Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSアカウント74件をバックアップした方法と課題
Search
Chiharu-Tsuboi
March 14, 2024
Technology
0
320
AWSアカウント74件をバックアップした方法と課題
2024/3/14のStorage-JAWS#3で発表した資料です
Chiharu-Tsuboi
March 14, 2024
Tweet
Share
More Decks by Chiharu-Tsuboi
See All by Chiharu-Tsuboi
新機能!Amazon Aurora Limitless Database とは
chiharutsuboi
0
650
S3の情報漏洩からデータを守るには?CloudFormationで作るS3標準テンプレートのご紹介
chiharutsuboi
0
170
Amazon Aurora徹底比較 Provisioned vs Serverless
chiharutsuboi
0
3.6k
EventBridgeでEventが発生しないことがある?v2
chiharutsuboi
0
1.2k
EventBridgeでEventが発生しないことがある?
chiharutsuboi
0
120
500万円のサービスを申し込んでしまった
chiharutsuboi
1
1.3k
Other Decks in Technology
See All in Technology
Iceberg Meetup Japan #1 : Iceberg and Databricks
databricksjapan
0
160
ローカルLLMを活用したコード生成と、ローコード開発ツールへの応用
kazuhitoyokoi
0
130
JEDAI Meetup! Databricks AI/BI概要
databricksjapan
0
280
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
370
Building Products in the LLM Era
ymatsuwitter
10
6.1k
Oracle Cloud Infrastructure:2025年2月度サービス・アップデート
oracle4engineer
PRO
1
330
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
200
コンテナサプライチェーンセキュリティ
kyohmizu
1
110
TAMとre:Capセキュリティ編 〜拡張脅威検出デモを添えて〜
fujiihda
2
360
管理者しか知らないOutlookの裏側のAIを覗く#AzureTravelers
hirotomotaguchi
2
510
深層学習と古典的画像アルゴリズムを組み合わせた類似画像検索内製化
shutotakahashi
1
260
ソフトウェアエンジニアと仕事するときに知っておいたほうが良いこと / Key points for working with software engineers
pinkumohikan
1
130
Featured
See All Featured
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
How to Think Like a Performance Engineer
csswizardry
22
1.4k
Rails Girls Zürich Keynote
gr2m
94
13k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.8k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Become a Pro
speakerdeck
PRO
26
5.1k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.1k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
Mobile First: as difficult as doing things right
swwweet
223
9.3k
Transcript
AWSアカウント74件をバックアップした方法と課題 2024/3/14 株式会社セゾン情報システムズ 坪井 千春 1 Storage-JAWS#3
自己紹介 名前: 坪井 千春 所属: 株式会社セゾン情報システムズ 仕事: アーキテクト、CCoE 好きなAWSサービス:AWS Security
Hub 経歴: ・SIerとしてJAVAメインのアプリ開発を19年 ・直近6年程度AWSを利用 ・2022年4月からアプリを離れてAWSエンジニアとして活動 2
本日のお話 3 • セキュリティ対策として74件のAWSアカウントをバックアップ • 実施前のバックアップ試算でコストが大きな課題に • 試算の見直しポイントや困ったことをご紹介
背景 データのバックアップは重要なセキュリティ対策 4 IPA「情報セキュリティ10大脅威 2024」によるとランサムウェアによる被害は9年連続9回目1位 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html
背景 ランサムウェアによる被害事例 5 ◆ランサムウェア感染による2日半の業務停止 2023年7月、港統一ターミナルシステムにランサムウェア感染による障害が発生した。システム専用のプリンターから脅迫文書が印刷された。 物理サーバー基盤および全仮想サーバーが暗号化されていることが判明した。これはリモート接続機器の脆弱性を悪用した不正アクセスが原 因でランサムウェアに感染したと考えられ、約2日半ターミナルでの作業の停止を余儀なくされた。 ◆ランサムウェア感染によるサービス提供停止 2023年6月、システム開発およびクラウドサービス事業者が、データセンターのサーバーに不正アクセスされ、ランサムウェアに感染したこ とを公表した。この感染により、データが暗号化され、社会保険労務士向けクラウドサービスをサービス提供できなくなった。約
3,400 人 のユーザーに影響があり、オンプレミスで動作するパッケージ版を代替として提供した。また、インフラ設備の再構築費用やセキュリティ対 策費用のコスト増、影響があったユーザーへの6月の請求を停止するといった対応により、業績予想を修正することとなった。 ◆VPN 経由で侵入、ランサムウェアを横展開 2022年10月にランサムウェアによる攻撃を受けていたことを公表した。攻撃者はネットワーク機器の脆弱性を悪用してVPN 経由で侵入し、内 部情報を収集していた。この結果、攻撃者にランサムウェアを横展開され、サーバー11 台でほとんどのデータが暗号化されていた。暗号化 されたデータには約49万人の個人情報が含まれるものの、外部への流出は確認されていないとのこと。また、データは復元できなかったが、 バックアップを取っていたデータベースは感染を逃れていたため、復元することができた。 IPA 情報セキュリティ10大脅威 2024 https://www.ipa.go.jp/security/10threats/10threats2024.html
背景 当社でも対策に乗り出した 6 現状のシステムはオンプレからAWSへリフトアップしたシステムが多く、 適切なバックアップストラテジーに出来ていなかった 見直し前 見直し後 短期的 日次1~3世代程度 日次5世代
長期的 初期構築時の手動取得 のみ 月次2世代 対象サービス 主要サービスのみ (EBS/RDS) 原則永続ストレージは全て (S3含む)
AWS Backupとは 多様なAWSサービスのデータ保護を一元管理 7 さまざまなリソースのデータを簡単にバックアップ、復元、管理することができる No 機能 1 統合されたバックアップ管理 2
継続的なバックアップの自動化 3 暗号化 4 バックアップ監査とコンプライアンス のサポート 5 クロスリージョンおよびクロスアカウ ントバックアップ 6 リストア、リストアテスト 7 バックアップ保護 8 監視とアラート 9 タグによる管理 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS-Backup-For-VMwareCloudOnAWS-DR_0228_v1.pdf
AWS Backupの料金体系 サービス毎に設定があり少し複雑 8 ※東京リージョン、ウォームストレージの場合 No 料金の種類 例 1 バックアップストレージの料金
※EBSスナップショット等、サービス自体のバッ クアップと同一 EBS :$0.05/GB/月 S3 :$0.06/GB/月 DynamoDB :$0.114/GB/月 RDS :$0.095/GB/月 Aurora :$0.023/GB/月 2 復元の料金 EBS:無料 S3 :$0.024/GB 3 復元テスト料金 $1.80/バックアップまたはリカバリポイント 4 クロスリージョンのデータ転送の料金 東京→大阪:$0.09/GB 5 AWS Backup Audit Manager の料金 $1.25/1,000 評価あたり +Config料金
マルチアカウントへの展開方式 複数の方法が考えられたが、事情によりStackSetsを採用 9 AWS Organizationsとの統合 AWS CloudFormation StackSets
展開前のコスト試算 単純に試算したら莫大な金額に 10 方針 • バックアップ対象サービスは6種類(EFS/EC2/RDS/DynamoDB/FSx/S3) • 74件のAWSアカウントに対してバックアップ • 既存のバックアップ設定状況を気にせず一律全て取得(速さ重視)
• 開発/検証環境はフルバックアップ1世代のみで削減 追加のAWS利用料が月額1000万円超え
コスト試算方法を見直し 3つの見直しを実施 11 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し
①初回フルバックアップの発生単位見直し フルバックアップが発生する単位が誤っていた 12 プランがいくつあっても、フルバックアップはリソースにつき1回だけ 誤った試算(バックアッププラン単位) ◦正しい試算(リソース単位) ・プラン毎に初回100%で試算 ・420%-100%=追加320% ・全て増分で試算 ・170%-100%=追加70%
②Auroraの特殊なバックアップ無料利用枠 大きく2種類のバックアップが存在 13 • 自動バックアップ • 連続的かつ増分 • バックアップ保持期間 (1~35日)
• AWS Backupの「ポイントインタイムリカバリ(継続的バックアップ)」有効 • AWS Backupを設定すると初回バックアップで保持期間等の自動バックアップ設 定が上書きされる • 手動 DB クラスタースナップショット • 常にフルバックアップ • バックアップ保持期間(1日~100年~永続) • AWS Backupの「ポイントインタイムリカバリ(継続的バックアップ) 」無効
②Auroraの特殊なバックアップ無料利用枠 自動バックアップ 14 自動バックアップ ストレージ使用量 計120GB 現在のボリュームサイズ (バックアップの無料利用枠) 課金対象 ストレージ利用量
②Auroraの特殊なバックアップ無料利用枠 手動DBクラスタースナップショット 15 自動バックアップ ストレージ使用量 計120GB 3日前のスナップショットA (フルバックアップ) 35日前のスナップショットB (フルバックアップ)
自動バックアップ期間内 =無料利用枠 自動バックアップ期間外 =課金対象 期 間 内 の ス ナ ッ プ シ ョ ッ ト が 無 料
③対象外とするリソースの洗い出し 16 ◆ AWSアカウント毎に担当者へ確認 システム毎の個別要件からバックアップ不要なリソースを洗い出し ◆ S3バケットの分割 • システム稼働として重要なものとそうでないものが混在した100TBのバケッ トが存在したためストレージクラスの見直しも含めバケットを分割を検討
• AWS Backup以外の方法も選択肢として個々に継続検討 バージョニング/リージョン内バケットコピー/クロスリージョンレプリ ケーション/バケットポリシー/削除保護 他の方法で対策できるリソースをバックアップ対象外に
試算を見直した結果 17 ①初回フルバックアップが発生する単位の見直し ②Auroraの特殊なバックアップ無料利用枠 ③バックアップ対象外とするリソースの洗い出し 追加のAWS利用料が1/10程度まで削減 ※実際にはデータが圧縮されるサービスもあるため、さらに削減される見込み
その他、困ったこと 18 ◆指定のタグが「設定されていないもの」をバックアップ対象とすること ができない • リソースにタグがあればタグ指定のルール、無ければ固定のルールでバック アップしたかった • タグ指定無しで全てをバックアップは可能。対象サービスの全リソースを バックアップし、除外リソースをARNで個別に指定して対処
◆AWS Backupでは「デフォルトのロール」を採用したが、存在するアカウ ントと存在しないアカウントがあった • マネジメントコンソールを使用すると自動的に作成 • 存在しないアカウントに対してCloudFormationで作成して対処
まとめ 19 バックアップはセキュリティ対策としても重要 AWS Backupを使うとバックアップの一元管理が可能 バックアップ料金に気を付けて適切なバックアップを!