NutanixとHYCUでセキュリティ強化!ランサムウェアだって怖くない!

  • 22 June 2020
  • 0 replies
  • 977 views

Userlevel 1

こんにちは、HYCU(ハイク)の吉田です。

 

前回は、10の特長のうち9つまでご紹介しましたので、今回は最後のセキュリティ対策についてご紹介したいと思います。

 

と、その前に・・・
HYCUでは45日間使えるフリートライアル版をご提供しています。是非お試しください。
フリートライアルのご依頼はこちらから。

https://www.hycu.com/tryhycu/

 

様々なバックアップベンダーがセキュリティ強化の一環として、イミュータブルストレージにデータを保存し、バックアップデータが安全であることを強調しています。それはその通りだと思いますが、では、データ保護基盤自体の脆弱性とか、日々の作業ミスや悪意のある操作からどうデータを守るのか?と言う視点でみると、ベンダーによって大きな違いがあると思います。この点について、HYCUの特長をご紹介したいと思います。

 

こちらがグローバルで使われているスライドです。

 

ちなみに、私が使っているスライドはこちら

 

レイアウトは異なりますが、意図するところは同じです。

 

それでは一つずつみていきましょう。(※前回のブログと重複する箇所があります。)

1.HYCUはNutanix上に展開するCentOSベースの仮想アプライアンス = バックアップサーバーです。また、カーネルやユーザースペースに対する脆弱性攻撃から防護するためにハードニングされています。OSを構築してバックアップソフトをインストールする製品と異なり、最初からセキュリティ対策がバッチリ施されているんですね。(そもそもLinuxはWindowsに比べて攻撃対象になりにくい?)構築が楽なのもありますが、OSの脆弱性を突かれた攻撃には強いと言えます。

 

2.以前のブログでも触れましたが、製品のアップグレードは5分でできます。https://next.nutanix.com/%E6%97%A5%E6%9C%AC%E8%AA%9E%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A9%E3%83%A0-70/nutanix-mine-with-hycu%E3%81%AEhycu%E3%81%A3%E3%81%A6%E4%BD%95-37685

元々のマシンには手を加えずに名前を変えて保存しておきます。そして新しいバージョンのマシンを作成し、元のデータディスクのクローンを作成・マウントすることでアップグレードを実現します。いつでもロールバックできるこのリスクゼロ・アップグレードのおかげで、バックアップ基盤の「塩漬け」運用から脱却できます。

バックアップ業界あるあるですが、「動いているシステムは触らないし変更しない、当然アップグレードなんてしない」と言う「塩漬け」を私は耳にする機会が結構あります。私自身もそうでした(笑)。そうすると、アップグレードさえしていれば回避できたであろう既知の問題や障害に直面するリスクがやっぱり上がってしまいます。「保守に入っているからアップグレードは確かに無償だけど、作業を依頼するとお金が掛かるから・・・」と言う理由でアップグレードしない方もいらっしゃいます。HYCUであればワンクリックで実行できるし、リスクゼロなので、ここは思い切ってご自身でやってみるのもアリだと思います。

 

3.データ保護業界ではお馴染みですが、冗長データを持つことはデータ損失のリスクを抑えるのに役立ちます。3-2-1(3つのデータコピー、2つの異なるメディアへ保存、1つはリモートへ)の教えがあり、これに従うとコストとリスク対策のバランスがいいんだよ!と言われています。HYCUは一つのポリシーでバックアップとコピー、そしてアーカイブを連携させることが可能ですから、簡単に3-2-1ルールを満たすことができます。(Nutanixスナップショットを含めて4コピーあるよ、と考える方もいらっしゃいます。)

ポリシー作成画面

 

4.Nutanix ObjectsのWORM機能を使い、保存したデータを変更できないようにします。せっかく保存しているバックアップデータがランサムウェアに感染すると目も当てられないですよね?ご安心ください、大丈夫です。

設定も簡単です。と言うより通常の保存場所(ターゲット)の設定方法と変わらず、S3互換のObject Lockが有効になっていればHYCUは自動的に認識します。唯一気にするのは、HYCU側でのデータ保持期間をNutanix Objects側の保持期間より短くしないこと、くらいでしょうか。(HYCUのクリーンアップジョブが失敗します。)

 

5.ソフトウェアWORMと呼ばれる機能がHYCUに組み込まれています。管理画面からは見えないところで設定しますが、バックアップデータやアーカイブデータの手動削除を禁止することが可能です。IT担当者の作業ミスや悪意のあるデータ削除、マルウェアによるデータ削除操作からバックアップデータをしっかりと守ることができます。

設定を有効にすると、削除を試みてもこのメッセージが出ます

 

6.バックアップデータにはリテンション(保持期間)が設定されていて、期間が過ぎると自動的に削除され、クリーンアップされます。でも、監査が入り、「フリーズ!動くな、データに触るな!」なんて場合も無きにしもあらず。その場合はクリーンアップジョブを停止できます。停止中は保持期限切れデータも削除されません。

設定を有効にすると、画面にこのメッセージが出ます

 

7.NutanixスナップショットをNutanix上に指定期間保持することができます。プロダクションVMがオカシイいんだけど!?ってときは、スナップショットから迅速にテスト環境へVMをクローンし、分離した環境で動作確認できます。もちろんプロダクションVMの迅速復元にも使えます。
それに、アプリケーションアイテムやファイル・フォルダ単位での復元も可能なので、速さが必要ならNutanixの機能、外部保管や長期保存にはHYCUの機能と言った棲み分けもできます。

 

8.バックアップデータは転送中もストレージへ保存している間も暗号化することができます。AES256暗号方式を使っていますので、不正にデータが読み取られる心配はありません。
保存先がクラウドであっても、この暗号化は有効となります。

 

9.最後ですが、HYCUにはプロアクティブ対応のためのサポートサービスがあります。Telemetryと言う機能ですが、これを有効にしておくと製品からHYCUのサポートサイトに診断データを送信します。製品のおかしな動向を把握し、事前に対処することに大いに役立ちます。

 

如何でしょう?今回はNutanixとHYCUで実現するセキュリティ強化について書かせて頂きました。少しでも製品のご理解にお役に立てれば幸いです。

詳細についてご興味がございましたら、当ブログにてコメントを頂ければと思います。

 


0 replies

Be the first to reply!

Reply