目前我們的系統完全在 AWS 內部運作。我們對 EBS 進行滾動快照,並經常練習運行恢復。
讓我徹夜難眠的是把所有的雞蛋放在同一個籃子裡。以下是場景:
- 我們的亞馬遜區域發生了一些破壞資料中心的大規模事件
- 有人存取我們的 AWS 帳戶、終止我們的實例並刪除我們的所有快照
為了減輕這些風險,我正在考慮定期將快照移至另一個區域的另一個 AWS 帳戶(具有不同的憑證)。
我的問題是,這是足夠的預防措施還是我應該尋找從亞馬遜完全刪除的異地備份?
答案1
這是風險評估,而不是專業的系統管理。可以說,這個決定有技術成分,但從根本上來說,這是一個商業(以及金錢)決定。
我認為,如果能夠經濟有效地處理這兩種情況,那麼為這兩種情況做好計劃是明智的。第二種情況似乎比第一種情況更有可能,但它們都是合理的。
如果是我,我會努力遊說將異地備份從亞馬遜上完全刪除。第三種情況可能比前兩種情況更可能發生,可能涉及您的公司和亞馬遜之間的業務關係惡化。雖然在這種情況下當然有法律補救措施,但如果您可以在與亞馬遜合作的同時繼續與其他託管提供商開展業務運營,這對您來說是有利的。為此,擁有無需亞馬遜參與即可訪問的備份(至少)似乎是謹慎的做法。
(我甚至認為,可能值得對在另一台主機上啟動整個應用程式進行評估。如果亞馬遜的情況確實惡化,有備份固然很好,但如果您可以繼續運行您的網站,那就更好了。
答案2
看起來你的威脅模型相當不錯。
AWS 在 EC2 執行個體(和相關服務)上提供可用區域,以協助防範此類事件。將備份放在另一個區域會更好。
這與其說是關於亞馬遜對損壞的免疫力或不免疫力,不如說是關於以物理距離分隔備份的概念。
與有人危害您的帳戶相關的威脅模型是完全合理的;過去人們曾以這種方式被扣押以索取贖金。
就我個人而言,我不會移動快照。如果您使用 EC2 伺服器作為非臨時節點,則您沒有使用 AWS 的全部功能。 「雲端架構」的重點是伺服器可以隨時更換。但是,我肯定會將此範例應用於實際備份(資料轉儲等)。
將備份放入單獨的帳戶和可能的單獨的 AWS 區域的替代方案要昂貴得多:異地資料儲存公司。這些人通常成本更高,但作為交換,他們往往會明確聲明您的資料的安全性。