AWS Backup の特徴

概要

AWS Backup は、AWS サービスやハイブリッドワークロードのデータ保護を一元化して自動化する、フルマネージドサービスです。データ保護のコア機能、ランサムウェアリカバリ機能、データ保護ポリシーと運用のためのコンプライアンスインサイトと分析を提供します。AWS Backup は、コスト効率に優れたポリシーベースのサービスを提供し、AWS エステート全体におけるエクサバイト規模のデータ保護を簡素化する機能を備えています。 

AWS とハイブリッドサービス上のアプリケーションリソースのデータ保護

AWS Backup は、AWS のストレージ、データベース、コンピューティングサービス、および VMware などのハイブリッドワークロードを含むアプリケーションリソースを保護することができます。AWS Backup は、サポートするすべてのサービスとサードパーティーアプリケーションに対して、自動バックアップスケジュールと保持管理、一元的データ保護のモニタリング、AWS KMS 統合バックアップ暗号化、AWS Organizations によるクロスアカウント管理、AWS Backup Audit Manager によるデータ保護監査とコンプライアンスレポート、AWS Backup Vault Lock によるライトワンスリードメニー (WORM) の機能をサポートします。

AWS Backup は、AWS のストレージ、データベース、コンピューティングサービス、および VMware などのハイブリッドワークロードを含むアプリケーションリソースを保護することができます。AWS Backup は、サポートするすべてのサービスとサードパーティーアプリケーションに対して、自動バックアップスケジュールと保持管理、一元的データ保護のモニタリング、AWS KMS 統合バックアップ暗号化、AWS Organizations によるクロスアカウント管理、AWS Backup Audit Manager によるデータ保護監査とコンプライアンスレポート、AWS Backup Vault Lock によるライトワンスリードメニー (WORM) の機能をサポートします。

AWS Backup は、バックアップコンソール、パブリック API、コマンドラインインターフェイスを提供し、アプリケーションが稼働する AWS ストレージ、コンピューティング、データベース、ハイブリッドサービス全体のバックアップを一元管理します。それには、Amazon Simple Storage Service (S3)Amazon Elastic Block Store (EBS)Amazon FSxAmazon Elastic File System (EFS)AWS Storage GatewayAmazon Elastic Compute Cloud (EC2)Amazon Relational Database Service (RDS)Amazon AuroraAmazon DynamoDBAmazon NeptuneAmazon DocumentDB (MongoDB 互換)Amazon TimestreamAmazon RedshiftSAP HANA on Amazon EC2AWS CloudFormation で定義されたアプリケーションスタック全体、さらにオンプレミスおよび VMware CloudTM on AWS や AWS Outposts で稼働する VMware ワークロードなどのハイブリッドアプリケーションを含みます。

AWS Backup ボールトは、暗号化されたバックアップを保存および管理する論理コンテナです。バックアップボールトの作成時に、このボールトに置かれたバックアップを暗号化する AWS Key Management Service (AWS KMS) 暗号化キーを指定する必要があります。コピーされたすべてのバックアップは、ターゲットボールトのキーで暗号化されます。暗号化の詳細については、AWS でのバックアップの暗号化の表を参照してください。

AWS Backup では、保管と移行の際にバックアップデータが暗号化されます。バックアップデータを保護してコンプライアンス要件を満たすための、包括的な暗号化ソリューションが実現します。バックアップデータは、AWS Key Management Service (KMS) によって管理される暗号化キーを使用して暗号化されるため、キー管理インフラストラクチャ構築および維持する必要はありません。AWS Backup データの暗号化に使用するキーは、バックアップのベースになっているリソースの暗号化に使用するキーとは異なります。本番稼働用データとバックアップデータで別個の暗号化キーを使用することで、アプリケーション用の重要な保護レイヤーが得られます。

バックアッププランによって管理されるバックアップを作成することで、バックアップ要件を定義し、保護したい AWS リソースにこれらのポリシーを適用することができます。バックアッププランは、アプリケーションや組織全体のデータ保護戦略を簡素化し、スケールすることができます。

AWS リソースにタグ付けることで、バックアッププランを適用することができます。AWS タグは、AWS リソースを一貫して整理および分類するのに最適です。

バックアップスケジュールをカスタマイズしたり、一般的なベストプラクティスに基づいた定義済みのバックアップスケジュールから選択することができます。AWS Backup は、定義したポリシーとスケジュールに従ってアプリケーションリソースを自動的にバックアップし、本番環境との競合を回避します。

バックアップの保持ポリシーを設定すると、バックアップが自動的に保持され、有効期限が切れるので、バックアップのストレージコストを最小限に抑えることができます。バックアップをウォームストレージからコールドストレージに自動的に移行するライフサイクルポリシーを設定し、低コストのコールドストレージ層にバックアップを保存することで、バックアップストレージコストを削減することができます。

異なる AWS リージョンやアカウント間のバックアップを中央コンソールからコピーして、コンプライアンスとディザスタリカバリのニーズを満たすことができます。バックアップを手動でオンデマンドコピーするか、スケジュールされたバックアッププランの一部として自動的に複数の異なるリージョンやアカウントにコピーし、それらのバックアップを新しいリージョンやアカウントで回復することができます。

データ保護ポリシーを作成し、AWS Organizations を使用して、その組織内のすべてのアカウントに保護ポリシーを適用することができます。これにより、複数アカウントのバックアップが可能となり、ソースアカウントが偶発的または悪意のある削除、災害、またはランサムウェアによる中断を経験した場合でも、強化された保護手段を提供することができます。

AWS Backup では、バックアップオペレーターがこれらのリソースに直接アクセスすることなく、AWS 上のサポートされるすべてのリソースをバックアップすることができます。これにより、リソースの所有者はバックアップの保持に影響を与えることができず、バックアップオペレーターはデータの変異や流出を行うことができない、制御の分離が実現します。

バックアップボールトでリソースベースのアクセスポリシーを設定できます。リソースベースのアクセスポリシーを使用すれば、ユーザー別に許可を定義しなくても、全ユーザーについてバックアップボールト内のバックアップへのアクセスを管理できます。

AWS Organizations のバックアップポリシー管理、AWS Backup のクロスアカウントモニタリングを委任することができる。これにより、バックアップ管理を専用のバックアップ管理アカウントに委任することができ、メンバーアカウントがバックアップ管理のために管理アカウントにアクセスする必要がなくなります。バックアップ管理者は、バックアップポリシーの作成と管理、およびアカウント間のバックアップアクティビティをモニタリングできます。AWS Organizations による組織全体のバックアップ管理権限の委任により、大規模なバックアップ管理を安全に一元化することができます。

AWS Backup コンソールには Amazon CloudWatch ダッシュボードが含まれ、完了または失敗したバックアップ、コピー、復元ジョブのメトリクスを表示します。このダッシュボード内では、希望するスケジュールにカスタマイズして、期間ごとにジョブのステータスを確認することができます。

AWS Backup は AWS CloudTrail と統合されており、バックアップアクティビティログの統合ビューを提供し、保護されたリソースの監査プロセスを簡素化することができます。

AWS Backup を Amazon Simple Notification Service (Amazon SNS) と統合すれば、バックアップの成功や復元の開始などのバックアップアクティビティについて、自動的にアラートが表示されます。

フルマネージドエクスペリエンスのために、AWS Backup Audit Manager を使用すると、アカウントとリージョン全体のバックアップアクティビティをモニタリングすることができます。

マルチアカウント、マルチリージョンでのランサムウェア対策

AWS Backup は、ランサムウェアのイベントやアカウントの侵害から重要なデータを保護および回復するのに役立つ機能を提供します。ランサムウェアとは、悪意のある人物が企業から金銭をゆすり取るために使用するビジネスモデルに関連するさまざまなテクノロジーをいいます。ランサムウェアは、被害者のデータやシステムに不正にアクセスするために、パッチの適用されていない脆弱性や弱い認証情報、盗まれた認証情報を悪用するなど、さまざまな手口を使用します。そして、これらの行為者によってデータやシステムへのアクセスが制限され、これらのデジタルアセットを安全に返還するために身代金が要求されるのです。このような行為者は、暗号化や削除、アクセス制御の変更、ネットワークベースのサービス拒否攻撃など、リソースへの正当なアクセスを制限または削減するために、いくつかの方法を使用します。 

AWS IAM ロールや Amazon VPC セキュリティグループなどのリソースとともに、AWS CloudFormation スタックをバックアップすることができます。これは、アプリケーションスタック全体をより簡単にリカバリし、アプリケーションスタック全体にわたるデータ保護ポリシーのコンプライアンスを管理できることを意味します。

アプリケーションの定義をインポートし、定期的なスケジュールで管理されるアプリケーション全体の保護プランを作成したり、ランサムウェアイベントからさらに保護するためにアカウント間またはリージョン間のコピーを作成したりすることができます。

イミュータブルなバックアップコピーを、デフォルトでロックされ、AWS 所有のキーを使用した暗号化によって分離された、AWS Backup ボールトの一種である論理エアギャップボールトに保存できます。論理エアギャップボールトにより、アカウントや組織をまたいで AWS Resource Access Manager (RAM) を介してアクセスを安全に共有できるようになりました。直接的な復元がサポートされるため、データ損失イベントからの復旧時間を短縮するのに役立ちます。

復元テスト機能を使用して、復元の実行可能性を自動的かつ定期的に評価したり、復元ジョブの所要時間を監視したりできます。復旧準備テストドリルを実施して、起こり得るデータダウンタイムやデータ損失に備え、コンプライアンスや規制要件を満たすことができます。

AWS Backup Vault Lock は、不注意や悪意のある変更によるバックアップの削除やライフサイクルの変更 (データのイミュータブル化) からバックアップを保護することができます。AWS CLI、AWS Backup API、または AWS Backup SDK を使用して、AWS Backup Vault Lock の保護を既存のボールトまたは新しいボールトに適用することができます。AWS Backup Vault Lock は、保持期間、コールドストレージの移行、クロスアカウント、クロスリージョンコピーなどのバックアップポリシーと連動しています。これは、追加の保護レイヤーを提供し、コンプライアンス要件を満たすのに役立ちます。AWS Backup Vault Lock は、SEC 17a-4、CFTC、FINRA の規制の対象となる環境での使用について Cohasset Associates によって評価されています。

NIST は、ゼロトラストを、静的なネットワークベースの境界線から、ユーザー、アセット、リソースに焦点を当てたアクティブな防御の深化へと移行する、進化するサイバーセキュリティコントロールのセットと定義しています。AWS OrganizationsAWS Backup Audit ManagerAWS Backup Vault Lock を利用した AWS Backup の委任された管理者は、ゼロトラストアーキテクチャの一部として、深層部での防御の構築に役立ちます。

リアルタイムの分析とインサイトによるデータ保護コンプライアンス

AWS Backup Audit Manager は、バックアップ頻度やバックアップ保持期間など、データ保護活動をモニタリングして監査レポートを作成する機能です。AWS Backup Audit Manager は、データ保護フレームワークのコンプライアンス状況についてのインサイトを含むレポートを毎日生成することができる、フルマネージドエクスペリエンスです。

AWS Backup Audit Manager を使用して、データ保護ポリシーのコンプライアンスに関する監査と報告を行うことで、ビジネスおよび規制のニーズを満たすことができます。データ保護ポリシー (バックアップ頻度や保持期間など) を定義するためにカスタマイズ可能な、内蔵コンプライアンスコントロールを提供します。データ保護のガードレールとして定義された内容に対する違反を自動的に検出し、修復アクションを取るよう促すように設計されています。AWS Backup Audit Manager では、バックアップアクティビティを継続的に評価でき、規制要件のコンプライアンスを実証するのに役立つ監査レポートを生成することができます。

AWS Backup はリーガルホールドをサポートしています。これは、保存、監査、法的手続きや e-Discovery における証拠として、組織が特定のデータを保持する必要がある場合に使用されます。リーガルホールドを使用すると、保持期間が終了してもバックアップが削除されるのを防ぎ、明示的に解除されるまで保持されます。

コンプライアンスレポートテンプレートを使用して、1 つまたは複数のフレームワークで定義したコントロールに対するバックアップアクティビティとリソースのコンプライアンスに関するレポートを毎日作成することができます。フレームワークは、コンプライアンスの体制を評価するのに役立つコントロールのコレクションです。

事前に構築されたコントロールやカスタマイズ可能なコントロールを使用して、ポリシーを定義し、バックアップ作業がポリシーに準拠しているかどうかを評価することができます。コントロールの詳細については、「AWS Backup デベロッパーガイド」を参照してください。また、自動的な日次レポートを設定して、フレームワークのコンプライアンス状況を把握することができます。