こんにちは。SB C&Sでバックアップソリューションを担当している臼井です。

前回、Cohesityのランサムウェア対策の機能の１つとして、多要素認証をご紹介させていただきました。今回は、同様にランサムウェア対策として、DataLock機能をご紹介させていただきます。最近ではランサムウェア対策として、イミュータブル(変更不可)機能を持ったストレージやバックアップ製品が増えてきておりますが、Cohesityでは、デフォルトでイミュータブルスナップショットとして、すべてのバックアップスナップショットがイミュータブルの状態でCohesity内に保存されます。

オリジナルのスナップショットは外部システムやアプリケーションにマウントされたり、公開されることがないため、イミュータブルスナップショットだけでもランサムウェア対策に有効ですが、DataLock機能を使うと、スナップショットをWORM(Write Once Ream Many)形式で保存できるようになり、管理者やセキュリティ担当者のロールであっても、指定時間を経過しない限り、バックアップスナップショットを削除できないため、確実にデータを保持することができます。

---

DataLockの設定

DataLockの設定方法をご紹介します。

■前提条件と構成
・Cohesityバージョン:6.6.0d u5
・ソース(バックアップ対象)として、vCenterを登録済み

今回はバックアップ対象として、vSphere仮想マシンを用意しましたが、DataLock機能はvSphere仮想マシンだけでなく、他の仮想環境やWindows/Linux物理ホスト、データべースなどCohesityがサポートする様々なバックアップ対象で利用可能です。

それでは、下記の流れで設定していきます。

①DataLock用アカウントの作成
②ポリシーの作成とDataLockの有効化
③Protection Groupの作成とバックアップの実行
④DataLockの有効化の確認

①DataLock用アカウントの作成

DataLockが有効なポリシーを作成するには、"Data Security"のロールを持ったアカウントでポリシーを作成する必要があるため、最初に"Data Security"のロールを持ったアカウントを作成します。
※管理者権限を持ったアカウントでもポリシーでDataLockを有効にすることはできません。

Coheistyのコンソールにアクセスし、管理者アカウント(admin)でサインインします。

[設定]→[アクセス管理]を表示し、[ADユーザーとグループを追加]をクリックします。

DataLock用アカウントの任意のユーザー名・電子メールアドレス・パスワードを設定し、ロールのプルダウンメニューから"Data Security"を指定します。
※今回はDataLock用アカウントとしてローカルユーザーで datalockadmin を作成しています。

設定後、「追加」をクリックします。

DataLock用アカウントの datalockadmin が作成されます。

②ポリシーの作成とDataLockの有効化

DataLockが有効なポリシーを作成します。
DataLockを有効にするため、一旦、Cohesityをログアウトします。右上の人型のアイコンをクリックし、メニューからログアウトをクリックします。

[ユーザー名]に作成したDataLock用アカウントの datalockadmin と[パスワード]に設定したパスワードを入力し、「サインイン」をクリックします。

パスワードの変更メニューが表示されますので、[Current Password]に現在のパスワード、[New Password]と[Confirm Password]に変更後のパスワードを設定し、「Confirm」をクリックします。

サインイン後、[Data Protection]→[Policies]を表示し、「Create Policy」をクリックします。

[Policy Name]に任意のポリシー名を設定し、「More Options」をクリックします。
※今回はポリシー名を datalock-pol としています。

[DataLock]のトグルを右に移動し、DataLockを有効にします。

[Lock]にDataLockが有効な期間を設定します。DataLock期間は[Retention for]で設定した通常のバックアップ保持期間以下である必要があります。
※今回はDataLock期間を[Retention for]と同じ14日と設定しています。

DataLockが有効なポリシーが作成されます。DataLockが有効なポリシーではポリシー名の右側に鍵のアイコンが表示されます。

右上の人型のアイコンをクリックし、メニューからログアウトをクリックしてCoheistyからログアウトします。

③Protection Groupの作成とバックアップの実行

作成したDataLockが有効なポリシーを元にProtection Group(バックアップジョブ)を作成し、バックアップを実行します。

管理者アカウント(admin)でCohesityにサインインします。

[データ保護]→[保護]を表示します。右上の「保護」をクリックし、メニューから「仮想マシン」をクリックします。

「オブジェクトを追加」をクリックします。

登録済みソースのvCenter(vcsa.chsty.sbcs.local)を展開し、バックアップ対象の仮想マシン(chsty-vm01)を選択して、「続行」をクリックします。

保護グループの名前に任意の保護グループ名を設定します。
※今回は保護グループ名を vm-datalock-pg としています。

ポリシーのリストから作成したDataLockが有効なポリシーである datalock-pol を選択します。

「保護」をクリックします。

詳細オプションをデフォルト設定にしたため、自動的にバックアップが開始します。

バックアップが完了します。

④DataLockの有効化の確認

バックアップデータでDataLockが有効になっていることを確認します。

バックアップを実行したProtection Groupのバックアップを表示します。

バックアップ(スナップショット)にチェックを入れ、ごみ箱のアイコンをクリックして削除を実行します。

確認メッセージが表示されますので、「削除」をクリックします。

DataLockによって保護されているため、削除できない旨のメッセージが表示され、削除に失敗します。

DataLockが有効になっており、データを削除できないことが確認できました。

---

このようにDataLock機能を使用すれば、管理者であっても削除することができないため、確実にデータを保持することが可能です。ランサムウェアだけでなく、操作ミスなどで削除操作をしてしまった場合でも安心です。

また、DataLockは1台のCohesityの筐体の中だけでなく、遠隔地のCohesityへのレプリケーションやクラウドストレージへのアーカイブでも利用することができます。バックアップと同様にProtection Groupでレプリケーション/アーカイブそれぞれにDataLockのロック期間を設定するだけで簡単に追加可能です。

バックアップデータを確実に保持したいお客様は、Coheistyをご検討いただけますと幸いです。