株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

オブジェクトロックでランサムウェア対策【Cloudian with Veeam】

次のアメリカ大統領は決まった、んだよね!? な日が続く今日この頃。

いずれにせよ大差がつかなかったということは、2つの民意(意見)が拮抗していることの証だと思います。この後、良い終わり方と引継ぎ方をして、アメリカが1つにまとまることを願うばかりです。
Love & Peace☮

そして、今後のキーは『分断』ではなく『共存』ではないでしょうか。

ご無沙汰しております。
ストレージ基盤技術部のコガ・トモヒロです。にんにん。
(にんにん。の理由を知りたい方は以下のリンクをご覧ください)

blogs.networld.co.jp

Networld X も無事終了し、Cloudian のお問合せも増え、大変嬉しい限りです。
既にお気づきの方もいらっしゃると思いますが、Cloudian HyperStore は別製品との『共存』ができるため、様々なコラボレーション展開が可能です。
そのため、HyperStoreと別製品の『共闘』=セット提案も十分可能と個人的には思っております!

ということで、今回は Cloudian HyperStore と Veeam Backup & Replication を使用したオブジェクトロックについて見ていきたいと思います。

WORM

虫のほうではありません。
WORM = Write Once Read Many の略になります。

書込みは1回、読込みは何度でも、という言葉のイメージ通り、改ざん防止する機能ですね。
一度書き込まれたデータは、指定された時間が経過するまで変更または削除ができなくなります。データの変更ができなくなると暗号化も不可能となり、マルウェアは無効になりますので、つまりはランサムウェア対策にもってこいの機能ですね。

そして、Veeam V10よりS3オブジェクトストレージを活用できる、サポートするようになりましたのでいくつか紹介します。

  • SOBR(Scale Out Backup Repository)のキャパシティTierでコピーモードをサポート

これは、アクティブチェーンをキャパシティTierに保存できることを意味し、データリカバリとインスタントリカバリをSOBRのキャパシティTierから直接実行できるようになります。つまり、リカバリ操作を実行する前にバックアップデータをパフォーマンスTierに再膨張させる必要がなくなることも意味しています。

  • AWS S3 Object Lock APIのサポート

本機能(API)をサポートするS3互換オブジェクトストレージにバックアップのイミュータブル(不変)なコピーを作成することができます。S3完全互換のCloudian!当然、HyperStore 7.2からサポートしてます。

Cloudianのオブジェクトロックソリューションの実力はいかに!?

つい先日の2020年10月28日、『2020 NAB Show Product of the Year Awards』の最優秀新ストレージテクノロジー賞 (Best New Storage Technology) を受賞しました!

cloudian.com


NBA🏀ではなくNABって何?って話ですが、
NAB = The National Association of Broadcasters = 全米放送事業者協会 です。
つまり、Cloudianが放送局や映像制作などの業界から認められている証になります。

受賞したカテゴリは『ストレージ』の『S3 Object Lock』ソリューションになりますので、Cloudianのオブジェクトロックに対する評価の高さをうかがい知ることができます。

また、Cloudian HyperStoreはWORM機能によりオブジェクトおよびバケットレベルでデータのイミュータビリティ(不変性)を実現しています。

AWS S3におけるオブジェクトロック機能についてもWORMを用いて実現しているのですが、CloudianはAWSが認可を受けているCohasset Associates(認証機関)からAWSと全く同じCertificateを受理していて、今日時点でAWS以外にCoffasset Associatesから認可を受けているストレージベンダーはCloudianの他にありません

VeeamとHyperStoreがでなにができるの?

バックアップデータをロックし、大切なバックアップデータをランサムウェアから守ることができ、クリーンなリストアが実現可能です。
f:id:networld-blog-post:20201107172732p:plain

ランサムウェアに感染したらどうなるか?
まず感染範囲の調査、特定までに膨大な時間を要すると言われています。また、感染がバックアップデータまでおよんでしまっていた場合、残念ながら成す術はありません。そういった観点からみると、バックアップデータをWORMでイミュータブルにする意味と価値がご理解頂けるのではないでしょうか。

さて、それではHyperStoreとVeeamでオブジェクトをロック🔓していきましょう!

まずはHyperStoreの設定

①WORMライセンスの投入

 ・CMC(Cloudian Management Console)というGUIからも投入可能です。
  ※既にWORMライセンスが入っていれば本手順は不要

②HTTPSの有効化

 ・Veeam Backup & Replication はHTTPSを使用してHyperStoreと通信します。
 ・Veeamは自己署名証明書をサポートしています。
  ※cloudianInstall.shでKey StoreをGenerateしてHTTPSをenableしてPushしてrestart

③HSHの有効化

 ・HyperStore Restricted Shell(HSH)で安全性を高めます。
  ※hsctl configコマンドを使用

④rootユーザーパスワードの無効化

 ・HSHを有効化したのでrootユーザーでログインできないようにします。

  ※cloudianInstall.shでroot passwordをdisable
  ※以降はHyperStoreへのSSHログインはsa_adminを使用

⑤Veeam用のグループとユーザーを作成

 ・まずはグループ

f:id:networld-blog-post:20201107201201p:plain

 ・次にユーザー

f:id:networld-blog-post:20201107211541p:plain

・アクセスキーとシークレットキーのメモ

f:id:networld-blog-post:20201107212301p:plain

⑥オブジェクトロックバケットの作成

 ・現状、CMCでは作成ができないためAWS CLIで作成していきます。
  次期バージョンではCMCからの作成が可能予定となっています!

 (1) AWS CLIをインストールし、基本設定(aws configure)を行います。
  ※先ほどメモったアクセスキーとシークレットキーを使用

 (2) バケットを確認しましょう
 > aws s3 --endpoint-url=http://s3-pic.networld.com ls
 
 ※バケットは作成していないので現時点ではなにも表示されなくてOKです!
 ※ドメイン名は「XXX.local」がセオリーでしょうが、所詮は私が作ったクローズドなドメイン&DNS。
  名前だけでもドットコムで、でっかくいきましょう!(翔び越えよう🐤)
  リンクをクリックしてもインターネット上に存在しないURLなのでご注意ください!

 (3) オブジェクトロックバケットを作成しましょう
 > aws s3api create-bucket --bucket oblck01 --object-lock-enabled-for-bucket --endpoint-url=http://s3-pic.networld.com
 {
     "Location": "http://oblck01.s3-pic.networld.com"
 }

 (4) オブジェクトロックバケットができたか確認しましょう
 > aws s3api get-object-lock-configuration --bucket oblck01 --endpoint-url=http://s3-pic.networld.com
 {
     "ObjectLockConfiguration": {
            "ObjectLockEnabled": "Enabled"
      }
 }

 (5) 再度バケットを確認しましょう
 > aws s3 --endpoint-url=http://s3-pic.networld.com ls
 2020-05-14 00:06:40 oblck01

 ※無事に作成されてますね!

 (6) CMCでもバケットを確認しましょう
f:id:networld-blog-post:20201109102857p:plain ※GUIからでも無事に作成されてますね!

以上でHyperStoreの設定は完了です。

次にVeeamの設定

になりますが、少し長くなりましたのでVeeam側の設定/確認は次回にしたいと思います。

それではまた近いうちにお会いしましょう☮