現在、当社のシステムは完全に AWS 内で実行されています。EBS のローリング スナップショットを実行し、復元の実行を頻繁に練習しています。
私が夜眠れないのは、すべての卵を一つのカゴに入れることです。シナリオは次のとおりです。
- アマゾンゾーンでデータセンターを破壊する大規模なイベントが発生しました
- 誰かがAWSアカウントにアクセスし、インスタンスを終了し、すべてのスナップショットを削除します
これらのリスクを軽減するために、スナップショットを別のリージョンの別の AWS アカウント (異なる認証情報を持つ) に定期的に移動することを検討しています。
私の質問は、これが適切なレベルの予防策なのか、それとも Amazon から完全に削除されたオフサイト バックアップを検討する必要があるのかということです。
答え1
これはリスク評価であり、専門的なシステム管理ではありません。この決定には技術的な要素が含まれているとも言えますが、基本的にはビジネス上の(そして金銭的な)決定です。
コスト効率よく対処できるのであれば、両方のシナリオを計画しておくのが賢明だと思います。2 番目のシナリオは最初のシナリオよりもはるかに可能性が高いようですが、どちらもあり得ます。
私なら、Amazon から完全に切り離されたオフサイト バックアップを強く主張します。最初の 2 つのシナリオよりも可能性が高い 3 番目のシナリオは、会社と Amazon のビジネス関係が悪化することです。その状況では法的救済策は確かにありますが、Amazon との関係が続く間、別のホスティング プロバイダーでビジネス運営を継続できれば有利です。そのためには、Amazon の関与なしでアクセスできるバックアップ (少なくとも) を用意しておくのが賢明です。
(アプリケーション全体を別のホストで起動する評価を行う価値はあると思います。Amazon で問題が発生した場合、バックアップがあるのは良いことですが、サイトを引き続き実行できればさらに良いでしょう。アプリケーションが Amazon のプラットフォームにどの程度深く統合されているかによって、それは空想に過ぎないかもしれませんが、少なくとも議論する価値はあります。)
答え2
脅威モデルはかなり優れているようです。
AWS は、このような事態を少しでも防ぐために、EC2 インスタンス (および関連サービス) にアベイラビリティ ゾーンを提供しています。別のリージョンにバックアップを置くとさらに効果的です。
これは、Amazon が損害に対して耐性があるかどうかという問題ではなく、物理的な距離によってバックアップが分離されているという概念に関する問題です。
誰かがあなたのアカウントを侵害するという脅威モデルは完全に合理的です。過去にもそのようにして身代金を要求された人がいます。
個人的には、スナップショットを移動することはしません。EC2 サーバーを一時ノード以外の用途で使用している場合、AWS のパワーをフルに活用しているとは言えません。「クラウド アーキテクチャ」のポイントは、サーバーをいつでも停止できることです。ただし、実際のバックアップ (データのダンプなど) には、このパラダイムを必ず適用します。
バックアップを別のアカウント、おそらく別の AWS リージョンに保存する代わりに、はるかに高価なオフサイト データ ストレージ会社を利用する方法があります。こうした会社は、通常、かなり高額ですが、その代わりに、データがどれだけ安全であるかを明確に説明する傾向があります。