Amazon Web Services ブログ

【寄稿】Amazon FSx for NetApp ONTAP イミュータブルバックアップの利用でランサムウェア対策の強化

この投稿はネットアップ合同会社 Zhao Mandy 氏に、Amazon FSx for NetApp ONTAP によるイミュータブルバックアップの取得について寄稿いただいたものです。

こちらは、サイバーレジリエンスブログシリーズの第 2 回です。本ブログシリーズでは、サイバーレジリエンスについて組織の重要な資産である「データ」の観点で 3 回に亘って基礎からご紹介していきます。第 1 回ブログでは、「サイバーレジリエンス」に関する基礎的な内容を解説しましたが、今回はデータ保護の観点から脅威となっているランサムウェアへの対策を中心にイミュータブルバックアップについてご紹介していきます。

データ紛失と改ざんは企業にとって深刻な影響をもたらす可能性があります。従来のバックアップ手段はデータ損失を防止しますが、バックアップ自体が攻撃され、障害になる可能性もあります。そのため、バックアッププロセスにもデータセキュリティの補強が必要です。

イミュータブル (変更不可) バックアップとは、あらかじめ設定された期間中に削除・改ざんできないバックアップファイルやデータコピーのことです。イミュータブルバックアップは、従来のバックアップと同じくプライマリーサーバー障害時にデータ損失を防止する役割だけでなく、ランサムウェアからのデータ保護にも役立ちます。

ランサムウェアは、データを標的にして暗号化し、身代金を支払うまで所有者がアクセスできないようにするサイバー攻撃の手法です。従来のバックアップ手段は効果的ですが、万全な対策ではありません。最近のランサムウェアはバックアップそのものを暗号化するように設計されており、ランサムウェアによるバックアップサイトにも被害が発生した場合、データを復旧することはさらに難しくなります。

ランサムウェア対策の観点でイミュータブルバックアップの存在意義は、いつでもファイルを復元できるということであり、復元しようとしたときにファイルが壊れていたり暗号化されていたりして、バックアップ・ソフトウェアが実際に正しく動作するかどうかを心配する必要がないということです。

ただし、イミュータブルバックアップの不変性には他のリスクを伴う可能性があります。イミュータブルバックアップの保存期間を長く設定すると、ストレージ容量を大量に消費するため、データ保存のコストが増加する可能性があります。また、ポリシー設計や運用管理によるストレージ管理者の負荷が高くなります。逆に、保存期間が短すぎると、組織が重要なデータを復旧できなくなる危険性があります。イミュータブルバックアップを運用する時、あらかじめバックアップの設計に工夫が必要です。

Amazon FSx for NetApp ONTAP イミュータブルバックアップソリューションの紹介

スナップショットは、データの可用性、信頼性、セキュリティを確保するための強力なデータ保護技術です。Amazon FSx for NetApp ONTAP (FSx for ONTAP) は、フルマネージドの Snapshot と管理機能を提供します。FSx for ONTAP ファイルシステムを作成すると、Snapshot 機能はデフォルトで有効になっています。

FSx for ONTAP の Snapshot 機能により、Point in Time 方式でボリュームのデータコピーを作成します。Point in Time 方式は、データに変更が行われた時にデータブロックをそのままコピーするのではなく、ブロックへのポインタだけを変更するため、変更が発生してもほぼ瞬時にスナップショットが作成されます。余計な読み書きが発生しないため、スナップショット取得時のパフォーマンスオーバーヘッドが少ないです。ファイルデータとスナップショットは同じ場所で保存されますが、変更された部分に対してのみストレージ容量を消費するため、従来の Copy on Write 方式より容量効率が優れています。Snapshot 機能を活用してローカルまたはバックアップサイトでデータコピーを作成することで、ランサムウェア攻撃からデータの保護と迅速な復旧が実現できます。

最近のランサムウェア攻撃は元データをターゲットするだけではなく、スナップショットコピーも攻撃のターゲットとして暗号化されたり、削除されたり、バックアップ先が攻撃されるケースも増えています。バックアップデータが読み取り専用に設定しても、ランサムウェアの被害に気づくのが遅れると、ランサムウェアによる暗号化されたバックアップデータが暗号化前の正常なバックアップデータを食いつぶしてしまう可能性があります。

このような攻撃に対する保護対策として、FSx for ONTAP では「Tamperproof Snapshot」という機能が提供されています。Tamperproof Snapshot 機能を使用すると Snapshot コピーが指定した期間でロックされ、有効期限まで改ざん・削除できなくなります。この機能により、ランサムウェアの攻撃を防止することができます。また、管理者権限の漏洩や内部の不正な管理者による Snapshot の削除も防ぐことが可能です。ボリュームがランサムウェアによる被害を受けた場合、ロックされた Tamperproof Snapshot を使用してデータを復元できます。

FSx for ONTAP で Snapshot の作成と管理

ここからは ONTAP CLI を使って Snapshot を作成・管理する方法をご紹介します。

管理エンドポイントに ssh でログインしてファイルシステムの状態を確認します。FSx for NetApp ONTAP の管理エンドポイントは指定した IP アドレス範囲に自動作成されるもので、AWSコンソールから確認することができます。

>ssh fsxadmin@management_endpoint_ip

図 1: アクセス時のコンソール画面

図 1: アクセス時のコンソール画面

ファイルシステムに ssh で接続すると、SVM の状態が確認できます。volume show コマンドで Volume の一覧情報を確認できます。

>volume show

下記のコマンドで Snapshot Policy の確認ができます。デフォルトの Snapshot 取得ポリシーでは、合計 10 個の Snapshot が定時的に保存されます。

>snapshot policy show -policy policyName

図 2: Snapshot Policy の確認

図 2: Snapshot Policy の確認

hourly、daily、weekly という 3 種類のスケジュールが有効になっており、それぞれ毎時 6 世代、日次 2 世代、週次 2 世代というスケジュールで Snapshot を取得しています。デフォルトのポリシーを利用しない場合、ユーザー自身で Snapshot Policy をカスタマイズすることも可能です。

取得時間の詳細を確認することもできます。下記のように、 job schedule cron show コマンドで 1 時間ごとの Snapshot は何分で取得するか、1 日ごとの Snapshot は何時何分で取得するか、1 週間ごとの Snapshot は何曜日の何時何分で取得するか、詳しく確認することができます。

図 3: Snapshot 取得スケジュールの確認

図 3: Snapshot 取得スケジュールの確認

スケジュールされたタイミングを待たずに手動で Snapshot を取得することもできます。 下記のコマンドでボリューム volad の Snapshot を手動で作成します。

>volume snapshot create

図 4: 手動での Snapshot 作成

図 4: 手動での Snapshot 作成

Snapshot 作成後、下記のコマンドとオプションで Volume のスペース配分を確認します。

>volume show volName -fields percent-snapshot-space, snapshot-space-used, snapshot-reserve-available

Volume の容量のうち 5 %が Snapshot 用に snapshot-reserve として予約されています。

図 5: 作成した Snapshot の確認

図 5: 作成した Snapshot の確認

このようにスケジュール通りで作成される Snapshot は SnapMirror というストレージレベルでのレプリケーション機能を活用してデータをプライマリサイトからリモートサイトに転送すると、よりセキュアなバックアップ環境を構築することが可能です。また、ファイルがランサムウェアによって暗号化されても、Snapshot コピーから一瞬でデータをリストアしてデータ損失のリスクを最小限に抑えられます。

FSx for ONTAP の Tamperproof Snapshot 機能

ここからは ONTAP CLI を使って Tamperproof Snapshot を作成・管理します。

新規ボリューム/既存ボリュームに対して Tamperproof Snapshot を設定できます。ONTAP CLI を使用して、volume create および volume modify-snapshot-locking-enabled オプションを指定します。

> volume modify -vserver vserverName -volume volumeName -snapshot-locking-enabled

図 6: 既存ボリュームへの Tamperproof Snapshot の設定

図 6: 既存ボリュームへの Tamperproof Snapshot の設定

下記のコマンドを使って、手動で Tamperproof Snapshot の保持期限を設定/確認します。

>volume snapshot modify-snaplock-expiry-time -vserver vserverName -volume volumeName -snapshot snapshotName -expiry-time “mm/dd/yyyy HH:MM:SS”

図 :7 Tamperproof Snapshot 保持期限の設定と確認

図 :7 Tamperproof Snapshot 保持期限の設定と確認

snapshot delete コマンドを使って、Tamperproof Snapshot が削除できないことを確認します。

図 8: Tamperproof Snapshot 削除試行

図 8: Tamperproof Snapshot 削除試行

留意点として、Tamperproof Snapshot は通常の Snapshot と異なり、保持世帯数より保持期間が優先されます。保持期間が終わっていない場合、指定した保持数を超えても Snapshot が残ります。例えば、1 日毎に Snapshot を作成するといったような Snapshot Policy を設定しました。Snapshot の保持数を 5、保持期間を 1 か月に設定した場合、1 か月経った時点で Snapshot の保持数は 5 を超えて 30 または 31 になります。

まとめ

バックアップやスナップショットのリカバリポイントを標的にするランサムウェアによる攻撃が増えていますが、FSx for ONTAP の Tamperproof Snapshot 機能を使用して改ざん防止スナップショットを作成すれば、プライマリシステムもバックアップシステムもランサムウェア攻撃を防ぐことができます。ペタバイト級のデータを数秒で復旧できるため、組織のダウンタイムを最小限に抑えることができます。さらに、Tamperproof Snapshot コピーは、ランサムウェアの攻撃者や不正な管理者が削除したり変更したりできないため、攻撃が発生しても大切なデータを保護できます。このようなイミュータブルバックアップにより、クリーンなコピーでデータを保護することで、お客様のランサムウェア対策強化に役立ちます。