はじめに
ビジネスデータの安全管理関係者であれば、ランサムウェアやその他の脅威からデータを守ることが最優先事項であることはご存知でしょう。そのための最善の方法の一つが、3-2-1-1バックアップの実践です。3-2-1-1の “1 “は、Linuxベースのハード化(堅牢化)されたリポジトリなど、不変のストレージを使用することを意味します。
ここでは、既存または劣化したサーバ・ハードウェアをイミュータブル・バックアップ・ストレージに変え、ランサムウェアからデータを保護する方法を紹介します。必要なのは、Veeam Backup & ReplicationとStarWind VSANだけで、堅牢化レポジトリ(Hardened Repository)の役割を果たします。これはデータを安全に保つための非常に簡単で効率的な方法であり、そのプロセス全体を順を追って説明します。
なぜ不変性なのか?
まず、なぜバックアップがイミュータブルでなければならないのかについて説明します。基本的に、バックアップは一度作成されると、削除したり変更したりすることはできません。これは、ハッカーがシステムに侵入してバックアップを削除しようとしても、削除できないことを意味するので、重要なデータにとって重要です。特にランサムウェア対策として非常に重要です。このような理由から、バックアップにはテープライブラリや光学メディアなどのWORM(Write-Once-Read-Many)ストレージメディアが一般的に使用されています。しかし、これらのタイプのメディアは、保持ポリシーに合わせて定期的にローテーションや交換を行う必要があるため、管理には少々手間がかかります。
不変性を有効にする最も簡単な方法は?
Veeam B&Rは業界標準のバックアップ・ソリューションであり、物理および仮想テープを含むほとんどのストレージ・メディア・タイプで動作します。さらに、Veeam B&R v11以降では、Hardened Backup Repositoriesのサポートが追加され、オブジェクト・ストレージや特別なサード・パーティ・ソリューションを使用することなく、バックアップの不変性を有効にすることができます。
今、Linuxサーバをセットアップし、Veeam B&Rで動作するように設定するプロセスを実行することができますが、それは簡単ではありません。しかしStarWind VSANでそれが超簡単にできます。
Webコンソールで事前設定された管理ツールセットを開発したので、コモディティ・ハードウェアを使用してストレージサーバを簡単にセットアップできます。StarWind Virtual SANウェブコンソールでいくつかのウィザードを使用するだけで、すぐにVeeam B&R用のハード化されたリポジトリを完結することができます。
セットアップ方法
このブログでは、初期設定プロセスについては説明しません。StarWindコントローラ仮想マシン(CVM)、ネットワーク、およびストレージの構成の詳細については、以前のブログ:「 StarWind VSAN でファイル共有を作成する方法」を参照してください。先に進む前に必ず確認してください。ベアメタル StarWind VSAN のデプロイ手順も、後日別のブログ記事で紹介しますので、お楽しみにしてください。
予備ステップを完了し、ストレージプールを作成したら、次はVirtual SAN Web UIで新しいボリュームを作成します。
ストレージプールが作成されたら、「Volumes」タブに移動し、「+」ボタンをクリックして「Create volume」ウィザードを開きます:
新しいボリュームに使用するストレージプールを選択し、「Next」をクリックします:
新しいボリュームの名前を指定し、必要なサイズを選択します:
ここで、ボリュームのファイルシステムを選択します。バックアップ リポジトリ」オプションは、Veeam のベスト プラクティスと推奨事項に従ってすでに設定されているため、それを選択します。
設定を確認し、「Create」をクリックして新しいボリュームを作成します:
この後、VeeamユーザをCVMに追加し、Veeamがストレージにアクセスできるようにする必要があります。このためには、”Volumes “タブで、新しく作成したバックアップ・ボリュームを選択し、”Manage VHR (Veeam Hardened Repository) “ユーザをクリックします。
Manage VHR user “ポップアップ・ウィンドウで、”+”ボタンをクリックします:
新しいユーザの認証情報を指定します:
新しく作成したユーザを選択し、SSHアクセスを有効にして、”Save “をクリックします:
これでStarWind VSANの設定は完了です。作成したボリュームを新しいバックアップ・リポジトリとしてVeeam B&Rに接続する必要があります。これを行うには、Veeam Backup and Replicationコンソールを開き、”Backup Infrastructure “に移動し、”Backup Repositories “を選択します:
“Add Repository “をクリックし、”Direct attached storage “を選択:
次に、”Linux (Hardened Repository)”を選択:
“New Backup Repository”ウィザードで、新しいリポジトリの名前と説明を指定し、「Next」をクリックします:
次のステップで、「Add New」をクリック:
“New Linux Server” ウィザードで、StarWind CVM の IP アドレスまたは DNS 名を指定し、”Next” をクリック:
“Add “をク リ ックし、 StarWind VSAN Web UI で作成 し た VHRユーザアカウント の認証情報を指定 し ます:
インストールされたコンポーネントを確認し、”Apply “をクリックします:
インストールが完了するまで待ち、「Next」ボタンをクリック:
要約(Summary)を確認し、”Finish “をクリック:
「New Backup Repository」ウィザードで、ドロップダウン・メニュから新しく追加したリポジトリ(Repository)Repository・サーバを選択します:
ここで、StarWind VSAN アプライアンス上のボリュームへのパスを選択します。また、「Use fast cloning on XFS volumes」設定が有効になっていることを確認し、不変性に必要な保持期間を指定します:
その後、バックアップの高速リストアを行うMount Server(マウントサーバ)の設定を確認:
インストールされるコンポーネントを確認し、”Apply “をクリック:
プロセスが完了するまで待ち、”Next “をクリック:
要約を確認し、”Finish “をクリック:
認証情報の盗難などの潜在的なローカル脅威からサーバを保護するためにStarWind VSAN Web UIで”Volumes “ページに移動し、”Manage VHR user “ウィザードを起動し、VHRユーザー・アカウントのSSHを無効にする:
さらに、この方法を使えば、ハード化されたリポジトリを簡単にセットアップし、バックアップを安全に保護できることを覚えておいてください。バックアップが正常に動作し、緊急時に復元できることを確認するために、定期的にテストと検証を行うことが重要であることに変わりはありません。ソフトウェアとハードウェアを最新の状態にし、最悪の事態に備えてディザスタリカバリ計画を立てておきましょう。
最後に
結論として、StarWind VSANをVeeam B&Rのハード化リポジトリとして使用することは、あらゆる脅威からビジネスデータを保護する素晴らしい方法であると同時に、設定プロセスを簡単でわかりやすくします。StarWind VSANの管理ツールの助けを借りて、安全で信頼性の高いバックアップ・ソリューションをすぐに立ち上げて実行することができます。Linuxサーバ知識に依存せずに、バックアップ戦略をアップグレードし、データの安全を確保したいのであれば、是非StarWind VSANをお試しください。
関連トピックス
- StarWind Virtual SAN CVMのライセンスファイル入れ替え方法
- ログの確認方法の紹介【Veeam Backup and FastSCP】
- ESX上の仮想マシン(Windows系OS)でFile Level Restore時の設定【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- StarWindを使用したvSphereのHA構築(詳細編)【StarWind SAN & NAS】
- StarWind Virtual SAN (vSAN)の機能詳細一覧
- VMimportロールの設定方法:CloudBerry Backup
- CloudBerry BackupでのSoftLayer Cloud Storage アカウントのレジスタ方法
- インストール手順【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- バックアップ手順【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- 高可用性仮想共有ストレージStarWind SAN & NASの各種構成例(iSCSI)
Blocky for Veeam : シンプルで即利用可能なVeeamのためのランサムウェア保護 (Linuxサーバ不要)