目前我们的系统完全在 AWS 内部运行。我们对 EBS 进行滚动快照,并经常练习运行恢复。
让我夜不能寐的是把我们所有的鸡蛋都放在一个篮子里。以下是场景:
- 我们的亚马逊区域发生了一些破坏数据中心的大规模事件
- 有人访问了我们的 AWS 账户,终止了我们的实例并删除了我们所有的快照
为了降低这些风险,我正在考虑定期将快照移动到另一个区域的另一个 AWS 账户(使用不同的凭证)。
我的问题是,这是足够的预防措施还是我应该寻找完全从亚马逊上删除的异地备份?
AskOverflow.Dev
目前我们的系统完全在 AWS 内部运行。我们对 EBS 进行滚动快照,并经常练习运行恢复。
让我夜不能寐的是把我们所有的鸡蛋都放在一个篮子里。以下是场景:
为了降低这些风险,我正在考虑定期将快照移动到另一个区域的另一个 AWS 账户(使用不同的凭证)。
我的问题是,这是足够的预防措施还是我应该寻找完全从亚马逊上删除的异地备份?
这是风险评估,而不是专业的系统管理。可以说,这个决定有一个技术组成部分,但它基本上是一个商业(以及美元和美分)决定。
如果可以经济高效地处理这两种情况,我认为为这两种情况进行计划是明智的。第二种情况似乎比第一种情况更有可能,但它们都是合理的。
如果是我,我会大力游说完全从亚马逊上删除的异地备份。第三种情况,可能比前两种情况更可能发生,可能涉及贵公司与亚马逊之间的业务关系恶化。虽然在这种情况下肯定有法律补救措施,但如果您可以在与亚马逊合作的情况下继续与另一家托管服务提供商开展业务运营,那对您来说将是有利的。为此,拥有无需亚马逊参与即可访问的备份(至少)似乎是谨慎的。
(我什至认为,在另一台主机上启动整个应用程序可能值得进行评估。如果亚马逊的事情确实变糟了,那么备份是很好的,但如果你能继续运行你的网站,那就更好了。那取决于您的应用程序与亚马逊平台的集成程度,可能是天上掉馅饼,但至少值得讨论。)
看起来您的威胁模型非常好。
AWS 在 EC2 实例(和相关服务)上提供了可用区,以帮助防范这种类型的事情。将备份放在另一个区域会更好。
这不是关于亚马逊的免疫或非免疫损害,而是关于备份被物理距离分开的概念。
与某人入侵您的帐户相关的威胁模型是完全合理的;人们过去曾以这种方式被勒索赎金。
我个人不会移动快照。如果您将 EC2 服务器用作临时节点以外的任何东西,那么您就没有使用 AWS 的全部功能。“云架构”的要点是服务器可以随时被删除。但是,我肯定会将此范例应用于实际备份(数据转储等)。
将备份放入单独的帐户(可能是单独的 AWS 区域)的替代方法要贵得多:异地数据存储公司。这些人通常成本更高,但作为交换,他们倾向于明确说明您的数据有多安全。