SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

DataLockによるCohesityの強固なデータ保護

データマネジメント
2022.08.31

こんにちは。SB C&Sでバックアップソリューションを担当している臼井です。

前回、Cohesityのランサムウェア対策の機能の1つとして、多要素認証をご紹介させていただきました。今回は、同様にランサムウェア対策として、DataLock機能をご紹介させていただきます。最近ではランサムウェア対策として、イミュータブル(変更不可)機能を持ったストレージやバックアップ製品が増えてきておりますが、Cohesityでは、デフォルトでイミュータブルスナップショットとして、すべてのバックアップスナップショットがイミュータブルの状態でCohesity内に保存されます。

home_security.png

オリジナルのスナップショットは外部システムやアプリケーションにマウントされたり、公開されることがないため、イミュータブルスナップショットだけでもランサムウェア対策に有効ですが、DataLock機能を使うと、スナップショットをWORM(Write Once Ream Many)形式で保存できるようになり、管理者やセキュリティ担当者のロールであっても、指定時間を経過しない限り、バックアップスナップショットを削除できないため、確実にデータを保持することができます。


DataLockの設定

DataLockの設定方法をご紹介します。

■前提条件と構成
・Cohesityバージョン:6.6.0d u5
・ソース(バックアップ対象)として、vCenterを登録済み

config.PNG

今回はバックアップ対象として、vSphere仮想マシンを用意しましたが、DataLock機能はvSphere仮想マシンだけでなく、他の仮想環境やWindows/Linux物理ホスト、データべースなどCohesityがサポートする様々なバックアップ対象で利用可能です。

それでは、下記の流れで設定していきます。

①DataLock用アカウントの作成
②ポリシーの作成とDataLockの有効化
③Protection Groupの作成とバックアップの実行
④DataLockの有効化の確認

①DataLock用アカウントの作成

DataLockが有効なポリシーを作成するには、"Data Security"のロールを持ったアカウントでポリシーを作成する必要があるため、最初に"Data Security"のロールを持ったアカウントを作成します。
※管理者権限を持ったアカウントでもポリシーでDataLockを有効にすることはできません。

Coheistyのコンソールにアクセスし、管理者アカウント(admin)でサインインします。
datalock01.png

[設定]→[アクセス管理]を表示し、[ADユーザーとグループを追加]をクリックします。

datalock02.png

DataLock用アカウントの任意のユーザー名・電子メールアドレス・パスワードを設定し、ロールのプルダウンメニューから"Data Security"を指定します。
※今回はDataLock用アカウントとしてローカルユーザーで datalockadmin を作成しています。
datalock03.png

設定後、「追加」をクリックします。
datalock04.png

DataLock用アカウントの datalockadmin が作成されます。datalock06.png

②ポリシーの作成とDataLockの有効化

DataLockが有効なポリシーを作成します。
DataLockを有効にするため、一旦、Cohesityをログアウトします。右上の人型のアイコンをクリックし、メニューからログアウトをクリックします。
datalock07.png

[ユーザー名]に作成したDataLock用アカウントの datalockadmin と[パスワード]に設定したパスワードを入力し、「サインイン」をクリックします。
datalock08.png

パスワードの変更メニューが表示されますので、[Current Password]に現在のパスワード、[New Password]と[Confirm Password]に変更後のパスワードを設定し、「Confirm」をクリックします。
datalock09.png

サインイン後、[Data Protection]→[Policies]を表示し、「Create Policy」をクリックします。
datalock10.png

[Policy Name]に任意のポリシー名を設定し、「More Options」をクリックします。
※今回はポリシー名を datalock-pol としています。
datalock11.png

[DataLock]のトグルを右に移動し、DataLockを有効にします。datalock13.png

[Lock]にDataLockが有効な期間を設定します。DataLock期間は[Retention for]で設定した通常のバックアップ保持期間以下である必要があります。
※今回はDataLock期間を[Retention for]と同じ14日と設定しています。
datalock14.png

DataLockが有効なポリシーが作成されます。DataLockが有効なポリシーではポリシー名の右側に鍵のアイコンが表示されます。
datalock15.png

右上の人型のアイコンをクリックし、メニューからログアウトをクリックしてCoheistyからログアウトします。
datalock16.png

③Protection Groupの作成とバックアップの実行

作成したDataLockが有効なポリシーを元にProtection Group(バックアップジョブ)を作成し、バックアップを実行します。

管理者アカウント(admin)でCohesityにサインインします。
datalock17.png

[データ保護]→[保護]を表示します。右上の「保護」をクリックし、メニューから「仮想マシン」をクリックします。
datalock18.png

「オブジェクトを追加」をクリックします。
datalock19.png

登録済みソースのvCenter(vcsa.chsty.sbcs.local)を展開し、バックアップ対象の仮想マシン(chsty-vm01)を選択して、「続行」をクリックします。
datalock20.png

保護グループの名前に任意の保護グループ名を設定します。
※今回は保護グループ名を vm-datalock-pg としています。
datalock21.png

ポリシーのリストから作成したDataLockが有効なポリシーである datalock-pol を選択します。
datalock22.png

「保護」をクリックします。
datalock23.png

詳細オプションをデフォルト設定にしたため、自動的にバックアップが開始します。
datalock24.png

バックアップが完了します。
datalock25.png

④DataLockの有効化の確認

バックアップデータでDataLockが有効になっていることを確認します。

バックアップを実行したProtection Groupのバックアップを表示します。
datalock26.png

バックアップ(スナップショット)にチェックを入れ、ごみ箱のアイコンをクリックして削除を実行します。
datalock27.png

確認メッセージが表示されますので、「削除」をクリックします。
datalock28.png

DataLockによって保護されているため、削除できない旨のメッセージが表示され、削除に失敗します。
datalock29.png

DataLockが有効になっており、データを削除できないことが確認できました。


pose_anshin_man.png

このようにDataLock機能を使用すれば、管理者であっても削除することができないため、確実にデータを保持することが可能です。ランサムウェアだけでなく、操作ミスなどで削除操作をしてしまった場合でも安心です。

また、DataLockは1台のCohesityの筐体の中だけでなく、遠隔地のCohesityへのレプリケーションやクラウドストレージへのアーカイブでも利用することができます。

datalock30.png

バックアップと同様にProtection Groupでレプリケーション/アーカイブそれぞれにDataLockのロック期間を設定するだけで簡単に追加可能です。

datalock31.png

バックアップデータを確実に保持したいお客様は、Coheistyをご検討いただけますと幸いです。

Cohesity関連の記事はこちらから

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 1課
臼井 守