AWSは最近、AWS Resource Access Manager(RAM)を使用して他のアカウントとリカバリ用に共有できる新しいタイプの保管庫であるAWS Backup論理エアギャップ・ボールトのパブリックプレビューを発表した。
サービスのリストア中、顧客の主要なニーズの1つは、AWS Backupに保存されたリカバリポイントを他のアカウントや組織間で共有して、より迅速に直接復元できることである。さらに、顧客は、リカバリポイントの暗号化に使用されるオリジナルのAWS Key Management Service(AWS KMS)のCustomer Managed Key(CMK)へのアクセスを維持する必要がある。新しいAWS Backup論理エアギャップ・ボールトは、AWS RAMを使用して他のアカウントとリカバリ用に共有できる新しいタイプのデータ保管庫を提供することで、こうした顧客のニーズを満たすことを目的としている。
AWS Backupの論理エアギャップ・ボールトは、デフォルトでロックされ、さらにAWS所有の鍵を使った暗号化によって保護された不変のバックアップコピーを導入することで機能する。AWS Backupが所有するKMSキーを使用してリカバリポイントを暗号化することで、顧客は顧客が管理するキーの偶発的または不要な削除のリスクを軽減できる。さらに、この新機能により、リストア目的で他のアカウントとバックアップデータを共有することが容易になる。
AWSのエンタープライズソリューションアーキテクトであるAabith Venkitachalapathy氏は、次のように書いている。
AWS Backupが所有するKMSキーを使用してリカバリポイントを暗号化することで、顧客が管理するキーの偶発的または不要な削除に対処できる。
顧客はAWS RAMを活用して、組織横断的な共有を含む特定のアカウントでボールト・データを共有し、より迅速に直接リストアできる。ボールトが共有されると、バックアップを直接リストアできるため、最初に宛先アカウントにバックアップをコピーするステップを省ける。この機能により、運用上のオーバーヘッドが削減され、データ損失イベントからの復旧時間が最短化され、余分なコピーのコストが削減される。
AWS Backupで新しい論理エアギャップ・ボールトを作成するには、ユーザーはAWS Management Consoleにログインし、AWS Backupコンソールを開き、Vaultsメニューから"Create logically air-gapped vaults"を選択し、必要な詳細を入力し、"Search by vault name"フィルタを使用して"Vaults owned by this account"の下に新しく作成されたボールトを表示できる。AWS Backup で新しい論理エアギャップ・ボールトを作成するための他のオプションには、APIまたはCLI を使用する方法がある。
論理エアギャップ・ボールトの作成プロセスを完了するためにボールトを作成する(出典:AWS Newsブログポスト)
論理エアギャップ・ボールトが作成されると、ユーザーは新しいボールトにコピーするリカバリポイントを見つけるか、バックアッププランのコピー先として新しいボールトを使用できる。また、AWSバックアッププランのルールを使用して、論理エアギャップ・ボールトをコピー操作の宛先として設定し、自動化されたデータ保護戦略を確立できる。
AWS Storageのブログポストで、著者らは次のように結論づけている。
AWS Backup論理エアギャップ・ボールトを使用する主な利点は、組織やアカウント間でボールトを共有する機能を提供することで、リカバリ時間と運用上のオーバーヘッドを大幅に削減し、リカバリテストを合理化できることである。さらに、自動的にコンプライアンスモードでボールトをロックし、AWS所有のキーを使用してボールトを暗号化することで、暗号化キーの偶発的な削除を防止することで、より高度な保護を提供する。これらの利点は、ランサムウェアが依然として最重要視され、機密性の高いワークロードに使用される可能性があるため、特に関連性が高い。
最後に、論理エアギャップ・ボールトに対するAWS Backupのサポートは、様々なAWSリージョンで利用可能である。