Atualmente nosso sistema roda inteiramente dentro da AWS. Fazemos snapshots contínuos de nosso EBS e frequentemente praticamos a execução de restaurações.
O que me mantém acordado à noite é ter todos os ovos na mesma cesta. Aqui estão os cenários:
- Nossa zona amazônica tem algum evento massivo que destrói o data center
- Alguém obtém acesso à nossa conta AWS, encerra nossas instâncias e exclui todos os nossos snapshots
Para mitigar esses riscos, estou pensando em mover snapshots periodicamente para outra conta da AWS (com credenciais diferentes) em outra região.
Minha pergunta é: esse é um nível adequado de precaução ou devo procurar backups externos que sejam completamente removidos da Amazon?
Responder1
Isto é avaliação de risco, não administração profissional de sistemas. Há, sem dúvida, um componente técnico nesta decisão, mas é fundamentalmente uma decisão de negócios (e de dólares e centavos).
Acho que é sensato planejar ambos os cenários, se isso puder ser tratado de maneira econômica. O segundo cenário parece muito mais provável que o primeiro, mas ambos são plausíveis.
Se fosse eu, faria muito lobby por backups externos que fossem completamente removidos da Amazon. Um terceiro cenário, talvez mais provável do que os dois primeiros, pode envolver o azedamento do relacionamento comercial entre sua empresa e a Amazon. Embora certamente existam soluções legais para essa situação, seria vantajoso para você se pudesse continuar as operações comerciais com outro provedor de hospedagem enquanto as coisas aconteciam com a Amazon. Para esse fim, parece prudente ter backups (no mínimo) acessíveis sem o envolvimento da Amazon.
(Eu até diria que provavelmente vale a pena fazer uma avaliação de como rodar todo o seu aplicativo em outro host. Se as coisas derem errado com a Amazon, ter backups é bom, mas seria ainda melhor se você pudesse continuar executando seu site. Isso pode ser incrível dependendo de quão profundamente integrado seu aplicativo está à plataforma da Amazon, mas pelo menos vale a pena discutir.)
Responder2
Parece que seu modelo de ameaça é muito bom.
A AWS fornece zonas de disponibilidade em instâncias EC2 (e serviços relacionados) para ajudar a se proteger um pouco contra esse tipo de coisa. Colocar backups em outra região é ainda melhor.
Não se trata tanto da imunidade ou não imunidade da Amazon a danos, mas do conceito de backups separados por distância física.
O modelo de ameaça relacionado a alguém que compromete sua conta é totalmente razoável; pessoas foram detidas dessa forma por resgate no passado.
Pessoalmente, eu não moveria os instantâneos. Se você estiver usando servidores EC2 como algo que não seja nós efêmeros, não estará usando todo o poder da AWS. O objetivo de uma “arquitetura em nuvem” é que os servidores podem ser zapeados a qualquer momento. Mas, eu definitivamente aplicaria esse paradigma a backups reais (despejos de dados, etc.).
Sua alternativa de colocar backups em uma conta separada e provavelmente em uma região separada da AWS é muito mais cara: uma empresa de armazenamento de dados externa. Esses caras geralmente são bem mais caros, mas tendem a fazer declarações explícitas sobre a segurança dos seus dados, em troca.