Amazon EBSスナップショットで重要なデータを簡単に保護

Pulisher : Cloud Technology Center イ・イェウン
Description : EBSストレージのLifeCycle管理とセキュリティの向上に関する紹介セッション

はじめに

EBSはEC2でブロックストレージとして使用されるサービスであり、EC2はAWSで最も多く使用されるサービスの一つです。 このようなEBSストレージのLifeCycle管理とセキュリティ性の向上は、AWSインフラストラクチャをうまく管理するための第一歩だと思い、セッションに参加しました。

セッションの概要紹介

Amazon EBS スナップショットを使って重要なデータを簡単に保護する

アジェンダ
１．Amazon EBS Snapshotsの紹介
２．EBS Snapshotsのセキュリティ
３．スナップショットの一貫性
４．Amazon Data Lifecycle Managerの紹介
５．Amazon EBS Snapshotsリポジトリ

１．Amazon EBS Snapshotsの紹介

AWSには様々なストレージとそれをサポートするためのサービスがあります。 その中でAmazon EBSはBlock Storage Serviceです。

EBS Snapshotsは、EBSボリュームの特定の時点をバックアップします。EBS Snapshotsを活用すれば、バックアッププロセスを簡素化することができ、これにより時間とコストを削減することができます。 また、アカウントや地域間でも簡単に共有することができるので、Snapshotsを共有することで、災害や災害、またはセキュリティ事故から安全になることができます。

２．EBSスナップショットのセキュリティ

ステップ1.Identify un encrypted Amazon EBS resources
　　・Configサービスを通じてEBSの暗号化有無を確認することができます。
　　・AWS CLIを通じてvolumes、snapshots、imagesの暗号化有無を確認することができます。

Step 2.ワークロードに基づいて暗号化キーの種類を決定します。
　　・Customer managed key(CMK)またはAWS managed Keyをユーザーの状況に合わせて使用することができます。ただし、snapshotを他アカウントに共有できるため、CMKを使うことをおすすめします。

Step 3. Change the default KMS key for EBS encryption.
　　・Step 2で推奨されるように、default KMS Keyで暗号化されたEBSもCustomer managed keyに変更することができます。

Step 4. Turn on EBD feature for the account.
　　・必要に応じて、アカウントレベルでEBS暗号化を強制することができます。
　　・Snapshotsにblock-all-sharing modeあるいはblock-new-sharing modeを適用すれば、アカウントレベルでSnapshotの共有をブロックすることができます。

Step 5. Encrypt existing unencrypted Amazon EBS reousrces (if necessary)
　　・現在暗号化されていないボリュームは、スナップショットを生成して暗号化を適用した後、ボリュームを再作成して暗号化されたボリュームを生成することができます。

３．snapshotsの一元管理

まず、Snapshot Lockでスナップショットをロックすると、誰もこれを削除することができなくなります。これは、WORMストレージ(Write-Once-Read-Many)機能を通じてスナップショットのセキュリティを向上させることができる方法です。 これにより、SEC、CFTC、FINRAなどの特定の規制要件を満たすことができます。

第二に、Recycle Binを活用すれば、EBS Snapshotsの削除期間を設定して悪意のある削除を防ぐことができます。

４．Amazon Data Lifecycle Managerの紹介

Amazon Data Lifecycle Manager(Amazon DLM)を使用してポリシーを設定すると、スナップショットを自動的に生成して管理することができ、DLMポリシーを実行するのに費用が発生しません。

また、クロスリージョンコピー、共有およびスナップショットアーカイブの自動化、バックアップスケジューリングなど、多くの作業をAmazon DLMを通じて問題を解決することができます(ただし、System Manager Agentがインストールされている必要があります)。

※DLMのロジック

１．System Managerにpre-scriptを要求します。
２．EC2 Instanceでpre-scriptコマンドを実行します。
３．pre-scriptの結果をDLMに伝達します。 (Success or Fail)
４．Snapshotを実行します。
５．SSM-Agentにpost-scriptを要請します。
６．post-script コマンドを実行します。
７．post-scriptの結果をDLMに伝達します。
８．EBS Snapshotが完了します。

５．AmazonのEBS Snapshotsストレージ

EBS Snapshots Archieve tierを利用すれば、長期間、より安いコストで利用することができます。

セッションを終えて

いつもEBSを使用していますが、セキュリティについてはあまり考えていませんでした。 今回のセッションで多くのことを学びましたが、整理すると大きく2つあります。

一つ目はEBS Volumeの暗号化です。EBS Volumeを暗号化するために様々なKeyを活用することができ、アカウントレベルでボリュームを暗号化することができることを知りました。 これは、顧客の環境に応じて多様に活用することができます。

二番目にバックアップを行うDLMはSnapshotに対する管理を支援するサービスです。ボリュームに対するLife Cycle管理について紹介し、DLMを通じてより有機的に構成できることを知りました。 また、ボリュームを保存するArchiveのうち、EBS Snapshot Archive Tierを知り、これを通じてVolumeを有機的に管理し、コスト効率について考えさせられるセッションでした。

これをうまく活用すれば、ブロックストレージのライフサイクルを構成して、セキュリティに優れた環境を構成するのに役立つと思います。