Amazon Web Services ブログ

AWS Backup Audit Manager を使用したバックアップコンプライアンスのモニタリング、評価、デモンストレーション

2021 年 8 月 24 日、AWS Backup Audit Manager が利用可能になったことをお知らせします。これは、バックアップのコンプライアンスステータスがビジネスおよび規制要件に適合しているかをモニタリングおよび評価するのに役立ち、監査人や規制当局へのコンプライアンスの実証に役立つレポートを生成することを可能にする、AWS Backup の新機能です。

AWS Backup は、AWS アプリケーションのポリシー主導のバックアップと復元を開始する機能を提供するフルマネージドサービスで、カスタムスクリプトや手動プロセスの必要性を排除することにより、データを大規模に保護するプロセスを簡素化します。しかし、お客様は、バックアップポリシーが適用されていることを検証し、監査人に対してコンプライアンスを証明する一環として、バックアップトランスクリプトを解析して監査可能なレポートに変換するために、独自のツールを使用する必要がありました。

AWS Backup Audit Manager を使用することにより、お客様は、バックアッププランやバックアップボールトの変更など、バックアップアクティビティを継続的かつ自動的に追跡し、自動日次レポートを生成できるようになりました。AWS Backup Audit Manager は、組み込みでカスタマイズ可能なコンプライアンスコントロールを提供します。簡単に言うと、コントロールとは、ビジネスコンプライアンスと規制要件と整合する、バックアップの頻度や保存期間などのバックアップポリシーパラメータを持つ手順です。

アカウントとリージョンに合わせたフレームワークを作成し、必要なコントロールを追加します。バックアップアクティビティはコントロールに対して追跡され、定義したデータ保護ポリシーの違反を自動的に検出し、迅速な是正措置を講じることができます。バックアップアクティビティの追跡を有効にするには、AWS Backup Audit Manager で、バックアッププラン (AWS::Backup::BackupPlan resource type)、バックアップの選択 (AWS::Backup::BackupSelection)、ボールト (AWS::Backup::BackupVault)、リカバリポイント (AWS::Backup::RecoveryPoint)、および AWS Config リソースのコンプライアンス (AWS::Config::ResourceCompliance) について、AWS Config を通じてモニタリングを有効化する必要があります。AWS Backup コンソールで、[Frameworks] (フレームワーク) ページの [Resource Tracking] (リソーストラッキング) セクションを使用して、これらのリソースの記録ステータスを確認できます。

必要なコントロールをフレームワークに追加したら、それをデプロイします。満たすべき内部または規制基準が異なる場合は、追加のコントロールフレームワークを作成してデプロイできます。フレームワークがデプロイされると、バックアップアクティビティの自動日次レポートを設定できます。これらはダッシュボードに表示され、オンデマンドレポートをいつでもリクエストできます。検出結果を AWS Audit Manager にインポートすることもできます。AWS re:Invent 2020 中にこのニュースブログ記事でこのサービスについて書いています。

この短い動画では、AWS Backup Audit Manager の新機能の概要を説明しています。

使用可能なコントロールとバックアップレポート
AWS Backup Audit Manager には、バックアップジョブ、コピージョブ、および復元ジョブに関する 5 つのバックアップガバナンスコントロールテンプレートとバックアップアクティビティレポートが用意されています。これらのレポートにより、単一のアカウントとリージョンのバックアップアクティビティの可視性が向上し、運用状況をモニタリングし、さらにアクションが必要な可能性のある障害を特定できます。

フレームワークを作成するときは、名前、オプションの説明を指定し、5 つの事前定義されたコントロールを含む AWS Backup フレームワークの種類を使用するか、フレームワークをカスタマイズするかを選択します。

AWS Backup Audit Manager フレームワークの作成

[Custom framework] (カスタムフレームワーク) を選択すると、パネルが展開され、使用可能なコントロール、パラメータ、およびフレームワークに含めるか除外するオプションが表示されます。使用可能な 5 つのコントロールには、[Backup resources protected by backup plan] (バックアッププランで保護されたバックアップリソース)、[Backup plan minimum frequency and minimum retention] (バックアッププランの最小頻度と最小保持期間)、[Backup prevent recovery point manual deletion] (バックアップリカバリポイントの手動削除の防止)、[Backup recovery point encrypted] (暗号化されたバックアップリカバリポイント)、および [Backup recovery point minimum retention] (バックアップリカバリポイントの最小保持期間) というタイトルが付されています。各コントロールのタイトルの右側には、コントロールが評価する内容、頻度、およびリソースによるコントロールへの準拠が何を意味するのかということを説明する情報リンクがあります。

いくつかのコントロールを詳しく見てみましょう。[Backup resources protected by backup plan] (バックアッププランで保護されたバックアップリソース) コントロールを使用すると、サポートされているすべてのリソース、タグやタイプで識別されるリソース、または特定のリソースを選択できます。このコントロールは、バックアップカバレッジのギャップを特定するのに役立ちます。

バックアッププランコントロールリソースの選択によって保護されるバックアップリソース

[Backup plan minimum frequency and minimum retention] (バックアッププランの最小頻度と最小保持期間) には、バックアッププランがバックアップを取得する頻度、およびリカバリポイントの維持期間を指定するパラメータがあります。デフォルト設定では、1 時間ごとにバックアップを実行する必要があり、リカバリポイントを 1 か月間保持する必要がありますが、ビジネスコンプライアンス要件を満たすように設定をカスタマイズできます。

バックアップの頻度と保持期間のコントロールの設定

残りのコントロールの選択を完了し、それらを含めて必要に応じて適切なパラメータ値を設定するか、フレームワークから除外して、[Create framework] (フレームワークを作成) をクリックしてプロセスを完了します。新しいフレームワークが作成され、デプロイされます。これには数分かかります。必要に応じて、いつでもフレームワーク内のコントロールとパラメータに戻って、これらを編集できます。

デプロイされると、フレームワーク内のコントロールがコンプライアンスの評価を開始し、フレームワークを選択して、コンソールでコンプライアンスステータスを検査できます。概要セクションでは、デプロイされたコントロール定義に基づいて、フレームワークの全体的なコンプライアンスステータスと、準拠または非準拠のフレームワーク内のコントロールの数がレポートされます。

フレームワークとコントロールのコンプライアンスの概要

概要の下に、フレームワーク内の各コントロールのコンプライアンスの詳細を含むリストが表示され、ステータスでフィルタリングできます。各コントロールは、それが準拠または非準拠であるか、およびコントロールによってモニタリングされている非準拠のリソースの数の詳細を表示します。コントロールのタイトルをクリックすると、AWS Config ダッシュボードに直接移動し、コントロールによって識別されるリソースの詳細を表示できます。

コントロールのコンプライアンスの詳細

監査人や規制当局へのコンプライアンスを実証するために、バックアップアクティビティに関する自動レポートを使用できます。レポートを設定するには、まず、ナビゲーションツールバーの [Reports] (レポート) エントリをクリックし、[Create report plan] (レポートプランを作成) をクリックします。レポートテンプレートを選択するように求められます。

監査レポートテンプレートの選択

テンプレートが選択された状態で ([Backup jobs report] (バックアップジョブレポート) を選択しました)、名前とオプションの説明を入力し、レポートの配信先とする Amazon Simple Storage Service (Amazon S3) バケット内の場所を選択し、レポートファイル形式を選択し、[Create report plan] (レポートプランを作成) をクリックします。レポートは 24 時間ごとに更新され、オンデマンドレポートはいつでも実行できます。

レポート設定の編集

レポートを自動またはオンデマンドで実行したら、まず [Report plans] (レポートプラン) リストでレポートを選択し、[View report] (レポートを表示) をクリックすることで、レポートデータを表示できます。 レポートファイルの選択された S3 の場所に直接移動します。ここでは、選択したファイルタイプごとに 1 つのオブジェクト (レポート) が表示されます。

表示するレポートの選択

Amazon S3 のレポートファイル

ファイルをダウンロードすると、リソースが評価された期間、バックアップジョブの詳細、障害または完了ステータス、ステータスメッセージ、リソースタイプとバックアッププランなどが表示されます。ここでは、スプレッドシートで CSV 形式ファイルを開きました。

バックアップレポートデータ

Open Raven リリースパートナーシップ
今回のリリースで、Open RavenAWS Backup パートナーとして参加します。Open Raven は、最新のデータレイクとウェアハウスを保護するために構築されたクラウドネイティブのデータセキュリティプラットフォームです。すべてのデータの場所を見つけることから露出を先回りして特定することまで、同社のプラットフォームは、組織が大量のクラウドベースのデータを扱うときに一般的に直面する広範な問題を解決します。

Open Raven の最高技術責任者である Mark Curphey 氏は、AWS Backup の新機能についてこのように述べています。「ランサムウェア攻撃から正常に回復するには、2 つの基本的なタスクを完了することで、事前に計画を立てる必要があります。この 2 つのタスクとは、重要なデータとシステムを特定すること、そして、組織の要件に従ってバックアップして、保護およびリカバリできるようにすることです。AWS Backup Audit Manager と Open Raven の組み合わせにより、この作業が合理化され、推測や手動での作業時間を排することができます」

AWS Backup Audit Manager の使用を今すぐ開始する
AWS Backup Audit Manager は現在、米国東部 (バージニア北部、オハイオ)、米国西部 (北カリフォルニア、オレゴン)、カナダ (中部)、欧州 (フランクフルト、アイルランド、ロンドン、パリ、ストックホルム)、南米 (サンパウロ)、アジアパシフィック (香港、ムンバイ、ソウル、シンガポール、シドニー、東京)、および中東 (バーレーン) リージョンでご利用いただけます。

Backup Audit Manager の詳細については、AWS Backup デベロッパーガイドこのセクションを参照してください。使用を開始するには、AWS Backup コンソールにアクセスしてください。

– Steve

原文はこちらです。