkinkan pengujian pemulihan ke lingkungan terpisah tanpa mengganggu sistem produksi. Proses ini tidak hanya memvalidasi integritas backup tetapi juga membantu tim IT membiasakan diri dengan prosedur pemulihan yang diperlukan saat terjadi serangan ransomware.

Monitoring proaktif juga memegang peran penting dalam strategi perlindungan. Dengan menggunakan Amazon EventBridge, organisasi dapat membuat aturan yang memicu notifikasi melalui Amazon SNS ketika terdeteksi aktivitas mencurigakan. Aktivitas ini bisa berupa upaya penghapusan backup massal atau perubahan konfigurasi Vault Lock yang tidak terotorisasi. Deteksi dini memungkinkan tim keamanan untuk merespons ancaman sebelum terjadi kerusakan yang signifikan.

Kami sangat merekomendasikan strategi Multi-layer dalam backup. Pendekatan ini mencakup penerapan prinsip 3-2-1 backup, dimana organisasi menyimpan setidaknya tiga salinan data di dua media berbeda, dengan satu salinan berada di lokasi terpisah. AWS Backup memudahkan implementasi strategi ini melalui fitur cross-region backup, memastikan data tetap aman bahkan jika satu region AWS mengalami gangguan.

Kesimpulan

AWS Backup Vault Lock menawarkan solusi menyeluruh untuk menghadapi tantangan perlindungan data dari ransomware. Tiga kriteria utama yang digariskan di awal – immutable, auditable, dan cost-effective – terpenuhi melalui fitur-fitur yang tersedia. Immutability dijamin melalui Vault Lock dengan mode compliance untuk data kritis, mencegah perubahan atau penghapusan backup oleh siapa pun. Kebutuhan audit terpenuhi melalui integrasi dengan AWS CloudTrail yang memberikan visibilitas penuh atas setiap aktivitas backup. Sementara efisiensi biaya dicapai melalui fitur lifecycle management dan backup incremental.

Dengan memanfaatkan AWS Backup dan fitur-fiturnya secara optimal, organisasi dapat membangun pertahanan yang tangguh terhadap ransomware. Kombinasi antara automasi yang kuat, monitoring yang komprehensif, dan penerapan praktik terbaik membuat AWS Backup menjadi solusi yang tepat bagi organisasi yang ingin melindungi aset digital mereka dari ancaman ransomware. Yang terpenting, ketika serangan ransomware terjadi, organisasi dapat dengan percaya diri memulihkan sistem mereka dari backup yang aman dan terjamin integritasnya.

Untuk pengembangan lebih lanjut, kami merekomendasikan Anda memperdalam pengetahuan tentang Layanan Keamanan AWS melalui dokumentasi resmi dan mengikuti pelatihan yang tersedia di AWS Skill Builder.

Veny Charnita Ginting

Veny Charnita Ginting

Veny is an Solutions Architect at Amazon Web Services (AWS) for 5 years, where she collaborates with customers across a diverse range of industries. Veny specializes in helping customers optimize their workloads on AWS through initiatives such as cloud migration, disaster recovery, AI/ML, etc. Her expertise lies in designing well-architected solutions that empower her clients to unlock the full potential of the AWS ecosystem.

Andreas Setiadi

Andreas Setiadi

Andreas Setiadi is a Solution Architect with 8 years of experience in AWS cloud and DevOps solutions. He focuses on designing secure, resilient, and scalable cloud architectures that help organizations achieve operational excellence and accelerate digital innovation. He has supported customers across multiple sectors in implementing best practice solutions

Heru Hernieyanto

Heru Hernieyanto

Heru Hernieyanto is a Principal Consultant and Cloud Solution Architect at Metrodata Electronics, with over 17 years of experience in IT infrastructure, cloud architecture, and security solutions. He specializes in helping organizations accelerate their digital transformation and cloud adoption journeys by designing secure, scalable, and efficient cloud environments

Purnaresa Yuliartanto

Purnaresa Yuliartanto

As a Senior Security Solutions Architect at AWS, Purnaresa helps customers secure their cloud workloads in alignment with AWS's Shared Responsibility Model. Drawing from a decade of experience in cloud computing and formal education in cybersecurity, he works to raise awareness about cloud security best practices across the industry.