AWS Backup FAQ

복구 시점은 지정된 시각의 리소스 콘텐츠를 나타냅니다. 또한 복구 시점에는 리소스에 대한 정보, 복원 파라미터, 태그와 같은 메타데이터가 포함됩니다.

백업 계획은 DynamoDB 테이블 또는 EFS 파일 시스템과 같은 AWS 리소스를 백업할 시기와 방법을 정의하는 정책 표현식입니다. 리소스를 백업 플랜에 할당하면 AWS Backup이 자동으로 백업 플랜에 따라 해당 리소스에 대한 백업을 자동으로 작성하고 유지합니다. 백업 계획은 하나 이상의 백업 규칙으로 구성됩니다. 각 백업 규칙은 1) 백업 빈도(Recovery Point Objective[RPO])와 백업 기간이 포함된 백업 일정, 2) 백업을 한 스토리지 계층에서 다른 계층으로 전환할 시점과 복구 시점을 만료할 시점을 지정하는 수명 주기 규칙, 3) 생성된 복구 시점을 배치할 백업 저장소, 그리고 4) 백업 생성 시 백업에 추가할 태그로 구성됩니다. 예를 들어 백업 계획에는 ‘일별 백업 규칙’과 ‘월별 백업 규칙’이 있을 수 있습니다. 일별 규칙은 리소스를 매일 자정에 백업하고 한 달 동안 백업을 유지합니다. 월별 규칙은 매달 초에 한 번 백업을 수행하고 1년 동안 백업을 유지합니다.

백업 저장소는 백업(복구 지점)을 저장하고 구성하는 AWS 계정의 암호화된 스토리지 위치입니다. AWS Backup을 사용할 수 있는 각 AWS 리전에 새로운 백업 저장소를 생성해야 합니다. AWS Backup Vault Lock의 백업 저장소 삭제 방지를 사용하면 데이터가 악의적 의도로 다시 암호화되는 것을 방지할 수 있습니다. AWS Backup은 요구 사항에 따라 탐색 및 복원할 수 있도록 선호하는 백업 저장소에 연속 백업 및 정기 스냅샷을 저장합니다.

AWS Backup의 수명 주기 기능을 사용하면 복구 지점을 웜 스토리지 계층에서 저렴한 콜드 스토리지 계층으로 자동으로 전환할 수 있습니다. 콜드 스토리지 계층은 EFS, DynamoDB, Timestream 및 VMware 가상 머신의 백업에만 사용할 수 있습니다.

EFS, DynamoDB, S3, Timestream 및 VMware 가상 머신에 대한 백업은 소스 서비스와는 별개로 저장 및 전송 시 암호화되어 추가적인 보호 계층을 제공합니다. 암호화는 백업 저장소 수준에서 구성됩니다. 다른 서비스(EC2, EBS, Amazon FSx, RDS, Aurora, Amazon DocumentDB, Neptune, Storage Gateway)의 백업은 소스 서비스의 백업 암호화 방법을 사용하여 암호화됩니다. 예를 들어 EBS 스냅샷은 스냅샷이 생성된 볼륨의 암호화 키를 사용하여 암호화됩니다.

AWS Backup을 사용하면 백업 저장소에 대해 리소스 기반의 정책을 설정하여, 백업 저장소 및 백업 저장소에 있는 백업에 대한 액세스를 제어할 수 있습니다.

AWS Backup 기반 백업 기능이 있는 서비스는 백업을 저렴한 스토리지 계층으로 전환하는 수명 주기 관리, 소스 데이터와 독립된 백업 스토리지 및 암호화, 백업 액세스 정책과 같은 추가 백업 기능을 지원합니다. 현재 S3, EFS, Timestream, EC2 기반 SAP HANA 및 DynamoDB에서는 AWS Backup과 통합된 백업 기능을 통해 AWS Backup의 고급 기능을 지원합니다. DynamoDB에 대해 AWS Backup의 고급 기능을 활성화하려면 설정을 통해 옵트인해야 합니다. EFS, S3, Timestream, EC2 기반 SAP HANA 및 VMware 가상 머신은 AWS Backup 고급 기능을 자동으로 지원합니다. AWS Backup for S3는 서로 다른 키를 사용하는 백업 액세스 정책과 백업 암호화를 지원하지만, 콜드 스토리지 계층은 지원하지 않습니다.

AWS Organizations의 백업 정책 관리와 AWS Backup의 크로스 계정 모니터링을 위임할 수 있습니다. 전용 백업 관리 계정에 백업 관리를 위임하면 멤버 계정에서 백업 관리를 위해 관리 계정에 액세스할 필요가 없어집니다. 그러므로 위임된 백업 관리자가 백업 정책을 생성 및 관리할 수 있으며 조직 내 여러 계정의 백업 활동을 모니터링할 수 있습니다. 조직 전체 백업 관리 위임 기능을 활용하면 대규모 백업 관리를 중앙에서 안전하게 수행할 수 있습니다.

AWS Backup Audit Manager를 통해 데이터 보호 정책 규정 준수를 감사하고 보고할 수 있습니다. AWS Backup은 조직의 모범 사례 및 규제 표준을 기반으로 AWS 서비스 전반에 걸쳐 데이터 보호 정책을 중앙 집중화하고 자동화하는 데 도움이 됩니다. AWS Backup Audit Manager는 이러한 정책의 준수를 유지하고 입증하는 데 도움이 됩니다.

AWS Backup Audit Manager를 사용하면 AWS에서 생성하는 워크로드 또는 AWS로 마이그레이션하는 워크로드가 데이터 보호 요구 사항을 충족하는지 확인할 수 있습니다. AWS Backup Audit Manager를 사용하면 백업 거버넌스 및 규정 준수 정책을 구현하고, 추적하며, 준수를 입증하는 작업이 간소화됩니다.

AWS Management Console, CLI, API 또는 SDK를 통해 AWS Backup Audit Manager를 사용할 수 있습니다. AWS Backup Audit Manager는 기본적인 규정 준수 제어를 제공합니다. 이러한 제어를 사용자 지정하여 데이터 보호 정책을 정의할 수 있습니다. 정의한 데이터 보호 정책의 위반을 자동으로 감지하고 수정 조치를 취하라는 메시지를 표시하도록 설계되었습니다. AWS Backup Audit Manager를 사용하면 백업 활동을 지속적으로 평가하고 감사 보고서를 생성하여 규제 요구 사항 준수를 입증할 수 있습니다.

AWS Backup Audit Manager 제어는 백업 빈도 또는 백업 보존 기간과 같은 백업 요구 사항의 준수를 감사하기 위해 설계된 절차입니다. AWS Backup Audit Manager 프레임워크는 단일 엔터티로 배포하고 관리할 수 있는 제어를 모아 놓은 것입니다.

AWS Backup Audit Manager 제어는 정의된 구성 설정을 기준으로 백업 리소스의 구성을 평가합니다. 리소스가 제어에 정의된 구성을 충족하면 해당 제어에 대한 리소스의 규정 준수 상태가 COMPLIANT가 됩니다. 그렇지 않은 경우 상태는 NON_COMPLIANT입니다. AWS Backup Audit Manager 제어에 의해 평가된 모든 리소스가 규정을 준수하는 경우 제어의 규정 준수 상태는 COMPLIANT입니다. 마찬가지로, 프레임워크의 모든 제어가 규정을 준수하면 해당 프레임워크의 규정 준수 상태는 COMPLIANT가 됩니다.

AWS Backup 콘솔에서 AWS Backup Audit Manager Frameworks(AWS Backup Audit Manager 프레임워크) 섹션으로 이동하고 프레임워크 및 제어의 규정 준수 상태를 보려는 프레임워크 이름을 선택합니다.

AWS Backup 활동과 관련된 보고서를 생성할 수 있습니다. 이러한 보고서는 백업, 복사 및 복원 작업의 세부 정보를 확인하는 데 도움이 됩니다. 이러한 보고서를 사용하여 운영 상태를 모니터링하고 추가 작업이 필요할 수 있는 실패를 식별할 수 있습니다.

AWS Config는 AWS 리소스 구성을 지속적으로 모니터링 및 기록하고, 원하는 구성을 기준으로 기록된 구성을 자동으로 평가해 줍니다. AWS Backup Audit Manager를 AWS Config와 통합하면 백업 활동을 추적하고 데이터 보호 정책을 백업 제어로 전사할 수 있습니다. 백업 제어를 배포하면 AWS Backup Audit Manager가 정의된 제어를 기준으로 백업 활동을 평가하고 백업 규정 준수 상태를 기록합니다. 감사 및 모니터링 목적으로 보고서를 생성할 수도 있습니다. AWS Backup Audit Manager를 사용하면 AWS Organization의 관리 계정에서 다중 리전 및 다중 계정 보고서를 생성할 수 있습니다.

AWS는 클라우드에서 가장 오래 실행 중인 규정 준수 프로그램을 보유하고 있으며 고객이 요구 사항을 처리할 수 있도록 도움을 드리고자 노력하고 있습니다. AWS Backup은 글로벌 및 업계 보안 표준을 충족하는 것으로 평가를 받았습니다. AWS Backup은 HIPAA 적격 서비스이며, PCI DSS, ISO 9001, 27017, 27018 및 27001도 준수합니다. 따라서 간편하게 보안을 검증하고 의무 사항을 충족할 수 있습니다. 자세한 내용 및 리소스는 규정 준수 페이지를 참조하세요. 또한 규정 준수 프로그램 제공 범위 내 서비스 페이지에서 전체 서비스 및 인증 목록을 확인할 수 있습니다.

복원 테스트 빈도, 목표 시작 시간, 복구 지점 선택 기준을 정의하는 복원 테스트 계획을 사용하여 복원 테스트를 자동화할 수 있습니다. 그런 다음 계획에 리소스를 할당하고 정리 전에 내부 테스트를 수행하기 위한 기본 복원 파라미터와 보존 기간을 지정합니다.

복원 테스트 계획 실행이 완료된 후 결과를 사용하여 복원 테스트 시나리오의 성공적인 완료 및 복원 작업 완료 시간을 표시함으로써 규정 준수 및 거버넌스 요구 사항을 충족할 수 있습니다. 

예. AWS Backup은 PCI-DSS를 준수하므로, 이를 사용하여 결제 정보를 전송할 수 있습니다. AWS Artifact에서 PCI 규정 준수 패키지를 다운로드하여 AWS에서 PCI 규정 준수를 달성하는 방법에 대해 자세히 알아볼 수 있습니다.

예. AWS Backup은 HIPAA 적격 서비스입니다. 따라서 AWS와 HIPAA BAA를 체결한 경우 AWS Backup을 사용하여 개인 건강 정보(PHI)를 전송할 수 있습니다.

AWS Backup Vault Lock은 백업 수명 주기의 변경을 방지하고 백업의 수동 삭제를 방지하기 위한 기능으로, 규정 준수 요구 사항을 충족하는 데 도움이 됩니다. AWS Backup Vault Lock은 Write-Once-Read-Many(WORM) 모델을 사용하여 백업을 저장하도록 보장하는 보호 조치를 구현합니다.

AWS Backup Vault Lock은 관리자 또는 악의적인 작업을 원하는 공격자를 포함한 사용자가 보존 기간 및 콜드 스토리지로의 전환과 같은 수명 주기 설정을 변경하거나 백업을 삭제할 수 없도록 합니다. AWS Backup은 예약된 보존 기간에 따라 이러한 백업을 보존하므로 비즈니스 연속성 목표를 충족하는 데 도움이 됩니다. 또한 AWS Backup Vault Lock은 보존 기간, 콜드 스토리지 전환, 크로스 계정 및 크로스 리전 복사와 같은 백업 정책에서 작동합니다. 이 기능은 추가 보호 계층을 제공하며 규정 준수 요구 사항을 충족하는 데 도움이 됩니다. AWS Backup Vault Lock은 허용 가능한 최소 및 최대 보존 기간을 충족하지 않은 백업을 보존하지 않도록 합니다.

AWS Backup Vault Lock은 AWS Backup 백업 저장소에 상주하는 데이터에 적용되는 반면, S3 Glacier Vault Lock은 개별 S3 Glacier 저장소에 적용됩니다. AWS Backup Vault Lock은 수동 백업 삭제와 백업 수명 주기 설정 변경을 방지하여 전체 AWS 서비스에 걸쳐 중앙에서 백업을 보호하는 데 도움을 줍니다. S3 Glacier Vault Lock을 사용하면 개별 S3 Glacier 저장소의 장기 레코드 보존을 지원하도록 설계된 규정 준수 제어를 시행합니다. 

AWS Backup Vault Lock은 AWS Backup 저장소 수준의 선택적 구성으로, 최소 허용 가능한 보존 기간, 최대 허용 가능한 보존 기간, 유예 기간과 같은 3가지 속성으로 구성됩니다. 이 기능은 백업 삭제 작업과 수명 주기 변경을 차단합니다.

AWS Backup Vault Lock 구성을 활성화하면 AWS Backup이 수명 주기 변경 및 삭제로부터 새로 생성된 복구 지점을 보호합니다. 또한 AWS Backup을 사용하면 AWS Backup Vault Lock의 허용 가능한 보존 기간을 충족하지 않는 보존 기간의 모든 백업 작업은 실패하게 됩니다.

AWS Backup Vault Lock은 보존 기간에 도달하여 만료될 때까지 백업이 사용 가능하도록 보장합니다. 루트 계정 사용자를 포함한 모든 사용자가 백업을 삭제하거나 잠긴 저장소에서 수명 주기 속성을 업데이트하려고 하면 AWS Backup은 해당 작업을 거부합니다.

유예 기간에는 정의한 기간(일) 동안 기능을 테스트할 수 있습니다. 유예 기간이 만료되지 않는 한, AWS Backup Vault Lock 구성을 업데이트 및 제거할 수 있습니다. 유예 기간이 만료되면 AWS Backup이 구성 변경을 허용하지 않습니다.

소송 보존이라고도 하는 증거 보존은 조직에서 법적 소송 및 전자 증거 개시의 보존 또는 감사 목적으로 또는 증거로 특정 데이터를 보존해야 할 때 사용됩니다. 이 보존은 보존 기간이 경과한 후에도 백업이 삭제되는 것을 방지하고 명시적으로 해제될 때까지 백업을 유지합니다.

AWS Backup을 사용하면 컴퓨팅, 스토리지, 데이터베이스 서비스에 대한 AWS 서비스 전반에 걸쳐 애플리케이션의 백업 및 복원을 관리하는 중앙 백업 정책을 정의할 수 있습니다. 백업 정책을 정의하고 S3 리소스를 할당하면, AWS Backup이 S3 백업 생성을 자동화하고 해당 백업을 사용자가 지정한 암호화된 스토리지 저장소에 저장합니다. 객체 데이터, 객체 태그, 액세스 제어 목록(ACL), 사용자 지정 메타데이터 등 S3 버킷의 연속 특정 시점 백업 또는 정기 백업을 생성할 수 있습니다. 첫 번째 백업은 전체 스냅샷이고 후속 백업은 증분 백업입니다. 데이터 중단 이벤트가 있는 경우 백업 저장소에서 백업을 선택하고 S3 버킷(또는 개별 S3 객체)을 신규 또는 기존 S3 버킷으로 복원합니다. AWS Backup의 중앙 집중식 정책은 AWS Organizations 내의 모든 계정에서 액세스 제어를 정의하고 백업 액세스 관리를 자동화하는 데 도움이 됩니다.

AWS Backup 및 Amazon S3 모두 애플리케이션의 비즈니스 연속성을 관리할 수 있는 기능을 제공합니다. AWS Backup을 사용하면 여러 AWS 서비스에 걸쳐 애플리케이션의 백업 및 복원을 중앙에서 관리할 수 있지만 Amazon S3를 사용하면 S3 버킷 및 객체의 데이터를 관리할 수 있습니다. 여러 AWS 서비스에서 애플리케이션의 백업, 복원, 규정 준수를 담당하는 백업 관리자는 AWS Backup을 사용하여 이러한 요구 사항을 충족할 수 있습니다. 관리자는 버전 관리, 객체 잠금, 복제 등의 Amazon S3 기능을 사용하여 데이터를 보호하고 의도하지 않은 Amazon S3 데이터 삭제를 방지할 수 있습니다. 사용자는 2가지 기능을 함께 사용하여 조직 전체에서 백업 및 복원을 관리할 수 있습니다.

애플리케이션에 대한 백업 계획이 이미 있고 이를 Amazon S3에 사용하려는 경우 태그 또는 S3 버킷 ARN을 사용하여 기존 백업 계획에 Amazon S3 리소스를 추가합니다. AWS Backup은 S3 버킷의 태그를 백업 계획에 할당된 태그와 일치시키고, 애플리케이션에서 사용하는 다른 AWS 서비스와 함께 이러한 리소스를 백업합니다.

AWS Backup에서 Amazon S3 리소스에 사용할 수 있는 백업 옵션은 2가지입니다. 연속 백업과 정기 백업입니다. 연속 백업은 최근 35일 내의 모든 특정 시점으로 Amazon S3 리소스를 복원할 수 있습니다. 이 특정 시점 복원 기능을 사용하면 지난 35일 이내 원하는 시점의 상태로 Amazon S3 리소스를 복원할 수 있습니다. 정기 백업은 무한한 기간 동안 데이터를 보존합니다. 1시간, 12시간, 1일, 1주 또는 1개월 등의 빈도로 스냅샷을 예약하거나 온디맨드로 생성할 수 있습니다. 연속 백업은 의도하지 않은 데이터 삭제를 취소하는 데 유용하며, 정기 스냅샷은 장기 데이터 보존 요구 사항을 충족하는 데 도움이 될 수 있습니다.

예. S3 버킷 및 객체 백업 생성을 위한 사전 조건으로 S3 버전 관리를 사용해야 합니다. 버전에 대한 수명 주기 만료 기간도 설정해야 합니다. 그렇지 않으면 AWS Backup이 S3 데이터의 만료되지 않은 모든 버전을 백업하고 저장하기 때문에 S3 비용이 증가할 수 있습니다. 자세한 내용은 기술 설명서를 참조하세요.

AWS Backup은 클라우드 내 완전관리형 서비스 기능을 VMware 환경으로 확장하여 AWS 및 온프레미스 AWS 환경 전반에서 백업에 대해 통합적으로 볼 수 있도록 지원합니다. AWS Backup은 VMware ESXi VM과 통합되고, VMware 백업을 예약 및 관리하며, AWS에 백업을 저장함으로써 AWS에서 VMware 데이터 보호를 완전히 관리할 수 있습니다. AWS Backup을 사용하면 백업을 AWS에 효율적으로 저장하고 비즈니스 연속성 및 랜섬웨어 보호를 위해 AWS 리전과 계정 간에 백업을 복사할 수 있습니다. 비즈니스 연속성 검증 및 테스트/개발 사용 사례를 위해 온프레미스 또는 AWS에서 VMware 백업을 복원할 수 있습니다. AWS Backup의 정책 기반 접근 방식은 자동화되고 확장 가능한 방식으로 중앙에서 컴퓨팅, 스토리지, 데이터베이스에 지원되는 AWS 서비스와 함께 VMware 워크로드 보호를 관리하는 데 도움이 됩니다.

AWS Backup은 VMware 환경에 배포할 AWS Backup 게이트웨이를 사용하여 VMware 워크로드에 연결합니다. AWS Backup 게이트웨이는 VMware vCenter Server를 통해 VM을 검색하고, VM 스냅샷을 생성하며, AWS Backup 및 VMware 환경 간의 백업 및 복원 데이터를 관리합니다. 태그, VM 리소스 ID 또는 VM 폴더 또는 하이퍼바이저별 그룹 할당을 사용하여 백업 정책에 VM을 할당할 수 있습니다. 그러면 지원되는 AWS Backup 서비스를 통해 VMware VM의 데이터 보호가 중앙에서 관리됩니다. 이 단계가 완료되면 AWS Backup이 VM을 해당 스토리지 저장소로 안전하게 백업하기 시작합니다. AWS Backup에서 VMware 백업을 확인하고 요구 사항에 따라 온프레미스 또는 AWS에서 백업을 복원할 수 있습니다.

AWS Backup은 온프레미스, VMware CloudTM on AWS 및 VMware CloudTM on AWS Outposts의 NFS, VMFS, VSAN 데이터 스토어에서 실행되는 VMware ESXi 6.7.X 및 7.0.X VM을 지원합니다. AWS Backup은 소스 가상 머신(VM)에서 AWS로 데이터를 복사하기 위한 SCSI Hot-Add 및 네트워크 블록 디바이스(NBD) 전송 모드 모두를 지원합니다.

AWS Backup을 사용하여 AWS Outposts의 VMware CloudTM의 VM을 보호할 수 있습니다. AWS Backup은 VM 백업을 AWS Outposts의 VMware CloudTM가 연결된 AWS 리전에 저장합니다. 애플리케이션 데이터의 짧은 지연 시간 및 로컬 데이터 처리 요구 사항을 충족하기 위해 VMware CloudTM를 사용하는 경우 AWS Backup을 사용하여 AWS Outposts의 VMware CloudTM VM을 보호할 수 있습니다. 데이터 레지던시 요구 사항에 따라 AWS Backup의 애플리케이션 데이터 백업을 Outposts가 연결된 상위 AWS 리전에 저장하도록 선택할 수도 있습니다.

VMware 백업은 AWS Backup 콘솔에서 새로운 온프레미스 VMware 가상 호스트, AWS의 VMware Cloud, AWS Outposts의 VMware CloudTM, Amazon EBS 또는 Amazon EC2로 복원할 수 있습니다.

예. 조직의 요구 사항에 따라 VMware 백업을 웜 스토리지에서 저렴한 콜드 스토리지로 자동으로 전환하도록 AWS Backup에서 수명 주기 정책을 구성할 수 있습니다. 콜드 스토리지로 전환된 백업은 최소 90일간 보관되며, 90일 이전에 삭제된 백업에 대해서는 남은 기간의 스토리지 비용에 해당하는 비례 할당으로 계산된 요금이 부과됩니다.

AWS Backup은 온디맨드로 생성하거나 백업 계획에 구성된 일정을 통해 생성할 수 있는 VMware VM의 전체 백업을 먼저 지원하고 다음에 증분 영구 백업을 지원합니다.

기본적으로 AWS Backup은 VM에서 VMware Tools 정지 설정을 사용하여 VMware VM의 앱 일관성 백업을 캡처합니다. 정지 기능을 사용할 수 없는 경우에는 AWS Backup이 중단 일관성 백업을 캡처합니다.

예. AWS Backup은 AWS로 전송되는 VMware 백업을 압축하므로 AWS에 대해 최적화된 네트워크 연결을 사용하는 데 도움이 됩니다.

예. VM 백업은 AES-256 암호화 알고리즘을 사용하여 전송 및 저장 중에 암호화됩니다. 고객 관리 키를 사용하여 클라우드에 저장된 백업을 암호화할 수도 있습니다.

VMware 백업 복사본을 프로덕션 백업과 다른 AWS 리전에 저장하여 비즈니스 연속성, 재해 복구 및 규정 준수 요구 사항을 충족할 수 있습니다.

예. VMware 백업을 다른 AWS 계정에 복사하여 프로덕션 환경과 개발 및 테스트 환경 간 또는 다른 부서와 프로젝트 계정 간에 사용할 수 있습니다. VMware 백업을 AWS Backup 및 AWS Organizations의 통합으로 활성화된 다른 AWS 계정에 복사하면 추가 수준의 계정 격리 및 보안도 제공됩니다.

필요한 네트워크 대역폭은 보호할 VMware VM, 각 VM의 크기, VM당 생성되는 증분 데이터, 백업 기간, 복원 요구 사항에 따라 달라집니다. AWS Backup을 사용하여 온프레미스 VMware VM을 백업하려면 AWS에 대해 100Mbps 이상의 대역폭을 확보하는 것이 좋습니다.

예. AWS Backup 게이트웨이를 라우팅이 불가능한 프라이빗 네트워크에 배포할 수 있습니다. 단, 이 경우 네트워크가 Direct Connect 또는 VPN을 통해 Amazon VPC에 연결되어 있어야 합니다. Backup 게이트웨이 트래픽은 AWS PrivateLink를 통해 구동되는 VPC 엔드포인트를 통해 라우팅됩니다. AWS PrivateLink는 탄력적 네트워크 인터페이스(ENI)를 사용하는 AWS 서비스와 VPC 내 프라이빗 IP 간의 프라이빗 연결을 지원합니다.

VPC 종단점이 프로비저닝되어 있는 동안 시간당 요금이 청구됩니다. 또한 데이터 처리 요금은 트래픽 소스나 대상과 관계없이 VPC 엔드포인트를 통해 처리된 각 기가바이트에 적용됩니다. 자세히 알아보려면 AWS PrivateLink 요금을 참조하세요.