SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

バックアップの新たなカタチ"Veeam x Data Domainの連携(DataDomain編)"

  1. ホーム
  2. 技術ブログ
  3. データマネジメント
  4. バックアップの新たなカタチ"Veeam x Data Domainの連携(DataDomain編)"
データマネジメント
2025.04.01

こんにちは。SBC&S 稲葉です。

本記事ではVeeam Backup&Replication(以降Veeam)とPowerProtect Data Domain(以降DataDomain)を使用したランサムウェアに備えたバックアップソリューションをシリーズにてご紹介いたします。

第2話ではDataDomainにおけるRetntionLockに関するデータの保護機能をご紹介いたしました。第3話と第4話ではDataDomainのRetention LockとVeeamを連携し、Immutableバックアップを取得するための準備や設定におけるポイントをお伝えしていきます。


本記事では以下の環境(Version)を使用した検証結果を踏まえ、執筆しております。
・Veeam Backup & Replication:12.2.0.334
・PowerProtect Data Domain Virtual Edition(以降DDVE):8.0.0.20-1107705


なお、Immutable機能を利用しない、DataDomainとVeeamの連携手順に関しましては、以下URLに掲載されているホワイトペーパーよりご覧ください。

「Veeam × Data Domain連携ホワイトペーパー」
https://licensecounter.jp/engineer-voice/blog/articles/20200928_post_62.html

DataDomainの構築ポイント

1)Compliance Modeライセンス

DataDomainにてRetention Lock Compliance Modeを利用するためには、Complianco Mode用のライセンスが適用されている必要があります。

Compliance Mode用のライセンスの適用状態に関しましては「System Manager」の[Licenses]画面より確認することができます。

01_License_2.png


2)Security Officerの作成

Veeamを利用したImmutable Backupを実装するためにはDataDomainの「RetentionLock Compliance Mode」を使用する必要があります。(「Governance Mode」は非サポート)

Compliance Modeを使用するためには「Dual Sign On Mechanism」を有効化する必要があり、Security Officerのアカウントの作成及び有効化が必要となります。

Security OfficerアカウントはDataDomainの初期セットアップ時に作成の有無を確認されます。
CLIにて作成する場合は以下の質問に対して「Yes」を入力することで作成することができます。

02_SecurityOfficerSetup_1.png

System Managerより作成する場合は、この時点では「no」と回答し、System Managerへログイン後、[Administoration] - [Access] - [LOCAL USERS]の画面に移動します。

初回ログイン時はシステム管理者である「sysadmin」が表示され、「Create」よりSecurity Officerアカウントを作成することができます。

03_SecurityOfficerSetup_2.png

Security Officerアカウント作成時は、Management Roleにて「Security」を選択します。

「sysadmin」にて作成できるSecurity Officerは1アカウントのみとなり、Security Officerアカウント作成後は、「sysadmin」権限でのSecurity Officerアカウントの作成はできなくなります。

04_SecurityOfficerSetup_3.png

これはsysadminが不正利用された際にSecurity Officerアカウントを不用意に作成させないようにするための防御機能の一つであることが想像できます。

複数のSecurity Officerアカウントを作成したい場合はSecurity OfficerアカウントにてSystem Managerへログインすることで、Security Officerアカウントを作成することができます。

3)ストレージユニットの作成

VeeamにDataDomainの領域を認識させるためFile System作成後、[Protocols] - [DD Boost]より「Storage Unit」を作成します。

05_Storage-Unit_1.png

作成したStorage Unitは自動的に[Data Management] - [MTree]に追加されます。

06_Storage-Unit_2.png

MTreeのステータス画面には「DD Retention Lock」という項目がありますが、Compliance Modeを使用する場合はコマンドでの操作が必要になります。

07_Storage-Unit_3.png

4)Compliance Mode有効化

Retention LockのCompliance Modeを使用するためには「Security Officerの認証有効化」、「Compliance Modeの構成追加と有効化」、「MTreeへの追加」が必要となります。

【Security Officerの認証有効化】

Security Officerによる認証の有効化は、DataDomainへSecurity OfficerアカウントにてSSH接続し、下図に示したコマンドを実行します。

08_Compliance_1.png

設定後「Runtime authorization policy has been enabled」と表示され、Security Officerによる2段階認証が表示されるようになります。

【Compliance Mode構成追加】

Compliance Modeの構成追加はシステム管理者にて実施します。sysadminにてDataDomainへSSH接続し、下図に示したコマンドを実行します。

09_Compliance_2.png

DataDomainOSの再起動を経てRetention LockモードにCompliance Modeが追加されます。

【Compliance Mode有効化】

sysadminにてDataDomainへSSH接続後、下図に示したコマンドを実行し、Compliance Modeを有効化します。
※Compliance Modeは一度有効化すると無効化することができません。

10_Compliance_3.png

Security Officerによる承認後、「date-change-limit」と「data-change-frequency」設定の有無を確認するプロンプトが表示され、この場で設定することができます。「no」と入力すると「no set(設定なし)」にて次に進みます。
(※「date-change-limit」と「data-change-frequency」の設定はCompliance Mode有効化後もコマンドにて設定可能です。)

最後にCompliance Modeの有効に関する確認プロンプトが表示され、「yes」と入力することでCompliance Modeを有効化することができます。

「date-change-limit」と「data-change-frequency」の設定値は企業のポリシーに応じて任意に設定いただくことができますが、DELL Technologies社の推奨値としては以下の通りとなります。

11_Compliance_4.png
https://infohub.delltechnologies.com/en-us/l/dell-powerprotect-cyber-recovery-configuring-and-hardening-the-cyber-recovery-vault-powerprotect-dd-system/set-access-controls-1/7/

【MTreeへのRetention Lock設定】

Compliance Mode有効化後、sysadminにて図に示したコマンドよりMTreeに対してRetention Lockを設定します。

12_Compliance_6-1.png

MTreeに対するRetention Lock Compliance Modeの設定は以上となります。

なお、Compliance Modeを設定したMTreeを無効化しようとすると、下図のようにメッセージが表示され無効化ができなくなります。

13_Compliance_7.png

Retention Lockは、有効化されている状態で格納されたデータにはロックがかかりますが、無効化された状態で格納されたデータにはロックがかかりません。

Compliance Modeでは意図的に格納先のデータがアンロック状態にならないよう、システムとして、守れた状態を維持することが可能となります。

MTreeへの設定後、System Managerの[Data Management] - [MTree] - [DD Retention Lock]の画面がEnableとなり「Mode:Compliance Mode」と表示され、設定状態を確認することができます。

14_Compliance_8.png

自動的に設定される「Retention period min:720分」と「Retention period max:1827日」は、Dell Technologiesのサイトに掲載された図を確認する限りでは格納されたデータにロックがかかる期間を表しているパラメートと読み取れます。

【File Locking Protocol】
https://infohub.delltechnologies.com/en-us/l/dell-powerprotect-data-domain-retention-lock/file-locking-protocol/


しかし今回の検証における結果を確認する限りではVeeamと連携しバックアップを取得した場合、バックアップデータは即時でロックがかかることを確認しています
(「Retention period min」にて指定された720分を待たずロックがかかる)。

またVeeamのKBにおいてRepositoryの「Retention Policy」と「Retention period max」値を一致させることを示唆するドキュメントが公開されています。

【Immutability Warning for Data Domain Repository】
https://www.veeam.com/kb4501


以上の結果を踏まえますと、Veeamと連携時のDataDomainとして変更すべき「Retention period」は「Max値」のみが該当すると考えられます。

「Retention period max」値を初期値から変更する場合は、下図に記載されたコマンドに設定することが可能です。

15_Compliance_9.png


次回予告

第3話ではVeeamとDataDomainを連携させ、Immutable Backupを取得する場合の「DataDomainの設定」に関するポイントをご紹介いたしました。

第4話では、引き続き「バックアップの新たなカタチ"Veeam x Data Domainの連携(Veeam編)"」と題しまして、Veeamに関する構築時のポイントをご紹介いたします。

第1話:「バックアップの新たなカタチ"Veeam x Data Domainのソリューション"」
第2話:「バックアップの新たなカタチ"Veeam x Data Domainの機能(Retention Lock編)"」
第3話:「バックアップの新たなカタチ"Veeam x Data Domainの連携(DataDomain編)"」
第4話:「バックアップの新たなカタチ"Veeam x Data Domainの連携(Veeam編)"」

他のおすすめ記事はこちら

バックアップの新たなカタチ"Veeam x DataDomainの機能(Retention Lock編)"

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 ソリューション技術統括部 ソリューション技術部 1課

稲葉 直之

静岡出身で大阪に就職してはや十数年。お茶と日本酒をこよなく愛し、現在は仮想化及びその周辺のプリセールスエンジニアとして日々修行中。

Related Posts

関連記事