В настоящее время наша система полностью работает внутри AWS. Мы делаем снимки состояния нашей EBS и часто тренируемся на восстановление.
Что не дает мне уснуть по ночам, так это то, что все яйца лежат в одной корзине. Вот сценарий:
Чтобы снизить эти риски, я думаю о периодическом перемещении снимков состояния в другую учетную запись AWS (с другими учетными данными) в другом регионе.
Мой вопрос в том, является ли это адекватным уровнем предосторожности или мне следует искать резервные копии вне офиса, которые полностью удалены с Amazon?
Это оценка рисков, а не профессиональное системное администрирование. Возможно, в этом решении есть техническая составляющая, но по сути это бизнес (а также долларов и центов).
Я считаю, что разумно спланировать оба сценария, если с ним можно справиться рентабельно. Второй сценарий кажется намного более вероятным, чем первый, но они оба правдоподобны.
Если бы это был я, я бы активно лоббировал внешние резервные копии, которые были полностью удалены с Amazon. Третий, возможно, более вероятный сценарий, чем ваши первые два, может привести к ухудшению деловых отношений между вашей компанией и Amazon. Хотя в этой ситуации, безусловно, есть средства правовой защиты, для вас было бы выгодно продолжить деловые операции с другим хостинг-провайдером, пока дела обстоят с Amazon. С этой целью разумно иметь резервные копии (как минимум), доступные без участия Amazon.
(Я бы даже сказал, что, вероятно, стоит провести оценку развертывания всего вашего приложения на другом хосте. Если что-то пошло не так с Amazon, иметь резервные копии - это хорошо, но было бы еще лучше, если бы вы могли продолжить работу со своим сайтом. может показаться призрачным в зависимости от того, насколько глубоко ваше приложение интегрировано с платформой Amazon, но это, по крайней мере, стоит обсудить.)
Похоже, ваша модель угроз довольно хороша.
AWS предоставляет зоны доступности для инстансов EC2 (и связанных сервисов), чтобы немного защитить себя от подобных проблем. Еще лучше разместить резервные копии в другом регионе.
Дело не столько в невосприимчивости или неуязвимости Amazon к повреждениям, сколько в концепции разделения резервных копий на физическое расстояние.
Модель угроз, связанная с компрометацией вашей учетной записи, абсолютно разумна; в прошлом людей держали таким образом за выкуп.
Лично я бы не стал перемещать снимки. Если вы используете серверы EC2 не как эфемерные узлы, вы не используете всю мощь AWS. Суть «облачной архитектуры» в том, что серверы можно отключить в любое время. Но я бы определенно применил эту парадигму к реальным резервным копиям (дампы данных и т. Д.).
Ваша альтернатива помещению резервных копий в отдельную учетную запись и, возможно, в отдельный регион AWS намного дороже: организация внешнего хранилища данных. Эти парни обычно обходятся дороже, но взамен обычно делают явные заявления о том, насколько безопасны ваши данные.