保存したバックアップがマルウェアなどにより、暗号化や削除されないよう保持するといった構成はランサムウェア対策なかでも特に重要です。ランサムウェアなどの被害にあってもバックアップからデータ復旧し、最小限に損失を抑えるための最後の砦となります。
Veeamの機能としてはこのような構成のために、不変性連携とオフライン保管を提供していますが、それ以外にもストレージ側の機能を利用する方法や、Blocky for Veeamというサードパーティ製品を利用する方法があります。今回はこれらの方法に関してメリット、デメリットを紹介していきます。
| バックアップリポジトリ | ランサムウェア対策方法 | |
| Linux(Hardened Repository) | Veeam不変性連携 | |
| Windows | アクセス制御(Blocky) | |
| SMB | ストレージ側のアクセス制御/不変性 | |
| NFS | ストレージ側のアクセス制御/不変性 | |
| オブジェクトストレージ | Veeam不変性連携 | |
| テープ | オフライン保管 | |
| 交換ドライブ(Linux、Windows、SMB) | オフライン保管 | |
| ストレージ アプライアンス | Dell Data Domain | Veeam不変性連携 |
| HPE StoreOnce | Veeam不変性連携 | |
| ExaGrid | ストレージ側のアクセス制御/不変性 | |
| Quantum DXi | ストレージ側のアクセス制御/不変性 | |
| Fujitsu ETERNUS CS800 | ストレージ側のアクセス制御/不変性 | |
| Infinidat InfiniGuard | ストレージ側のアクセス制御/不変性 | |
目次
Veeam不変性連携
- Linux(Hardened Repository)
- オブジェクトストレージ
- Dell Data Domain
- HPE StoreOnce
バックアップデータを各環境が提供する方式にて不変(変更、削除不可)な状態で保持し、Veeamからの削除操作も受け付けないように構成できます。
これによりストレージ側が攻撃の対象となってもバックアップデータは残しておくことができます。
各ストレージで不変性のための機能を有効にしておく必要があり、この際の構成で手間が変わってきますが、構成後は不変性期間をVeeamから設定でき、運用の手間は少ないといえます。
- Linux:chattrとsetxattrコマンドによる属性付与
- オブジェクトストレージ:オブジェクトとバージョニング
- Dell Data Domain:Retention Lock
- HPE StoreOnce:Independent Software Vendor (ISV) Controlled Data Immutability (ISV-DI)
デメリットを挙げるならば、何かしら追加構成が必要になる点です。Veeamは12.3ですとWindowsにのみインストールできますので、そのローカルストレージでは不変性連携は行えず、別途Linuxサーバやオブジェクトストレージ、Data DomainまたはStoreOnceをご用意いただく必要あります。
Linux(Hardened Repository)
Linux自体のインストールやLinuxサーバ側のファイルシステムや権限の構成、初回やVeeamコンポーネント再配置時のSSH有効化など、Linux上でオペレーションがある程度発生します。
また、Linux自体のセキュリティ構成といった部分に関してもお客様自身で構成する必要があり、慣れていない場合にはこの部分が手間になってきます。
これを緩和するために、Veeam ISOという形式で事前構成したRocky Linuxのインストーラを提供していますが、それでもある程度の前提知識は必要です。
https://helpcenter.veeam.com/docs/backup/vsphere/hardened_iso_preparing.html?ver=120
より簡単化するために、StarwindからStarwind Virtual Backup Applianceというソフトウェアもリリースされており、Web UIからファイルシステムの構成も行え、Linuxの知識がなくとも利用でき、有償サポートもあります。構成に不安がある場合にはこちらの利用もご検討ください。
オブジェクトストレージ
オブジェクトストレージを提供するクラウドベンダーにより、設定方法は異なりますが、バケット作成時に、オブジェクトロックとバージョニングを有効化し、オブジェクトストレージの設定としては保持ポリシーとしては自動的にこれらを構成しないように設定する必要があります。
※Veeamから構成される保持ポリシーに影響を及ぼす可能性があるため
また、オブジェクトストレージを利用する際の注意点としては容量でのコストに加えてAPIや通信コストも考慮しなければいけません。Veeamではブロック生成期間という間隔でまとめて不変性期間の延長を実施することでコストを削減していますが、それでも不変性連携を有効化するとAPIリクエストは増加します。
このようなコストを無視するためにはWasabiやVeeam Data Cloud VaultといったAPIリクエストを含む料金形体のオブジェクトストレージサービスを利用する必要があります。
Veeam Data Cloud VaultはAzure上にてVeeamがサービスとして提供しているオブジェクトストレージであり、不変性連携に必要な構成済みですので、より手間が少なく、サポートも一本化が可能です。
Dell Data Domain/HPE StoreOnce
DDBoost/Catalyst連携の一貫としてストレージ側が提供する不変性機能をVeeam側から利用できます。このため、ストレージ側の不変性機能が有効化されていれば、Veeamから不変性期間の設定が行え、その管理も容易に行えます。
ただし、ストレージごとに要件や制限があり、ストレージ側の追加のライセンスが必要な場合があることにはご注意ください。
参考:
Best Practices for Dell PowerProtect DataDomain
Best Practices for HPE StoreOnce
アクセス制御(Blocky for Veeam)
上記のように、Windowsでは不変性連携を構成できないため、Veeam単体ではランサムウェア対策を構成することは難しくなっています。どうしてもVeeamをインストールするWindwosマシンを保存先としてランサムウェア対策を行いたい場合にはBlocky for Veeamというアクセス制御ソフトをご検討ください。
Blocky for Veeamを使用するとアプリケーションホワイトリストアプローチにより、特定のプロセスからの変更や削除のみを許可するように簡単に構成いただけます。
https://www.climb.co.jp/soft/blocky
Veeamからは変更、削除が可能なため、完全に不変な状態にはなりませんが、万が一Veeamサーバがマルウェアに感染しても、そのマルウェアがバックアップデータを変更、削除することはできず、バックアップデータを守ることが可能です。
Blocky for Veeam上で必要なVeeamプロセスのみを許可するだけですので、Veeamでの追加構成は不要で、簡単にご利用いただけます。
デメリットとしてはBlocky for Veeamのライセンスが追加で必要となる点です。
ストレージ側のアクセス制御/不変性
ネットワーク共有や不変性連携のないストレージアプライアンス上に保存しなければならない場合、そこへのアクセス制御は最低限実施しておくべき構成であり、可能であれば、Veeamのゲートウェイサーバとマウントサーバからのみアクセスできるような構成が推奨されます。
加えてSMBの場合にはNTLMv2リレー攻撃を防ぐためにSMB署名、SMB暗号化を有効化することが推奨されます。
https://techcommunity.microsoft.com/blog/filecab/configure-smb-signing-with-confidence/2418102
ただこれらはあくまでも一般的なセキュリティ対策であり、ストレージ自体がマルウェアや攻撃の対象となった場合にはバックアップが変更、削除されてしまうリスクを伴います。
このような場合にもバックアップを残しておくには、ストレージ側で不変スナップショット機能などをサポートしている必要があります。管理者でも削除や変更できないスナップショットが残っていれば、手間は多いですが万が一の場合には、被害にあう前のスナップショットに戻して、Veeamにインポート(Rescan)しなおすことで、復旧が可能です。
オフライン保管
取得したバックアップデータをコピーしたテープやディスクをオフラインで別サイトなどに保管しておく方法です。ランサムウェア対策といった点であれば、もっとも堅牢であるといえますが、その分、手間、コストもかかります。
また、交換ドライブについてはGFSでの長期保持構成は行えないといった制限や交換後のドライブに関してVeeam上から追跡するための機能はなく自身での管理が必須といった仕様があることにも注意が必要です。
https://helpcenter.veeam.com/docs/backup/vsphere/backup_repository_rotated.html?ver=120
テープの場合には、テープを1次バックアップ先とはできませんが、2次バックアップ先としてであればGFSでの長期保持含め構成可能であり、Vaultsという機能でオフライン状態のテープメディアがどこに保管されているのかをVeeam上に記録、管理し、リストア時にはどのテープメディアが必要かといった情報も参照できます。
https://helpcenter.veeam.com/docs/backup/vsphere/tape_media_vaults.html?ver=120
このためオフライン保管が必須の要件となっているようなケースではテープメディアへの2次バックアップほうが管理が容易です。
まとめ
このように一長一短あり、構成や要件にも依存するため、どれがベストとは言えません。クライムではランサムウェア対策まで含めたVeeamの構成相談も受け付けておりますので、お悩みの際には、是非クライムまでお問い合わせください。
関連トピックス
- 【Veeam+Wasabi】Wasabiへ不変性を備えたバックアップを取得する方法
- Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
- Veeamでできる4つのランサムウェア対策(堅牢化バックアップ)
- 書き換え不可能リポジトリ(Hardened Repository)の構成手順[Veeam]
- 【ランサムウェア対策】堅牢化(Hardened)リポジトリ:セキュアなLinux構築の手間をISOパッケージで大幅削減[Veeam Backup & Replication]
- StarWind Virtual Backup Appliance: SMB ・ROBO向け, ランサムウェア対策ベスト・バックアップ アプライアンス
- Immutable(不変的)なバックアップでランサムウェアから防御を!!「Hardened Repository(堅牢化リポジトリ)」の実践
- バックアップランサムウェア保護ソリューションのBlocky for Veeamの最新版 3.5をリリース
- Veeam ONE V12で強化されたイミュータビリティ・モニタリング
RSSフィードを取得する
