Amazon Web Services ブログ

AWS Backup の Logically air-gapped vault によるサイバーレジリエンスの構築

このブログは 2024 年 8 月 7 日に Sushmitha Srinivasa Murthy (Senior Solutions Architect) と Sabith Venkitachalapathy (Enterprise Solutions Architect) によって執筆された内容を日本語化したものです。原文はこちらを参照してください。

エンタープライズユーザーは多層防御アーキテクチャの一環として、集中型のデータ保護のために AWS Backup を利用しています。その機能は通常ユーザーのデータセキュリティや規制上の要件を満たしますが、近年ランサムウェア事故に対するさらなる回復力が求められています。復旧目標を達成するには多くの場合、データバックアップの複数コピーを作成し、バックアッププロセス用のカスタムコードを開発および維持し、複数の暗号化キーを管理する必要があります。これらの課題に対処するため、AWS Backup は Logically air-gapped vault の一般提供を開始しました。これは、アカウントおよび組織間でバックアップを安全に共有できる新しい種類の AWS Backup vault で、データ損失イベントからの復旧時間を短縮するための直接復元をサポートしています。

AWS Backup の Logically air-gapped vault はセカンダリの Vault として機能し、ユーザー組織の保持・復旧のニーズに対応するためにバックアップストレージの論理的な分離を提供します。Logically air-gapped vault の主な機能は次のとおりです。

このブログでは、Logically air-gapped vault が最も機密性の高いワークロードにおいて、復旧時間の改善、運用オーバーヘッドの削減、リカバリテストの合理化に対しどのように役立つかを説明します。

Logically air-gapped vault の動作

詳細に入る前に、Logically air-gapped vault がどのように機能するかを理解しましょう。

Logically air-gapped vault では、イミュータブルなバックアップコピーがデフォルトでロックされ、AWS 所有のキーを使用した暗号化によってさらに保護されます。AWS Backup 所有の AWS Key Management Service (AWS KMS) キーで復旧ポイントを暗号化することで、ユーザー側で管理している暗号化キーの誤削除や望まない削除から保護するだけでなく、運用オーバーヘッドと鍵管理コストも削減できます。

Logically air-gapped vault を使用すると、AWS RAM を使用することでバックアップをアカウント間で簡単に共有できるようになります。この機能は、同じ AWS Organizations 内だけでなく、異なる Organizations のアカウント間でも Vault を共有する必要がある企業にとって重要です。AWS RAM を使用すると、ユーザーは特定のアカウントに Vault を共有でき、より迅速な直接復元が可能になります。また、サービスコントロールポリシー (SCP) と AWS Backup vault のアクセスポリシーを組み合わせて使用することで、AWS RAM の共有設定に細かいアクセス制御を適用できます。

Vault を共有すると、バックアップを宛先アカウントにて直接復元できます。これにより、最初にバックアップをコピーする必要がなくなります。そのため、運用オーバーヘッド、データ損失イベントからの復旧時間、余分なコピーコストをそれぞれ削減できます。

ソリューションの概要

図 1 は、Logically air-gapped vault を使用する際の典型的なアーキテクチャパターンを示しています。このデザインパターンでは、AWS Backup を使用した AWS サービス全体のデータを保護、AWS RAM による Logically air-gapped vault を複数のアカウントで共有、AWS KMS によるバックアップデータの暗号化に使用するキーの作成・管理・制御、AWS Lambda による復元操作を自動化、AWS Organizations を使用してワークロードと機能ごとに以下の AWS アカウントに分離して編成しています。

  • ワークロードアカウント: AWS Backup がサポートするリソースを含むユーザーのワークロードで構成されます。このアカウントには、プライマリの AWS Backup vault とバックアッププランが含まれています。
  • データバンカーアカウント: Logically air-gapped vault がこのアカウントに定義され、ワークロードアカウントの Vault からデータがコピーされます。Logically air-gapped vault はワークロードアカウントにも設定できますが、さらに論理的な分離を行うことで防御が強化されます。この Logically air-gapped vault は、AWS RAM を使用して復旧アカウントとフォレンジックアカウントと共有されます。
  • 復旧アカウント: ワークロードアカウントで災害やサイバーセキュリティインシデントが発生した場合に、復旧ポイント (バックアップとも呼ばれます) を復元するために使用されます。 Logically air-gapped vault は、AWS RAM を使用してこのアカウントと共有されます。
  • フォレンジックアカウント: 定期的な復元テストや、必要に応じた追加のセキュリティ調査の際に使用されます。復元が成功しない場合は、AWS Security Hub にアラートを発するためのイベントがトリガーされます。


図 1: Logically air-gapped vault を使用する際の典型的なアーキテクチャ

次のセクションでは、極めて機密性の高いワークロードに対して、Logically air-gapped vault の機能がどのように役立つかを説明します。

回復時間の短縮

これまでの復旧プロセスでは、復旧アカウントで復旧ポイントのコピーを作成し、その後復元操作を実行する必要がありました。コピーの作成と復元操作には、復旧ポイントのサイズによっては多大な時間がかかる可能性があります。しかし、サイバー攻撃の場合、これらの操作を実行するのに十分な時間がないことがあります。

バックアッププランを利用すれば、Logically air-gapped vault へ復旧ポイントを自動でコピーできます。データ損失が発生した場合、ユーザーはこの保管領域を復旧アカウントと共有して、復元を開始できます。リソースはコピーされるのではなく共有されるため、復旧ポイントのサイズがプロセスに影響を与えず、復元時間を短縮できます。このアプローチは、アカウントや組織間において迅速な復旧が必要な、極めて機密性の高いワークロードに有益です。

運用オーバーヘッドの削減

Logically air-gapped vault は、バックアッププランのバックアップルールを通じてコピー設定を可能にすることで、全体的な運用オーバーヘッドを削減するのに役立ちます。これにより、Vault の内容共有が AWS RAM を介して行われ、追加の暗号化キーを管理する必要がなくなります。

ユーザーは、バックアッププランを更新し、図 2 で赤枠で囲われている箇所のようにコピー設定を実施する必要があります。コピー設定では、データを Logically air-gapped vault にコピーします。これは一度限りの手順です。この最初の手順が完了すると、データは、ワークロードアカウントの対象 Vault から自動的にデータがコピーされます。コピー先は、同じアカウントまたは別のアカウントにある Logically air-gapped vault です。その後、Logically air-gapped vault は、復旧アカウントにコピー操作を管理するためのカスタムコードを必要とせずに、復旧アカウントと共有できます。


図 2: Logically air-gapped vault にコピーするためのバックアッププラン

さらに、新しい Logically air-gapped vault を作成する際、使用される AWS 暗号化キーは AWS によって管理されます。これにより、キーの作成・保守・保護に関わる追加のオーバーヘッドが軽減されます。

保護機能の強化

機密性が高く高度な保護が必要で、データのイミュータブルなコピーが求められるワークロードの場合は、Logically air-gapped vault が高度なセキュリティ機能を提供します。暗号化キーを失う危険性から保護し、データが安全かつアクセス可能な状態を維持します。Logically air-gapped vault は、デフォルトでコンプライアンスモードでロックされており、この Vault から復旧ポイントを手動で削除することはできません。さらに、サービス所有の暗号化キーを使用することで、キーの誤った削除や悪意のある削除を防ぎ、セキュリティが強化されます。

図 1 では、データがデータバンカーアカウントにコピーされており、これらのコピーは常にイミュータブルです。したがって、サイバーセキュリティインシデント発生時に、脅威が Logically air-gapped vault の内容を変更したり、暗号化キーを削除したりすることはできません。

このソリューションは、高度なデータ保護と保全が必要な極めて機密性の高いワークロードに推奨されます。さらに、AWS Backup での SCP の使用、および AWS Backup のデータ保護に関する推奨事項は、Logically air-gapped vault にも適用されます。

共有と復旧テストの簡素化

AWS Backup ユーザーは、バックアップと復旧の手順について定期的にエンドツーエンドのテストを実行することを強く推奨します。Logically air-gapped vault の共有は AWS RAM によって実現され、本番環境を中断することなく復旧手順を検証できます。この検証により、災害復旧 (DR) 計画が堅牢で、必要な時に効率的に実行できることを確認できます。

図 1 では、Logically air-gapped vault が復旧アカウントと共有されています。復旧アカウントにおいて共有が承認されると、Vault の共有アカウント一覧に表示され、また復旧ポイントが共有先アカウントでも表示されるようになります。図 3 は、AWS RAM を使用して Logically air-gapped vault を共有している様子を示しています。


図 3: AWS RAM を使用して Logically air-gapped vault を共有

図 4 は、プルダウンメニュー ActionsRestore ボタンを使用して復元できる、共有された Logically air-gapped vault の復旧ポイントを示しています。


図 4: Restore ボタンを使用して復旧可能な AWS Backup Logically air-gapped vault の復元ポイント

クリーンアップ

Logically air-gapped vault の作成後、不要な料金を避けるためには、AWS Backup ユーザーガイドのリソースのクリーンアップセクションの手順に従います。

まとめ

このブログでは、AWS Backup の Logically air-gapped vault を使用する主な利点を示しました。 まず、Logically air-gapped vault を使用することで、組織やアカウント間で Vault を共有できるため、復旧時間と運用オーバーヘッドを大幅に削減し、復旧テストを合理化できます。 次に、Logically air-gapped vault は、コンプライアンスモードで Vault を自動的にロックし、さらに AWS 所有のキーを使用して Vault を暗号化して暗号化キーの望まない削除を防止することで、高度な保護を提供します。これらの利点はランサムウェアが依然として高い懸念となっている状況において特に重要であり、非常に機密性の高いワークロードに適用できます。

この記事をお読みいただきありがとうございます。Logically air-gapped vault の使用を開始するには、AWS Backup コンソール、API、または CLI を使用してください。詳細については、AWS Backup の製品ページドキュメントを参照してください。

Sushmitha Srinivasa Murthy

Sushmitha Srinivasa Murthy

Sushmitha Srinivasa Murthy は、AWS の Senior Solutions Architect です。彼女は根っからのビルダーであり、クラウドガバナンスとセキュリティに情熱を注いでいます。厳しく規制された金融業界において、安全で拡張性が高く回復力のあるワークロードを構築した 10 年以上の経験を持っています。

Sabith Venkitachalapathy

Sabith Venkitachalapathy

Sabith Venkitachalapathy は、AWS の Enterprise Solutions Architect です。彼は、様々なビジネスニーズを解決するために、AWS において規制された複数アカウント環境の設計と管理についてお客様へ支援しています。また彼は金融業界を専門としています。仕事以外では、料理や旅行を楽しみ、家族と時間を過ごすことを好みます。