Veeam Backup & Replication V11 強化されたLinux Repository
Veeam Backup&Replication V11では、ランサムウェアの脅威に対処するために防御機能を改善しており、Linuxを活用した強化リポジトリを備えることで、不要なデータ改ざんを防止する機能が提供されています。
ランサムウェア対策は、AIでの予想防御や自動隔離、ふるまい検知などいくつかの対策アプローチがあるのですが、感染してしまった場合の対処のひとつとしてバックアップから復元するための備えが必要です。そのような観点からバックアップデータそのものがランサムウェアの対象とならないため、ビジネスに影響を与える可能性のある潜在的なデータ損失を回避するためのデータ保護環境を確保した優れたバックアップ設計が重要となります。
そうしたことからVeeamではランサムウェア対策のひとつとしてバックアップデータの保管場所(repository)に強化されたLinuxリポジトリ機能が追加されているので取り上げておきたいと思います。
目次[非表示]
1. 強化されたLinux Repositoryのユースケースについて
これまでVeeamでは、Object Lock APIを用いてAWSにバックアップデータを書き換え不可能な状態として、オフサイト保管することが可能でしたが、今回の機能追加でバックアップデータをLinux Repositoryに書き換え不可能な状態としてオンサイト保管することが可能になりました。
その強化されたLinux Repositoryのユースケースは、他のリポジトリの場合と同じで、標準のリポジトリまたはスケールアウトリポジトリとして活用し、プライマリバックアップとバックアップコピーの保管の両方の用途に対応しています。
2. 強化されたLinux Repositoryの要件について
(1)仮想マシンでも動作可能だが、セキュリティ観点で物理サーバーが推奨されている。
(2)64bit-Linuxディストリビューションをサポート:Ubuntu 20.04 LTS or later/ RHEL/CentOs 8.2 or later/SLES 15 SP2 and Debian 10
(3)Linuxファイルシステム:XFS、EXT3/4、BTRFSをサポート
*合成フルやアクティブフルバックアップが必要であるため、XFSベースのリポジトリを使用することで、ブロッククローンをサポートしながら合成時の高速処理が実現され、メタデータ管理されることでディスクスペースも節約されるという利点が得られることからXFSが推奨されています。
(最新の要件情報についてはVeeamサイトを確認してください)
3. Immutability:不変とするRepository構成について
バックアップジョブタイプには制限があり、Immutability機能を利用したLinux Repositoryに保存する場合には、データを変更不可とする期間を設けます。そのため、変更不可期間が終了した場合にのみ、バックアップファイルをマージまたは削除できるようになり、Active Full BackupまたはSynthetic Full Backupのいずれかを有効にする必要があります。
(不変のRepositoryとした場合は、永久増分や逆方向バックアップの使用はできません。)
(1)NFS共有を不変性のあるリポジトリとして構成することはできない。
(ローカル/DAS)
(2)スケールアウトリポジトリのパフォーマンス層に使用することが可能。
(3)バックアップコピーを行う際は、GFS保持ポリシーを有効にする必要がある。
(4)期間限定:7日~9999日の範囲で設定
(期間終了後には再び期間の設定や削除を行うことができます)
(これらの他にもいくつかの条件や制限もあるので最新情報をVeeamサイトで確認してください。)
*従来のLinux Repositoryと違う点で
"Make recent backups immutable for・・day"項目が追加されています。
3-1. Single-use credentials
不変のRepository構成の場合は、使い捨ての認証資格情報を使用できます。Linuxサーバをバックアップインフラストラクチャに追加する際、VeeamDataMoverをデプロイするために1回だけ使用され、認証情報を保存しないクレデンシャル利用ができるようになりました。
これはSSHログインを利用した攻撃に対する保護の観点で、Linux Repository認証を証明書ベースの認証で行うものであり、Linuxとの認証情報をVeeamに保存させないため、攻撃を防ぐことにもつながることでしょう。
<登録時に”Single-use credentials for hardened repository..."を選択>
(ここで指定するUSERはセキュリティ上"root"の使用はできません。)
4. まとめ
Immutability機能については、いわゆる「Write Once Read Many」(WORM)モデルを提供しているもので、期間を設定されているバックアップファイルは削除変更などの改ざんを防ぐことに有効です。
実際にImmutability機能を利用し強化されたLinux Repositoryへのバックアップを取得してみたところ、該当のファイルは手動削除等の変更操作も拒否されロックされているようなので、有事の際に肝心なバックアップデータまで改ざんされてしまうようなリスク対策のひとつとして取り入れてもよいのではないでしょうか。
ただし動作的ないくつかの条件や制限もあることから、不変機能を利用する際にはバックアップモデルなど要件チェックを行って計画を立てるとよいでしょう。