Actualmente nuestro sistema se ejecuta completamente dentro de AWS. Hacemos instantáneas continuas de nuestro EBS y, a menudo, practicamos la ejecución de restauraciones.
Lo que me mantiene despierto por la noche es tener todos los huevos en una sola canasta. Aquí están los escenarios:
- Nuestra zona amazónica tiene algún evento masivo que destruye el centro de datos
- Alguien obtiene acceso a nuestra cuenta de AWS, finaliza nuestras instancias y elimina todas nuestras instantáneas.
Para mitigar estos riesgos, estoy pensando en mover instantáneas periódicamente a otra cuenta de AWS (con credenciales diferentes) en otra región.
Mi pregunta es la siguiente: ¿es este un nivel de precaución adecuado o debería buscar copias de seguridad externas que se eliminen por completo de Amazon?
Respuesta1
Esto es una evaluación de riesgos, no una administración de sistemas profesional. Podría decirse que hay un componente técnico en esta decisión, pero es fundamentalmente una decisión comercial (y de dólares y centavos).
Creo que es aconsejable planificar ambos escenarios si se puede gestionar de forma rentable. El segundo escenario parece mucho más probable que el primero, pero ambos son plausibles.
Si fuera yo, presionaría mucho para obtener copias de seguridad externas que se eliminaran por completo de Amazon. Un tercer escenario, quizás más probable que los dos primeros, podría implicar que la relación comercial entre su empresa y Amazon se estropee. Si bien ciertamente existen remedios legales en esa situación, sería ventajoso para usted si pudiera continuar con las operaciones comerciales con otro proveedor de hosting mientras las cosas se desarrollan con Amazon. Con ese fin, parece prudente tener copias de seguridad (como mínimo) a las que se pueda acceder sin la participación de Amazon.
(Incluso diría que probablemente valga la pena hacer una evaluación para ejecutar toda su aplicación en otro host. Si las cosas se pusieran mal porque Amazon tuviera copias de seguridad, sería bueno, pero sería aún mejor si pudiera continuar ejecutando su sitio. Eso puede ser pan comido dependiendo de qué tan profundamente integrada esté su aplicación en la plataforma de Amazon, pero al menos vale la pena discutirlo).
Respuesta2
Parece que su modelo de amenaza es bastante bueno.
AWS proporciona zonas de disponibilidad en instancias EC2 (y servicios relacionados) para ayudar a protegerse un poco contra este tipo de cosas. Poner copias de seguridad en otra región es aún mejor.
No se trata tanto de la inmunidad o no inmunidad de Amazon al daño, sino del concepto de que las copias de seguridad estén separadas por la distancia física.
El modelo de amenaza relacionado con que alguien comprometa su cuenta es totalmente razonable; En el pasado se ha retenido a personas para pedir rescate de esa manera.
Personalmente no movería las instantáneas. Si está utilizando servidores EC2 como algo más que como nodos efímeros, no está utilizando todo el poder de AWS. El objetivo de una "arquitectura en la nube" es que los servidores pueden ser eliminados en cualquier momento. Pero definitivamente aplicaría este paradigma a las copias de seguridad reales (volcados de datos, etc.).
Su alternativa a colocar las copias de seguridad en una cuenta separada y probablemente en una región de AWS separada es mucho más costosa: una empresa de almacenamiento de datos externa. Estos tipos suelen ser bastante más costosos, pero a cambio tienden a hacer declaraciones explícitas sobre qué tan seguros están sus datos.