Atualmente nosso sistema roda inteiramente dentro da AWS. Fazemos instantâneos contínuos de nosso EBS e frequentemente praticamos restaurações em execução.
O que me mantém acordado à noite é ter todos os ovos na mesma cesta. Aqui estão os cenários:
- Nossa zona amazônica tem algum evento massivo que destrói o data center
- Alguém obtém acesso à nossa conta da AWS, encerra nossas instâncias e exclui todos os nossos instantâneos
Para mitigar esses riscos, estou pensando em mover instantâneos periodicamente para outra conta da AWS (com credenciais diferentes) em outra região.
Minha pergunta é: esse é um nível adequado de precaução ou devo procurar backups externos que são completamente removidos da Amazon?
Isso é avaliação de risco, não administração profissional de sistemas. Há, indiscutivelmente, um componente técnico para esta decisão, mas é fundamentalmente uma decisão de negócios (e dólares e centavos).
Acho que é sensato planejar ambos os cenários, se puder ser tratado de maneira econômica. O segundo cenário parece muito mais provável que o primeiro, mas ambos são plausíveis.
Se fosse eu, faria muito lobby para backups externos que fossem completamente removidos da Amazon. Um terceiro cenário, talvez mais provável do que os dois primeiros, pode envolver o relacionamento comercial entre sua empresa e a Amazon. Embora certamente existam remédios legais nessa situação, seria vantajoso para você se pudesse continuar as operações comerciais com outro provedor de hospedagem enquanto as coisas acontecem com a Amazon. Para esse fim, ter backups (no mínimo) acessíveis sem o envolvimento da Amazon parece prudente.
(Eu até argumentaria que provavelmente vale a pena fazer uma avaliação para ativar todo o seu aplicativo em outro host. Se as coisas dessem errado com a Amazon, ter backups é bom, mas seria ainda melhor se você pudesse continuar executando seu site. Isso pode ser uma maravilha, dependendo de quão profundamente integrado seu aplicativo está à plataforma da Amazon, mas pelo menos vale a pena discutir.)
Parece que seu modelo de ameaça é muito bom.
A AWS fornece zonas de disponibilidade em instâncias do EC2 (e serviços relacionados) para ajudar a se proteger um pouco desse tipo de coisa. Colocar backups em outra região é ainda melhor.
Não se trata tanto da imunidade ou não imunidade da Amazon a danos, mas do conceito de backups separados por distância física.
O modelo de ameaça relacionado a alguém comprometendo sua conta é totalmente razoável; pessoas foram mantidas para resgate dessa forma no passado.
Pessoalmente, eu não moveria os instantâneos. Se você estiver usando servidores EC2 como qualquer coisa, exceto nós efêmeros, não estará usando todo o poder da AWS. O objetivo de uma "arquitetura em nuvem" é que os servidores podem ser zapeados a qualquer momento. Mas eu definitivamente aplicaria esse paradigma a backups reais (despejos de dados, etc.).
Sua alternativa para colocar backups em uma conta separada e provavelmente em uma região separada da AWS é muito mais cara: uma empresa de armazenamento de dados externa. Esses caras geralmente são bem mais caros, mas tendem a fazer declarações explícitas sobre a segurança de seus dados, em troca.