Kubernetes環境をランサムウェアから守るKasten K10 v4.0

投稿日: 2021年5月12日 作成者: climb
このエントリーをはてなブックマークに追加
LINEで送る

Kasten K10は、2020年にはKubernetesバックアップ ソリューションの「プロダクト オブ ザ イヤー」にも選出され、同分野での先駆者として地位が各方面に認知されました。そして今、Veeamの一員として、その地位をさらに強固なものとし、イノベーションを加速させています。このほどリリースされたKasten K10 v4.0には、業界初のKubernetes向けランサムウェア対策ソリューションが導入されました。

この記事では、Kastenの新しいランサムウェア対策ソリューションについて、詳しく見ていきます。Kubernetesデプロイメントのスケーリングとデータ保護におけるKastenの機能性を細かく検証していきたいと思います。

Kubernetesデプロイメントが拡大すれば、ランサムウェアの脅威も拡大する

Kubernetesデプロイメントは活発に拡大し続けます。コンテナ化されたアプリケーションの数も増えますが、個々のアプリケーション自体も膨らみ続けます。企業は業務上不可欠なアプリケーションを数千件に及ぶKubernetesワーカーノードに展開するようになり、アプリケーションはオンプレミスとパブリック クラウドの複数クラスタにまたがって拡大していきます。これは決してネガティブなことではなく、Kubernetesネイティブでクラウドネイティブなアプリケーションの拡大は企業にとっては有益なことであり、開発者の生産性やシステムの可用性を向上させると同時に、コストの節約を意味します。

しかし、その一方で、この拡大は、現代的なランサムウェア攻撃の凶悪犯を呼び寄せる危険も伴います。ランサムウェア攻撃の被害にあった企業のニュースは、後を絶ちません。実際のところ、ランサムウェア被害は現在、なんと11秒に1件の割合で発生しています

この数字に驚いている今この瞬間にも、また新しい企業がランサムウェア攻撃の被害にあっています。

ランサムウェア被害の急増は、企業規模を問わず、世界中で起きています。企業に限らず、地方行政府や医療機関、公共機関も被害を受けています。ランサムウェアが横行し過ぎて、ランサムウェア専門の交渉人を派遣するサービスまで存在するくらいです。「ランサムウェア ネゴシエーター」というドラマが放映される日もそう遠くないかもしれません。

ランサムウェアとの負けられない戦いがそこにある

以前のブログ記事「Kubernetesネイティブなバックアップ ソリューションを採用すべき7つの理由」でも解説しましたが、Kubernetesのデータ保護は、ハイパーバイザー ベースのワークロードを保護するために設計された従来のバックアップ ソリューションでは適正に対処できません。Kubernetes環境におけるセキュリティの課題は多岐にわたります。コンテナ化されたアプリケーション開発時に信頼性が保証されていないオープンソース パッケージを取り込む場合もあれば、デプロイメント時に不正確なアクセス権限を設定してしまうこともあります。アプリケーションの実行時にそのような権限を悪用した不正侵入が発生したり、あるいはKubernetesアップデートが最新でないためにつけ込まれるケースも考えられます。

特にランサムウェア対策では、Kubernetesアプリケーションを保護するためにはKubernetesネイティブのソリューションが不可欠です。コンテナやKubernetesコンフィギュレーションのスキャン ツールなど、不測の事態を未然に防ぐセキュリティ対策を採用することはもちろん、歴史的に実証されているバックアップ ポリシー(3-2-1バックアップ ルールなど)も的確に施行されている必要があります。

バックアップはディフェンスの最終ラインです。バックアップとリカバリのポリシーは、キックオフの笛がなる瞬間にはすでに施行されていなければなりません。それにより、非常事態へのリスクマネジメントが整い、安心感が得られます。

Kubernetesネイティブのバックアップ ソリューションとはどうあるべきか?

Kubernetesアプリケーションをランサムウェアなどのセキュリティ リスクから守るバックアップ ソリューションには、どのような機能が求められるのでしょうか。特に重要だと考えられるのは以下の4点です。

  • データの一貫性と完全性の保持:Kubernetesアプリケーションを効率的にバックアップし、アプリケーション データを一切変更することなく元の状態にリストアできることが重要です。バックアップとリカバリのソリューションは、データを誤削除や破損から守り、可用性を損なうことのないように徹底しなければなりません。
  • 迅速なリカバリ:ランサムウェア攻撃を受けたら、その対処は時間との戦いです。生産性やデータの機密保持が損なわれるだけでなく、時間の経過とともに身代金が跳ね上がるケースもあります。最善のソリューションは、Kubernetesアプリケーション全体を、攻撃を受ける直前の健康な状態に効率よく迅速にリストアできることです。
  • 操作の簡単さ:ランサムウェア攻撃を受けたときは、ITチームやDevOpsチームも厳しいプレッシャーに晒されます。被害の影響は金銭面だけでなく、会社の信用にも関わるため、スタッフの心理面への影響も避けられません。バックアップとリカバリのソリューションは、簡単な操作で人為的ミスのリスクを最小限に抑えるものでなければなりません。また、複数のクラスタやデプロイメントにまたがってスケーラブルに機能することも重要です。
  • 優れたコスト効率:ランサムウェア対策ソリューションのコストがランサムウェアの身代金より高かったら本末転倒です。企業は特定のストレージ、インフラストラクチャ、Kubernetesディストリビューション ベンダーに縛られることのないように気をつけなければなりません。システムの導入コストとは別に、間接的なコストが年々積もり積もっていくことも珍しくありません。バックアップとリカバリのソリューションは、アプリケーションのモビリティを高め、データがどこに格納され、アプリケーションがどこで実行されるのかを制御できることが重要です。

Kasten K10のランサムウェア対策アプローチ

セキュリティは、Kasten K10の設計における基本理念として常に重視され続けてきました。Kastenはリリースを重ねるたびにイノベーションを繰り返し、企業が独自の暗号化キーでデータを保存中も移動中も、常に暗号化を維持できるサポートを徹底してきました。さらに、役割ベースのアクセス制御(RBAC)でセルフサービス ポータルの安全を確保し、IDとアクセス管理(IAM)システムとも緊密な統合を可能にしながら、Kasten K10自体は独自の専用領域内で稼働することによってリスクを最小限に抑えています。また、コンテナに最適化されたOSであるAWS Bottleroketとの連携も進め、セキュリティ被害のリスクをさらに低く抑え込んでいます。

そして、Kasten K10の最新リリースでは、セキュリティとアプリケーション保護を次のレベルに進化させ、前述のセキュリティ ソリューションにあるべき主要機能がすべて組み込まれています。特に、Kubernetesネイティブのランサムウェア対策として、以下の機能が備わりました。

  • イミュータブル バックアップ:イミュータブル(不変的)オブジェクト ストレージ バックアップを導入し、リテンション期間を自由に設定できるようになりました。リテンションの設定によって、バックアップの内容を一切変えられない期間を指定することができます。ランサムウェアはバックアップを破壊しようとするので、その攻撃への防御となるのはもちろん、人為的なミスの防止効果もあり、ガバナンスやコンプライアンスの徹底も図れます。
  • ポリシーベースのオートメーション:Kasten K10はユーザー定義のポリシーにもとづいてデータ管理ワークフローを自動化します。ポリシーには、実行したい処理(スナップショットなど)、その実行頻度、オブジェクトをイミュータブルに保つリテンション期間を指定できます。この自動化によって、バックアップとリカバリが必要に応じて定期的に実行されるだけでなく、アプリケーションをリストアしたいときにすぐに実行できる「簡単スイッチ」も提供されます。
  • シンプルな使いやすさ:Kasten K10は最先端の管理インターフェースまたはクラウドネイティブ API によって、非常に簡単で使いやすいユーザーエクスペリエンスを提供します。複雑なアプリケーションやポリシーにも簡単に対応できる汎用性も備え、時間に追われる環境でも効率的に作業を進めることができます。セルフサービスポータルが複数クラスタにまたがって機能し、権限のあるユーザーは面倒な承認プロセスを省いてバックアップやリカバリをすばやく実行することができます。
  • 選択の自由:Kasten K10では、多種多様なストレージを自由に選択できるので、ニーズに合わせたコスト効率の高いソリューションを活用できます。Amazon S3、MinIOなど、イミュータブル バックアップをサポートするベンダーは増加傾向にあります。Kasten K10によるランサムウェア対策の統合は、クラウドとオンプレミスの柔軟なデプロイメントを可能にします。Kasten K10は、主要ストレージとKubernetesディストリビューションのあらゆるオプションと統合でき、アプリケーションの配置を完全制御しながら運用できます。

Kasten K10 v4.0のその他の機能

セキュリティ対策に加え、Kasten K10では、常々Kubernetesアプリケーションの保護とスケーリングを簡略化することも重視されてきました。バージョン4.0には、Kubernetesネイティブなデータ管理機能を掘り下げ、クラウドネイティブなエコシステム パートナーを広範にサポートする大幅な改善が施されています。

新機能には以下が含まれます。

  • マルチクラスタ運用:DevOpsの作業効率に合わせたスピーディーな運用が、安全確実なセルフサービスポータルを通じて完全制御できるようになりました。権限のあるユーザーは自分のクラスタを直接管理して、アプリケーション ネームスペースに対するバックアップ ポリシーを作成し、マルチクラスタ マネジャーを通じて二次クラスタを直接追加することができます。それにより、安全で簡単なスケーラビリティが確保されます。詳しくはこちらを参照してください。
  • ネットワーク ファイルシステム(NFS):マイグレーションにNFSを追加したり、オブジェクト ストレージのオプションに加えてNFSストレージをバックアップの保存先として指定できるようになりました。詳しくはこちらを参照してください。
  • リレーショナル/NoSQLデータベース サポート:Kasten K10はデータサービス レイヤーを認識できるだけでなく、データサービス レイヤーも保護下に置くことができる点が特徴的です。最初のバックアップ以降は追加部分だけをバックアップするので、ストレージ スペースを節約でき、基底となるファイル/ブロックストレージ レイヤーへの依存関係を気にせずにスナップショットが取れる点も優れモノです。バージョン4.0では、オープンソースのKanisterフレームワークを用いて、Kafka、Cassandra、Amazon Auroraなどの一般的なデータサービスもサポートされるようになりました。

Kastenは特に広範囲のエコシステムをサポートすることにより、ユーザーに選択の自由をもたらすことを、その戦略の中心的なアプローチに据えています。ユーザーは独自のニーズに合わせて最適なストレージ、Kubernetesディストリビューション、データベース、アプリケーションの配置を選択することができます。バージョン4.0では、統合とパートナーシップの範囲をさらに広げ、以下のサービスとの連携が強化されました。

  • Red Hat OpenShift: Kasten K10は、KastenとRed Hatの共同での取り組みと認証を通じて、Red Hatカタログでの利用が可能になっています。企業ユーザーはKasten K10がOpenShift環境の厳格なスタンダードに適合するよう開発・テストされていることで、安心して統合を進めることができます。Red HatとKastenの提携についての詳細はこちらを参照してください。
  • HPE:Kasten K10では、 HPEインテリジェント データ プラットフォーム、HPE Primera、HPE Nimble Storage、HPE Cloud Volumesとの統合に加え、HPE Ezmeral上のアプリケーションも保護することができます。HPEとKastenの提携についての詳細はこちらを参照してください。
  • Nutanix Karbon:Nutanix KarbonはNutanix AHVに完全統合されたNutanixクラウドネイティブ スタックの重要コンポーネントです。Karbon上のKubernetesアプリケーションのバックアップとリカバリを可能にするKastenソリューションについて、詳しくはこちらを参照してください。

早速はじめてみよう!

Kasten K10のすべての機能を備えたトライアル版はこちらからダウンロードでき、インストールには10分もかかりません。コンテナとKubernetesを導入したばかり、あるいは導入を検討している企業にとっても、Kasten K10はぜひ試すべき、セキュリティの必須ツールです。

関連トピックス