![[GA] AWS Backup に新しいボールトタイプ「論理的にエアギャップのあるボールト(Logically Air-gapped vault)」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61c3c74c9fbde5b3bc234043f3ce3128/3c555f171fd799831bf6aeb586ca13bf/aws-backup)
[GA] AWS Backup に新しいボールトタイプ「論理的にエアギャップのあるボールト(Logically Air-gapped vault)」が追加されました
2024.09.23いわさです。
2024 年 8 月のアップデートになるのですが、AWS Backup のボールトに従来の Backup vault に加えて Logically air-gapped vault というものが GA となりました。
厳密には 2023 年 8 月からプライベートプレビューが始まっており、それが GA となった形です。
私はこのプレビュー自体を見逃していまして存在を知らなかったのですが、今回少し触る機会があったので紹介したいと思います。
Logically air-gapped vault とは
このボールトはマネジメントコンソール上では「論理的にエアギャップのあるボールト」と訳されていますが、この記事では以下の AWS 公式ブログの内容に準拠して「Logically air-gapped vault」と表記してみようかなと思います。
AWS Backup を使うことでバックアップ管理が可能ですが、ランサムウェア対策として備えることが出来るより堅牢なボールトになっています。従来のバックアップボールトとの違いは以下です。
- ボールトロック(コンプライアンスモード)が強制される
- 削除も上書きも出来ないのでバックアップデータの保持が担保される
- 誤削除や攻撃者による削除で復元できなくなる事象を防ぐ
- コンプライアンスモードなのでルートユーザーも AWS も誰も削除できない
- 暗号化キーは AWS が管理
- キーの誤削除などによってバックアップから復旧出来なくなることがない
- RAM(Resource Access Manager)を使ってアカウント間でボールトを共有出来る
- 復元が必要になった場合も共有先の復元用アカウントからスムーズに復元を開始出来る
ボールトロックや暗号化キーはバックアップボールトでも可能ですし、別アカウントでの復元はバックアップコピー機能でも実現は出来ますが、このボールトを使っていると強制的にそれらが適用されてすぐに使い始めることが出来ます。
なお、こちらのボールトは追加保護レイヤーとして使うものなので、通常バックアップ先として指定することは出来ません。
バックアップボールトから Logically air-gapped vault へのコピーが必要です。
料金については従来のボールトとは別の料金単価となっていまして、従来よりも少しだけ高い単価になってます。東京リージョンの EFS (ウォームストレージ)だと $0.06/GB/Month だったのが $0.069/GB/Month くらい。
上記料金ページにも記載されていますが、本日時点で Logically air-gapped vault が使えるサービスについても確認が可能です。EFS, EBS, Aurora, DynamoDB, Storage Gateway, DocumentDB, Neptune, S3, VMware Backup, Timestream がサポートされているようです。
Logically air-gapped vault の作成方法
では実際に作成してみましょう。
ボールト一覧画面を見てみると「論理的にエアギャップのあるボールト」についての説明も追加されていますね。
実は既に Logically air-gapped vault を作成済みでして、ボールトタイプが表示されています。
「新しいボールトを作成」ボタンから従来のボールトと同じように作成が可能です。
Logically air-gapped vault の場合は AWS マネージドな暗号キーが使用されるため、ユーザーマネージドなキーの指定が出来ません。
ボールトロックが強制させるので、ロックの最小保持期間と最大保持期間だけ設定します。ロックモードは指定できず、強制的にコンプライアンスモードになります。
ボールトにバックアップを格納する
まず、Logically air-gapped vault はバックアップ先として直接の指定は出来ません。
選択肢に通常のバックアップボールトしか表示されませんね。
このボールトはセカンダリ用途で使うバックアップボールトになりますのでまずは通常のバックアップボールトに格納します。
バックアップボールトの復元ポイントのコピー先として指定が可能です。
あるいはバックアッププランの設定の中のコピー先としてであれば指定が可能です。
おそらく通常の使用方法はこちらですね。
バックアップボールトからコピーしたバックアップを確認してみると、削除が出来ない状態でした。
また従来の AWS マネージドキーと異なり、このキーは AWS アカウント内に存在していないような感じがしますね。通常の AWS マネージドキーであれば KMS コンソールで削除は出来ませんが参照が出来たと思いますので。
RAM で別アカウントへリソース共有してみた
これも Logically air-gapped vault の特徴的な部分ですが、RAM で共有することが出来るようになっています。対象にボールトが選択可能に。
これによって侵害されたアカウント、バックアップボールト管理用以外のアカウント上で迅速な復元が出来るようになっています。
以下は冒頭の公式ブログの画像を引用させて頂いたのですが、この機能を使ったアーキテクチャパターンについて紹介されています。バックアップアーキテクチャをマルチアカウントで実現するもので、ワークロードアカウントとデータバンカーアカウントを分けることでさらに分離性を高めています。
そこから RAM によってワークロードを復旧するアカウント上で復旧される形ですね。
画像引用元:RAM
RAM で Organizations 外の AWS アカウントに共有してみましたので、こちらを使って復元してみます。
共有先 AWS アカウントで AWS Backup コンソールのボールトにアクセスしてみます。
「このアカウントで共有されているボールト」タブを見てみると Logically air-gapped vault を管理するアカウントからボールトが共有されていることが確認出来ました。
復旧ポイントも確認出来ますね。
コピーや編集は許可されていないですが、復元は可能です。試してみましょう。
復旧ポイントの EFS を別アカウント上で復元することが出来ました。
さいごに
本日は AWS Backup に新しいボールトタイプ「論理的にエアギャップのあるボールト」(Logically air-gapped vault)が GA となっていたので実際に使ってみました。
サービスが限られていますが、ワークロードアカウントとバックアップ先を分離しつつ、バックアップデータへの攻撃に備えたい場合に使えそうです。
