災害・ランサムウェア対策を意識した
Veeamデータ保護構成

Veeamではベストプラクティスなデータ保護の戦略として「3-2-1-1-0ルール」というものを掲げています。少なくとも3つのデータコピーを、2つの異なるストレージメディアに、1つはオフサイト環境で保管、1つは不変かオフラインの状態とし、0エラーで運用するというルールであり、ランサムウェアによる攻撃など、発生する可能性のあるさまざまなタイプのインシデントに対応するためのアプローチとなります。本ページでは、このような理想的なデータ保護を簡単に実現するためのVeeam機能をご紹介します。

任意のストレージへ二次バックアップ

Veeamでは一次バックアップしたデータを、任意の別ストレージへ二次バックアップするこができます。例えば、別拠点にバックアップをコピーし、2拠点でデータを保持することで、いずれかの拠点で災害が発生しても復旧が可能となります。ネットワーク接続さえ可能であれば、DAS、NAS、重複排除ストレージやオブジェクトストレージといった任意のストレージへ二次バックアップを実施できます。

バックアップデータの長期保持(GFS)

バックアップデータの保持に関しては、日々の保持ポリシーに加え、長期保持用途としてGFS設定を行うことも可能です。GFSにより年次や月次といった特定リストアポイントの保持も容易に構成できるため、これによりコンプライアンスやランサムウェア対策のための長期的なデータ保持要件を実現することができます。

バックアップデータに対する不変性の付与

Veeamではバックアップデータに不変性を付与することもでき、これにより悪意のあるユーザやマルウェアによるデータ改ざん等の攻撃を防ぐことが可能です。Veeamネイティブの機能では、Linuxサーバを保存先とした場合に、バックアップデータを不変の状態にすることができます。それ以外にもData DomainやHP StoreOnce、ExaGridの不変性機能と連携する対応や、別ソフトウェアの「Blocky for Veeam」を使用した場合には、Windowsサーバを保存先としている場合でも不変性を付与することが可能となります。

3-2-1-1-0ルールを満たした二次バックアップ構成例

ローカルへの一次バックアップに加え、別拠点に対して不変性を付与した二次バックアップを実施するという構成例です。これにより、元データ、一次バックアップデータ、二次バックアップデータの3つのデータを、2つ以上の異なるメディアに、1つはオフサイト環境で、1つは不変性のデータとして保持することが可能となります。本構成にVeeam SureBackup機能を使用した復旧検証も組み込むことで、3-2-1-1-1-0ルールを実現できます。もちろん一次バックアップに不変性を付与することも可能で、より強固なバックアップ運用を行うことができます。

別仮想環境へのレプリケーション

VMware/Hyper-V環境の仮想マシンに関しては、バックアップだけではなく、別VMware/Hyper-V環境へのレプリケーションを実施してデータ保護を行うこともできます。有事の際は、レプリケーション先仮想マシンの電源をONにするだけで、迅速な復旧オペレーションを行うことが可能です。また、複数世代（リストアポイント）を保持することや、バックアップデータをソースとしてレプリケーションを実施することもできます。

リアルタイムなCDPレプリケーション

VMware環境の仮想マシンに関しては、I/Oフィルタを活用することで、CDPレプリケーションを使用したリアルタイムなデータ保護を行うことも可能です。これにより、データ損失を最小限に抑えた、最新状態への即時復旧が実現できるようになり、厳格なRTO/RPO要件も満たせます。また、CDPレプリケーションでは数秒単位での復旧が可能な短期保持ポリシー期間に加え、通常のVeeamレプリケーションに近い長期保持ポリシー期間も指定できるため、データ保持要件にあわせて、柔軟に対応することが可能です。

3-2-1-1-0ルールを満たしたレプリケーション構成例

バックアップしたデータをソースに、別拠点の仮想環境にレプリケーションを行うことで、元データ、バックアップデータ、レプリカVMの3つのデータを2つ以上の異なるメディア、1つのオフサイト環境に保持するという構成です。1つの不変性に関しては、一次バックアップデータに不変性を付与することで実現しています。本構成にVeeam SureBackup/SureReplica機能を使用した復旧検証も組み込むことで、3-2-1-1-1-0ルールを実現できます。

テープへのアーカイブ

Veeamでは、取得したバックアップデータをテープにアーカイブすることが可能です。基本的にテープサーバ（Windows or Linux）に接続されているテープデバイスであれば、ベンダー問わずアーカイブ先として使用することができます。複数のテープメディアを使用することで、長期的なアーカイブの保持といったコンプライアンス要件も簡単に満たすことが可能です。

3-2-1-1-0ルールを満たしたテープアーカイブ構成例

テープアーカイブを行うことで、元データ、バックアップデータ、テープの3つのデータを2つ以上の異なるメディアに保持することが可能です。さらにアーカイブしたテープメディアを別拠点に物理的に移動させることで、1つのオフサイト、1つはオフライン状態で保護することができます。本構成に、SureBackup機能による復旧検証も組み込むことで、3-2-1-1-1-0ルールを実現できます。

クラウドオブジェクトストレージへの保護

Veeamでは、 Amazon S3やAzureBlob、Wasabiといったクラウドオブジェクトストレージに対してのバックアップも実施可能です。直接（一次）バックアップすることも可能ですが、運用環境への影響や、迅速なリストア、3-2-1ルールを考慮すると、二次バックアップ構成で実施することが推奨となります。

アーカイブ層を利用した長期保持

クラウドオブジェクトストレージに保持する場合も、要件に合わせて長期的なデータ保持を設計できます。この際、Amazon S3 Glacierや、Azure Archiveストレージを長期保持用途のストレージとして利用することもでき、これによりクラウド側のコストを抑えた運用を行うことが可能となっております。

オブジェクトロック連携による不変性の付与

Amazon S3やAzure BLOB、Wasabiオブジェクトストレージへデータ保護を実施する際は、オブジェクトロック機能と連携したバックアップを行うことも可能となっております。これにより、オブジェクトストレージ内のバックアップデータを不変の状態で保持することが可能となり、ランサムウェア対策を容易に実現できます。

3-2-1-1-0ルールを満たしたクラウドバックアップ構成例

Wasabiオブジェクトストレージへの二次バックアップを実行する構成で、元データ、一次バックアップデータ、二次バックアップデータの3つのデータを2つ以上の異なるメディアに、1つはクラウド（オフサイト）環境に保持できます。さらにオブジェクトロック機能と連けすることで、1つは不変性のデータとして保持することが容易に可能となります。本構成にVeeam SureBackup機能を使用した復旧検証も組み込むことで、3-2-1-1-1-0ルールを実現できます。もちろん一次バックアップに不変性を付与することも可能で、より強固なバックアップ運用を行うことができます。