バックアップ製品に求められる機能

バックアップ製品に求められる一般的な機能についていくつか挙げます。

1. バックアップ対象
   ファイルのバックアップが基本とされてますが、仮想マシンやアプリケーション（Microsoft SQL ServerのデータベースやOracleデータベースなど）のバックアップも一般的になっております。
2. バックアップデータの保存場所
   バックアップソフトが取得したバックアップデータの保存先は、ファイルサーバー、USB接続したHDDやテープドライブなどが代表的です。また、昨今ではパブリッククラウドのストレージサービスなどを活用したケースも増えています。クラウドサービスを活用することで、バックアップ製品が設置された場所と物理的に切り離して保存・保管する構成を、導入コストを抑えて導入できることが特徴です。バックアップ元から物理的距離を離すことで、DR対策（データの可用性の担保）として用いられている手法になります。
3. 保存期間
   バックアップしたデータがどれくらい過去分まで使用が可能かを表します。バックアップするデータの特性によっては過去数か月～年という長期間保存の必要性があるかもしれないため、長期保存できることが望ましいです。
4. ランサムウェア対策
   近年はバックアップ製品もランサムウェア対策機能が実装されてきております。製品によって様々な機能があり、特徴が出る項目になっております。

VCDRの機能との比較

バックアップ製品に求められる機能をVCDRで実現した場合、どのようになるのか見てみます。なお、VCDRでは"バックアップ"という表現を使っておらず、"保護"と表現しておりますので、ご了承ください。

1. 保護対象
   VCDRの保護対象の基本はvSphere環境の"仮想マシン"になります。スナップショットの技術を使って取得した保護対象の仮想マシンのデータを、VDRのクラウドサービスへレプリケーションすることで保護することができます。
   
   
   　
   また、保護された仮想マシンのスナップショットデータから、特定のファイルを抽出することができます。そのため間接的ですが、ファイルも保護対象になります。クラウドストレージ内に保存されているスナップショットから、該当の仮想マシン内のファイルを指定してダウンロードすることで、特定のファイルを復元することができます。この機能の注意点としては、現時点の機能では抽出元のサーバーに直接的にファイル復元をすることができないため、少し不便を感じるケースもあるかもしれません。
   
   
   一方で、アプリケーション（各種データベースなど）について、VCDRによる直接的な保護及び復元をする機能は提供されてません。
   仮想マシンはvSphereのスナップショット機能で提供される機能によって、アプリケーションの静止点を取ることができます。（具体的にはVMware Toolsを介してWindows Volume Shadow Copy Service (VSS)・Linuxのスクリプト実行を利用する方式です。）
   そのため、仮想マシンを復元することで、間接的にアプリケーションの保護及び復元をすることができます。
   
   
   
2. 保護対象の保存場所
   VCDRにて取得されたスナップショットは、VCDRで管理されているクラウドストレージ（クラウドファイルシステム）に保管されます。
   クラウドストレージに保管されたスナップショットは、VCDRによるタスクでのみ利用することができ、クラウドストレージ内のファイルやデータについては、操作することができません。蓄積されたスナップショットは、設定された保存期間が過ぎない限り削除されることはなく、スナップショットの完全性・可用性を保持します。
   
   
   一方で、VCDRは上記にあるクラウドファイルシステム以外に保護先を指定することはできません。
   
   
   
3. 保存期間
   VCDRでは、スナップショットの取得の際、その保持期間を定義します。保持期間は自由に定義することができ、時間、日、週、月、年を選択できます。注意点としてスナップショットの完全性を保つため、一度取得したスナップショットは保持期間が過ぎるまで、削除することができません。クラウドサービスのためスナップショットによるストレージ容量の肥大はサービス料増加につながるため、保存期間の設定には注意が必要です。
   
4. ランサムウェア対策
   

   VCDRには、ランサムウェアリカバリーオプションが用意されており、保護された仮想マシンは、Carbon Black CloudとNSXのテクノロジーを活用することでランサムウェア攻撃からの復旧対策機能を提供します。

   サーバーがランサムウェアに感染してしまった場合、保護していたスナップショットの中から復旧すべきリカバリポイントを特定し、感染する直前に戻す事が重要になります。
   VCDRのランサムウェアリカバリーオプションでは、保護した仮想マシンのスナップショットデータを使用し、VMware Cloud on AWSのリカバリーSDDCへ一時的に仮想マシンを復元し、起動させます。この仮想マシン起動時に、EDRソリューションであるCarbon Black CloudのAgent（センサー）を自動インストールし、ランサムウェア攻撃によるマルウェアの痕跡のチェックや脆弱性評価を行うことができます。この仕組みを用いて、ランサムウェアの攻撃を受けてしまう前の安全なリカバリポイントを調査することができます。
    
   この仮想マシン起動時に「ランサムウェアに感染した仮想マシンを起動すると、外部への情報漏洩や社内システムに影響が出てしまうのでは？」と疑問に思われるかと思いますが、しっかりと対策が用意されています。
   仮想マシンを実行するリカバリーSDDCは、NSX Advanced Firewallのテクノロジーを活用することでネットワーク的に隔離された環境を簡単に準備することができます。VCDRのランサムウェアリカバリ機能に必要な通信以外のトラフィックが遮断された、調査用の専用インフラ環境を速やかに準備することができるため、適切なリカバリポイントの調査に集中することができます。

   

まとめ

バックアップ製品の求められる機能について、VCDRとの比較表になります。

※高頻度スナップショットを使用することで最短15分単位の設定が可能になります。高頻度スナップショットについてはVMwareのドキュメントをご参照ください。
High-frequency Snapshots
https://docs.vmware.com/en/VMware-Cloud-Disaster-Recovery/services/vmware-cloud-disaster-recovery/GUID-27E893BC-27BD-4299-BA13-0911B5896347.html

上記のように、バックアップ製品と単純比較をすると、VCDRは機能が劣っているように見受けられます。そのため、従来のバックアップ製品との"置き換え"には、難しいと思われます。

しかしながら、VCDRはバックアップ製品にはない、良さがあります。製品の名の通り、Disaster Recoveryに対して、クラウドサービスを使った構成になるため、運用負荷を大きく下げつつ、Disaster Recoveryに対応・特化されたサービスになっております。そのためバックアップ製品の"置き換え"ではなく、用途を使い分けた"共存"をすることが良いのではと考えられます。

スペックに製品の良さが出にくく、運用面にアピールされるサービスですが、VMware Cloud on AWSをご検討のお客様や、コストをかけずDR対策を行いたい、という要望がある際は、ご検討頂いてはいかがでしょうか。