Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSアカウント74件をバックアップした方法と課題
Search
Chiharu-Tsuboi
March 14, 2024
Technology
0
320
AWSアカウント74件をバックアップした方法と課題
2024/3/14のStorage-JAWS#3で発表した資料です
Chiharu-Tsuboi
March 14, 2024
Tweet
Share
More Decks by Chiharu-Tsuboi
See All by Chiharu-Tsuboi
新機能!Amazon Aurora Limitless Database とは
chiharutsuboi
0
660
S3の情報漏洩からデータを守るには?CloudFormationで作るS3標準テンプレートのご紹介
chiharutsuboi
0
170
Amazon Aurora徹底比較 Provisioned vs Serverless
chiharutsuboi
0
3.6k
EventBridgeでEventが発生しないことがある?v2
chiharutsuboi
0
1.2k
EventBridgeでEventが発生しないことがある?
chiharutsuboi
0
120
500万円のサービスを申し込んでしまった
chiharutsuboi
1
1.3k
Other Decks in Technology
See All in Technology
OPENLOGI Company Profile
hr01
0
60k
Helm , Kustomize に代わる !? 次世代 k8s パッケージマネージャー Glasskube 入門 / glasskube-entry
parupappa2929
0
290
クラウドサービス事業者におけるOSS
tagomoris
3
970
Swiftの “private” を テストする / Testing Swift "private"
yutailang0119
0
140
次世代KYC活動報告 / 20250219-BizDay17-KYC-nextgen
oidfj
0
460
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
1
240
1行のコードから社会課題の解決へ: EMの探究、事業・技術・組織を紡ぐ実践知 / EM Conf 2025
9ma3r
6
1.9k
偏光画像処理ライブラリを作った話
elerac
1
150
IAMポリシーのAllow/Denyについて、改めて理解する
smt7174
2
180
【内製開発Summit 2025】イオンスマートテクノロジーの内製化組織の作り方/In-house-development-summit-AST
aeonpeople
1
470
速くて安いWebサイトを作る
nishiharatsubasa
15
15k
Autonomous Database Serverless 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
17
45k
Featured
See All Featured
Embracing the Ebb and Flow
colly
84
4.6k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Into the Great Unknown - MozCon
thekraken
35
1.6k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7.1k
Bootstrapping a Software Product
garrettdimon
PRO
306
110k
A better future with KSS
kneath
238
17k
It's Worth the Effort
3n
184
28k
Large-scale JavaScript Application Architecture
addyosmani
511
110k
Adopting Sorbet at Scale
ufuk
74
9.2k
Facilitating Awesome Meetings
lara
52
6.2k
Transcript
AWSアカウント74件をバックアップした方法と課題 2024/3/14 株式会社セゾン情報システムズ 坪井 千春 1 Storage-JAWS#3
自己紹介 名前: 坪井 千春 所属: 株式会社セゾン情報システムズ 仕事: アーキテクト、CCoE 好きなAWSサービス:AWS Security
Hub 経歴: ・SIerとしてJAVAメインのアプリ開発を19年 ・直近6年程度AWSを利用 ・2022年4月からアプリを離れてAWSエンジニアとして活動 2
本日のお話 3 • セキュリティ対策として74件のAWSアカウントをバックアップ • 実施前のバックアップ試算でコストが大きな課題に • 試算の見直しポイントや困ったことをご紹介
背景 データのバックアップは重要なセキュリティ対策 4 IPA「情報セキュリティ10大脅威 2024」によるとランサムウェアによる被害は9年連続9回目1位 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html
背景 ランサムウェアによる被害事例 5 ◆ランサムウェア感染による2日半の業務停止 2023年7月、港統一ターミナルシステムにランサムウェア感染による障害が発生した。システム専用のプリンターから脅迫文書が印刷された。 物理サーバー基盤および全仮想サーバーが暗号化されていることが判明した。これはリモート接続機器の脆弱性を悪用した不正アクセスが原 因でランサムウェアに感染したと考えられ、約2日半ターミナルでの作業の停止を余儀なくされた。 ◆ランサムウェア感染によるサービス提供停止 2023年6月、システム開発およびクラウドサービス事業者が、データセンターのサーバーに不正アクセスされ、ランサムウェアに感染したこ とを公表した。この感染により、データが暗号化され、社会保険労務士向けクラウドサービスをサービス提供できなくなった。約
3,400 人 のユーザーに影響があり、オンプレミスで動作するパッケージ版を代替として提供した。また、インフラ設備の再構築費用やセキュリティ対 策費用のコスト増、影響があったユーザーへの6月の請求を停止するといった対応により、業績予想を修正することとなった。 ◆VPN 経由で侵入、ランサムウェアを横展開 2022年10月にランサムウェアによる攻撃を受けていたことを公表した。攻撃者はネットワーク機器の脆弱性を悪用してVPN 経由で侵入し、内 部情報を収集していた。この結果、攻撃者にランサムウェアを横展開され、サーバー11 台でほとんどのデータが暗号化されていた。暗号化 されたデータには約49万人の個人情報が含まれるものの、外部への流出は確認されていないとのこと。また、データは復元できなかったが、 バックアップを取っていたデータベースは感染を逃れていたため、復元することができた。 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html
背景 当社でも対策に乗り出した 6 現状のシステムはオンプレからAWSへリフトアップしたシステムが多く、 適切なバックアップストラテジーに出来ていなかった 見直し前 見直し後 短期的 日次1~3世代程度 日次5世代
長期的 初期構築時の手動取得 のみ 月次2世代 対象サービス 主要サービスのみ (EBS/RDS) 原則永続ストレージは全て (S3含む)
AWS Backupとは 多様なAWSサービスのデータ保護を一元管理 7 さまざまなリソースのデータを簡単にバックアップ、復元、管理することができる No 機能 1 統合されたバックアップ管理 2
継続的なバックアップの自動化 3 暗号化 4 バックアップ監査とコンプライアンス のサポート 5 クロスリージョンおよびクロスアカウ ントバックアップ 6 リストア、リストアテスト 7 バックアップ保護 8 監視とアラート 9 タグによる管理 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS-Backup-For-VMwareCloudOnAWS-DR_0228_v1.pdf
AWS Backupの料金体系 サービス毎に設定があり少し複雑 8 ※東京リージョン、ウォームストレージの場合 No 料金の種類 例 1 バックアップストレージの料金
※EBSスナップショット等、サービス自体のバッ クアップと同一 EBS :$0.05/GB/月 S3 :$0.06/GB/月 DynamoDB :$0.114/GB/月 RDS :$0.095/GB/月 Aurora :$0.023/GB/月 2 復元の料金 EBS:無料 S3 :$0.024/GB 3 復元テスト料金 $1.80/バックアップまたはリカバリポイント 4 クロスリージョンのデータ転送の料金 東京→大阪:$0.09/GB 5 AWS Backup Audit Manager の料金 $1.25/1,000 評価あたり +Config料金
マルチアカウントへの展開方式 複数の方法が考えられたが、事情によりStackSetsを採用 9 AWS Organizationsとの統合 AWS CloudFormation StackSets
展開前のコスト試算 単純に試算したら莫大な金額に 10 方針 • バックアップ対象サービスは6種類(EFS/EC2/RDS/DynamoDB/FSx/S3) • 74件のAWSアカウントに対してバックアップ • 既存のバックアップ設定状況を気にせず一律全て取得(速さ重視)
• 開発/検証環境はフルバックアップ1世代のみで削減 追加のAWS利用料が月額1000万円超え
コスト試算方法を見直し 3つの見直しを実施 11 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し
①初回フルバックアップの発生単位見直し フルバックアップが発生する単位が誤っていた 12 プランがいくつあっても、フルバックアップはリソースにつき1回だけ 誤った試算(バックアッププラン単位) ◦正しい試算(リソース単位) ・プラン毎に初回100%で試算 ・420%-100%=追加320% ・全て増分で試算 ・170%-100%=追加70%
②Auroraの特殊なバックアップ無料利用枠 大きく2種類のバックアップが存在 13 • 自動バックアップ • 連続的かつ増分 • バックアップ保持期間 (1~35日)
• AWS Backupの「ポイントインタイムリカバリ(継続的バックアップ)」有効 • AWS Backupを設定すると初回バックアップで保持期間等の自動バックアップ設 定が上書きされる • 手動 DB クラスタースナップショット • 常にフルバックアップ • バックアップ保持期間(1日~100年~永続) • AWS Backupの「ポイントインタイムリカバリ(継続的バックアップ) 」無効
②Auroraの特殊なバックアップ無料利用枠 自動バックアップ 14 自動バックアップ ストレージ使用量 計120GB 現在のボリュームサイズ (バックアップの無料利用枠) 課金対象 ストレージ利用量
②Auroraの特殊なバックアップ無料利用枠 手動DBクラスタースナップショット 15 自動バックアップ ストレージ使用量 計120GB 3日前のスナップショットA (フルバックアップ) 35日前のスナップショットB (フルバックアップ)
自動バックアップ期間内 =無料利用枠 自動バックアップ期間外 =課金対象 期 間 内 の ス ナ ッ プ シ ョ ッ ト が 無 料
③対象外とするリソースの洗い出し 16 ◆ AWSアカウント毎に担当者へ確認 システム毎の個別要件からバックアップ不要なリソースを洗い出し ◆ S3バケットの分割 • システム稼働として重要なものとそうでないものが混在した100TBのバケッ トが存在したためストレージクラスの見直しも含めバケットを分割を検討
• AWS Backup以外の方法も選択肢として個々に継続検討 バージョニング/リージョン内バケットコピー/クロスリージョンレプリ ケーション/バケットポリシー/削除保護 他の方法で対策できるリソースをバックアップ対象外に
試算を見直した結果 17 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し 追加のAWS利用料が1/10程度まで削減 ※実際にはデータが圧縮されるサービスもあるため、さらに削減される見込み
その他、困ったこと 18 ◆指定のタグが「設定されていないもの」をバックアップ対象とすること ができない • リソースにタグがあればタグ指定のルール、無ければ固定のルールでバック アップしたかった • タグ指定無しで全てをバックアップは可能。対象サービスの全リソースを バックアップし、除外リソースをARNで個別に指定して対処
◆AWS Backupでは「デフォルトのロール」を採用したが、存在するアカウ ントと存在しないアカウントがあった • マネジメントコンソールを使用すると自動的に作成 • 存在しないアカウントに対してCloudFormationで作成して対処
まとめ 19 バックアップはセキュリティ対策としても重要 AWS Backupを使うとバックアップの一元管理が可能 バックアップ料金に気を付けて適切なバックアップを!