SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

低コストでバックアップのランサムウェア対策ができる!Veeamの「強化Linuxリポジトリ」機能のご紹介

セキュリティ
2024.03.27

こんにちは、SB C&Sの片山です。

本日は低コストでバックアップのランサムウェア対策が可能なVeeamの「強化Linuxリポジトリ」機能についてご紹介します。

ランサムウェア攻撃でバックアップも暗号化

近年、ランサムウェア攻撃によって企業のデータが暗号化され、攻撃者から身代金を要求される被害が急増しています。ランサムウェア攻撃の方法としてはVPN装置やOSの脆弱性を利用して侵入したり、標的型攻撃によってマルウェアに感染させる等様々な方法がありますが、ランサムウェアによって重要なデータを暗号化すると共に、バックアップデータも暗号化しデータを復元できないようにするという悪質な手口が確認されています。
pic1.png
ランサムウェア攻撃者は確実に身代金を手にいれるためにバックアップデータも狙っています。有事の際に利用できるようバックアップを取っていたはずが、暗号化されて使えないという事態を防ぐために、バックアップデータもランサムウェア対策を実施する必要があります。

コストを抑えてバックアップデータのランサムウェア対策をするには?

バックアップデータのランサムウェア対策として、WORMの仕組みを利用してデータを保存することが挙げられます。WORMとは、「Write Once Read Many」の略で、一度データを書き込んだら変更・削除ができないようにする仕組みのことです。身近な例としては、CD-RやDVD-RなどがWORM型メディアに当たります。このWORMの仕組みを利用することで、バックアップデータの暗号化や削除を防ぐことができます。
WORM機能を利用したバックアップは、WORM機能が搭載されたストレージ(イミュータブルストレージ)やバックアップ製品を導入することで比較的簡単に実現することができますが、新しい機器やソフトウェアを導入する必要があるため、できるだけ低コストでバックアップしたいという要望には不向きです。
pic2.png

低コストでWORM機能を利用したバックアップを取得する方法としてVeeamの「強化Linuxリポジトリ」機能がございます。

まず、Veeam Backup & Replication(以降、Veeam)は世界的に多くの企業が利用しているバックアップソフトウェアです。基本的にバックアップ対象(VM、物理サーバー等)の台数に応じたライセンス課金のため、小規模環境から導入しやすいのが特長の一つです。

Veeamの持つ強化Linuxリポジトリ機能とは、Linuxサーバーを利用して一定期間書き換え不能なバックアップデータ保存領域(リポジトリ)を作成し、その領域にバックアップデータを保存することができる機能です。
既存のLinuxサーバーや、利用していないサーバーを利用すればすぐにこの機能を使ってWORM機能を利用したバックアップ取得が可能ですし、既にVeeamを使っているお客様であればこの機能を利用するための追加ライセンス等も必要ないため、低コストでランサムウェア対策を行うことができます。
pic3.png

Veeamの強化Linuxリポジトリについて

まず、Veeamではバックアップを取得するためにいくつかの役割を持ったサーバーを用意する必要があります。その中の一つがリポジトリサーバーで、こちらは主にバックアップデータの保管先としての役割を持ちます。
強化Linuxリポジトリとは、WORM機能等を加えセキュリティを強化したリポジトリサーバーのことです。システム要件を満たすLinuxサーバーであれば強化Linuxリポジトリとして利用することが可能です。Veeamに強化Linuxリポジトリを追加し、バックアップ先として設定するだけで簡単にWORM利用したバックアップを取得することができます。
pic4.png
それでは強化Linuxリポジトリを追加し、バックアップ取得する方法について次の章でご紹介したいと思います。

強化Linuxリポジトリの設定方法

まず、今回の検証環境についてご説明します。既にVeeamをオールインワン構成で導入している環境に、新たに仮想Linuxサーバーを強化Linuxリポジトリとして追加します。
pic20.png
また本番環境では、セキュリティ等の観点から仮想強化Linuxリポジトリは非推奨である点にご注意ください。
強化Linuxリポジトリ機能を利用する場合の要件と制限事項についてはメーカーサイトでご確認ください。(参考)https://helpcenter.veeam.com/docs/backup/vsphere/hardened_repository_limitations.html?ver=120

1.強化Linuxリポジトリの追加

Veeamにログインし、「Backup Infrastructure」ページで、「Backup Repository」を選択し、上部の「Add Repository」をクリックします。するとウィザードが開きますので、「Direct attached storage」を選択します。
pic5.png

次に、リポジトリ用サーバーのOSの種類を選択する画面が表示されるので、「Linux(Hardened Repository)」を選択します。この選択を行うことで強化Linuxリポジトリが作成されます。作成するRepositoryの名前を入力し、「Next」をクリックします。
pic6.png

リポジトリ用サーバーの追加画面になりますので、「Add New」をクリックし、追加するリポジトリ用サーバーのDNS名またはIPアドレスを入力します。
pic7.png

[Next]をクリックすると、続いて認証情報の入力画面になりますので、「Add」をクリックします。Linuxサーバーのユーザー名、パスワードを入力し、さらに「Use "su" if "sudo" fails」にチェックを入れrootのパスワードを入力します。[OKを]クリックし、さらに[Next]をクリックします。
pic8.png

LinuxサーバーのSSHキーのフィンガープリントに関するポップアップが表示されたら[YES]を選択します。
pic9.png

次の画面で[Apply]をクリックします。すべてのチェックマークが緑色になったら[Next]をクリックし、[Finish]をクリックします。
pic10.png

続いて強化Linuxリポジトリの設定に入ります。先ほど作成した強化Linuxリポジトリが選択されていることを確認し、[Next]をクリックします。
バックアップデータを保存するフォルダを指定するため、「Browse...」をクリックします。今回はあらかじめ作成しておいた「Immutable」というフォルダを選択します。
[OK]をクリックすると前の画面に戻りますので、[Make recent backups immutable for ]の項目で、不変期間を設定します。デフォルトでは7日になっており、変更する場合7日以上に設定する必要があります。今回はデフォルトの7日間のまま、[Next]をクリックします。
pic11.png

マウントするBackupサーバーが正しいか確認し、[Next]をクリックした後、次の画面で[Apply]をクリックします。
pic12.png
すべてのチェックマークが緑色になったら[Next]をクリックします。最後に[Finish]をクリックすれば、リポジトリの設定は完了です。
pic13.png

Backup Repositoriesの画面で、鍵マークのついた強化Linuxリポジトリが追加されていることが確認できます。
pic14.png

2.バックアップジョブの追加

強化Linuxリポジトリをバックアップの保存先として利用するバックアップジョブを作成します。バックアップジョブの作り方は通常の作成方法と変わらないため、要所のみ解説いたします。

Veeamの「Home」ページ上部の「Backup Job」をクリックし、「Virtual machine...」を選択します。
pic15.png

バックアップジョブ名設定後、バックアップ対象の追加画面になりますので、「Add...」よりバックアップしたいVMを選択します。
pic16.png

次の画面の「Backup Repository」のプルダウンより先ほど作成した強化Linuxリポジトリを選択します。
リテンションポリシーを設定する際は、強化Linuxリポジトリに設定した不変期間よりも短い保持期間を設定した場合、保持期間が過ぎてもデータは削除されず、不変期間の終了後に削除されますのでご注意ください。
後は通常通りバックアップスケジュール等を設定し、「Finish」でジョブを追加します。今回は日次バックアップ、7世代保持のジョブを作成しました。
pic17.png

強化Linuxリポジトリのデータは本当にイミュータブルなのか?通常のリポジトリと比較検証!

それでは実際に、強化Linuxリポジトリに保存されたデータが削除できないのかどうか確認したいと思います。違いを分かりやすくするため、まず通常のLinuxリポジトリに保存されたデータが削除可能なのか確認してみたいと思います。

まず、バックアップフォルダの確認です。現在通常のLinuxリポジトリとして利用している「Backup」フォルダにはいくつかのバックアップデータが保存されています。今回はその中の「~.vbk」というフルバックアップファイルを削除してみようと思います。

一般ユーザーで削除コマンドを実行しますが、権限エラーで削除できません。
次にrootユーザーで同様に削除コマンドを実行すると、削除成功しました。
pic18.png

それでは強化Linuxリポジトリにrootユーザーでログインし、削除コマンドを実行してみます。すると、rootユーザーでも「許可されていない操作です」と表示され、ファイル削除できませんでした。
pic19.png

このように強化Linuxリポジトリを利用することで、rootユーザーでもバックアップファイルの削除や上書きができない状態にすることが可能です。

以上がVeeamの強化Linuxリポジトリ機能のご紹介となります。ランサムウェア対策として、少しでも皆様のお役に立てれば幸いです。

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
片山 佑香