N2WSは、AWSおよびAzureのお客様向けにポリシーベースのバックアップと災害復旧の自動化を提供します。N2WSはスナップショットベースのバックアップ層として機能し、Azureのネイティブ暗号化インフラストラクチャの上に位置し、お客様が既に設定済みのディスク暗号化と連動して動作します。
N2WSによるAzureバックアップの保護方法
暗号化
AzureはAES-256を用いて、データ暗号化キー(DEK)を介してバックアップデータを保護します。DEKはさらに、Azure Key Vaultに保存されたキー暗号化キー(KEK)によって保護されます。N2WSは、設定不要でデフォルトで有効なプラットフォーム管理キー(PMK)と、Azure Key Vaultに保存されたRSAキーでエンドツーエンドの暗号化を制御する顧客管理キー(CMK)の両方をサポートします。
N2WSがCMKで暗号化されたディスクのスナップショットを作成すると、追加手順なしで自動的にディスクの暗号化が継承されます。バックアップデータは、Azure Key Vaultのキーによって常に保護された状態を維持します。必要に応じて、N2WSは復元時に別のディスク暗号化セット(DES)を適用することも可能であり、復元されたデータを保護するキーを変更する柔軟性を提供します。
不変性
暗号化に加えて、N2WSは不変バックアップという形で追加の保護層を追加し、最高水準の保護を使用してバックアップの改ざんや削除から守ります。不変バックアップのポリシーが有効化されると、特定の保持期間に対して「削除」ロックタイプが割り当てられ、その期間中のいかなる変更や削除も防止されます。ストレージアカウントリポジトリの場合、N2WSは保存されたオブジェクトごとにリースを設定します。リースされたオブジェクトは、リースが明示的にキャンセルされるまで削除または変更できず、偶発的または悪意のある削除に対するさらなる安全策となります。
アクセス制御
データ自体の保護に加え、N2WSはAzureのロールベースアクセス制御システムと連携し、コンプライアンス基準に沿った安全なアクセスポリシーを適用します。プラットフォーム設定の一環として、組織はAzure内でカスタムIAMロールを構成します。これにより管理者はバックアップリソースとのやり取りを許可する対象を厳密に制御でき、最小権限の原則に沿ったアクセス権限を保証します。
