В настоящее время наша система работает полностью внутри AWS. Мы делаем скользящие снимки нашего EBS и часто практикуем запуск восстановлений.
Что не дает мне спать по ночам, так это то, что все яйца в одной корзине. Вот сценарии:
- В нашей зоне Amazon произошло крупное событие, которое уничтожило центр обработки данных
- Кто-то получает доступ к нашей учетной записи AWS, останавливает наши экземпляры и удаляет все наши снимки.
Чтобы снизить эти риски, я думаю о периодическом перемещении снимков в другую учетную запись AWS (с другими учетными данными) в другом регионе.
У меня такой вопрос: является ли это адекватной мерой предосторожности или мне следует прибегнуть к резервному копированию на внешних площадках, которые полностью удалены с Amazon?
решение1
Это оценка риска, а не профессиональное системное администрирование. В этом решении, возможно, есть технический компонент, но по сути это решение бизнеса (и долларов и центов).
Я думаю, что разумно планировать оба сценария, если это можно сделать экономически эффективно. Второй сценарий кажется гораздо более вероятным, чем первый, но они оба правдоподобны.
Если бы это был я, я бы активно лоббировал резервные копии за пределами сайта, которые были бы полностью удалены с Amazon. Третий, возможно, более вероятный сценарий, чем ваши первые два, может включать в себя испорченные деловые отношения между вашей компанией и Amazon. Хотя в этой ситуации, безусловно, есть правовые средства правовой защиты, для вас было бы выгодно продолжить деловые операции с другим хостинг-провайдером, пока дела с Amazon идут своим чередом. С этой целью наличие резервных копий (как минимум), которые доступны без участия Amazon, кажется благоразумным.
(Я бы даже сказал, что, вероятно, стоит провести оценку развертывания всего вашего приложения на другом хосте. Если дела у Amazon действительно пойдут плохо, наличие резервных копий — это хорошо, но было бы еще лучше, если бы вы могли продолжать работать со своим сайтом. Это может быть несбыточной мечтой в зависимости от того, насколько глубоко ваше приложение интегрировано в платформу Amazon, но это, по крайней мере, стоит обсудить.)
решение2
Похоже, ваша модель угроз довольно хороша.
AWS предоставляет зоны доступности на экземплярах EC2 (и связанных сервисах), чтобы немного защититься от такого рода вещей. Размещение резервных копий в другом регионе еще лучше.
Речь идет не столько о защищенности или не защищенности Amazon от повреждений, сколько о концепции резервного копирования, разделенного физическим расстоянием.
Модель угрозы, связанная с тем, что кто-то взломал ваш аккаунт, совершенно обоснована; в прошлом людей таким образом удерживали с целью получения выкупа.
Лично я бы не стал перемещать снимки. Если вы используете серверы EC2 как что-то, кроме эфемерных узлов, вы не используете всю мощь AWS. Суть «облачной архитектуры» в том, что серверы можно отключить в любое время. Но я бы определенно применил эту парадигму к реальным резервным копиям (дампам данных и т. д.).
Ваша альтернатива размещению резервных копий в отдельной учетной записи и, возможно, в отдельном регионе AWS гораздо дороже: компания по хранению данных вне офиса. Эти ребята обычно обходятся дороже, но взамен склонны делать явные заявления о том, насколько защищены ваши данные.