Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSアカウント74件をバックアップした方法と課題

Avatar for Chiharu-Tsuboi Chiharu-Tsuboi
March 14, 2024
Technology
410
0

 AWSアカウント74件をバックアップした方法と課題

2024/3/14のStorage-JAWS#3で発表した資料です

Avatar for Chiharu-Tsuboi

Chiharu-Tsuboi

March 14, 2024

More Decks by Chiharu-Tsuboi

See All by Chiharu-Tsuboi
AWS公式MCP、全部入れたら便利?精度下がる?
Avatar for Chiharu-Tsuboi chiharutsuboi
1
520
新機能!Amazon Aurora Limitless Database とは
Avatar for Chiharu-Tsuboi chiharutsuboi
0
810
S3の情報漏洩からデータを守るには?CloudFormationで作るS3標準テンプレートのご紹介
Avatar for Chiharu-Tsuboi chiharutsuboi
0
230
Amazon Aurora徹底比較 Provisioned vs Serverless
Avatar for Chiharu-Tsuboi chiharutsuboi
0
5.1k
EventBridgeでEventが発生しないことがある?v2
Avatar for Chiharu-Tsuboi chiharutsuboi
0
1.7k
EventBridgeでEventが発生しないことがある?
Avatar for Chiharu-Tsuboi chiharutsuboi
0
220
500万円のサービスを申し込んでしまった
Avatar for Chiharu-Tsuboi chiharutsuboi
1
1.4k

Other Decks in Technology

See All in Technology
新規事業を牽引する技術選定 〜フルスタックTypeScript開発の実践事例〜
Avatar for Katsuma Narisawa nullnull
3
350
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
Avatar for oracle4engineer oracle4engineer
PRO
0
220
もりもり新機能を一挙紹介! AgentCoreに入門して、AWS上にAIエージェントを構築しよう
Avatar for みのるん minorun365
PRO
6
810
個人の発見を、組織の知恵に 〜生成AI活用を"探索"から"組織の仕組み"へ〜
Avatar for KintoTech_Dev kintotechdev
2
980
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development
Avatar for 吉田真吾 yoshidashingo
1
360
Claude code Orchestra
Avatar for Taisei Ozaki ozakiomumkj
3
960
Ruby::Boxでできること、Refinementsでできること
Avatar for Tomohiro Hashidate joker1007
3
390
AI駆動開発が変える、大規模開発の前提 ーHuman in the Loop から Human on the Loop へ / AIE2026
Avatar for Visional Engineering & Design visional_engineering_and_design
7
4.9k
チームで実践する AI-DLC 思考の軌跡を残すチェックポイント設計
Avatar for Belong inc. belongadmin
0
2.6k
そのPoC、何を検証したつもりでしたか? AIプロダクトの価値検証で陥った落とし穴
Avatar for PERSOL CAREER Dev | techtekt techtekt
PRO
0
150
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.9k
React、まだ楽しくて草
Avatar for uhyo uhyo
7
4.1k

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.3k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
34k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
190
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
275
41k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.6k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.5k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.2k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
840
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
200

Transcript

  1. AWSアカウント74件をバックアップした方法と課題 2024/3/14 株式会社セゾン情報システムズ 坪井 千春 1 Storage-JAWS#3

  2. 自己紹介 名前: 坪井 千春 所属: 株式会社セゾン情報システムズ 仕事: アーキテクト、CCoE 好きなAWSサービス:AWS Security

    Hub 経歴: ・SIerとしてJAVAメインのアプリ開発を19年 ・直近6年程度AWSを利用 ・2022年4月からアプリを離れてAWSエンジニアとして活動 2

  3. 本日のお話 3 • セキュリティ対策として74件のAWSアカウントをバックアップ • 実施前のバックアップ試算でコストが大きな課題に • 試算の見直しポイントや困ったことをご紹介

  4. 背景 データのバックアップは重要なセキュリティ対策 4 IPA「情報セキュリティ10大脅威 2024」によるとランサムウェアによる被害は9年連続9回目1位 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html

  5. 背景 ランサムウェアによる被害事例 5 ◆ランサムウェア感染による2日半の業務停止 2023年7月、港統一ターミナルシステムにランサムウェア感染による障害が発生した。システム専用のプリンターから脅迫文書が印刷された。 物理サーバー基盤および全仮想サーバーが暗号化されていることが判明した。これはリモート接続機器の脆弱性を悪用した不正アクセスが原 因でランサムウェアに感染したと考えられ、約2日半ターミナルでの作業の停止を余儀なくされた。 ◆ランサムウェア感染によるサービス提供停止 2023年6月、システム開発およびクラウドサービス事業者が、データセンターのサーバーに不正アクセスされ、ランサムウェアに感染したこ とを公表した。この感染により、データが暗号化され、社会保険労務士向けクラウドサービスをサービス提供できなくなった。約

    3,400 人 のユーザーに影響があり、オンプレミスで動作するパッケージ版を代替として提供した。また、インフラ設備の再構築費用やセキュリティ対 策費用のコスト増、影響があったユーザーへの6月の請求を停止するといった対応により、業績予想を修正することとなった。 ◆VPN 経由で侵入、ランサムウェアを横展開 2022年10月にランサムウェアによる攻撃を受けていたことを公表した。攻撃者はネットワーク機器の脆弱性を悪用してVPN 経由で侵入し、内 部情報を収集していた。この結果、攻撃者にランサムウェアを横展開され、サーバー11 台でほとんどのデータが暗号化されていた。暗号化 されたデータには約49万人の個人情報が含まれるものの、外部への流出は確認されていないとのこと。また、データは復元できなかったが、 バックアップを取っていたデータベースは感染を逃れていたため、復元することができた。 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html

  6. 背景 当社でも対策に乗り出した 6 現状のシステムはオンプレからAWSへリフトアップしたシステムが多く、 適切なバックアップストラテジーに出来ていなかった 見直し前 見直し後 短期的 日次1~3世代程度 日次5世代

    長期的 初期構築時の手動取得 のみ 月次2世代 対象サービス 主要サービスのみ (EBS/RDS) 原則永続ストレージは全て (S3含む)

  7. AWS Backupとは 多様なAWSサービスのデータ保護を一元管理 7 さまざまなリソースのデータを簡単にバックアップ、復元、管理することができる No 機能 1 統合されたバックアップ管理 2

    継続的なバックアップの自動化 3 暗号化 4 バックアップ監査とコンプライアンス のサポート 5 クロスリージョンおよびクロスアカウ ントバックアップ 6 リストア、リストアテスト 7 バックアップ保護 8 監視とアラート 9 タグによる管理 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS-Backup-For-VMwareCloudOnAWS-DR_0228_v1.pdf

  8. AWS Backupの料金体系 サービス毎に設定があり少し複雑 8 ※東京リージョン、ウォームストレージの場合 No 料金の種類 例 1 バックアップストレージの料金

    ※EBSスナップショット等、サービス自体のバッ クアップと同一 EBS :$0.05/GB/月 S3 :$0.06/GB/月 DynamoDB :$0.114/GB/月 RDS :$0.095/GB/月 Aurora :$0.023/GB/月 2 復元の料金 EBS:無料 S3 :$0.024/GB 3 復元テスト料金 $1.80/バックアップまたはリカバリポイント 4 クロスリージョンのデータ転送の料金 東京→大阪:$0.09/GB 5 AWS Backup Audit Manager の料金 $1.25/1,000 評価あたり +Config料金

  9. マルチアカウントへの展開方式 複数の方法が考えられたが、事情によりStackSetsを採用 9 AWS Organizationsとの統合 AWS CloudFormation StackSets

  10. 展開前のコスト試算 単純に試算したら莫大な金額に 10 方針 • バックアップ対象サービスは6種類(EFS/EC2/RDS/DynamoDB/FSx/S3) • 74件のAWSアカウントに対してバックアップ • 既存のバックアップ設定状況を気にせず一律全て取得(速さ重視)

    • 開発/検証環境はフルバックアップ1世代のみで削減 追加のAWS利用料が月額1000万円超え

  11. コスト試算方法を見直し 3つの見直しを実施 11 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し

  12. ①初回フルバックアップの発生単位見直し フルバックアップが発生する単位が誤っていた 12 プランがいくつあっても、フルバックアップはリソースにつき1回だけ 誤った試算(バックアッププラン単位) ◦正しい試算(リソース単位) ・プラン毎に初回100%で試算 ・420%-100%=追加320% ・全て増分で試算 ・170%-100%=追加70%

  13. ②Auroraの特殊なバックアップ無料利用枠 大きく2種類のバックアップが存在 13 • 自動バックアップ • 連続的かつ増分 • バックアップ保持期間 (1~35日)

    • AWS Backupの「ポイントインタイムリカバリ(継続的バックアップ)」有効 • AWS Backupを設定すると初回バックアップで保持期間等の自動バックアップ設 定が上書きされる • 手動 DB クラスタースナップショット • 常にフルバックアップ • バックアップ保持期間(1日~100年~永続) • AWS Backupの「ポイントインタイムリカバリ(継続的バックアップ) 」無効

  14. ②Auroraの特殊なバックアップ無料利用枠 自動バックアップ 14 自動バックアップ ストレージ使用量 計120GB 現在のボリュームサイズ (バックアップの無料利用枠) 課金対象 ストレージ利用量

  15. ②Auroraの特殊なバックアップ無料利用枠 手動DBクラスタースナップショット 15 自動バックアップ ストレージ使用量 計120GB 3日前のスナップショットA (フルバックアップ) 35日前のスナップショットB (フルバックアップ)

    自動バックアップ期間内 =無料利用枠 自動バックアップ期間外 =課金対象 期 間 内 の ス ナ ッ プ シ ョ ッ ト が 無 料

  16. ③対象外とするリソースの洗い出し 16 ◆ AWSアカウント毎に担当者へ確認 システム毎の個別要件からバックアップ不要なリソースを洗い出し ◆ S3バケットの分割 • システム稼働として重要なものとそうでないものが混在した100TBのバケッ トが存在したためストレージクラスの見直しも含めバケットを分割を検討

    • AWS Backup以外の方法も選択肢として個々に継続検討 バージョニング/リージョン内バケットコピー/クロスリージョンレプリ ケーション/バケットポリシー/削除保護 他の方法で対策できるリソースをバックアップ対象外に

  17. 試算を見直した結果 17 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し 追加のAWS利用料が1/10程度まで削減 ※実際にはデータが圧縮されるサービスもあるため、さらに削減される見込み

  18. その他、困ったこと 18 ◆指定のタグが「設定されていないもの」をバックアップ対象とすること ができない • リソースにタグがあればタグ指定のルール、無ければ固定のルールでバック アップしたかった • タグ指定無しで全てをバックアップは可能。対象サービスの全リソースを バックアップし、除外リソースをARNで個別に指定して対処

    ◆AWS Backupでは「デフォルトのロール」を採用したが、存在するアカウ ントと存在しないアカウントがあった • マネジメントコンソールを使用すると自動的に作成 • 存在しないアカウントに対してCloudFormationで作成して対処

  19. まとめ 19 バックアップはセキュリティ対策としても重要 AWS Backupを使うとバックアップの一元管理が可能 バックアップ料金に気を付けて適切なバックアップを!