S3互換ストレージ「Scality ARTESCA」を使用した、Veeamバックアップ不変性の検証

当ブログでは、Veeamのバックアップ先として、S3互換ストレージ「Scality ARTESCA（スキャリティ　アルテスカ）」を使用する方法についてご紹介いたします。

Scality ARTESCAはソフトウェアベースのS3互換ストレージであり、Amazon S3のようなオブジェクトストレージをオンプレミスに構築することが可能となっています。

では、バックアップをオブジェクトストレージに保存するメリットとは何でしょうか？

1 バックアップ保存先にオブジェクトストレージを選択する理由
2 ARTESCA側での作業
3 ARTESCA側での作業ーアカウント作成
4 ARTESCA側での作業ーバケット作成
5 Veeam側での作業ー保存先登録
6 Veeam側での作業ーバックアップの実行
7 バックアップデータの確認
8 まとめ

バックアップ保存先にオブジェクトストレージを選択する理由

Veeamを使用したバックアップの保存先には、NASやDAS、パブリッククラウドなど、様々な選択肢があります。

その選択肢のひとつが、オブジェクトストレージです。

オブジェクトストレージを使用する最大のメリットは、

バックアップに不変性を付与し、ランサムウェア対策ができるという点です。

ランサムウェアは、感染したサーバやネットワーク内のデータを暗号化するマルウェアの一種ですが、運用環境のデータだけでなく、バックアップデータも暗号化の対象としています。

もし、バックアップデータが暗号化されてしまうと、当然バックアップからの復旧はできなくなり、備えであるはずのバックアップが全く機能しなくなってしまいます。

そこで、オブジェクトストレージのオブジェクトロック機能を使用します。

オブジェクトロック機能を使用することで、バックアップデータに不変性を付与し、外部からの暗号化を遮断する事が出来るようになります。

このような特徴を持つオブジェクトストレージですが、代表的なものとしては「Amazon S3」や「Azure Blob storage」などのパブリッククラウドが思い浮かぶ方も多いかと思います。

このようなパブリッククラウドは構築に要する時間も少なく、リソースを準備する必要もないので、非常に手軽に利用できることがメリットとなっています。

その一方、データをクラウドから引き出す際には費用が発生したり、障害発生時には自社での対応が行えない、大規模環境のバックアップの際には大量のデータを送信するための専用線を構築する必要がある、といった欠点もあります。

そこで、パブリッククラウド上ではなく、オンプレミスにオブジェクトストレージを構築することで、上記のような欠点は解消でき、より厳重で柔軟なデータ管理が可能となります。

「Scality ARTESCA」はソフトウェアベースのS3互換ストレージであり、ハードウェアにARTESCAをインストールするだけで、オンプレミスにオブジェクトストレージを構築することが可能となっています。

当ブログでは実際にScality ARTESCAを構築し、Veeamを使用してvSphere上の仮想マシンのバックアップを取得してきましたので、バックアップ取得までの設定や流れについてご紹介いたします。

Scality ARTESCAについての詳細はこちらからご覧ください。

ARTESCA側での作業

基本的にARTESCAの構成は、インストール先の筐体に対してISOファイルから実施する形となります。

インストール後は、下のようなWeb GUI画面からARTESCAの管理が行え、GUIからは現在のストレージの使用量、リソースの使用状況、保存しているデータなどの情報を一目で確認することが可能となっています。

では、バックアップ取得の際に必要となる情報を作成していきます。

バックアップを取得する際に必要となるのは、以下の4つの情報です。

・ARTESCAのエンドポイント情報

・VeeamからARTESCAのバケットに接続する際に使用するアカウント情報

・バケット

・フォルダ（VeeamからARTESCAを登録する際にも作成可能）

エンドポイント情報に関しては、ARTESCAの構築時に設定したものを使用します。

一方、接続用アカウント情報やバケット、フォルダはARTESCAのGUIから作成できますので、実際の画面を交えながらその手順をご紹介します。

ARTESCA側での作業ーアカウント作成

まずは、VeeamからARTESCAのバケットに接続する際に使用するアカウントと認証情報を作成します。

アカウントの作成に必要な情報はメールアドレスのみで、あとは任意の名前をつけるだけです。

アカウントが作成できたら、接続の際に必要となる認証情報（アクセスキーとシークレットキー）を取得します。これらの情報はWeb GUIから数クリックで取得できます。

これでVeeamからの接続用アカウントの作成は完了です。

ARTESCA側での作業ーバケット作成

次に、バックアップの保存先となるバケットを作成します。

バケット作成時には、「バケット名」、「リージョン」、「バージョニング有効化/無効化」、「オブジェクトロック有効化/無効化」を設定する事ができます。

冒頭でも述べさせていただいたように、オブジェクトロック機能（上図赤枠内）を有効にすることで、バケット内のバックアップに不変性を付与し、ランサムウェアによるバックアップの暗号化を防止することができます。

今回の検証では、オブジェクトロック機能を有効にし、不変性の検証を行いたいと思います。

次はVeeamから保存先として登録する方法についてご紹介します。

Veeam側での作業ー保存先登録

Veeamから保存先としてARTESCAを登録する際には、S3互換ストレージとして登録を行います。

[Account]ステップで、ARTESCA構築時に設定したエンドポイント情報（サービスポイント、リージョン情報）を入力します。

認証情報には、先ほどGUIから作成したアカウントの認証情報（アクセスキーとシークレットキー）を入力します。

次の[Bucket]ステップでは、保存先バケット/フォルダおよび、不変性の設定を行います。

まず、バケット/フォルダを[Browse]から追加します。

また、上図赤枠内、[Make recent backups immutable for]で不変性の期間を設定します。

今回は30日の不変性期間を設定しました。

他のステップはデフォルト設定のままで登録をしました。

VeeamコンソールからARTESCAが保存先として登録されていることが確認できます。

では実際にバックアップを実行していきます。

Veeam側での作業ーバックアップの実行

まずは、Veeamからバックアップジョブの作成を行います。

バックアップの保存先に先ほど登録したARTESCAを選択し、バックアップジョブを実行します。

バックアップが終わりました。

Veeamコンソールから確認すると、ARTESCAにデータが保存されていることがわかります。

バックアップデータの確認

では取得したバックアップの不変性を検証していきます。

データの不変性を確認するために、Veeamからバックアップの削除を行ってみます。

Veeamから削除を実行した結果が下の画像です。エラーが発生し、バックアップの削除が失敗していることが分かるかと思います。

エラーメッセージ（赤下線部）には、「不変性によって、バックアップの削除ができません」と記載されています。

バックアップデータには不変性が付与されているようです。

ARTESC側からもバックアップデータを確認してみようと思います。

作成したバケット内を確認すると、オブジェクトロックによって不変性が付与されており、バックアップデータを削除できないことがわかります。

一応、このバケット内のデータをARTESCAから削除できないか試してみたところ、下のようなエラーが発生し、やはりオブジェクトの削除はできませんでした。

まとめ

ご覧いただいたように、オブジェクトストレージのオブジェクトロック機能を利用することで、バックアップデータの書き換えや削除を防止し、誤操作による削除や、ランサムウェアによる暗号化への対策を行えます。

また、Veeamからできるランサムウェア対策としては、「堅牢化リポジトリ」といったものがありますが、堅牢化リポジトリは現状、Linuxサーバ上にのみ構築することが可能となっています。

そのため、「Linuxサーバの構築は難しそうだしできれば避けたい。。」そんなお客様は、オブジェクトストレージの利用もご検討ください。

もし、Scality ARTESCAやVeeamに関してご不明点などございましたら、

こちらからクライムまで是非お気軽にお問い合わせください。