[GA] AWS Backup に新しいボールトタイプ「論理的にエアギャップのあるボールト(Logically Air-gapped vault)」が追加されました

[GA] AWS Backup に新しいボールトタイプ「論理的にエアギャップのあるボールト(Logically Air-gapped vault)」が追加されました

Clock Icon2024.09.23

いわさです。

2024 年 8 月のアップデートになるのですが、AWS Backup のボールトに従来の Backup vault に加えて Logically air-gapped vault というものが GA となりました。

https://aws.amazon.com/about-aws/whats-new/2024/08/general-availability-aws-backup-logically-air-gapped-vault/

厳密には 2023 年 8 月からプライベートプレビューが始まっており、それが GA となった形です。

https://aws.amazon.com/jp/about-aws/whats-new/2023/08/aws-backup-logically-air-gapped-vault-preview/

私はこのプレビュー自体を見逃していまして存在を知らなかったのですが、今回少し触る機会があったので紹介したいと思います。

Logically air-gapped vault とは

このボールトはマネジメントコンソール上では「論理的にエアギャップのあるボールト」と訳されていますが、この記事では以下の AWS 公式ブログの内容に準拠して「Logically air-gapped vault」と表記してみようかなと思います。

https://aws.amazon.com/jp/blogs/news/building-cyber-resiliency-with-aws-backup-logically-air-gapped-vault/

AWS Backup を使うことでバックアップ管理が可能ですが、ランサムウェア対策として備えることが出来るより堅牢なボールトになっています。従来のバックアップボールトとの違いは以下です。

  • ボールトロック(コンプライアンスモード)が強制される
    • 削除も上書きも出来ないのでバックアップデータの保持が担保される
    • 誤削除や攻撃者による削除で復元できなくなる事象を防ぐ
    • コンプライアンスモードなのでルートユーザーも AWS も誰も削除できない
  • 暗号化キーは AWS が管理
    • キーの誤削除などによってバックアップから復旧出来なくなることがない
  • RAM(Resource Access Manager)を使ってアカウント間でボールトを共有出来る
    • 復元が必要になった場合も共有先の復元用アカウントからスムーズに復元を開始出来る

ボールトロックや暗号化キーはバックアップボールトでも可能ですし、別アカウントでの復元はバックアップコピー機能でも実現は出来ますが、このボールトを使っていると強制的にそれらが適用されてすぐに使い始めることが出来ます。

なお、こちらのボールトは追加保護レイヤーとして使うものなので、通常バックアップ先として指定することは出来ません。
バックアップボールトから Logically air-gapped vault へのコピーが必要です。

料金については従来のボールトとは別の料金単価となっていまして、従来よりも少しだけ高い単価になってます。東京リージョンの EFS (ウォームストレージ)だと $0.06/GB/Month だったのが $0.069/GB/Month くらい。

https://aws.amazon.com/backup/pricing/?nc1=h_ls

4C768B18-46F8-4647-A654-4AF6B3E813A5.png

上記料金ページにも記載されていますが、本日時点で Logically air-gapped vault が使えるサービスについても確認が可能です。EFS, EBS, Aurora, DynamoDB, Storage Gateway, DocumentDB, Neptune, S3, VMware Backup, Timestream がサポートされているようです。

Logically air-gapped vault の作成方法

では実際に作成してみましょう。
ボールト一覧画面を見てみると「論理的にエアギャップのあるボールト」についての説明も追加されていますね。

実は既に Logically air-gapped vault を作成済みでして、ボールトタイプが表示されています。

0595087C-6A61-4841-B99D-59C82A03F3AA.png

「新しいボールトを作成」ボタンから従来のボールトと同じように作成が可能です。
Logically air-gapped vault の場合は AWS マネージドな暗号キーが使用されるため、ユーザーマネージドなキーの指定が出来ません。
ボールトロックが強制させるので、ロックの最小保持期間と最大保持期間だけ設定します。ロックモードは指定できず、強制的にコンプライアンスモードになります。

7EF9C867-952B-4902-8CBE-95B1DC24CCB3.png

ボールトにバックアップを格納する

まず、Logically air-gapped vault はバックアップ先として直接の指定は出来ません。
選択肢に通常のバックアップボールトしか表示されませんね。

FCBC284F-E2CC-4B47-8F85-6380C9AE026A.png

このボールトはセカンダリ用途で使うバックアップボールトになりますのでまずは通常のバックアップボールトに格納します。
バックアップボールトの復元ポイントのコピー先として指定が可能です。

1521E44D-3B48-49A0-9675-8159CDD71EE8_1_105_c.jpeg

あるいはバックアッププランの設定の中のコピー先としてであれば指定が可能です。
おそらく通常の使用方法はこちらですね。

1A5707CB-7B30-413F-98DF-25A29B93B88A.png

バックアップボールトからコピーしたバックアップを確認してみると、削除が出来ない状態でした。
また従来の AWS マネージドキーと異なり、このキーは AWS アカウント内に存在していないような感じがしますね。通常の AWS マネージドキーであれば KMS コンソールで削除は出来ませんが参照が出来たと思いますので。

926D72B3-2366-48C1-96B4-FB2EA4A8945D.png

RAM で別アカウントへリソース共有してみた

これも Logically air-gapped vault の特徴的な部分ですが、RAM で共有することが出来るようになっています。対象にボールトが選択可能に。

7A1C08A7-EFF1-4F1A-BEE5-52A18DAA187B.png

これによって侵害されたアカウント、バックアップボールト管理用以外のアカウント上で迅速な復元が出来るようになっています。
以下は冒頭の公式ブログの画像を引用させて頂いたのですが、この機能を使ったアーキテクチャパターンについて紹介されています。バックアップアーキテクチャをマルチアカウントで実現するもので、ワークロードアカウントとデータバンカーアカウントを分けることでさらに分離性を高めています。
そこから RAM によってワークロードを復旧するアカウント上で復旧される形ですね。

FC309DCA-917D-435D-A304-D99172F96A32.png

画像引用元:RAM

RAM で Organizations 外の AWS アカウントに共有してみましたので、こちらを使って復元してみます。
共有先 AWS アカウントで AWS Backup コンソールのボールトにアクセスしてみます。

「このアカウントで共有されているボールト」タブを見てみると Logically air-gapped vault を管理するアカウントからボールトが共有されていることが確認出来ました。

89573123-BBED-4E90-A6A0-157CCBF247A1.png

復旧ポイントも確認出来ますね。
コピーや編集は許可されていないですが、復元は可能です。試してみましょう。

DE37A3D1-2C70-4047-9CD9-FDF699AE19A6.png

復旧ポイントの EFS を別アカウント上で復元することが出来ました。

F46372AA-D0F2-40F8-BE95-E08FB116908B.png

さいごに

本日は AWS Backup に新しいボールトタイプ「論理的にエアギャップのあるボールト」(Logically air-gapped vault)が GA となっていたので実際に使ってみました。

サービスが限られていますが、ワークロードアカウントとバックアップ先を分離しつつ、バックアップデータへの攻撃に備えたい場合に使えそうです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.