Veeam v10新機能予告:Immutable (変更不可)でランサムウェア対策


ランサムウェアなど、データを改ざんする攻撃による被害をどのようにすれば防げるのか、これは大きな課題です。ネットワークへの侵入され、特権アカウントへのアクセスを許してしまうという最悪のケースでは、オンプレのデータ消去だけでなく、クラウド上のオブジェクトストレージにアーカイブしたデータまで被害が及ぶ可能性もあります。

最終的な防御方法としてはネットワークに接続されておらず、物理的な操作なしにデータを変更することはできないテープなどへのエアギャップを設けたアーカイブが挙げられますが、これはとても大変です。

Veeam v10ではもっと簡単にこのような対策を実施するためにImmutable (変更不可)機能が実装される予定です。Veeam側の設定としてはオブジェクトストレージを登録する際に下記のようにImmutableの設定を有効にし、日数を指定することで利用できます。

この機能はVeeamのスケールアウトリポジトリのキャパシティ層となっているオブジェクトストレージにデータブロックが転送される際に、Immutableフラグを設定できるというものです(オブジェクトストレージ側のネイティブな関数を使用し、現在、このフラグはAWSには存在しますが、Azureには存在しません)。

このフラグを有効にして、転送されたデータは指定された日数、オブジェクトストレージ上で絶対に削除できなくなり、変更はバージョンとして保持されます。これにより、攻撃による改変や削除のみでなく、偶発的な人的ミスからもデータを保護できます。

https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/object-lock.html

Immutableフラグ(AWS)

ただし、登録するバケットには注意が必要です。デフォルトでは無効になっているバージョニング機能とオブジェクトのロック機能を下記のように有効化した状態で作成されたバケットでのみこの機能は動作します。

バージョニング設定(AWS)
オブジェクトのロック設定(AWS)

このように作成した、バケットをオブジェクトストレージのリポジトリとしてVeeamに登録し、それをスケールアウトリポジトリでキャパシティ層に登録します。

スケールアウトリポジトリ設定

また、今回はv10からスケールアウトリポジトリに追加されたコピーモードで設定してあります。これは今までは古くなったバックアップを移動するオプションのみであったのに対して、作成されたバックアップを即座にオブジェクトストレージにもコピーする設定です。前者の移動オプションがアーカイブし、ローカル側の容量を空けることを目的としていたのに対して、後者のコピーオプションは3-2-1ルールなどでバックアップのコピーを作成することを目的として利用できます。

これで設定は完了です。このスケールアウトリポジトリにバックアップされると、パフォーマンス層で指定したリポジトリにバックアップが行われた後、自動的にS3へデータブロックがImmutableフラグ付きでコピーされます。それは指定した日数以上は削除も改ざんもできなくなり、ランサムウェア等による攻撃からバックアップを保護できます。

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください