株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Dell > 【Dell Blog】PPDMの無償で使える新機能”Anomaly Detection”(異常検知)を試してみた!

【Dell Blog】PPDMの無償で使える新機能”Anomaly Detection”(異常検知)を試してみた!

Dell PPDM Data Manager Data Domain 異常検知

皆さんこんにちは!
ネットワールドのストレージ担当の片山です。

今回はPower Protect Data Manager(PPDM)についてです!最近のデータセキュリティのトレンドに追従する形でPPDMにも新しく”Anomaly Detection”(以後、異常検知)という機能が追加されていました。

以前にサイバーセキュリティソリューション製品のCRSでのエアギャップ、Cyber Senseの異常(脅威)検知については検証したことがある自分としては、”PPDM19.18”というバージョンではテクニカルプレビューの機能だったのですが、”PPDM19.20”で正式対応でリリースされたとのことで、早速検証を実施してみました!

 

異常検知の検証をするにあたり、以下の様な環境を作成してみました。

 

今回PPDMに実装された異常検知機能は無償で利用することができます!ちなみにPPDMでの検知アルゴリズムとしてはバックアップデータからメタデータ(インデックス)を生成、そのメタデータを利用しての機械学習とパターンマッチングで異常を検知する方式を採用しています。運用しているデータに対して大幅な変更や、削除、また特定のランサムウェアによる改竄方法などのパターンにマッチしたものを検出するという方法で、現在ファイルエージェント仮想環境の両環境の保護に対応しています。

 

それでは検証を始めていきます!

PPDMのデプロイは何度か紹介していると思いますのでここでは割愛しますが、vSphere版ではOVAデプロイの際にホスト名やIPアドレス情報、その他DNSを設定して、デプロイ完了後に、管理GUIへアクセスしてadminのパスワードを変更するだけ!と非常に簡単です。

PPDMおよびDDの連携設定が終わった前提で、本題の異常検知に関する設定をしていきたいと思います。PPDMでは異常検知機能がデフォルトで有効となっていますが、設定なしで動作するわけではなく利用するためには追加設定が必要になります。事前に調べていた情報ではバックアップポリシーの作成の流れからオプション設定で有効化ができるとあったため、まずはPPDMのファイルエージェントをインストールしたWindowsサーバーのバックアップポリシーを作成してみました。

実際にポリシーを作成してみると、ファイルエージェントには対応しているはずなのですが、オプションメニュー内に異常検知に関する設定項目がありません…。改めて製品マニュアルやWeb情報、ヘルプ等をよく見てみると“Search Engine”(以後、検索エンジン)という仮想マシンが別途で必要でデプロイする必要があるようでした。

改めて検索エンジンを設定するには、PPDMの左メニューから[ Infrastructure ] ⇒ [ Search Engine ]という項目で、PPDMとは別の検索エンジンノードという専用の仮想マシンをデプロイしてPPDMに登録する必要があるようです。

すぐに試せる!と思っていたため、別VMのデプロイは少々面倒な気もするのですが、考えてみるとバックアップと同時に異常検知が毎度実行された場合、PPDMに対してバックアップに続き、メタデータ生成、異常の検索などの高い負荷が集中してしまうことが考えられ、本番環境でのバックアップサーバーに無駄な負荷をかけず継続的に動作させるため必要な設定なのだと理解することができます。

実際の検索エンジンノードVMのデプロイは全然面倒なことはなく、すべてPPDMのUI上から設定ができ非常に簡単でした。設定はIPアドレス情報やデプロイ対象のvCenterを選択クラスタポートグループデータストアなどを選択します。次に、ネットワーク構成なども専用ネットワーク等を構成してカスタマイズすることもできるようです。今回はそのまま進めます。

上記設定だけで、あとはPPDMが自動的に検索エンジンノードVMのデプロイを開始します。

5~10分(環境依存)ぐらい待つと、自動的に検索エンジンノードVMが起動し、ノードのステータスがReadyになります。もう1ノードを追加デプロイすることで、最初にデプロイしたVMがプライマリになり、以降追加ノードは自動的にクラスタに追加されるようです。

今回、PPDMからは2台の検索エンジンノードをデプロイしました。仮想マシンの1台当たりのスペック”CPU:4、メモリ:8GB、vDisk:約1120GB(Thin)”が最低スペックのようです。

改めて、異常検知を実行するためポリシーを作成してみたのですが、今回は前回なかったAnomaly Detectionの項目が存在しますね!早速新たにメニューに追加された[ Enable indexing for file search and restore ]のチェックすることで、[ Enable Anomaly Detection ]にもチェックを入れることができるようになります。以上2つの設定にチェックをしてポリシーを実行してみます。

ポリシーを実行すると、下図の様に通常のバックアップジョブに続き、インデックス・プロテクションジョブが実行され、最後に異常検知に関するジョブが順に実行されています。ポリシーは正常に完了し、きちんとPPDMの異常検知設定ができていそうです!

次に異常が検知できるかを試してみたかったので、エージェントのバックアップ対象のWindowsサーバーに対して、数万ファイルを作成したり、全ファイルの内容の変更、圧縮、暗号化やファイルの全削除など色々と試してみました。

結果として、残念ながら本検証においては異常として検知をさせることができませんでした。理由として検知させるためのファイル数が少なかったことや、実ランサムウェア動作などきちんとしたパターンを再現できなかったのだと考えられるかと思います。

最後に異常検知にどのくらいの負荷がかかるかを調べてみました。検証環境は基本として検証以外ではほぼ負荷かからない環境なのですが、異常検出の実行時にはvSphere上の検索エンジンノードVMに対して、インストール直後のWindowsOSが対象でも、ある程度はハイパーバイザー側への負荷がかかることが確認できました。

 

<まとめ>

さて、いかがでしたでしょうか?

冒頭でも説明しましたが、PPDMでは異常検知機能のライセンス費用は不要で無償で利用することができます。

さらに、プラスαとしてエアギャップでのバックアップデータの保護機能としてCRS、専用のより強力な異常(脅威)検知機能を持ったCyber Senseもあります。Cyber Senseでは機械学習+パターンマッチング+コンテンツ+カスタム(YARAルール+シグネチャ)に対応をしているため、PPDMに加えて、さらにCRSやCyber Senseを併用することで、バックアップデータ保護ソリューションとして、まさに鉄壁ですよね!

ランサムウェア、フィッシング、なりすまし等が当たり前となっている昨今、本番環境、さらにバックアップデータの保護に関するソリューションを組み合わせることでさらに堅固な環境が構築でき非常に心強いと思います!

今回の記事が皆様のお役に少しでも立てたら幸いです。

それでは、また!

Networld Techのブログ一覧はこちら!
https://www.networld.co.jp/product/emc/tech-blog/