目前我们的系统完全在 AWS 内部运行。我们对 EBS 进行滚动快照,并经常练习运行恢复。
让我夜不能寐的是,我们把所有的鸡蛋都放在一个篮子里。以下是场景:
- 我们的亚马逊区域发生了一些重大事件,摧毁了数据中心
- 有人获得了我们 AWS 账户的访问权限,终止了我们的实例并删除了所有快照
为了降低这些风险,我正在考虑定期将快照移动到另一个区域的另一个 AWS 帐户(具有不同的凭证)。
我的问题是,这是足够的预防措施吗,还是我应该寻找完全从亚马逊删除的异地备份?
答案1
这是风险评估,而不是专业系统管理。可以说,这个决定有技术成分,但从根本上来说,这是一个商业(以及金钱)决定。
我认为,如果能够以经济的方式处理,那么为这两种情况都做好计划是明智的。第二种情况似乎比第一种情况更有可能发生,但这两种情况都是有可能发生的。
如果是我,我会极力游说亚马逊完全删除异地备份。第三种情况可能比前两种情况更可能发生,即贵公司与亚马逊之间的业务关系恶化。虽然在这种情况下肯定有法律补救措施,但如果您可以在亚马逊问题解决期间继续与另一家托管服务提供商开展业务,对您来说将非常有利。为此,拥有(至少)无需亚马逊参与即可访问的备份似乎是明智之举。
(我甚至认为,在另一台主机上启动整个应用程序可能值得进行评估。如果事情确实变糟了,亚马逊有备份当然很好,但如果你能继续运行你的网站就更好了。这可能是不切实际的,取决于你的应用程序与亚马逊平台的集成程度,但至少值得讨论。)
答案2
看起来你的威胁模型非常好。
AWS 在 EC2 实例(及相关服务)上提供了可用区域,以帮助稍微防范此类事件。将备份放在另一个区域就更好了。
这与亚马逊是否能免受损害关系不大,而是与备份被物理距离分离的概念有关。
与某人危害您的帐户相关的威胁模型是完全合理的;过去就有人以这种方式被勒索赎金。
就我个人而言,我不会移动快照。如果您将 EC2 服务器用作临时节点以外的任何用途,则您没有充分利用 AWS 的功能。“云架构”的意义在于服务器可以随时被关闭。但是,我肯定会将这种范例应用于实际备份(数据转储等)。
除了将备份放入单独的帐户和单独的 AWS 区域之外,您还可以选择成本更高的方案:异地数据存储公司。这些公司通常成本更高,但往往会明确说明您的数据有多安全。