ランサムウェアなど、データを改ざんする攻撃による被害をどのようにすれば防げるのか、これは大きな課題です。ネットワークへの侵入され、特権アカウントへのアクセスを許してしまうという最悪のケースでは、オンプレのデータ消去だけでなく、クラウド上のオブジェクトストレージにアーカイブしたデータまで被害が及ぶ可能性もあります。
最終的な防御方法としてはネットワークに接続されておらず、物理的な操作なしにデータを変更することはできないテープなどへのエアギャップを設けたアーカイブが挙げられますが、これはとても大変です。
Veeam v10ではもっと簡単にこのような対策を実施するためにImmutable (変更不可)機能が実装される予定です。Veeam側の設定としてはオブジェクトストレージを登録する際に下記のようにImmutableの設定を有効にし、日数を指定することで利用できます。
この機能はVeeamのスケールアウトリポジトリのキャパシティ層となっているオブジェクトストレージにデータブロックが転送される際に、Immutableフラグを設定できるというものです(オブジェクトストレージ側のネイティブな関数を使用し、現在、このフラグはAWSには存在しますが、Azureには存在しません)。
このフラグを有効にして、転送されたデータは指定された日数、オブジェクトストレージ上で絶対に削除できなくなり、変更はバージョンとして保持されます。これにより、攻撃による改変や削除のみでなく、偶発的な人的ミスからもデータを保護できます。
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/object-lock.html
ただし、登録するバケットには注意が必要です。デフォルトでは無効になっているバージョニング機能とオブジェクトのロック機能を下記のように有効化した状態で作成されたバケットでのみこの機能は動作します。
このように作成した、バケットをオブジェクトストレージのリポジトリとしてVeeamに登録し、それをスケールアウトリポジトリでキャパシティ層に登録します。
また、今回はv10からスケールアウトリポジトリに追加されたコピーモードで設定してあります。これは今までは古くなったバックアップを移動するオプションのみであったのに対して、作成されたバックアップを即座にオブジェクトストレージにもコピーする設定です。前者の移動オプションがアーカイブし、ローカル側の容量を空けることを目的としていたのに対して、後者のコピーオプションは3-2-1ルールなどでバックアップのコピーを作成することを目的として利用できます。
これで設定は完了です。このスケールアウトリポジトリにバックアップされると、パフォーマンス層で指定したリポジトリにバックアップが行われた後、自動的にS3へデータブロックがImmutableフラグ付きでコピーされます。それは指定した日数以上は削除も改ざんもできなくなり、ランサムウェア等による攻撃からバックアップを保護できます。
関連トピックス
- Veeamによるクラウド(オブジェクトストレージ)へのアーカイブ[Veeam Backup & Replication]
- ディスクリポジトリとオブジェクトストレージリポジトリでのバックアップ保持の違い[Veeam Backup & Replication]
- ExaGrid Ver7のリリース:「ダブルロック」セキュリティのためのS3オブジェクトロックのサポートを含む最新アップデート
- StarWind Virtual Tape Library (VTL) for IBM iによるIBM i(AS/400)のデータ保護
- Microsoft Active Directoryサーバーからのアイテム(ユーザー、グループ等)リストア[Veeam Backup & Replication]
- Veeam Backup & Replication V12でVeeamバックアップをAWS S3からWasabiに移行する方法
- バックアップリポジトリ(保存先)の選択肢[Veeam]
- Veeam Backup for Microsoft Office 365でMicrosoft365のバックアップにWasabiを活用
- VeeamON 2022 セッション情報速報⑥
- Veeam V12 新機能紹介① [VeeamON Update 2022]