【統一管理AWS環境的備份保護】AWS平臺標準備份工具AWS Backup

雖然問世只有短短4年，但AWS Backup的功能與支援範圍擴展十分迅速，目前已能涵蓋AWS旗下主要服務，成為最重要的雲端備份服務之一。

相較於微軟Azure平臺的Azure Backup備份服務，AWS Backup推出晚了5年，但追趕的速度非常快，目前無論在支援範圍、備份功能，還是管理機制方面，都已不下於前者。

AWS是在2019年初才正式發表AWS Backup，一開始只支援EBS、EFS、 RDS．DynamoDB、AWS Storage Gateway Volume等幾種服務，後來適用範圍逐漸擴大，例如2020年初增加支援EC2執行個體，2021年底又增加支援AWS環境中的Vmware工作負載，接著在2022年將支援範圍擴展到S3物件儲存服務與Redshift資料庫服務。

而在功能方面，AWS Backup在過去2年多以來也有很大進展，例如在2020年為EFS提供個別檔案還原功能，2021年新增Audit Manager稽核功能，以及連續備份功能。

在AWS Backup發表之前，AWS用戶必須分別透過個別AWS服務內含的快照與複製功能，以手動或自行撰寫的腳本來執行備份作業，操作繁瑣，使用上十分不便，若用戶希望獲得更便利的集中備份管理服務，就只能借助第3方廠商的備份產品，但這又帶來額外的建置、整合需求，還有額外的成本。

而在有了AWS Backup以後，AWS用戶只需透過這項服務，就能為幾乎所有AWS服務，統一管理與自動執行備份作業，不僅使用與管理都更為簡便，訂閱與計價也相對單純。

接下來，我們便從適用範圍、作業模式、管理機制與安全性等幾個不同面向，逐一檢視AWS Backup的功能。

AWS Backup運作架構

AWS Backup的運作是以備份計畫為核心，用戶透過備份計畫設定備份頻率、備份窗口與備份生命週期，然後將指定的AWS服務（運算、儲存或資料庫）套用到備份計畫，用戶可透過控制臺監控、調整備份作業，並執行還原。圖片來源／AWS

涵蓋主要AWS應用的資料備份

AWS Backup適用於AWS環境中所有主要的運算、儲存、資料庫服務，以及基於VMware的混合式服務，為這些服務中的工作負載，提供集中式的備份、還原與管理服務。

具體的適用範圍可以概分成4大類：

首先，是AWS EC2運算服務。

其次，是S3、EBS、EFS、FSx for Lustre、FSx for Windows File Server、FSx for NetApp ONTAP、FSx for OpenZFS、AWS Storage Gateway等儲存服務。

接著，是DynamoDB、RDS、Aurora、DocumentDB、Neptune、Redshift，Timestream等資料庫服務。

最後，是VMware Cloud on AWS、VMware Cloud on AWS Outposts等基於VMware基礎架構的服務。

基本上，上述幾乎涵蓋了AWS所有主要的服務，就連AWS Storage Gateway，以及VMware Cloud on AWS Outposts等混合雲服務，還有AWS CloudFormation建立的管理模板（template），也都能透過AWS Backup來備份。

統一管理與執行不同AWS服務的備份

AWS Backup可支援幾乎所有主要的AWS服務，從單一介面管理各式AWS服務的備份，如圖中的備份計畫設定畫面，便是將EFS、DynamoDB與EBS等3種服務，指派與套用到同個備份計畫的規則。圖片來源／AWS

透過備份計畫驅動備份作業

AWS Backup是透過備份計畫（Backup Plan）來執行備份工作，用戶可以透過備份計畫來為不同的雲端資源自動執行備份，並建立多個不同的備份計畫，以配合不同的工作負載。

備份計畫中，包含了備份作業的執行頻率（每小時、每12小時、每日或每周），備份窗口（允許執行備份作業的時間區段），備份複本的生命週期（設定備份複本在備份儲存庫保留多長時間後，自動轉到冷儲存，以及備份複本在冷儲存中保留多長時間再刪除的時程，但僅限部分類型來源端資源才支援），以及用於存放備份複本的儲存庫位置等參數。

AWS Backup採用增量（Incremental）備份方式，來週期地執行備份工作，只有第1次備份作業會備份資料的完整複本，後續備份作業都只會備份資料異動的部分，藉此節省備份時間與備份耗用的儲存容量。

提供任意還原點的連續備份模式

AWS Backup標準的備份機制，是利用快照來製作複本，事實上，多數AWS服務本身就有快照功能，所以AWS Backup其實是利用這些服務的快照功能，套上用戶設定的備份計畫，從而建立備份複本。在快照備份模式下，備份頻率最短為1小時的時間間隔，建立的快照複本理論上允許保存100年。

不過，針對AWS S3與RDS等兩種類型的來源端，用戶另外還可選擇連續備份（Continuous Backups），藉此獲得時間點還原（Point-in-Time Recovery，PITR)功能。

連續備份屬於一種利用日誌紀錄來源端資料異動狀態的連續資料保護（Continuous Data Protection，CDP）技術，連續備份所提供的時間點還原功能，則是指可將來源端資料，還原到過去指定任意時間點狀態，最長的回溯時間是35天，回溯的精度是1秒，也就是可以將資料回復到過去35天內、以秒為單位的時間狀態。

與快照備份相比，連續備份的優勢在於還原精細度高（以秒為單位），但可用的回溯時間短；而快照備份則有回溯時間長的優勢，但還原精細度較低（以小時為單位）。AWS官方建議用戶可混合使用這2種模式，以互補不足。

跨區域的備份複製服務

對於備份複本可用性有較高要求的用戶，可啟用跨AWS區域（Regions）的備份複製（Backups Copy）功能，將備份複本複製到其他AWS區域的備份儲存庫，或是冷儲存區保存。用戶可利用備份儲存庫中的複製選項，一次性地將特定備份複本複製到目的地，也可透過備份計畫設定在每次排程備份時，自動執行跨區域備份複製。

提供不同精細度的還原選項

AWS Backup預設的還原模式，是以用戶指定時間點的備份複本，另外建立一份新資源為基準，而不會覆蓋掉原始來源端的資源。

針對不同形式的來源端資源，AWS Backup提供不同精細度的還原選項，針對部分服務，還能提供較精細的個別物件層級還原選擇。

舉例來說：針對EC2執行個體，是還原整個執行個體；針對S3儲存服務，可選擇還原整個儲存桶或個別物件；對於EBS區塊儲存服務，則是還原個別EBS Volume；對於EFS檔案儲存服務，用戶則可選擇還原整個檔案系統或個別檔案；而對於DynamoDB、Timestream、Redshift、Neptune等資料庫服務，AWS Backup則能夠還原整個資料庫，或是資料表（Table）。

而對於嫁接在AWS平臺、一些基於第三方解決方案的服務，AWS Backup也有不同的還原模式選擇，例如，對於FSX系列檔案儲存服務（for Lustre、For ONTAP、for ZFS、for Windows File Server等），都只能還原整個檔案系統，也就是將指定時間點的備份複本，另外建立為1個新的檔案系統，不過用戶能調整還原後的新檔案系統部分資源耗用選項。

而針對VMware虛擬機器，則有整臺虛擬機器或虛擬磁碟等2種還原層級可選，特別的是，用戶還可選擇將虛擬磁碟還原轉換為EBS格式，或是將虛擬機器還原轉換為EC2執行個體，等同於一種跨平臺的V to V轉換，藉此將VMware虛擬機器轉為EC2執行個體。

另外，要注意的是，對於被轉存到冷儲存的備份複本，必須等待較長的時間才能取回資料，根據AWS公布的資訊來看，相較於從儲存庫還原，通常要再多等4小時。

支援分層式的備份儲存架構

備份儲存庫（Backups Vault）是用於存放備份複本的儲存容器，用戶在建立備份計畫前，必須先建立至少1個備份儲存庫。

當用戶在一個AWS區域首次使用AWS Backup Console時，系統便會自動建立1個預設的備份儲存庫，但若用其他管理方式，不會自動建立備份儲存庫，須由用戶自行手動建立。每個AWS帳號可以建立最多100個備份儲存庫。

針對下列類型的來源端，如EFS、Timestream、DynamoDB、VMware虛擬機器，AWS Backup還能夠支援將備份複本從儲存庫轉存到冷儲存區的設定，構成標準儲存庫+冷儲存區的2層式備份儲存架構，一般而言，冷儲存的單位成本只有標準儲存庫的1/3到1/5，可大幅降低備份複本的儲存成本，不過，轉存到冷儲存的備份複本，必須存放最少90天才能刪除（即便用戶提早刪除，仍需支付最低90天的費用）。

雖然AWS未正式提及，不過我們認為AWS Backup的備份儲存庫，應該是建立在S3物件儲存服務的空間內，其中暖儲存應該是使用標準的S3，冷儲存則使用低成本的S3 Glacier。

提供集中管理與稽核工具

目前用戶可以利用AWS Backup Console、API、CLI、SDK，或AWS CloudFormation模板等不同方式，來建立與管理AWS Backup的備份作業。

AWS建議的標準管理機制是使用AWS Backup Console主控臺來進行，可透過圖形介面引導備份、還原作業的設定，並透過儀表板來檢視備份環境的狀態與事件。

在此同時，用戶也能運用Amazon CloudWatch與Amazon EventBridge，運用這2項監控服務，來撈取AWS Backup的作業記錄，從而追蹤與監視備份作業狀態。

若是管理大規模環境的使用者，也能利用AWS Backup提供的稽核工具AWS Backup Audit Manager，來檢核整個備份環境的設定與運作狀態，例如是否所有資源都有備份？備份是否都設定了加密？備份排程是否正常運行等？還能自動產生稽核報告，供用戶參考。

透過AWS Backup控制臺管理備份

用戶可利用AWS Backup Console、API、CLI、SDK或CloudFormation模板等不同方式來建立與管理AWS Backup，AWS建議的標準管理作法是使用AWS Backup Console，因為這裡提供圖形化的作業監控與設定方式。圖片來源／AWS

利用AWS Backup Audit Manager稽核備份環境

利用AWS Backup Audit Manager可有效幫助管理大型備份環境，檢核前端的工作負載是否都已設定備份保護，以及個別備份的安全性是否都符合要求等，並能產生報表供管理者參考。圖片來源／AWS

雙層安全機制保護備份環境

AWS Backup的安全性機制可以分為2個層次：

第1個層次，是與AWS環境結合的身分驗證與存取管制，例如多因素身分驗證、SSL/TLS傳輸安全性等，並配合識別與存取（IAM）角色管理功能，確保只有經核准的用戶，才能存取與使用AWS Backup服務。

第2個層次，是AWS Backup為了保護備份複本完好性，所提供的安全性措施。

備份儲存的安全防護措施

為了保護備份複本不受非授權存取或惡意刪改威脅，AWS Backup為備份儲存庫提供了2種安全防護措施。

其一是加密，AWS Backup可為備份複本執行AES 256位元加密，AWS Backup加密管理是以個別備份儲存庫為單位，當建立備份儲存庫時，系統同時也會透過AWS密鑰管理服務（Key Management Service KMS），自動產生專用於該儲存庫的AWS Backup密鑰。不過一些AWS服務的備份複本，必須套用來源端的加密機制，因而不適用於AWS Backup的加密功能。

其二是備份儲存庫鎖定（Vault Lock）功能，這是2021年底才新增的功能，也是我們近期經常報導的一寫多讀技術（Write-Once, Read-Many，WORM）的一種應用，可以鎖定用戶指定的個別儲存庫，防止儲存庫內的備份複本遭到刪改。

Vault Lock有兩種運作模式，一種稱之為Governance模式，在這個模式之下，擁有足夠權限的用戶仍可解除Vault Lock的資料鎖定。

另一種是Compliance模式，在設定的保留期限內，包括用戶或AWS本身都無法解除Vault Lock的資料鎖定。在Compliance模式下，在Vault Lock起始日之前會有個寬限期（Grace Time），這段期間用戶仍可解除或更動Vault Lock設定，AWS建議設定至少72小時的寬限期，在寬限期到期之前，仍可調整Vault Lock設定，待寬限期到期後，該儲存庫便會被Vault Lock鎖定為不可變狀態。

提供加密與防刪改保護

AWS Backup的備份儲存庫提供了加密與Vault Lock防刪改功能，藉此可防止非授權的用戶存取備份複本，或惡意刪改備份複本內容。圖片來源／AWS

基於備份資料量多寡的服務計價

AWS Backup是依照用戶的備份的來源端服務類型、備份資料量、還原資料量，以及跨區域傳輸備份資料量，以每月每GB為基準來計費。

對於EFS、Timestream、DynamoDB與VMware虛擬機器等支援冷儲存的來源端，備份與還原的月租費，都分為標準的溫儲存與冷儲存等2種等級，在備份方面，冷儲存的單位成本大約只有溫儲存的1/3到1/5，但還原時則相反，從冷儲存還原資料由於需耗費較長時間，以致月租費稍高於溫儲存。

在AWS環境進行資料備份的首選

整體來說，我們認為AWS Backup的功能，已達到企業級備份產品的門檻，特別是安全性措施相當完整，涵蓋了從存取管制到儲存防刪改保護等環節，而在備份技術方面，除了基於快照的備份架構外，還支援更進階的連續備份，不過適用的服務範圍則較窄。

與主要企業級備份產品相比，AWS Backup仍少了一些進階功能，操作介面的易用性也比不上主流備份產品，但還在可接受範圍內。

較大的不足，主要是下列兩點：

首先，是少了壓縮、重複資料刪除等資料縮減功能，只能以1比1的比例來儲存備份資料，以致用戶必須為了保存備份複本而耗用更多容量與月租費。不過這主要是先天環境與架構所致，而非AWS Backup本身的問題。

一般的本地端備份軟體，可透過代理程式端或儲存端的資料縮減功能，來提供縮減備份資料容量的應用。

但AWS Backup基本上是無代理程式架構，所以沒有從代理程式端執行資料縮減的餘地，再加上又是使用AWS的雲端儲存空間來保存備份，而且，AWS儲存服務目前都不提供資料縮減功能（基於減少服務品質不確定性的考量），連帶導致AWS Backup也無法從儲存端獲得資料縮減能力。

其次是缺少不經正規還原程序、直接開啟或掛載備份複本的快速還原功能，用戶只能透過正規還原程序，從備份儲存庫回傳備份複本，才能存取備份複本的內容。（相較之下，微軟Azure Backup略勝一籌，因為他們提供直接從本地端啟用備份複本的立即還原功能）。

至於AWS Backup的優勢，是能與主要的AWS服務無縫整合，幾乎所有主要的AWS服務，都可利用AWS Backup來備份，從單一控制臺就能為各式各樣AWS服務執行備份工作，對於AWS的重度使用者來說，只需AWS Backup就能解決備份需求，架構上最為簡單。

而透過AWS Backup Console這個統一管理工具，對於各式各樣不同類型來源端的工作負載，AWS Backup都能提供相對一致的操作管理程序，使用上也相對容易。

另一個優點是內建的安全性機制相對完備，因為AWS Backup本身就能同時提供存取管制、加密與防刪改等安全功能，而無須其他服務或產品的介入。

 相關報導