내 AWS 계정이 어느 날 삭제되거나 액세스할 수 없게 되면 어떻게 될까요? 이에 대한 솔루션을 구현한 사람이 있나요? 하나의 AWS 계정에서 백업하고 다른 AWS 계정으로 복원할 수 있습니까?
현재 AWS 자체에 다시 저장되는 AWS 인스턴스를 백업하기 위해 Skeddly를 사용하고 있습니다.
이견있는 사람?
답변1
할 수 있는 일이 여러 가지 있습니다. 하나는 관리자 계정이 두 개 이상 있는지 확인하는 것입니다. 하나는 사용하고 다른 하나는 안전한 장소에 저장하여 에너지용으로만 사용하는 것입니다.
두 번째는 자체 자격 증명 세트를 사용하여 완전히 별도의 AWS 계정을 '백업'으로 설정하는 것입니다. 기본 계정에서 백업 계정으로 교차 계정 액세스 권한을 부여할 수 있지만 기본 계정이 백업 계정에 개체를 '넣거나' 백업하도록 허용하면 기본 계정이 손상되더라도 공격자가 다음을 수행할 수 없습니다. 기본 계정에서 두 번째 계정에 피해를 입힙니다.
한 계정의 서비스를 다른 계정으로 백업하는 실제 프로세스는 사용 중인 서비스에 따라 다르지만 개념은 동일합니다. 데이터를 s3에 백업한 다음 기본 계정의 s3에서 s3로 데이터를 복사합니다. 백업 계정 - 기본 계정에는 삭제가 아닌 항목을 '넣을' 수 있는 두 번째 계정에 대한 액세스 권한만 있는지 확인하세요. 회사의 어느 누구도 이러한 자격 증명 세트에 모두 액세스할 수 없어야 합니다(회사 규모가 작지 않다고 가정).
귀하는 계정이 손상되어 사업이 중단되는 회사가 되고 싶지 않을 것입니다.
해커, 호스팅 서비스 코드 공간 중단 | 위협초소 | 보안 뉴스의 첫 번째 정류장
또한 AWS Reinvent 2015의 이 동영상(약 50분부터 시작)에서는 AirBNB가 다음과 같은 방식으로 이러한 문제로부터 보호하는 방법을 들어보세요.
AWS re:Invent 2015 | (DAT304) MySQL용 Amazon RDS: 모범 사례 | youtube.com
답변2
AWS 구축의 첫 번째 규칙은 모든 것을 자동화해야 한다는 것입니다.
이제 계정에 대한 액세스 권한을 잃거나 계정이 손상되어 모든 것이 종료된 경우 모든 상태 비저장 구성 요소를 다시 가져오는 간단한 프로세스를 실행하기만 하면 됩니다.
여기서 가장 큰 문제는 데이터베이스와 같은 상태 저장 구성 요소입니다. 이를 위해 데이터베이스를 정기적으로 백업하고 AWS 외부(또는 최소한 다음과 같이 계정을 삭제할 수 없는 위치)에 보관하는 것이 좋습니다.아마존 빙하~와 함께금고 잠금).
예를 들어, 일정 시간이 소요되는 예약된 작업이 있을 수 있습니다.mysqldump보유하고 있는 MySQL 데이터베이스를 AWS 외부에서 SCP로 처리합니다.
이제 계정을 분실한 경우 재구축하기로 선택한 위치로 데이터베이스 백업을 복원하고(다른 계정으로 또는 동일한 계정으로 AWS로 돌아갈 수 있지만 이번에는 적절하게 보호됨) 자동화를 실행하기만 하면 됩니다. 다른 모든 상태 비저장 구성 요소를 다시 빌드하는 프로세스입니다.
데이터베이스에서 마지막 백업으로만 돌아갈 수 있으므로 데이터가 약간 손실될 수 있습니다.