현재 우리 시스템은 완전히 AWS 내부에서 실행됩니다. 우리는 EBS의 롤링 스냅샷을 수행하고 종종 복원 실행을 연습합니다.
나를 밤잠 못 들게 하는 것은 계란을 한 바구니에 담는 것입니다. 시나리오는 다음과 같습니다.
- Amazon 영역에는 데이터 센터를 파괴하는 대규모 이벤트가 있습니다.
- 누군가 AWS 계정에 액세스하여 인스턴스를 종료하고 모든 스냅샷을 삭제합니다.
이러한 위험을 완화하기 위해 스냅샷을 정기적으로 다른 지역의 다른 AWS 계정(다른 자격 증명 사용)으로 옮기는 것을 고려하고 있습니다.
내 질문은 이것입니다. 이것이 적절한 수준의 예방 조치입니까, 아니면 Amazon에서 완전히 제거된 오프사이트 백업을 찾아야 합니까?
답변1
이는 전문적인 시스템 관리가 아닌 위험 평가입니다. 틀림없이 이 결정에는 기술적인 요소가 있지만 근본적으로는 비즈니스(및 달러와 센트) 결정입니다.
비용 효율적으로 처리할 수 있다면 두 시나리오를 모두 계획하는 것이 현명하다고 생각합니다. 두 번째 시나리오는 첫 번째 시나리오보다 가능성이 훨씬 더 높아 보이지만 둘 다 그럴듯합니다.
저라면 Amazon에서 완전히 제거된 오프사이트 백업을 위해 열심히 로비를 했을 것입니다. 세 번째, 아마도 처음 두 시나리오보다 가능성이 더 높은 시나리오는 회사와 Amazon 간의 비즈니스 관계가 악화되는 것과 관련이 있을 수 있습니다. 그러한 상황에는 확실히 법적 구제책이 있지만 Amazon과의 문제가 해결되는 동안 다른 호스팅 제공업체와 비즈니스 운영을 계속할 수 있다면 유리할 것입니다. 이를 위해서는 Amazon의 개입 없이 액세스할 수 있는 백업(최소한)을 갖는 것이 현명한 것 같습니다.
(심지어 다른 호스트에서 전체 애플리케이션을 가동하는 것에 대한 평가를 수행할 가치가 있다고 주장하고 싶습니다. Amazon에서 문제가 발생했다면 백업을 하는 것도 좋지만 사이트를 계속 실행할 수 있다면 더욱 좋을 것입니다. 귀하의 애플리케이션이 Amazon 플랫폼에 얼마나 깊이 통합되어 있는지에 따라 별 차이가 없을 수도 있지만 적어도 논의할 가치는 있습니다.)
답변2
위협 모델이 꽤 좋은 것 같습니다.
AWS는 이러한 유형의 문제를 어느 정도 방지할 수 있도록 EC2 인스턴스(및 관련 서비스)에 가용성 영역을 제공합니다. 다른 지역에 백업을 두는 것이 더 좋습니다.
Amazon의 피해 면제 또는 비면역에 관한 것이 아니라 백업이 물리적 거리에 따라 분리된다는 개념에 관한 것입니다.
귀하의 계정을 침해하는 누군가와 관련된 위협 모델은 전적으로 합리적입니다. 과거에는 사람들이 그런 식으로 몸값을 요구받았습니다.
개인적으로 저는 스냅샷을 옮기지 않을 것입니다. 임시 노드가 아닌 다른 용도로 EC2 서버를 사용하는 경우 AWS의 모든 기능을 사용하지 않는 것입니다. "클라우드 아키텍처"의 요점은 서버가 언제든지 공격받을 수 있다는 것입니다. 하지만 실제 백업(데이터 덤프 등)에는 이 패러다임을 확실히 적용하겠습니다.
백업을 별도의 계정이나 별도의 AWS 지역에 두는 것에 대한 대안은 훨씬 더 비쌉니다. 즉, 오프사이트 데이터 스토리지 회사입니다. 그 사람들은 일반적으로 비용이 더 많이 들지만 그 대가로 귀하의 데이터가 얼마나 안전한지에 대해 명시적으로 진술하는 경향이 있습니다.