いわさです。
AWS Backup にはバックアップ設定や動作を監査するための機能として AWS Backup Audit Manager というものが用意されています。
例えばバックアップが暗号化されているとか、クロスリージョンバックアップされているなど、フレームワークに従いつづ組織のポリシーに準拠したバックアップ設定となっているかを継続的に監査しレポート出力まで行える機能です。
その Backup Audit Manager に新しいコントロールが追加されました。
復元時間が基準を満たしているかチェック出来るようになりました。
AWS Backup には最近、復元テストの機能が追加されました。
それによって自動で継続的に回復可能性を評価し、目標復旧時間 (RTO) を把握することが出来ます。
それと併せて Backup Audit Manager の今回の新しい機能を使うことで監査対象としても RTO が満たされているかを継続的に評価出来ます。
使い方
今回追加されたコントロールはすでに標準フレームワークに含まれていますので、もしまだ Backup Audit Manager を使っていない方は新しくフレームワークを作成します。
フレームワークに標準で適用されるコントロールを見てみるとと、次の「Restore time for resources meet target」が追加されていることが確認出来ました。
こちらのコントロールを編集画面で確認してみると、デフォルトでは次のようなパラメータとなっています。
ターゲットの復元時間が 1 時間以内であることと、以下の選択されたリソースタイプが対象となっていることが確認出来ます。
フレームワークをデプロイすると、コントロールごとのコンプライアンスステータスを確認することが出来ます。
私の場合は次のようにステータスが「データ不足」と表示されました。
このコントロールの仕組みですが、コントロールに設定された目標時間と、それぞれの保護されたリソースで確認できる「最終リストア実行時間」を比較し、基準を満たせていないものが非準拠として抽出されるものとなっています。
このコントロールは 24 時間ごとに自動で評価されるものとなっています。
ここではまず、手動復元を行ってみました。そうすると保護されたリソースの最終リストア実行時間が次のように更新されました。
24 時間以内にコントロールが再評価されるのを待つか、あるいはフレームワークを一度削除してデプロイし直してもそのタイミングで再評価が実行されるようでした。
今回は対象コントロールのみかつ、EFS だけを評価する形でフレームワークを再作成したところ、次のように準拠していると評価されました。
さいごに
本日は AWS Backup Audit Manager で最終リストア実行時間が基準を満たしているかチェックするコントロールが追加されたので確認してみました。
正直これまでは Backup Audit Manager をあまり使いこなせていなかったのですが、これはかなり良いサービスかもと思いました。
バックアップ・リストアのポリシーはどのワークロードでもたいていありますよね。構築して終わりではなくて継続的に復元テストをしたり、監査したり出来る仕組みを簡単に導入出来るのは非常に重要だと感じました。
14
