関連するソリューション
ID-Cross/クラウドサービス
デジタルソリューション本部
エバンジェリスト 松岡 政之 
こんにちは。エバンジェリストの松岡です。最近、各地で梅雨入りしましたが雨の日と晴れの日で気温差が大きく服装が難しい日々が続いています。
こんなに気温が上下すると体調管理も大変ですね。皆様も体調を崩さないようお気を付けください。
1.はじめに
それでは本題です。今回はAWS Backup Audit ManagerというAWS Backupの監査機能に触れていきます。クラウドではオンプレミスと異なり、自由なタイミングでリソースの調達や増減が可能なため、調達したリソースに対するバックアップの設定も頻繁に変更する必要があるといった環境が多いと思います。その結果、バックアップ設定の漏れや設定ミスによりいざ復旧したい際に正しく復旧ができないという事態が発生してしまう危険性が大いにあります。
そこで、これらのようなミス等を防ぐためにバックアップが正しく設定されているか継続的に監査していく必要があります。AWS Backup Audit Managerではこのようなクラウド環境に適した監査を実現することができます。さらに詳しく見ていくと、AWS Backup Audit Managerでは現時点で以下の8つの観点で監査することができます。
- バックアップの保持期間が指定の日数以上か
- バックアップボールトの変更保護が設定されているか
- バックアップの取得間隔が指定の日数
- バックアップが暗号化されているか
- バックアップが設定されていないリソースが存在しないか
- バックアップにクロスアカウントコピーが設定されているか
- バックアップの削除保護がなされているか
- バックアップにクロスリージョンコピーが設定されているかこれらの監査項目はカスタムすることもできるので、システムの重要度等によってどの項目を採用するか選択することも可能です。
そして、5月25日に新たにAmazon S3およびAWS Storage Gatewayに対応しました。AWS Backup Audit Manager が Amazon S3 および AWS Storage Gateway のサポートを追加(※外部サイト: AWS Backup Audit Manager が Amazon S3 および AWS Storage Gateway のサポートを追加)
今回はAWS Backup Audit Managerの機能について触れつつ、新機能であるS3およびStorage Gatewayへの対応状況についてみていきたいと思います。
2.事前準備
2-1.バックアップ対象(S3, Storage Gateway)の準備
まずは、バックアップの対象としてS3バケットを作成してバージョニングを有効化します。2つ作成しているのは、バックアップ設定したものとしていないものでどのような違いが出るかを確認するためです。
データも簡単なテキストファイルを作成して投げ込んでおきます。
また、Storage Gatewayでもキャッシュ型ボリュームゲートウェイを作成し、ボリュームを2つ作成します。データも簡単なテキストファイルを作成して投げ込んでおきます。
こちらに関しては、データを投げ込むためにはOSに接続してマウントする必要があるのでインスタンスを1つ作成し、iSCSI接続およびディスクをマウントしてデータを投げ込みます。
2-2.バックアップの設定
バックアップする対象を作成したので次はバックアップの設定を行っていきます。というわけでAWS Backupからバックアッププランの作成を行います。下記の画像とは異なりますが、今回はテストということでバックアップウィンドウを調整して一番近い時間に実行されるように設定します。
続いてバックアップするリソースを選択していきます。今回は先ほど作成したS3バケットの内一方とキャッシュ型ボリュームゲートウェイのボリュームの内一方を設定していきます。設定したらしばらく待ってジョブからバックアップの結果を確認します。
2-3.Backup Audit Managerの設定
ここまででバックアップの準備ができたので本題のBackup Audit Managerの設定をしていきます。
まずはAWS Backupからフレームワークの画面を開きます。監査機能にはAWS Configを利用するため、AWS Configを有効にしていない場合は有効化してリソース追跡のステータスが「オン」になるのを確認しましょう。
それが確認出来たら、続いて「フレームワークの作成」から監査項目(コンプライアンス)の設定をしていきます。フレームワークでは1.はじめにで書いた項目についてどれを監査項目として採用するか、日数等をどのくらいの期間にするかを設定することができます。
今回は検証なのでフレームワークタイプとして「AWS Backupフレームワーク(推奨)」を選択します。
作成するとフレームワークに作成したものが表示され、デプロイのステータスが「更新中」となります。デプロイには少し時間がかかるのでページを更新して下図の通り「完了」になるのを待ちます。
まずはAWS Backupからフレームワークの画面を開きます。監査機能にはAWS Configを利用するため、AWS Configを有効にしていない場合は有効化してリソース追跡のステータスが「オン」になるのを確認しましょう。
それが確認出来たら、続いて「フレームワークの作成」から監査項目(コンプライアンス)の設定をしていきます。フレームワークでは1.はじめにで書いた項目についてどれを監査項目として採用するか、日数等をどのくらいの期間にするかを設定することができます。
今回は検証なのでフレームワークタイプとして「AWS Backupフレームワーク(推奨)」を選択します。
作成するとフレームワークに作成したものが表示され、デプロイのステータスが「更新中」となります。デプロイには少し時間がかかるのでページを更新して下図の通り「完了」になるのを待ちます。
これで準備は完了です。次からはどのように監査結果が表示されるのかを確認してみましょう。
3.監査結果確認
3-1. バックアップ監査結果概要
それでは設定した監査の結果を確認してみましょう。作成したフレームワークの画面を開いてみると以下の画像に示す通り、準拠しているコントロール/準拠していないコントロールの所でいくつのルールに沿っているか/違反しているかを確認することができます。
そしてその下部にあるコントロールでどのルールに何が違反しているのか細かく見ることができます。
すべて見ていくと冗長になるので一つだけ抜粋して「バックアッププランによって保護されたバックアップリソース」について詳細を見ていきます。こちらの項目は、要するにバックアップが設定されていないリソースが存在するかどうかについて確認することができます。詳細の画面は下記の通りです。
AWS Backupでは様々なリソースに対応しており、対応している各リソースについてコンプライアンスへの準拠状況が表示されます。
今回はS3とStorage Gatewayに関してなのでそれ以外に関しては割愛させていただきますが、こちらの項目ではバックアップの設定がされていないリソースがいくつ存在するかが「準拠していないリソース」として表示されています。データ不足になっている項目はそもそもバックアップできるリソースが存在していないサービスになります。
クリックすると下図の「対象範囲内のリソース」に示す通り実際のどのバケットがコンプライアンスに違反している(バックアップの設定がされていない)のか確認することができます。
黒塗りでつぶさせていただいているものは個人的に作成しているバケットなので無視いただいて、「backuptest002」というバケットが今回のオペレーションで作成しバックアップの設定をしなかったものになります。
このようにバックアップの設定が漏れているもの等設定したコンプライアンスに違反しているものについて一目で確認することができます。
ちなみに対象範囲内のリソースの左上にある「非準拠」の部分を「すべて」や「準拠」に変更することでコンプライアンスに準拠しているリソースについても確認することができます。今回はバックアップの設定をしたバケット「backuptest001」については、下図の通りコンプライアンスに準拠していることが確認できます。
今回はS3とStorage Gatewayに関してなのでそれ以外に関しては割愛させていただきますが、こちらの項目ではバックアップの設定がされていないリソースがいくつ存在するかが「準拠していないリソース」として表示されています。データ不足になっている項目はそもそもバックアップできるリソースが存在していないサービスになります。
3-2. S3バケットのバックアップ監査結果
それではまずはS3について詳細を確認していきましょう。評価されたリソースの「S3」の部分がリンクになっているのでクリックします。
クリックすると下図の「対象範囲内のリソース」に示す通り実際のどのバケットがコンプライアンスに違反している(バックアップの設定がされていない)のか確認することができます。
黒塗りでつぶさせていただいているものは個人的に作成しているバケットなので無視いただいて、「backuptest002」というバケットが今回のオペレーションで作成しバックアップの設定をしなかったものになります。
このようにバックアップの設定が漏れているもの等設定したコンプライアンスに違反しているものについて一目で確認することができます。
ちなみに対象範囲内のリソースの左上にある「非準拠」の部分を「すべて」や「準拠」に変更することでコンプライアンスに準拠しているリソースについても確認することができます。今回はバックアップの設定をしたバケット「backuptest001」については、下図の通りコンプライアンスに準拠していることが確認できます。
3-3. Storage Gatewayのバックアップ監査結果
続いてStorage Gatewayのボリュームのバックアップについても見ていきたいと思います。こちらについても3-1で記載した画面でStorage GatewayのリンクをクリックすることでS3と同様の画面に遷移します。
下図では対象となるすべてのリソースを表示したものになりますが、こちらもS3の場合と同様に2-2でバックアップの設定をしたボリュームについてはコンプライアンスに準拠していることがわかり、もう一方のボリュームについてはコンプライアンスに違反しておりバックアップの設定が漏れているということが一目でわかります。
まとめ
今回はAWS Backupに付属する監査機能であるAWS Backup Audit Managerについて、新たに対応したS3とStorage Gatewayを中心にみていきました。
結果として、設定した監査ルールに準拠しているかを自動的に一括で確認することができました。今回は細かい設定については割愛させていただきましたが、リソースの除外設定や特定のタグが付いたリソースのみの集計等も可能なため、開発環境などバックアップが不要なリソースが混じっていても利用することが可能です。
今回確認した通り、AWS Backup Audit Managerを使用することでバックアップの設定が正しく行われているか、バックアップ設定に漏れがないか等を容易に監査することができます。また、先月から新たにS3およびStorage Gatewayにも監査機能が対応しました。AWSの多岐にわたるストレージのバックアップ運用にお困りごとがあれば、AWS Backup Audit Managerを使うことによる一気通貫での管理を試してみてはいかがでしょうか。それではよいクラウドライフを!
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
