Amazon S3オブジェクトロックとは？

データはすべてのビジネスの基幹であり、迅速なデータ復旧の確保は事業継続のために不可欠です。これを実現するためには、バックアップしたデータのコピーを改ざんできない仕組みで保護することが重要です。このブログでは、Amazon S3 オブジェクトロックの特徴と、この機能を使ってN2WSがどのようにデータバックアップを保護するのかをご紹介します。

1 オブジェクトロックとは？
2 イミュータブル(不変)バックアップとその重要性
3 オブジェクトロックの仕組みと各モード
- 3.1 保持期間
- 3.2 リーガルホールド
4 オブジェクトロックでS3バケットを設定する方法
5 N2WSのオブジェクトロックへの対応

オブジェクトロックとは？

Amazon S3オブジェクトロックは、Write-Once-Read-Many（WORM）モデルを実装し、保存されているオブジェクトを保護します。この機能が有効になっている場合、S3 に保存されたオブジェクトは、永続的にも定義された期間も、上書きまたは削除できません。高度に規制された環境では、これにより追加のセキュリティ層が提供され、不正または偶発的なデータ削除を防ぎます。

オブジェクトロックは、一度書き込んだら上書きや削除ができないデータのベースラインコピーを取得する必要がある場合に、コンプライアンスの実現に役立ちます。保存されたデータは不変であり、改ざんが不可能になります。ヘルスケアや金融などの分野では、データ、特に事業継続計画に不可欠な重要なデータのバックアップコピーを保護するために、このような安全装置を備えておく必要があります。

Amazon S3オブジェクトロック機能を使用すると、特定のS3バケットに保存されている個々のオブジェクトまたはすべてのオブジェクトを保護することができます。ロックが適用される期間も柔軟に指定可能です。これは、S3バケット内のオブジェクトの異なるセットが、不変性と保持期間について異なる要件を持つ環境で役立ちます。

イミュータブル(不変)バックアップとその重要性

バックアップは、データの損失、破損、マルウェア攻撃などの際に、ビジネスを正常な状態に戻すのに役立ちます。もし、データのバックアップが改ざんされ、使用不能になった場合、組織は定義された目標復旧時間（RTO）を達成することができなくなります。これは組織の SLA に違反することになり、金銭的な罰則だけでなく、法的な影響も受けることになります。

WORM ストレージを使用したイミュータブルバックアップは、ストレージに一度作成されたバックアップコピーがいかなる方法でも変更されず、削除されないことを保証するため、この問題に対処します。マルウェアに感染してライブデータに影響が及んだ場合でも、WORM ストレージのイミュータブルバックアップコピーは保護されたままです。攻撃者がバックアップストレージに不正にアクセスしても、データに対して変更も破壊もできません。したがって、リカバリプロセスには影響がなく、ビジネスクリティカルなアプリケーションを迅速に動作可能な状態に復旧させることができます。

オブジェクトロックの仕組みと各モード

Amazon S3オブジェクトロックには、オブジェクトの保持を管理するための2つの設定オプションがあります。1つは保持期間に基づいており、もう1つはリーガルホールドと呼ばれるものです。

保持期間

Amazon S3では、一定の保持期間を設定することができ、その間、保持されたデータはロックされたままとなります。データはWORMで保護された状態で書き込まれ、設定した保持期間中は変更または削除ができません。設定可能な最小保持期間は1日です。最大保持期間の上限はありませんので、お客様のご要望に応じて設定することができます。

保持期間を設定する際、ガバナンスモードとコンプライアンスモードの2つのモードから選択することができます。

Amazon S3オブジェクトロックガバナンスモード

ガバナンスモードでは、一部のユーザーに保持期間の設定を変更したり、データを削除したりする特別なアクセス権限を割り当てることができます。理想的には、これらの権限は管理者のみに割り当て、他のユーザーはデータの変更できないようにする必要があります。

Amazon S3オブジェクトロックコンプライアンスモード

コンプライアンスモードは、AWSアカウントのルートユーザーを含むすべてのユーザーにも保持期間中にデータを削除させたくない場合のためのモードです。

ガバナンスモードはほとんどのお客様に適しており、コンプライアンスモードはコンプライアンスに準拠したデータを保存したいお客様に有用です。N2WSは、Amazon S3オブジェクトロックのガバナンスモードを使用して、クラウド上のデータバックアップコピーを保護します。

リーガルホールド

Amazon S3オブジェクトロックに有効期限のない保持期間を設定することもできます。これはリーガルホールドと呼ばれ、特別な権限を持つユーザーによって明示的に削除されない限り、常に適用されます。管理者はデータを不変にしておく必要がある期間が不明な場合、リーガルホールドを使用することができます。

オブジェクトロックでS3バケットを設定する方法

それでは、S3ストレージのオブジェクトロックを設定する手順を見ていきましょう。

Amazon S3の管理画面から、”Create bucket “をクリックします。
次のページで、Bucketの名前を指定し、Bucket Versioningを有効にします。

※オブジェクトロックを設定する前に、Bucket Versioning を有効にすることが必須です。
詳細設定で、Object LockのEnableを選択します。また、ページ上のEnableをクリックして承諾し、”Create bucket “をクリックしてください。
次に、保持モードと保持期間の設定を行います。newly created bucket->Properties ->Object Lock->Editを行います。
保持期間を設定するには、”Default retention” で “Enable” を選択します。また、デフォルトの保持モード(“Governance” または “Compliance” )と、保持期間を選択することができます。完了したら、”Save changes “をクリックして、設定を更新します。

※ N2WS Backup Repositoriesのガバナンスモードを選択します。

これで、ストレージにオブジェクトロック機能が設定されました。特定のIAM権限を持つ指定された管理者ユーザーを除き、このストレージ内のオブジェクトは保持期間中にユーザーによる上書きや削除ができなくなります。

N2WSのオブジェクトロックへの対応

N2WS Backup & Recoveryは、Amazon S3オブジェクトロックを使用して、ビジネスクリティカルなデータを保護することができます。N2WSのバージョン4.1よりオブジェクトロックに対応しました。マルウェアに感染した場合でもバックアップコピーは安全であり、N2WSのワンクリックリカバリ機能を使って、重要なビジネスアプリケーションを動作可能な状態に復旧することができます。SAP HANAなどの重要なワークロードを保護するN2WSのネイティブ機能と組み合わせることで、Amazon S3オブジェクトロックによって保護されたバックアップを作成し、定義されたSLA内でランサムウェア攻撃からビジネスを復旧させることができます。

N2WSが使用するAmazon S3 オブジェクトロックの統合は、データのバックアップのコピーが誤って削除されるのを防ぐのにも役立ちます。Amazon S3バケット内のオブジェクトは、定義された管理期間が終了まで削除することができません。

クラウドの脅威者は、データ、特にデータのバックアップを狙い、マルウェア感染によってデータを使用不能にします。そして、企業はサービスを復旧させるために他の選択肢がないため、身代金を支払ってデータを復旧させることになります。統計によると、40秒に一度、企業がランサムウェアの攻撃を受けているそうです。N2WSは、そのネイティブのバックアップ機能とAmazon S3オブジェクトロックを組み合わせることで、このような脅威からワークロードを保護する包括的なソリューションを提供します。