Derzeit läuft unser System vollständig innerhalb von AWS. Wir erstellen fortlaufende Snapshots unseres EBS und führen häufig Wiederherstellungen durch.
Was mich nachts wach hält, ist, dass wir alle Eier in einen Korb legen. Hier sind die Szenarien:
- In unserer Amazonas-Zone gibt es ein massives Ereignis, das das Rechenzentrum zerstört
- Jemand erhält Zugriff auf unser AWS-Konto, beendet unsere Instanzen und löscht alle unsere Snapshots
Um diese Risiken zu mindern, denke ich darüber nach, Snapshots regelmäßig auf ein anderes AWS-Konto (mit anderen Anmeldeinformationen) in einer anderen Region zu verschieben.
Meine Frage ist nun: Ist dies eine ausreichende Vorsichtsmaßnahme oder sollte ich auf externe Backups zurückgreifen, die vollständig von Amazon entfernt sind?
Antwort1
Dies ist eine Risikobewertung und keine professionelle Systemadministration. Diese Entscheidung hat zwar eine technische Komponente, aber im Grunde handelt es sich um eine geschäftliche (und finanzielle) Entscheidung.
Ich denke, es ist klug, für beide Szenarien zu planen, sofern dies kosteneffizient abgewickelt werden kann. Das zweite Szenario scheint weitaus wahrscheinlicher als das erste, aber beide sind plausibel.
Ich würde mich an Ihrer Stelle sehr für externe Backups einsetzen, die vollständig von Amazon entfernt werden. Ein drittes, vielleicht wahrscheinlicheres Szenario als die ersten beiden, könnte darin bestehen, dass die Geschäftsbeziehung zwischen Ihrem Unternehmen und Amazon in die Brüche geht. Obwohl es in dieser Situation sicherlich rechtliche Mittel gibt, wäre es für Sie von Vorteil, wenn Sie Ihren Geschäftsbetrieb mit einem anderen Hosting-Anbieter fortsetzen könnten, während sich die Dinge mit Amazon abspielen. Aus diesem Grund erscheint es sinnvoll, Backups (zumindest) zu haben, auf die ohne Beteiligung von Amazon zugegriffen werden kann.
(Ich würde sogar behaupten, dass es sich wahrscheinlich lohnt, die gesamte Anwendung auf einem anderen Host hochzufahren. Wenn es bei Amazon tatsächlich schiefgeht, ist es schön, Backups zu haben, aber noch schöner wäre es, wenn Sie Ihre Site weiter betreiben könnten. Das mag zwar Zukunftsmusik sein, je nachdem, wie tief Ihre Anwendung in die Amazon-Plattform integriert ist, aber es ist zumindest eine Diskussion wert.)
Antwort2
Es sieht so aus, als wäre Ihr Bedrohungsmodell ziemlich gut.
AWS stellt Verfügbarkeitszonen auf EC2-Instanzen (und zugehörigen Diensten) bereit, um ein wenig gegen derartige Vorfälle vorzubeugen. Backups in einer anderen Region zu speichern ist sogar noch besser.
Dabei geht es nicht so sehr um die Immunität bzw. Nichtimmunität von Amazon gegenüber Schäden, sondern um das Konzept der durch physische Distanz getrennten Backups.
Das Bedrohungsmodell, das sich ergibt, dass jemand Ihr Konto kompromittiert, ist völlig vernünftig. In der Vergangenheit wurden schon Leute auf diese Weise von Lösegeldforderungen festgehalten.
Persönlich würde ich die Snapshots nicht verschieben. Wenn Sie EC2-Server als etwas anderes als temporäre Knoten verwenden, nutzen Sie nicht die volle Leistung von AWS. Der Sinn einer „Cloud-Architektur“ besteht darin, dass die Server jederzeit gelöscht werden können. Aber ich würde dieses Paradigma definitiv auf tatsächliche Backups (Datendumps usw.) anwenden.
Ihre Alternative zum Speichern von Backups in einem separaten Konto und wahrscheinlich einer separaten AWS-Region ist viel teurer: ein externes Datenspeicherunternehmen. Diese Anbieter sind in der Regel etwas teurer, geben dafür aber in der Regel explizite Aussagen darüber ab, wie sicher Ihre Daten sind.