目前我们的系统完全在AWS内运行。 我们做EBS的滚动快照,经常进行恢复运行。
晚上把我所有的鸡蛋都放在一个篮子里。 这是情景的:
为了缓解这些风险,我正在考虑将快照定期移动到另一个区域的另一个AWS账户(使用不同凭据)。
我的问题是,这是一个足够的预防措施,或者我应该期待从亚马逊完全删除的异地备份?
这是风险评估,而不是专业的系统pipe理。 这个决定可以说是一个技术性的组成部分,但是这基本上是一个企业(以及美元和美分)的决定。
我认为如果可以经济有效地处理这两种情况,那么计划是明智的。 第二种情况似乎比第一种情况要大得多,但都是合理的。
如果是我,我会很乐意游说从亚马逊完全移除的异地备份。 第三,也许更可能的情况比你的前两个可能涉及贵公司和亚马逊之间的业务关系变酸。 虽然在这种情况下肯定有法律补救措施,但如果您在与亚马逊合作的情况下继续与另一个托pipe服务提供商进行业务运营,那将对您有利。 为此,在没有亚马逊的参与下进行备份(最低限度)是明智的。
(我甚至会争辩说,估计在另外一台主机上运行你的整个应用程序可能是值得的,如果亚马逊备份的东西确实不错,但是如果你可以继续运行你的网站会更好。根据您的应用程序与亚马逊平台的集成程度,这可能会是天壤之别,但至less值得讨论。)
看起来你的威胁模式非常好。
AWS在EC2实例(和相关服务)上提供可用区域,以帮助防范这种types的事情。 把备份放在另一个地区甚至更好。
亚马逊的免疫力和免疫力不是很强,但是关于备份的概念是物理距离分开的。
威胁模型涉及到有人妥协您的帐户是完全合理的; 人们过去一直以这种方式被勒索赎金。
我个人不会移动快照。 如果您将EC2服务器用作除临时节点之外的任何其他服务器,则不会使用AWS的全部function。 “云架构”的要点是服务器可以在任何时候被删除。 但是,我肯定会将这种范式应用于实际的备份(数据转储等)。
将备份放入单独的帐户(可能是单独的AWS区域)的备选scheme要贵得多:一个非现场数据存储公司。 这些人通常成本更高,但是往往会就数据的安全性作出明确的陈述。