AWSアカウント74件をバックアップした方法と課題

Transcript

1. AWSアカウント74件をバックアップした方法と課題 2024/3/14 株式会社セゾン情報システムズ 坪井 千春 1 Storage-JAWS#3

2. 自己紹介 名前： 坪井 千春 所属： 株式会社セゾン情報システムズ 仕事： アーキテクト、CCoE 好きなAWSサービス：AWS Security

   Hub 経歴： ・SIerとしてJAVAメインのアプリ開発を19年 ・直近6年程度AWSを利用 ・2022年4月からアプリを離れてAWSエンジニアとして活動 2

3. 本日のお話 3 • セキュリティ対策として74件のAWSアカウントをバックアップ • 実施前のバックアップ試算でコストが大きな課題に • 試算の見直しポイントや困ったことをご紹介

4. 背景 データのバックアップは重要なセキュリティ対策 4 IPA「情報セキュリティ10大脅威 2024」によるとランサムウェアによる被害は9年連続9回目1位 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html

5. 背景 ランサムウェアによる被害事例 5 ◆ランサムウェア感染による2日半の業務停止 2023年7月、港統一ターミナルシステムにランサムウェア感染による障害が発生した。システム専用のプリンターから脅迫文書が印刷された。 物理サーバー基盤および全仮想サーバーが暗号化されていることが判明した。これはリモート接続機器の脆弱性を悪用した不正アクセスが原 因でランサムウェアに感染したと考えられ、約2日半ターミナルでの作業の停止を余儀なくされた。 ◆ランサムウェア感染によるサービス提供停止 2023年6月、システム開発およびクラウドサービス事業者が、データセンターのサーバーに不正アクセスされ、ランサムウェアに感染したこ とを公表した。この感染により、データが暗号化され、社会保険労務士向けクラウドサービスをサービス提供できなくなった。約

   3,400 人 のユーザーに影響があり、オンプレミスで動作するパッケージ版を代替として提供した。また、インフラ設備の再構築費用やセキュリティ対 策費用のコスト増、影響があったユーザーへの6月の請求を停止するといった対応により、業績予想を修正することとなった。 ◆VPN 経由で侵入、ランサムウェアを横展開 2022年10月にランサムウェアによる攻撃を受けていたことを公表した。攻撃者はネットワーク機器の脆弱性を悪用してVPN 経由で侵入し、内 部情報を収集していた。この結果、攻撃者にランサムウェアを横展開され、サーバー11 台でほとんどのデータが暗号化されていた。暗号化 されたデータには約49万人の個人情報が含まれるものの、外部への流出は確認されていないとのこと。また、データは復元できなかったが、 バックアップを取っていたデータベースは感染を逃れていたため、復元することができた。 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html

6. 背景 当社でも対策に乗り出した 6 現状のシステムはオンプレからAWSへリフトアップしたシステムが多く、 適切なバックアップストラテジーに出来ていなかった 見直し前 見直し後 短期的 日次1～3世代程度 日次5世代

   長期的 初期構築時の手動取得 のみ 月次2世代 対象サービス 主要サービスのみ （EBS／RDS） 原則永続ストレージは全て （S3含む）

7. AWS Backupとは 多様なAWSサービスのデータ保護を一元管理 7 さまざまなリソースのデータを簡単にバックアップ、復元、管理することができる No 機能 1 統合されたバックアップ管理 2

   継続的なバックアップの自動化 3 暗号化 4 バックアップ監査とコンプライアンス のサポート 5 クロスリージョンおよびクロスアカウ ントバックアップ 6 リストア、リストアテスト 7 バックアップ保護 8 監視とアラート 9 タグによる管理 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS-Backup-For-VMwareCloudOnAWS-DR_0228_v1.pdf

8. AWS Backupの料金体系 サービス毎に設定があり少し複雑 8 ※東京リージョン、ウォームストレージの場合 No 料金の種類 例 1 バックアップストレージの料金

   ※EBSスナップショット等、サービス自体のバッ クアップと同一 EBS ：$0.05/GB/月 S3 ：$0.06/GB/月 DynamoDB :$0.114/GB/月 RDS ：$0.095/GB/月 Aurora ：$0.023/GB/月 2 復元の料金 EBS：無料 S3 ：$0.024/GB 3 復元テスト料金 $1.80/バックアップまたはリカバリポイント 4 クロスリージョンのデータ転送の料金 東京→大阪：$0.09/GB 5 AWS Backup Audit Manager の料金 $1.25/1,000 評価あたり +Config料金

9. マルチアカウントへの展開方式 複数の方法が考えられたが、事情によりStackSetsを採用 9 AWS Organizationsとの統合 AWS CloudFormation StackSets

10. 展開前のコスト試算 単純に試算したら莫大な金額に 10 方針 • バックアップ対象サービスは6種類（EFS/EC2/RDS/DynamoDB/FSx/S3） • 74件のAWSアカウントに対してバックアップ • 既存のバックアップ設定状況を気にせず一律全て取得（速さ重視）

    • 開発／検証環境はフルバックアップ1世代のみで削減 追加のAWS利用料が月額1000万円超え

11. コスト試算方法を見直し ３つの見直しを実施 11 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し

12. ①初回フルバックアップの発生単位見直し フルバックアップが発生する単位が誤っていた 12 プランがいくつあっても、フルバックアップはリソースにつき1回だけ 誤った試算（バックアッププラン単位） ◦正しい試算（リソース単位） ・プラン毎に初回100%で試算 ・420%-100%=追加320% ・全て増分で試算 ・170%-100%=追加70%

13. ②Auroraの特殊なバックアップ無料利用枠 大きく2種類のバックアップが存在 13 • 自動バックアップ • 連続的かつ増分 • バックアップ保持期間 (1～35日)

    • AWS Backupの「ポイントインタイムリカバリ（継続的バックアップ）」有効 • AWS Backupを設定すると初回バックアップで保持期間等の自動バックアップ設 定が上書きされる • 手動 DB クラスタースナップショット • 常にフルバックアップ • バックアップ保持期間（1日～100年～永続） • AWS Backupの「ポイントインタイムリカバリ（継続的バックアップ） 」無効

14. ②Auroraの特殊なバックアップ無料利用枠 自動バックアップ 14 自動バックアップ ストレージ使用量 計120GB 現在のボリュームサイズ （バックアップの無料利用枠） 課金対象 ストレージ利用量

15. ②Auroraの特殊なバックアップ無料利用枠 手動DBクラスタースナップショット 15 自動バックアップ ストレージ使用量 計120GB 3日前のスナップショットA （フルバックアップ） 35日前のスナップショットB （フルバックアップ）

    自動バックアップ期間内 ＝無料利用枠 自動バックアップ期間外 ＝課金対象 期 間 内 の ス ナ ッ プ シ ョ ッ ト が 無 料

16. ③対象外とするリソースの洗い出し 16 ◆ AWSアカウント毎に担当者へ確認 システム毎の個別要件からバックアップ不要なリソースを洗い出し ◆ S3バケットの分割 • システム稼働として重要なものとそうでないものが混在した100TBのバケッ トが存在したためストレージクラスの見直しも含めバケットを分割を検討

    • AWS Backup以外の方法も選択肢として個々に継続検討 バージョニング／リージョン内バケットコピー／クロスリージョンレプリ ケーション／バケットポリシー／削除保護 他の方法で対策できるリソースをバックアップ対象外に

17. 試算を見直した結果 17 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し 追加のAWS利用料が1/10程度まで削減 ※実際にはデータが圧縮されるサービスもあるため、さらに削減される見込み

18. その他、困ったこと 18 ◆指定のタグが「設定されていないもの」をバックアップ対象とすること ができない • リソースにタグがあればタグ指定のルール、無ければ固定のルールでバック アップしたかった • タグ指定無しで全てをバックアップは可能。対象サービスの全リソースを バックアップし、除外リソースをARNで個別に指定して対処

    ◆AWS Backupでは「デフォルトのロール」を採用したが、存在するアカウ ントと存在しないアカウントがあった • マネジメントコンソールを使用すると自動的に作成 • 存在しないアカウントに対してCloudFormationで作成して対処

19. まとめ 19 バックアップはセキュリティ対策としても重要 AWS Backupを使うとバックアップの一元管理が可能 バックアップ料金に気を付けて適切なバックアップを！