StarWind Virtual Tape Library(VTL) のベストプラクティス

はじめに

機密データの取り扱いに携わる企業は、安全なデータ保管とアーカイブに関する規制要件を遵守する必要があります。ここでは、StarWind Virtual Tape Library（仮想テープ ライブラリ：VTL）を構成して高いデータ セキュリティを実現し、ランサムウェアなどの悪意のあるソフトウェアや行為に対抗する方法について説明します。

StarWind Virtual Tape Library（VTL）は、業界標準のテープ ハードウェアをエミュレートすることで、物理テープの必要性を排除し、 直接接続された回転ディスク（ストレージ）にデータを保持するだけでなく、オブジェクト ストレージ アレイやクラウド ストレージにデータを複製化および階層化します。VTLは、物理テープを完全に排除したい、あるいはバックアッププロセスを高速化し、テープからクラウドにオフロードすることで保護レベルを追加し、DR（災害対策）プロセスを自動化したいと考える組織・企業向けに設計されています。ここでは、StarWind Virtual Tape Library（VTL）環境をセットアップするためのベストプラクティスについて説明します。

設計の原則

多くの管理者はバックアップに精通しており、中にはテープへのバックアップが必要な管理者もいます。StarWind VTLは、バックアップの保存（ストレージ リポジトリ）に使用でき、仮想テープ をクラウドまたはオブジェクト ストレージ アレイにオフロードすることも可能です。このような方法はバックアップの冗長性を保証し、3-2-1バックアップルールにも適合します。DRシナリオやランサムウェア攻撃後のリストアにも有効です。バックアップを長期間保存する必要がある場合、クラウドへのオフロードはセキュリティを最大化し、物理テープベースのインフラストラクチャを維持するコストを最小化します。

主な構成シナリオ

いくつかの構成シナリオがあります：

●バックアップ・ソフトウェアとVTLが物理サーバーにインストールされ、ストレージ・リポジトリーが接続されている（すべてが1つのボックスに収められている）。
●バックアップ・ソフトウェアをクラスタ内（またはクラスタ外）のVM内にインストールし、VTLをストレージ・リポジトリに接続された物理サーバー内にインストールする（分離シナリオ）。

上記の両方のシナリオは、管理者の要件に応じて使用できます。

最初のシナリオは管理が容易で、VTLデバイス接続時のボトルネック回避に役立ちます。このシナリオはグリーンフィールド環境に使用できます。

2つ目のシナリオは、より柔軟なパーミッション設定が可能で、セットアップ全体のセキュリティを強化することができます。このシナリオは、ブラウンフィールド環境に使用できます。（注：確立されたシステムを考慮しながらIT問題領域を解決するための新しいシステムの実装を指します。）

一般的な構成スキームを以下の図に示します。仮想テープ・ライブラリ・サーバーはITインフラに接続されていますが、セキュリティ強化のためドメインには参加していません。

ストレージに関する考察

バックアップ・ストレージの一般的な設計は、非常に低コストで大容量を実現できますスピンドル・ディスクを使用することにあります。データの冗長性と最高のGB単価を得るためには、VTLストレージにRAID5、50、6、60を構成することが推奨されます。リカバリープロセス時間を最小化するために、オールフラッシュまたはハイブリッドストレージを使用することができます。

ネットワーキング

バックアップがネットワーク上で実行されることを考慮すると、ネットワークスループットはバックアップ環境において最も重要な部分の一つとなります。ITインフラとVTLサーバ間のネットワークスループットは、バックアップパフォーマンスのボトルネックにならないよう、十分なものでなければなりません。例えば、100MB/sまでのスピードでバックアップを行うのであれば、1GbEネットワークが必要であり、より大きな負荷をかけるのであれば、10GbEネットワークを使用する必要があります。

期待されるパフォーマンスを達成するために、専用のネットワークインターフェイスと独立したVLANを用意することを強く推奨します。

セキュリティに関する推奨事項

VTLホストのセキュリティを向上させるために、いくつかの推奨事項があります：

●VTLサーバをドメインに参加させない。
●バックアップサーバーにアクセスするユーザーを別に割り当てる。
●バックアップソフトウェア専用のサービスユーザーを作成する。
ランサムウェアへの耐性をローカル環境に適合させるため、仮想テープ ライブラリは本番環境から隔離された専用ストレージに配置する。
●StarWind 仮想テープ ライブラリ（VTL）ホストまたはストレージ リポジトリのファイル共有を無効にする。
●さらに、StarWind Virtual Tape Library（VTL）の ISCSI 接続には、CHAP 認証とアクセス権を設定する必要があります。
●ファイアウォールを有効にし、ウイルス対策と OS を常に最新の状態に保つ。
●VTLクラウドレプリケーションを設定し、バックアップのコピーを少なくとも1部オフサイトに置く。これにより、ランサムウェア攻撃時の保護と復元が保証されます。

結論

VTLとバックアップのベストプラクティスに従い、ネットワークトポロジー、ストレージ、セキュリティを適切に設計することで、高速で弾力性があり、保護されたバックアップコピーを取得することができます。このような方法は、バックアップの主な目的である、最新のバックアップコピーの100%リストアを保証します。

関連トピックス

• StarWind Virtual Tape Library （VTL）のベストプラクティス
• StarWind VTL（Virtual Tape Library)の概要
• StarWind Virtual Tape Library (VTL) for IBM iによるIBM i(AS/400)のデータ保護
• StarWind Tape Redirector
• テープメディアをVeeamで使用するには【Veeam Backup & Replication v7】
• StarWind Virtual Tape Library(VTL):クラウドストレージ(AWS、Wasabi、Azure)を利用した展開
• StarWind Virtual SAN バックアップ・ベストプラクティス
• StarWindでのHA構成のベストプラクティス その3: ネットワークの構築
• StarWindでのHA構成のベストプラクティス その1 : はじめに
• StarWind Virtual SAN(VSAN)のベスト プラクティス