堅牢化(Hardened)Linuxリポジトリでバックアップを保持している場合、手動でのバックアップファイルやVeeam Backupコンソールからのバックアップの削除はバックアップファイルに設定された不変属性により妨げられ、実施できません。
こらによりランサムウェア等のマルウェアからの攻撃を防いでいますが、この不変属性の管理はあくまでも堅牢化Linuxリポジトリ上のシステム時刻に基づいて実施しています。リポジトリやジョブ(GFS設定)で構成された不変期間を超えたバックアップファイルに対して不変属性を解除して削除可能にすることで、世代管理に基づいてバックアップファイルを削除しています。
つまり、不変期間をよりもバックアップファイルが古くなれば、削除できるようになるため、システム時刻を未来にしてしまえば、削除できるようになるわけです。
このような攻撃を想定して実装されている仕組みがタイムシフト検出です。10分ごとに現在のUTC時間 (systemTime)とハードウェア時間(hwTime)を参照し記録、現在の値と以前の値の差を計算、24時間を超えている場合、バックアップファイルに設定された不変属性を堅牢化Linuxリポジトリ上のVeeamサービスが変更できないようにします。
これにより、このようなタイムシフトで無理やりバックアップファイルを削除しようとしてくるような攻撃を無効化、最後の砦となるバックアップをマルウェア等の攻撃から守ることが可能です。
また、タイムシフトが検出されている状態ですと、Veeamのバックアップやバックアップコピージョブ実行時に下記の警告が表示され、不変属性を変更できない状態であり、対処が必要であることを促します。
A problem occurred during setting the immutable flag: repository time shift detected, immutability flag cannot be set. Please refer to KB4482 for more details
ただ、この仕組みは、以下のようなユーザによる任意のタイムシフトによっても検出され、上記警告が発生する場合があります。
- 管理者によるシステム時間の意図的に変更した場合
- Linuxマシンの電源を長時間オフにした場合
- 時刻の追跡に使用されるVeeamTransportサービスが停止している場合
- 過去に堅牢化Linuxリポジトリとして使用されていた、既にtimeLogファイルが存在するLinux OSを再度、堅牢化Linuxリポジトリとして追加した場合
このようなケースでは手動対応が必要であり、この対処方法は下記で解説しています。
関連トピックス
- Bcakup Jobを実行して作成した仮想マシンのバックアップデータの削除方法【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- ファイルレベルリストアでサポートしているファイルシステム【Veeam Backup & Replication】
- VM削除時のバックアップファイル自動削除機能【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- Veeamでできる4つのランサムウェア対策(堅牢化バックアップ)
- 書き換え不可能リポジトリ(Hardened Repository)の構成手順[Veeam]
- サービスプロバイダ向けランサムウェア対策 – 削除されたバックアップの保護機能[Veeam Cloud Connect]
- Backup Mode「Reversed Incremental」で作成されるファイルについて
- 【Veeam+Wasabi】Wasabiへ不変性を備えたバックアップを取得する方法
- Immutable(不変的)なバックアップでランサムウェアから防御を!!「Hardened Repository(堅牢化リポジトリ)」の実践
- バックアップモードによる保持するバックアップファイルの違い【Veeam Backup & Replication】
RSSフィードを取得する
