IT環境におけるランサムウェアや悪意のある挙動は世界的に広がっていますが、その最後の防衛線となるのがバックアップです。
Veeam Backup & Replication v10にて、Object Lock APIを用いてAWSやS3互換のオブジェクトストレージにVeeamバックアップを格納できる機能が導入されました。これによって、バックアップデータのセカンダリコピーを、(一番可能性が高い場所として)オフサイトに書き換え不能な状態で所持することが可能になりました。「書き換え不能」とは、編集できないということで、インサイダーによる悪意ある活動からも保護することができます。
Veeam Backup & Replication v11のリリースまで話を進めましょう。このバージョンでは、ハードウェアに依存しない方法で、Linuxを用いて主となる場所にデータを保存できるようになりました。可能にしたのは、新機能の強化Linuxリポジトリです。
書き換え不能なストレージバックアップのメリット
イミュータビリティ(書き換え不能性)とは、ストレージにあるデータの削除は編集を防ぐ機能と定義されています。
データはあらゆる企業にとって重要です。バックアップデータの書き換え不能なコピーを利用することで、何も触られていない状態のソースデータのコピーを保持することができます。しかも、このコピーはいつでも復元可能で、どのようなエラーが発生しても影響を受けることはありません。 Veeam Backup & Replication v11では、保持期間の短いバックアップをローカルでオンサイトに格納することができます。これにより、高速復元と、イミュータビリティによる保護を実現できます。さらに、これらのバックアップをオフサイトの書き換え不能なオブジェクト・ストレージ・サービスに階層化できるようになりました。これによって、予期しない悪意ある活動や意図せぬ削除に対して保護を強化することができます。
書き換え不能なバックアップストレージは、次のような場合に役立ちます。
- 本番データが破損している、または危険にさらされている
- 本番データベースの意図せぬ削除
- インサイダーによる悪意ある活動、管理者によるバックアップジョブの保持の変更やリストアポイントの削除
強化Linuxリポジトリとは?
強化Linuxリポジトリはプライマリバックアップを書き換え不能にできる機能です。仕組みとしては、ストレージアプライアンスを一緒にパッケージ化する、というものではなく、汎用のコンピューティングとストレージを、この機能の提供元であるサポートされているLinux x64ディストリビューションと使用することで、ローカルの書き換え不能なバックアップストレージを実現する機能を提供するというものです。
データの削除や編集を一時的に禁止することで、マルウェア活動や上記のエラーシナリオを原因とする消失からデータを保護します。
以下の動画では、Veeamの最高技術責任者・Danny Allanが、Veeam Backup & Replication v11の強化Linuxリポジトリ機能について、その価値を簡単に説明しています。是非ご覧ください。
イミュータビリティをサポートするバックアッププロバイダーで見るべきポイント
設定がシンプル
たとえ内部がどんなに複雑でも、シンプルさを追求し実現する。Veeamで行うあらゆる取り組みは全てこの理念に基づいています。Veeamの強化リポジトリも例外ではありません。
要件を以下に示します。
- 物理サーバーと直接接続型ストレージまたはSAN接続型ストレージ。仮想マシンとして稼働しますが、稼働している場所とストレージの提供元の関係を考慮します。
- Linuxディストリビューション(64ビットエディションのLinuxは、32ビットのプログラムを実行できる必要があります)
- LinuxディストリビューションがXFSファイルシステム(ブロッククローン技術)に対応していること(推奨)
- Linuxディストリビューションがchattrコマンドに対応していること
- Veeam Backup & Replication v11以降
- 使用するVeeamバックアップの種類は、定期的な合成バックアップ設定をした増分バックアップかアクティブフルバックアップのいずれかであること。
- Veeamバックアップコピーのジョブについて、GFSポイントが設定されていること。
上記の要件からわかるように、特定のハードウェアやアプライアンスに関する要件はありません。強化リポジトリは、リポジトリの種類を追加するのと同じ方法で、Veeam Backup & Replicationの管理サーバーに追加されます。非常にシンプルなウィザードを用いた方法で、チェックボックスを1つオンにするだけでこの機能を有効にすることができます。
また、可能であればXFSを使用することも推奨します。これによって、高速クローンの使用が可能になります。「高速クローン」とは、迅速なファイルコピーの作成や、合成バックアップの作成・変換の迅速化、ディスク容量の削減、ストレージデバイスへの全体的な影響の軽減に役立つVeeamのテクノロジーです。
バックアップの削除や編集を防ぐストレージソリューション
背後にある目的や、プライマリバックアップでこれを行っている理由についてお分かりいただけたかと思います。ここまでご紹介したのは仕組みのほんの一部です。Linuxサーバーそのものでは、ユーザーが何かを設定する必要はありません。皆さんの代わりにVeeamが行います。
既定では、リポジトリの標準バックアップを書き換え不能な状態で維持する期間は、7日に設定されています。アクティブなバックアップチェーンを保護するために、この7日という期間をジョブ設定に反映することが非常に重要です。
ランサムウェアや外部からの悪意ある活動は、24時間365日の脅威としてよく知られています。ここで1つ歴史から学びましょう。何世紀にもわたって外部からの脅威に対抗していた偉大な都市・トロイでさえも、内部からの攻撃によってあっさりと陥落してしまいました。書き換え不能フラグを立てると、バックアップの君主たる管理者自身も、バックアップファイルを削除することはできません。
一度きりのログイン情報
データへと繋がる鍵を保護しましょう。この新機能の大部分が、バックアップデータのセキュリティと保護に重点を置いていることは疑う余地もありません。アクセス制御に重点を置くことで、Veeamは可能性のある攻撃の道筋をさらに削減しています。その方法は、Veeamサービスを導入する際に最初に使用されている、あるいは使用されていた昇格されたユーザーアカウントをVeeamやバックアップ管理者が無制限に利用できないようにするというものです。導入時に使用する一度きりのログイン情報は、Veeam Backup & Replicationで保存されません。
一度きりのログイン情報は強化リポジトリを使用する際に推奨されますが、永続的なログイン情報を使用しても構いません。永続的なログイン情報を使用した場合、Veeamサービスの権限は設定手順の一環として減らされます。
一度きりのログイン情報で強化リポジトリを実装する場合、バックアップフォルダへのアクセスは正しいユーザー権限で定義される必要があります。
どうやって始めればよいか?そんな声が聞こえます。
基本的に、書き換え不能なプライマリ・バックアップ・ストレージに対するハードウェア非依存型のこの手法を活用するのに必要なのは、Veeam対応の既存のLinuxディストリビューションと十分なストレージ容量です。既存のLinuxリポジトリを既に使用している既存のお客様の場合、管理対象のサーバー設定を更新してオーナーと権限を変更すれば、既存のリポジトリの切り替えも簡単にでき、v11の新機能を利用することもできます。XFSとブロッククローン技術が合わさったこのパワフルなソリューションによって、ストレージ効率に優れた方法で、書き換え不能なプライマリ・オンサイト・バックアップをランサムウェアから保護された状態で保存することができます。
是非、30日間無償のVeeam Backup & Replication v11をお試しいただき、新しい強化Linuxリポジトリによる信頼性の高いランサムウェア対策機能を実際にご体験ください。
セキュリティ対応のオンラインおよびオフラインのバックアップについて詳しくは、こちらをご覧ください。
Veeam Backup & Replication v11 の新たな価値について、オンラインセミナーでご紹介しています。「バックアップ」、「レプリケーション」、「ストレージスナップショット」、「CDP(継続データ保護)」がオールインワンに備わった、包括的でコストパフォーマンスの高いソリューションを提供するVeeam Backup & Replication v11の全容を是非ご覧ください。