안녕하세요, 클래스메소드의 서은우 입니다.
현지에서 참가 한 AWS re:Invent 2023의 "Safeguard and audit data protection with AWS Backup" 워크숍 세션을 듣고 그 내용을 블로그를 통해 소개하고자합니다.
개요
Backup is critical for organizations to meet business operation and regulatory compliance needs. It also helps protect against disasters, accidental deletions, and ransomware. In this workshop, explore different scenarios using AWS Backup. Find out how you can define policies to centrally protect and restore AWS services; choose among Amazon EC2 instances, Amazon EBS volumes, Amazon S3 objects, Amazon Aurora databases, and Amazon EFS file systems; configure AWS Backup Vault Lock to enable write-once, read-many (WORM) backup data; and deliver simple, auditor-ready compliance monitoring and reporting with AWS Backup Audit Manager. You must bring your laptop to participate.
백업은 비즈니스 운영 및 규제 준수 요구사항을 충족하기 위해 조직에 매우 중요합니다. 또한 재해, 우발적 삭제 및 랜섬웨어로부터 보호하는 데 도움이 됩니다. 이 워크샵에서는 AWS Backup을 사용하여 다양한 시나리오를 살펴봅니다. AWS 서비스를 중앙에서 보호하고 복원하기 위한 정책을 정의하는 방법을 알아봅니다. Amazon EC2 인스턴스, Amazon EBS 볼륨, Amazon S3 개체, Amazon Aurora 데이터베이스 및 Amazon EFS 파일 시스템 중에서 선택합니다. Write-Once, Read-Many(WORM) 백업 데이터를 사용할 수 있도록 AWS Backup Vault Lock을 구성하고 AWS Backup Audit Manager를 통해 감사자가 쉽게 사용할 수 있는 컴플라이언스 모니터링 및 보고를 제공합니다. 참여하려면 노트북을 가져와야 합니다.
SPEAKERS
- Marcos Perez Seoane
- Brian Benscoter
워크숍 내용
Strategies for data protection
재해 대처 방안을 위해, 얼마나 많은 데이터가 손실 되고 다시 생성할 수 있는지(복구 시점이 어디인지), 얼마나 빨리 데이터를 복구해야하는지를 기준으로 삼을 수 있습니다. 이를 RPO(Recovery point objective), RTO(Recovery time objective) 라고 하며, RPO/RTO 가 낮으면 낮을 수록 비용은 증가하기 때문에 적절한 재해 복구 전략을 세우는 것은 중요합니다.
The 3-2-1-1 Backup Plan
이를 위해 3-2-1-1 백업 계획을 생각할 수 있습니다.
- 3 Backup Copies: 백업, 복제본, 스냅샷 3개의 백업 복사본이 필요, 복사본을 서로 독립적으로 관리하거나 백업 애플리케이션을 통해 중앙에서 관리할 수 있어야함
- 2 Media: 2가지 다른 미디어/시스템을 통해 고가용성을 달성해야함
- 1 Remote: 별도의 지리적 위치에 저장되어 있는 1개의 백업 복사본(서로 120km 떨어진 곳)
- 1 Immutable: 비상시에 사용할 수 있는 1개의 복사본, 완벽하게 저장되어야하며 내부의 위협으로부터도 안전해야함
또한, 클라우드 네이티브 백업을 위해서는 복잡성, 규정 준수, 비용 3가지 과제를 고려해야합니다.
How AWS Backup works
위와 같은 사항들을 만족시키기 위해, AWS Backup을 사용할 수 있습니다. AWS Backup은 완전 관리형 서비스이고, 정책 기반 서비스 입니다. 그리고 중앙 집중식으로 백업을 관리할 수 있습니다.
AWS Backup의 백업 플랜을 생성하여 백업 작업에 관한 설정을 관리할 수 있습니다. 또한 Organiztions 로 멀티 계정에 관한 설정을 할 수도 있습니다.
또한 백업 볼트는 IAM을 통해 사용 권한을 제한할 수 있기 때문에 보안적으로도 훌륭하다고 할 수 있습니다.
How AWS Backup integrates AWS services
데이터 플랜, 컨트롤 플랜 각각의 필요한 플랜에 따라 이용가능한 리소스를 나눌 수 있습니다. 몇몇의 서비스의 경우 네이티브 백업 기능이 있지만 비용이나 AWS Backup이 가진 특징들 때문에 AWS Backup을 이용하기도 합니다.
Backup policies
AWS Backup이 가진 특징으로는 백업 정책이 있습니다.
백업 정책은, 백업을 실행하는 시간과 빈도, 할당하는 IAM 역할 등이 정의되어 있습니다. 또한 백업본에 대한 생명주기, 백업 대상이 되는 리소스(ARN 혹은 태그 지정) 가 정의되어 있으며 백업에 대한 모니터링도 가능합니다.
Cross-Region copy of backup
또한 필요에 따라 여러 리전에 걸쳐 백업을 실행할 수 있다는 특징도 있습니다.
AWS Backup with cross-account management
OU 설정을 통해 Organiztions 내의 여러 계정에 대해 일괄적인 백업 설정 및 관리가 가능합니다. AWS Backup을 사용할 경우, Organiztions 내의 모든 계정에서 백업을 복사하고 분리하도록 자동화할 수 있다는 장점이 있습니다.
Backup vaults: Logical constructs for additional security
백업 볼트는 AWS Backup에서 관리하는 백업 데이터를 저장하기 위한 것으로, IAM 을 통해 액세스 권한을 제한하거나 각각의 백업에 대해 권한을 분리할 수 있습니다. 또한 암호화를 위해 키를 지정할 수 있으며 볼트 내의 데이터 삭제를 방지하는 설정도 가능합니다.
AWS Backup Audit Manager
Audit Manager 기능을 사용하면 규정 준수 여부를 관리할 수 있습니다.
백업 활동을 지속적으로 추적하고, 자동으로 감사를 진행하며 이를 보고서 형태로 제공받는 것이 가능합니다. 보고서는 제공되는 탬플릿을 사용하여 24시간을 주기로 자동으로 생성되거나 On-Demand 형식으로 생성할 수 있습니다.
워크숍 진행
※ 워크숍의 구체적인 내용의 대해서는 블로그에 작성할 수 없는 점 이해부탁드립니다.
아키텍처
워크숍에서 이용한 아키텍처는 위의 이미지와 같습니다.
워크숍을 통해 직접 다뤄 본 기능
워크숍을 통해 직접 다뤄 볼 수 있었던 기능은 크게 2가지로 나눌 수 있을 것 같습니다. AWS Backup 서비스에 대한 전반적인 이해와 활용방법 등을 학습할 수 있었습니다.
AWS Backup을 이용한 백업
백업 계획과 백업 볼트를 직접 설정하고 생성하는 등 AWS Backup의 기능을 다뤄보고 직접 사용할 수 있었습니다.
시스템에 따른 적절한 백업 계획을 작성하고 온디맨드 형식으로 백업을 실행할 수 있었습니다. 또한, 교차 리전 백업 기능을 사용하여 생성한 백업을 다른 지역에 복사해보았습니다.
AWS Backup Audit Manager의 사용
AWS Backup Audit Manager을 직접 사용해볼 수 있었습니다. Audit Manager를 어떻게 다루는지, 생성한 보고서의 내용은 어떤지에 대해 확인해볼 수 있었습니다.
감상
평소에는 단지 백업만을 위한 서비스로 AWS Backup을 사용했지만, 규정준수나 감사를 위한 기능인 AWS Backup Audit Manager에 대해 알아볼 수 있었던 워크숍이었습니다.
세션에서 배운 AWS Backup의 여러 기능들을 공유해드렸는데요, 본 블로그가 백업 수단으로 서비스 고유의 백업 기능을 채용할 것인지 AWS Backup을 채용할 것인지에 대한 선택에 도움이 되었으면합니다.
2
