【アップデート】AWS Backup Audit ManagerでRPOを監査できるようになりました

みなさん、こんにちは。サニービュー事業部の小寺です。

AWS Backupを使われている方もかなり多いのではないでしょうか。
先月のリリースで、AWS Backup Audit Managerに目標復旧時点（RPO）を監査する機能が追加されました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/06/aws-backup-audit-manager-adds-audit-recovery-point-objective-rpo/

RPOとRTOについて

RPO、RTOって何だっけ？という方のために簡単に復習です。
まず、RPO（Recovery Point Objective）とは、障害発生時、過去の「どの時点まで」のデータを復旧させるかの目標復旧時点を意味します。重要な障害などのイベントが発生した時点から直前のバックアップまでの間に、ビジネスに最も関連性の高い期間内にデータがどれだけ損失してしまうのかに関連する考え方です。社内のみで利用しているシステムや他にデータの更新がほぼないシステムの場合、RPOはかなり前でもよい、最悪前日の夜間バックアップでもよい場合もあるでしょう。また、障害で停止してしまっても障害前の時点に即復旧が求められるシステムもあるかと思います。
この場合は、バックアップの取得頻度が多くなります。

次に、RTO（Recovery Time Objective）とは、障害発生時「どのくらいの時間で（いつまでに）」復旧させるかの時間を意味します。アプリケーション、システム、プロセスがビジネスに大きな損害を与えることなく停止することができる時間、およびアプリケーションとそのデータの復旧にかかる時間のことです。RTOが短いほど、その分発生するコストは仕組化など含めて一般的には高くなります。

RPOが短いほどもちろんデータの損失は少なくなりますが、バックアップの回数が増え、ストレージの容量も増え、バックアップを実行するためのコストが増えていきます。
また、RPOが長ければコストは抑えられますが、その分データの損失も大きくなります。社内システムで影響がないから前日の夜に戻ってしまうと、障害発生前までに更新したけど消失したデータは戻ってこないからです。
RPO、RTOはシステムに保管するデータの重要度やサービス提供の範囲を考慮し、優先順位をつけて決定するのが良いと思われます。

AWS Backupとは

AWS Backupはマネージドなバックアップサービスです。AWSのサービスやハイブリッドな環境を含めて、データ保護を一元化及び自動化できるサービスです。

以下がAWS Backup利用時のメリットとして挙げられます。
・バックアップの集中管理
バックアップのコンソールからバックアップポリシーを設定することができます。AWSのサービス全体のアプリケーションデータを簡単にバックアップ、保護できます。設定はマネジメントコンソール以外にもAPIまたはCLIから可能です。

・バックアッププロセスの自動化
バックアップスケジュール、バックアップの保管管理、ライフサイクル管理を自動化することができます。そのため、カスタムスクリプトや手動プロセスを作って実行する必要はありません。ポリシーの適用には、タグ付けをするだけで可能です。簡単に適用することができますね。

・バックアップコンプライアンスの向上
バックアップポリシーの適用、バックアップの暗号化、バックアップのマニュアル削除からの保護、バックアップライフサイクル設定の変更防止、バックアップ操作の監査とレポートをすることで、バックアップコンプライアンスの基準を満たすことができます。

サポートされているリソースの一覧です。
・Amazon Elastic Compute Cloud (Amazon EC2) インスタンス
・Amazon EC2 上の Windows ボリュームシャドウコピーサービス (VSS) 対応アプリケーション (Windows Server、Microsoft SQL Server、Microsoft Exchange Server を含む)
・Amazon Elastic Block Store (Amazon EBS) のボリューム
・Amazon Simple Storage Service (Amazon S3) バケット
・Amazon Relational Database Service (Amazon RDS) データベース (Amazon Aurora クラスターを含む)
・Amazon DynamoDB テーブル
Amazon Neptune データベース
Amazon DocumentDB (MongoDB 互換) データベース
Amazon Elastic File System (Amazon EFS) ファイルシステム
Amazon FSx for NetApp ONTAP ファイルシステム
Amazon FSx for Lustre ファイルシステム
Amazon FSx for Windows File Server ファイルシステム
Amazon FSx for OpenZFS ファイルシステム
AWS Storage Gateway ボリューム
オンプレミスでの、Amazon Outposts、および VMware CloudTM on AWS にある VMware ワークロード

本アップデートのメリット

バックアップの目標復旧時点 (RPO) について、監査ができ、レポート作成ができるようになりました。このアップデートを有効にするには、「AWS Backup Audit Manager フレームワーク」からONにすれば利用できるようになります。
大きなメリットとしては、AWS Backupサービスを使って取得しているバックアップの各リソースににのプロジェクトやシステムごとの目標復旧時点（RPO）を指定することができ、毎日モニタリングしてくれます。

モニタリングがされるだけではなく、目標に達していないと判断された場合、是正措置を行うよう警告も表示がされます。お客様の要件や自社のサービスで提示しているSLAを客観的に評価できるところが大きなメリットですよね。また、監査対象のレポートをAWS Backup Audit Managerの機能として作成してくれるので、データ保護ポリシーが定義済みの業界固有の規制要件に準拠できているのか、監査を受ける際の証明として利用ができます。

早速ためしてみた

(1）「Backup Audit Manager」の「フレームワーク」をクリックします。

(2)フレームワークの「コントロール」に表示される「最後に作成された復旧点（新規）」が今回追加されたコントロールです。

デフォルトでは「1日」となっていますが、コントロールの編集から変更可能です。

(4)AWS Configから追加されたルールを確認することができます。

AWS Audit Managerの対応リージョン

2022年6月末時点で、以下のリージョンでAWS Backup Audit Managerが対応しています。
・米国東部 (オハイオ、バージニア北部)
・米国西部 (北カリフォルニア、オレゴン)
・カナダ (中部)
・欧州 (フランクフルト、アイルランド、ロンドン、パリ、ストックホルム)
・南米 (サンパウロ)
・アジアパシフィック (香港、ムンバイ、ソウル、シンガポール、シドニー、東京)
・中東 (バーレーン)