データの格納先としてはクラウドが主流になりつつあるが、オンプレミスを活用していたりハイブリッドに複数の形態のシステムを組み合わせたりしている企業もいるだろう。そうした際に、システムのデータを容易に統合して保護できることが望ましい。サーバー運用に関しては、特定の専門知識が求められる場合も多いので、そうした知識が不要なバックアップ運用ができるのであれば、万が一のトラブルの際にも冷静な対処が可能となる。本稿では、そうした状況をカバーするために、Arcserve Japanのバックアップ ソリューション「Arcserve Unified Data Protection 9.x」を中心に、イミュータブル ストレージ「Arcserve OneXafe」やクラウド バックアップ サービス「Arcserve UDP Cloud Hybrid」との組み合わせによるランサムウェア対策方法を見ていこう。
簡単・仮想・災対の Arcserve UDP
オンプレミスやクラウドなどが混在した複雑なシステムのデータを容易かつ確実にバックアップしたいーー。そんな要望をかなえるのが、統合バックアップ・リカバリーソリューションの「Arcserve Unified Data Protection」(以下、Arcserve UDP)だ。
ディスクを直接、連続的に読み取ってバックアップを行うイメージ バックアップにより、多数のファイルがある環境でも高速にバックアップできる。専門知識を持たないユーザーでも、物理や仮想のWindows/Linuxサーバー、PC、NASなどを簡単/統合的に保護できて、いざという時にはOSやデータを丸ごと復旧可能だ。
Arcserve UDPは、「簡単」「仮想」「災対」(災害対策)にフォーカスしている。まず、「簡単」の部分では、運用を簡素化し、監理者の負担を軽減する機能を多数実装している。例えば「継続的な増分バックアップ」機能では、全データのバックアップは初回のみで、以降のバックアップでは変更データだけを短時間に小さなサイズでバックアップできる。世代管理も自動的に行ってくれるので簡単に運用が可能だ。
Microsoft SQL Server、Microsoft Exchange、Microsoft SharePoint、Oracle Databaseといったアプリケーションも無停止でバックアップが可能で、単にサーバー全体をバックアップするだけだ。また、統合管理の観点で、物理、仮想のバックアップ/リストアを一つの画面でまとめて監視・処理できる。
「仮想」のバックアップについては、ゲストにバックアップのためのモジュールをインストールせずにバックアップする「エージェントレス バックアップ」に対応しているので、多数の仮想マシンの保護が必要な場合でも、容易に導入が可能だ。
災害大国の日本において、喫緊の課題となっている「災対」に関しては、本番拠点が被災しても遠隔地の災対サイトでの復旧を可能とするために、バックアップデータの遠隔転送を標準機能として搭載している。
増分、圧縮、さらには重複排除機能を併用した最小限のサイズでの転送を実現し、リトライやレジュームの機能も完備する。事業継続の観点からは、「仮想スタンバイ」や「インスタントVM」機能を搭載する。本番拠点が被災した際でも災対拠点で代替運用のための仮想サーバーをわずか数分で起動し、事業継続が可能となる。
複数のインフラ環境を容易に統合し、仮想化基盤のバックアップ運用や災害対策までカバーするArcserve UDPは、企業のインフラ維持負担の軽減と、効率的なデータ保護に寄与する。
Arcserve Japan からコスト別プランを提案
Arcserve Japanが提供するランサムウェア対策および災害対策のためのソリューションプランをコスト別に紹介する。
前提として、バックアップやリストアを実行するための「UDP エージェント」、あらゆる環境を一元管理する統合管理コンソール「UDP コンソール」、重複排除と遠隔転送を提供する高機能なバックアップデータ格納庫「復旧ポイントサーバ」(以下RPS)を導入していることとする。
一つ目は、前述のArcserve UDPのみを使用したランサムウェア対策だ。バックアップ先をドライブ文字のない隠しボリュームに設定することで攻撃者から発見しづらくしたり、コンソールの多要素認証を設定したりすることで、バックアップデータへの不正アクセスを抑止できる。
災対のための「インスタントVM」は、バックアップデータを参照するVMをわずか数分で仮想マシンとして起動する機能だが、これをランサムウェア対策に応用し、健全な時点のバックアップデータを特定するツールとしても活用できる。
Arcserve UDP 9.x から標準機能となったアシュアードリカバリは、日々のバックアップやレプリケート後にインスタントVMを起動し、任意のスクリプトが正常完了できるか否かのテストを自動実行して、レポーティングできる。
また、テープへの保管や、本番拠点のRPSから災対拠点のRPS間への遠隔レプリケートによりエアギャップを確保した運用も可能だ。
イミュータブルストレージ“Arcserve OneXafe”
二つ目、予算中程度での対策としては、Arcserve UDPと、Arcserve UDPで取得したバックアップデータ専用のNASである「Arcserve OneXafe」を組み合わせた方法が挙げられる。近年は本番データを攻撃する前に、先にバックアップデータを破壊してくる手口が増えているが、これに対抗するためにはバックアップ専用NAS「Arcserve OneXafe」がうってつけだ。
Arcserve OneXafeは、「Immutable」(不変)という特性を備えていて、バックグラウンドで定期的に変更不可のスナップショットを取得する。Arcserve OneXafeを導入しておけば、ランサムウェアや不正アクセスによりバックアップ データに改ざんや削除が行われても、不変なスナップショットを使って破壊される前の状態に容易に復旧できる。
イミュータブルストレージは、ものによってはデータの変更不可であるが故に継続増分運用が不可な製品も存在するが、Arcserve OneXafeはバックアップデータ格納領域そのものではなく、スナップショットにより不変性を担保する仕組みを採用している。そのため、Arcserve UDPによるバックアップデータのメンテナンス(古いバックアップデータの統合を行うマージ処理)を阻害せず、継続増分での運用が可能となる。データの可用性保持とストレージ活用の効率アップを両立する。
Arcserve UDPと組み合わせる構成例には、RPS間での遠隔転送の後でArcserve OneXafeを配置する、または複数のRPSのデータをArcserve OneXafeに集約するなどがあり、柔軟な配置が可能である。
ランサムウェア対策の強化と災対との両立
三つ目、ある程度予算が確保できる場合の理想的な構成としては、Arcserve OneXafeに保管したバックアップデータを、さらに Arcserveのクラウドサービスである「Arcserve UDP Cloud Hybrid」に複製する。ランサムウェア対策に加えて、災害対策も両立する構成だ。クラウドはオンプレミスと異なるネットワーク体系であるため、エアギャップを確保する意味合いではランサムウェア対策を強化することにもなる。
パブリッククラウドではなく、Arcserveのクラウドサービスを使うメリットとしては、年額固定料金であり、バックアップデータを保管する以外の課金が発生しないことだ。経費の予測可能性を高め、透明性と信頼性を提供し、コスト効率の向上につながる。
最終的にどのような構成が企業にとって最適であるかを考えながら、予算に応じてご検討いただきたい。なお、後半に述べたコスト別プランについては、4月後半に実施予定のArcserveによるランサムウェア対策のWebinarで詳細を解説する予定だ。ランサムウェア対策の構成を決めかねている企業に、是非ご提案いただきたい。