Tác giả: Desmond Lai Xu và Vishwajeeth Venkatesh
Ngày phát hành: 11 MAR 2025
Chuyên mục: Best Practices, Intermediate (200), Partner solutions, Security & Governance, Security, Identity, & Compliance, Storage

Bởi Desmond Lai, Kiến trúc sư giải pháp lưu trữ đối tác cấp cao – AWS
Bởi Vishwajeeth Venkatesh, Kỹ sư hệ thống đám mây cấp cao – Veeam

Bảo vệ thông tin nhạy cảm là yếu tố then chốt đối với mọi tổ chức. Với sự gia tăng về khối lượng dữ liệu từ hàng trăm terabyte lên petabyte, và việc bao gồm Thông tin Nhận dạng Cá nhân (PII) nhạy cảm, các tổ chức được yêu cầu phải đáp ứng các yêu cầu quy định nghiêm ngặt liên quan đến security dữ liệu. Các tổ chức cần bảo vệ dữ liệu và hệ thống IT của họ khỏi các cấu hình sai, lỗi do con người và các mối đe dọa mạng đang phát triển như ransomware và các lỗ hổng trong môi trường. Điều này khiến các tổ chức dễ bị tổn thương về tài chính, danh tiếng và hoạt động. Các thách thức phổ biến của khách hàng bao gồm:

• Sao lưu dữ liệu không an toàn (Insecure data backups): Cấu hình sao lưu kém tạo ra lỗ hổng trong kế hoạch khôi phục sau thảm họa của bạn.
• Các lỗ hổng dữ liệu đang truyền (Data in transit vulnerabilities): Mã hóa không đúng cách trong quá trình truyền khiến dữ liệu dễ bị chặn.
• Quản lý IAM kém (IAM mismanagement): Do cấu hình sai về danh tính và quyền truy cập.
• Ransomware nhắm mục tiêu vào các bản sao lưu (Ransomware targeting backups): Thông thường trong các cuộc tấn công ransomware, kho lưu trữ sao lưu là mục tiêu đầu tiên.

Những mối quan tâm này nhấn mạnh nhu cầu cấp thiết về các chiến lược data protection mạnh mẽ và khả năng phục hồi mạng hiệu quả để giảm thiểu rủi ro và đảm bảo tuân thủ.

Veeam Ransomware Trends Report 2024

Veeam Data Protection Trends Report 2024

Tổng quan về Data Protection Security Best Practices

Khi áp dụng AWS cloud, việc hiểu rõ Mô hình Trách nhiệm Chung của AWS (AWS Shared Responsibility Model) là rất quan trọng. Mô hình này phân định rõ ràng sự phân chia trách nhiệm security giữa AWS và khách hàng. Trong khi AWS quản lý security của cơ sở hạ tầng đám mây, khách hàng chịu trách nhiệm bảo mật dữ liệu của họ trong đám mây. Điều này bao gồm việc triển khai quản lý danh tính và truy cập (IAM), mã hóa và các biện pháp security mạng phù hợp. Các best practice trong việc bảo mật dữ liệu của bạn bao gồm:

• Triển khai các chiến lược sao lưu nhiều lớp và được tăng cường (Implement multi-layered and hardened backup strategies): Đảm bảo các bản sao lưu được mã hóa và cách ly logic khỏi internet công cộng, tránh phơi nhiễm và rủi ro.
• Mã hóa dữ liệu đang truyền và dữ liệu tĩnh (Encrypt data in transit and at rest): Áp dụng các tiêu chuẩn cho dữ liệu đang truyền và dữ liệu tĩnh.
• Tăng cường các giao thức IAM (Strengthen IAM protocols): Triển khai quyền truy cập tối thiểu (least privilege), xác thực đa yếu tố (MFA) và kiểm tra định kỳ.
• Bảo vệ khỏi Ransomware và cách ly bản sao lưu (Ransomware protection and backup isolation): Triển khai các kho lưu trữ bất biến (immutable repositories) và cách ly dữ liệu sao lưu.

Veeam hỗ trợ khách hàng tuân thủ các quy định và khuôn khổ khu vực, địa phương và ngành, bao gồm (Cloud Act, HIPAA, NIST, IRAP, MTCS Tier 3, OSPAR, ISO 20000, và nhiều hơn nữa). Veeam thực hiện điều này bằng cách tích hợp liền mạch với các cơ chế do AWS cung cấp và các giải pháp có sẵn, cho phép khách hàng bảo mật hiệu quả môi trường AWS cloud của họ.

Triển khai & Cấu hình Veeam Backup trên AWS

Để đảm bảo dữ liệu khách hàng luôn an toàn và được bảo vệ khỏi các rủi ro tiềm ẩn, điều quan trọng là phải điều chỉnh việc triển khai Veeam trên AWS theo các best practice security đã được thiết lập.

Trong các phần sau, chúng ta sẽ khám phá cách Veeam tích hợp các best practice này để giảm thiểu các mối đe dọa security, đảm bảo tuân thủ các tiêu chuẩn ngành và giảm thiểu hồ sơ rủi ro của khách hàng.

1. Repository Immutability

Lưu trữ dữ liệu ở trạng thái không thể sửa đổi sau khi tạo. Điều này đảm bảo tính toàn vẹn và độ bền của dữ liệu để đáp ứng các yêu cầu kiểm toán và tuân thủ bằng cách bảo toàn các hồ sơ và giao dịch lịch sử, đảm bảo dữ liệu không thể bị xóa hoặc ghi đè trong một khung thời gian lưu giữ cụ thể.

Triển khai và Tích hợp bởi Veeam
Veeam Backup for AWS cho phép bạn bảo vệ dữ liệu được lưu trữ trong các kho lưu trữ sao lưu khỏi bị xóa bằng cách làm cho dữ liệu trở nên bất biến (immutable) cho đến khi đạt đến thời gian lưu giữ mong muốn.

Veeam Backup sử dụng Amazon Simple Storage Service (S3) Object Lock để ngăn chặn việc xóa hoặc sửa đổi dữ liệu sao lưu dựa trên các chính sách lưu giữ. Ở chế độ tuân thủ (compliance mode), dữ liệu không thể bị giả mạo hoặc xóa bởi bất kỳ người dùng nào, kể cả người dùng gốc (root user) của tài khoản AWS, bảo vệ chống lại ransomware và các hành động độc hại. Để biết chi tiết cấu hình, hãy tham khảo hướng dẫn cấu hình Immutability trên tài liệu của Veeam.

Figure 1: Enabling immutability on backup repository for Veeam

2. Giảm thiểu Phạm vi Tác động (Blast Radius) / Cách ly (Isolation)

Cách ly vật lý và logic dữ liệu, cơ sở hạ tầng và ứng dụng giúp giảm thiểu tác động của các sự cố. Bằng cách phân vùng dữ liệu và khối lượng công việc, các tổ chức có thể phân đoạn quyền truy cập tốt hơn và giảm bề mặt tấn công, khiến kẻ tấn công khó di chuyển ngang hơn. Các môi trường cách ly cho phép các tổ chức xác định nguồn gốc vấn đề nhanh hơn và áp dụng các giải pháp mục tiêu mà không ảnh hưởng đến các phần khác của hệ thống.

Triển khai và Tích hợp bởi Veeam
Veeam cho phép bạn tạo một tài khoản sao lưu riêng biệt, nơi tất cả cơ sở hạ tầng sao lưu có thể được triển khai.

Điều này cũng có thể được triển khai trong một AWS Region riêng biệt để tăng cường tính dự phòng. Điều này đảm bảo tính khả dụng nếu tài khoản AWS của bạn bị xâm phạm và giải quyết mọi vấn đề về tính khả dụng ở cấp độ địa lý.

Figure 2: Account segregation for Veeam deployed components

3. Mã hóa Mọi nơi (Encryption Everywhere)

Bảo vệ dữ liệu đang truyền và dữ liệu tĩnh khiến chúng không thể đọc được đối với các tác nhân xấu cả bên trong và bên ngoài. Nhiều tiêu chuẩn quy định và khuôn khổ tuân thủ yêu cầu mã hóa dữ liệu để bảo vệ thông tin nhạy cảm. Bằng cách mã hóa dữ liệu theo các yêu cầu này, các tổ chức có thể đảm bảo tuân thủ và tránh các hình phạt hoặc vấn đề pháp lý tiềm ẩn.

Việc có các bản sao lưu và snapshot được mã hóa trong một tài khoản và Region riêng biệt cho phép khách hàng tuân theo best practice trong data protection. Veeam tự động triển khai các worker instance trong tài khoản production hoặc backup và loại bỏ chúng ngay sau khi quá trình khôi phục và sao lưu hoàn tất. Chúng có thể được triển khai riêng biệt khỏi Appliance accounts nơi Veeam Backup for AWS được cài đặt và Backup Repository accounts nơi dữ liệu sao lưu được lưu trữ trong Amazon S3.

Triển khai và Tích hợp bởi Veeam
Các Amazon S3 bucket được mã hóa theo mặc định bằng các khóa do Amazon S3 quản lý (SSE-S3), cung cấp security dữ liệu cơ bản. Để bảo vệ bổ sung, Veeam Backup for AWS cho phép người dùng mã hóa dữ liệu sao lưu được lưu trữ trong các kho lưu trữ thông qua cơ chế mã hóa riêng của Veeam.

Hơn nữa, Veeam mở rộng security này bằng cách hỗ trợ mã hóa AWS Key Management Service (AWS KMS) gốc cho các volume của Amazon Elastic Cloud Compute (Amazon EC2) và Amazon Relation Database Service (Amazon RDS) instance, hệ thống tệp Amazon Elastic File System (Amazon EFS), Amazon FSx, bảng Amazon DynamoDB và các cloud-native snapshot. Veeam sử dụng Tiêu chuẩn Mã hóa Nâng cao 256-bit (AES) cho quy trình mã hóa của mình, đảm bảo khả năng bảo vệ mạnh mẽ.

Veeam Backup for AWS sử dụng các khóa AWS KMS và CMK để mã hóa dữ liệu sao lưu tĩnh và đang truyền. Quá trình mã hóa bảo mật các snapshot ở cấp độ block trước khi mount vào worker instance và duy trì sự bảo vệ trong suốt quy trình làm việc sao lưu S3, đảm bảo security và tuân thủ dữ liệu.

Veeam tích hợp liền mạch với các vai trò AWS Identity and Access Management (IAM), đảm bảo rằng chỉ các vai trò được ủy quyền mới có thể truy cập hoặc quản lý các bản sao lưu được mã hóa. Bằng cách thực thi mã hóa trên tất cả các điểm dữ liệu, Veeam đơn giản hóa việc quản lý các chính sách mã hóa đồng thời củng cố security tổng thể của dữ liệu sao lưu.

Figure 3: Encryption for Veeam created resources and roles when performing snapshots and backups.

4. Identity and Access Management (IAM)

Cấu hình IAM chính xác đảm bảo đúng người dùng truy cập đúng dữ liệu vào đúng thời điểm, với mức quyền tối thiểu để thực hiện một tác vụ. Điều này cung cấp khả năng kiểm soát tập trung và khả năng hiển thị về quyền truy cập và hoạt động của người dùng trên các dịch vụ và tài nguyên AWS, cho phép các tổ chức giám sát hành vi người dùng, phát hiện hoạt động đáng ngờ và phản ứng với các sự cố security theo thời gian thực.

Triển khai và Tích hợp bởi Veeam
Veeam cho phép bạn tạo các IAM role chi tiết để thực hiện các hoạt động sao lưu và khôi phục trong nhiều tài khoản AWS. Veeam thực thi quyền truy cập tối thiểu (least privileged access), chỉ cấp cho người dùng và hệ thống mức truy cập tối thiểu cần thiết để thực hiện các tác vụ cần thiết của họ, giảm thiểu thiệt hại tiềm tàng trong trường hợp bị xâm phạm.

Veeam tích hợp với các nhà cung cấp single sign-on và xác thực đa yếu tố (multi-factor authentication) để tăng cường security. Việc gán vai trò chi tiết giúp giảm rủi ro bị xâm phạm trong quá trình kiểm tra security AWS. Để biết chi tiết, hãy tham khảo tài liệu Veeam Backup for AWS IAM Permissions để biết thêm thông tin.

5. Kết nối Riêng tư Đầu cuối (End-to-End Private Connectivity)

Triển khai mạng riêng giúp giảm rủi ro security bằng cách ngăn chặn việc phơi nhiễm với internet công cộng, bảo vệ chống lại việc nghe lén và chặn dữ liệu đồng thời cải thiện hiệu suất và độ tin cậy của mạng. Các kết nối chuyên dụng hoặc VPN cung cấp băng thông có thể dự đoán được, độ trễ thấp hơn và thông lượng cao hơn, đảm bảo hiệu suất tối ưu cho các ứng dụng và khối lượng công việc quan trọng.

Triển khai và Tích hợp bởi Veeam
Veeam hỗ trợ triển khai riêng tư cơ sở hạ tầng sao lưu để đảm bảo các thành phần sao lưu cốt lõi được bảo mật và không có các endpoint hướng ra công cộng. Veeam cho phép bạn triển khai backup appliance trong môi trường riêng tư.

Ngoài ra, Veeam có thể kích hoạt chức năng triển khai mạng riêng, cho phép giao tiếp với Amazon S3 thông qua private Amazon S3 interface endpoints. Veeam cho phép bạn triển khai workers trong môi trường riêng tư mà không cần gán IPV4 công cộng, điều này đảm bảo luồng traffic sao lưu được bảo mật.

Nếu bạn đang tìm cách triển khai Veeam Backup for AWS trong môi trường riêng tư và cần hướng dẫn, Veeam cung cấp một automation script để giúp bạn bắt đầu.

Figure 4: Deploying Veeam backup appliance in a private AWS environment.

Kết luận

Veeam®, công ty dẫn đầu thị trường toàn cầu về data protection và ransomware recovery, có sứ mệnh trao quyền cho các tổ chức không chỉ phục hồi sau sự cố hoặc mất mát dữ liệu mà còn tiến lên phía trước. Với Veeam, các tổ chức đạt được khả năng phục hồi triệt để thông qua data security, data recovery và data freedom cho các môi trường hybrid cloud của họ. Veeam Data Platform cung cấp một giải pháp duy nhất cho các môi trường cloud, ảo hóa, vật lý, SaaS và Kubernetes, mang lại sự an tâm cho các nhà lãnh đạo IT và security rằng các ứng dụng và dữ liệu của họ được bảo vệ và luôn sẵn sàng. Có trụ sở chính tại Columbus, Ohio, với các văn phòng tại hơn 30 quốc gia, Veeam bảo vệ hơn 450.000 khách hàng trên toàn thế giới, bao gồm 73% trong số Global 2000, những người tin tưởng Veeam để giữ cho doanh nghiệp của họ hoạt động.

Veeam trên AWS cung cấp data protection toàn diện và ransomware recovery thông qua các best practice security, được tăng cường bởi cơ sở hạ tầng có khả năng mở rộng của AWS cho các khả năng sao lưu và khôi phục sau thảm họa.

Quan hệ đối tác Veeam-AWS tận dụng S3 và Glacier Deep Archive để data protection an toàn, tiết kiệm chi phí và khôi phục nhanh chóng. Theo các best practice của AWS, Veeam đảm bảo security dữ liệu, khả năng phục hồi và tuân thủ quy định đồng thời bảo vệ chống lại ransomware và mất mát dữ liệu.

---

Veeam – AWS Partner Spotlight

Veeam là AWS Advanced Technology Partner và AWS Competency Partner cung cấp giải pháp giám sát nâng cao cho các ứng dụng cloud và cơ sở hạ tầng hiện đại, tổng hợp các metric trên các dịch vụ phân tán để cảnh báo bạn về các vấn đề và xu hướng trên toàn dịch vụ theo thời gian thực.

Liên hệ Veeam | Tổng quan về đối tác | AWS Marketplace