株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > DELL > 【Dell Blog】PowerScale OneFSのSecureSnapshotを触ってみた!(前編)

【Dell Blog】PowerScale OneFSのSecureSnapshotを触ってみた!(前編)

DELL PowerScale ストレージ

皆様こんにちは。
ネットワールド ストレージ担当 後藤です。

 

皆様、Snapshot、お使いでしょうか。
昨今ランサムウェア被害のニュースを度々耳にしますが、イザというときにスナップショットから復元しようとしたら、取得していたスナップショットもランサム攻撃によって削除されてしまう、ということもあるそうで、その場合は復旧の術を一つ失ってしまうことになります。

それに対応する手段として、「削除できないスナップショット」の取得が有効です。
各社ストレージにもこのようなスナップショットの機能が実装され始めており、PowerScaleのOneFSにおいても9.12にて「Secure Snapshot」という機能が実装されました。

今回はこのSecure Snapshot機能を検証してみたのでブログにてご紹介いたします。

 

■SecureSnapshotの概要

スナップショットやスナップショットスケジュールを保護する機能で、スナップショットの特定の操作に対して、別途設定する承認者の承認を必要とする機能です。
この、承認者の管理や承認/拒否などの機能を、MPA(Multi Party Authorization)といい、SecureSnapshotとMPAは密接に関連した機能です。

MPAでの承認を必要とするSnapshotのアクションは以下の通りです。

 

有効期限が切れる前に有効期限のあるスナップショットを削除する

スナップショットスケジュールの変更

スナップショットの有効期限を短縮する

予約名を使用してスナップショットの名前を変更する

 

01-Flow

 

ざっくりとSecureSnapshot、MPAの機能について理解できたかと思いますので、実際に設定していきたいと思います。
今回は、OneFS Simulatorを使用して検証を行っておりますので、実機と異なる部分がある可能性もあります。

 

■MPAの設定

 

まずは必要となるユーザを作成します。
今回は、approver01/approver02というユーザを作成し、作成したユーザを[ApprovalAdmin]ロールに割り当てます。

 

02-user-settings

参考画像では、ユーザをロールに割り当てていますが、ユーザをグループに割り当て、グループをロールに割り当てることも可能です。

続いて、Approval Administratorにユーザを追加します。
この時、Approval AdministratorになるユーザでGUIを開きます。
今回は、 approver01/approver02をApproval Administratorにするので、各アカウントでOneFS GUIにログインし、MPAの設定をしていきます。

 

各アカウントでログイン後、[Access]-[Multi-Party Authorization]をクリックし、Registrationタブから[Registration]をクリックします。

03-registration

Approval Administrator Registration画面が開きますので、二要素認証の登録を実施していきます。
QRコードを読み取って登録する方法と、シークレットキーを指定して登録する方法から選択が可能です。
なお、認証アプリは、

・Google Authenticator

・Microsoft Authenticator

が推奨されているようです。
まずは、QRコードを読み取る方式の登録手順を見てみましょう。
認証アプリは、Microsoft Authenticatorで登録してみました。

04-regist-QR01

 

05-regist-QR02

非常に簡単でしたね。
MPAの有効化には、2名以上の承認者の登録が必要なので、続いてapprover02も登録していきましょう。
こちらは、シークレットキーを使用して登録してみます。
認証アプリとしては、推奨に含まれていないWinAuthを使ってみます。

06-regist-secretkey01

07-regist-secretkey02

こちらも非常に簡単でした。
それでは、OneFS GUIにadminでログインしてみましょう。

08-enable

これで、SecureSnapshotを使う前提となる、MPAの有効化に成功しました!
なお、MPAは今のバージョンでは、一度有効化すると無効化することはできませんのでご注意ください!

ここでフト
「Approval Administratorの権限を奪われたら、MPAの設定も変更できてしまうのでは?」
と思ったので、この辺の検証もしてみましょう。

 

■Approval Administratorの二要素認証再設定

09-reregist01

10-reregist02

このように、MPAの多要素認証変更も承認が必要なアクションになるので、すでに登録済みのApproval Administratorの認証アプリまで乗っ取らないとMPAをパスできないことがわかりました。
かっちり防御されているといえるのではないでしょうか。

まだSecureSnapshotについて触れていないのですが、少し長くなってきてしまったので前編はここまでとさせていただき、後編にてSecureSnapshotの機能について触れていきたいと思います。

次回をお楽しみに!

 

Networld Techのブログ一覧はこちら!

https://www.networld.co.jp/product/emc/tech-blog/