堅牢化(Hardened)Linuxリポジトリでバックアップを保持している場合、手動でのバックアップファイルやVeeam Backupコンソールからのバックアップの削除はバックアップファイルに設定された不変属性により妨げられ、実施できません。
こらによりランサムウェア等のマルウェアからの攻撃を防いでいますが、この不変属性の管理はあくまでも堅牢化Linuxリポジトリ上のシステム時刻に基づいて実施しています。リポジトリやジョブ(GFS設定)で構成された不変期間を超えたバックアップファイルに対して不変属性を解除して削除可能にすることで、世代管理に基づいてバックアップファイルを削除しています。
つまり、不変期間をよりもバックアップファイルが古くなれば、削除できるようになるため、システム時刻を未来にしてしまえば、削除できるようになるわけです。
このような攻撃を想定して実装されている仕組みがタイムシフト検出です。10分ごとに現在のUTC時間 (systemTime)とハードウェア時間(hwTime)を参照し記録、現在の値と以前の値の差を計算、24時間を超えている場合、バックアップファイルに設定された不変属性を堅牢化Linuxリポジトリ上のVeeamサービスが変更できないようにします。
これにより、このようなタイムシフトで無理やりバックアップファイルを削除しようとしてくるような攻撃を無効化、最後の砦となるバックアップをマルウェア等の攻撃から守ることが可能です。
また、タイムシフトが検出されている状態ですと、Veeamのバックアップやバックアップコピージョブ実行時に下記の警告が表示され、不変属性を変更できない状態であり、対処が必要であることを促します。
A problem occurred during setting the immutable flag: repository time shift detected, immutability flag cannot be set. Please refer to KB4482 for more details
ただ、この仕組みは、以下のようなユーザによる任意のタイムシフトによっても検出され、上記警告が発生する場合があります。
- 管理者によるシステム時間の意図的に変更した場合
- Linuxマシンの電源を長時間オフにした場合
- 時刻の追跡に使用されるVeeamTransportサービスが停止している場合
- 過去に堅牢化Linuxリポジトリとして使用されていた、既にtimeLogファイルが存在するLinux OSを再度、堅牢化Linuxリポジトリとして追加した場合
このようなケースでは手動対応が必要であり、この対処方法は下記で解説しています。
関連トピックス
- 書き換え不可能リポジトリ(Hardened Repository)の構成手順[Veeam]
- リポジトリ(Repository)追加【VMWare/Hyper-V対応 バックアップ & レプリケーションソフト Veeam】
- バックアップリポジトリ(保存先)の選択肢[Veeam]
- 【ランサムウェア対策】堅牢化(Hardened)リポジトリ:セキュアなLinux構築の手間をISOパッケージで大幅削減[Veeam Backup & Replication]
- Fast Clone(高速クローン)機能で高速バックアップを実現、プラクティスから既存リポジトリの構成変更手順まで[Veeam Backup & Replication]
- サービスプロバイダ向けランサムウェア対策 – 削除されたバックアップの保護機能[Veeam Cloud Connect]
- バックアップファイルを利用して運用環境への負荷を軽減したレプリケーション【Veeam Backup & Replication】
- リポジトリの同時実行タスク数のカウントについて[Veeam Backup & Replication]
- Veeam v12での新機能と変更点をご紹介①(Hardened Repository仕様変更, VM除外設定, ベストプラクティスアナライザーなど)
- ディスクリポジトリとオブジェクトストレージリポジトリでのバックアップ保持の違い[Veeam Backup & Replication]
RSSフィードを取得する
