« ランサムウェア対策ストレージ Arcserve OneXafe のドキュメントを公開しました。 | トップページ | Arcserve Backup 19.0 のライセンスキー登録時に「入力済みのライセンス キーは無効です」と表示された場合にチェックする項目をまとめました。 »

2022年6月17日 (金)

Arcserve UDP で Wasabi オブジェクト ロックにバックアップ データをコピー【スケジュール編】

ランサムウェアを使った攻撃が高度化していく中で、バックアップ データを安全なストレージに二次保管したいという声が高まっています。

昨年、当ブログでは Arcserve UDP 8.x の新機能を使って、オブジェクトロックが有効なクラウド ストレージに復旧ポイントをコピーする方法を紹介しました。

<昨年の記事>

Arcserve UDP 8.0 新機能紹介(6):ランサムウェア対応の強化

Arcserve UDP 8.1 新機能紹介(2):Wasabi オブジェクト ロックにバックアップ データをコピーしてみる。

 

今回は、手動ではなく、あらかじめ設定したスケジュールに従って自動で復旧ポイントをコピーする方法を解説します!

 

## (復習)ランサムウェア対策にオブジェクトロックが有効!!

"オブジェクトロック" とは Amazon S3 やその互換ストレージの機能の一つです。オブジェクト バージョンを半永久的に残せることから、オブジェクトロックは重要文書の破棄/改ざん防止などのコンプライアンス目的で利用されています。そして、近年はランサムウェア対策の一つとしても注目を集めています。

背景としてランサムウェアを使った犯罪の高度化/巧妙化があります。2020年に IPA が指摘(※1)しているように、企業/組織が身代金を払わざるを得ない状況を作るためにバックアップ データが狙われる事例が発生しており、安全なバックアップ データの保管先が求められています。データを上書き/削除できないオブジェクトロック ストレージはまさにバックアップ データの保存先としてうってつけというわけです。

この流れを受けて、Arcserve UDP 8.0 では復旧ポイントのコピー先として Amazon S3 のオブジェクトロック機能と連携できるようになりました。さらに、Arcserve UDP 8.1 では Wasabi ホット クラウド ストレージと Nutanix Objects のオブジェクトロックにも対応しました。本日はこのうち、Wasabi ホット クラウド ストレージへの復旧ポイントのコピーを試します。

00_crp_to_locked_object_storage

 

## 事前準備

さて、早速試してみたいところですが、その前に以下の4つを用意します。

1) Wasabi ホット クラウド ストレージのアカウント

2) Arcserve UDP コンソール

3) Arcserve UDP 8.1 用パッチ モジュール

4) インターネット環境

 

まず 1) の Wasabi ホット クラウド ストレージのアカウントが必要です。動作確認が目的であれば Wasabi の公式サイトで 30日間/1TB までの無償トライアルが行えます。また、東京/大阪リージョンは NTTコミュニケーションズのサービスとして提供されているので、本格的に利用するのであればそちらにお申し込みください。以下の記事に関連リンクをまとめてあります。

参考記事:月額 746円/TB でクラウド バックアップ!Arcserve UDP で Wasabi を活用!

 

また、Wasabi ホット クラウド ストレージ等のオブジェクト ストレージに復旧ポイントのコピーを行うには統合管理コンポーネントである「Arcserve UDP コンソール」が必要です。

参考記事:Arcserve UDP コンソールで復旧ポイントのコピーを使う

 

3番目に Arcserve UDP 8.1 を前提条件とするパッチ モジュールをダウンロードします。このパッチ モジュールは古くなって不要になった復旧ポイントを、オブジェクト ロックが有効なストレージから削除するために必要になります。

※ Arcserve UDP 8.1 より後のバージョンではパッチが不要になるはずです。

パッチ モジュールは以下のページからダウンロードできます。サポート ポータルの無料アカウントを使ったログインが必要です。

P00002562 | Arcserve UDP 8.1 | CRP object lock retention issue during purge and download job

Arcserve 製品のダウンロード方法について

 

ダウンロードしたら、Arcserve UDP Agent for Windows および Arcserve UDP コンソールが導入されたサーバにパッチ モジュールをインストールします。

この他、Wasabi ホット クラウド ストレージに接続するためのインターネット環境も必要です。

 

## 復旧ポイントのコピー タスクの設定

必要なものが揃ったら設定を進めていきましょう。今回はあらかじめ作成してあるプランに [復旧ポイントのコピー] タスクを追加します。

[復旧ポイントのコピー] タスクの [ソース] タブでは復旧ポイントのコピーの頻度を決めます。タスク 1 のバックアップ タスクの中で設定したバックアップ スケジュールの中から、復旧ポイントのコピーを行うスケジュールを選択します。例えば [週次増分バックアップ] にチェックを入れると、週次のバックアップが完了するたびにその復旧ポイントがコピーされていきます。

ここで注意していただきたいのはデータの容量です。復旧ポイントのコピーではフル バックアップ相当のデータがコピーされるので、容量が大きいマシンをバックアップしている場合は [日次増分バックアップ] にはチェックを入れない方が無難です。復旧ポイントのコピーにかかる時間や、ストレージの費用、保存期間などを勘案して適切なスケジュールを選択してください。

11_crp_task

 

次に、いよいよコピー先となるストレージを指定してきます。[デスティネーションの種類] で 「クラウド ストレージ」を選択し、[クラウド サービス] で「Wasabi Hot Cloud Storage」を選択します。

12_crp_config

 

[クラウド ストレージ] の横の [追加] ボタンをクリックして、Wasabi ホット クラウド ストレージのアカウント情報を入力していきます。[バケット名] 欄は英数文字でお好きな名前を入れていください。ここで入力した名前に「arcserve-<英数6文字>-」の接頭辞を付けたものがバケット名になります。

13_cloud_account

 

ここまでは従来と同じ設定手順ですが、今回はさらに"オブジェクトロック" の設定をしていきます。[オブジェクト ロックを有効にする] にチェックを入れて [オブジェクト ロックの設定] ボタンをクリックすると以下のダイアログ ボックスが表示され、保存モードと保存期間を設定できます。

保存期間ではオブジェクトロックの有効期間を日単位と年単位で設定できます。この期間中は本当にオブジェクト バージョンを削除できなくなるのでうかつな設定は危険です。私のようにとりあえず試してみようという方は日単位で短い日数にしてください。今回は最小の「1日」にしました。

14_object_lock

 

また、オブジェクトロックとは直接関係はありませんが、今回は暗号化を有効にしました。こうする事で復旧ポイント(バックアップ データ)が暗号化され、セッション パスワードを入力しないとクラウドからダウンロードできなくなります。

ランサムウェアを使った攻撃ではデータを暗号化するばかりではなく、機密情報を公開すると脅す "二重の脅迫" も行われており(※1)、その対策として暗号化が有効です。

15_encryption

参考記事:バックアップ データを暗号化する方法まとめ

 

最後に [スケジュール] タブで Wasabi ホット クラウド ストレージ上に保持する復旧ポイントの数を設定します。先ほど [オブジェクト ロック設定] ダイアログ ボックスで設定したオブジェクトロックの有効期間とは別に設定が必要です。

今回は週次バックアップを 5 世代分(5週間分)保存する設定にしました。

ここまでの設定が終わったら、プランを [保存] し、バックアップスケジュールが来るのを待ちます。

16_number_of_rps

 

スケジュールされたバックアップが完了し、復旧ポイントのコピーが始まりました。

Crp_progress

 

オブジェクトロックが有効になっていることを確認するために、復旧ポイントの保存数を超過させ(※)、パージ(削除)ジョブを実行させました。アクティビティ ログから、オブジェクトロック期間中のため、パージ ジョブがスキップされて実行されなかったことが分かります。(※2

※ このメッセージが見たいがために、スケジュールをちくちく変更して1日に6回週次バックアップを実行しました。。。(※3

Perge7

逆に、オブジェクトロックの保存期間が経過した後であれば、パージ ジョブは問題なく実行されます。そのため、必要以上に復旧ポイントが残ってしまうという事はありません。(※2, ※4

ちなみに、上記のアクティビティ ログからは、復旧ポイントのコピーの平均スループット(速度)が 1.17 GB/分 だったという事もうかがえます。スループットは利用環境(特にインターネット回線)によって異なり、別な環境では 204.8 Mbps(= 1.54 GB/分)の速度が出たという検証結果もあります。詳しくは以下の記事をご覧ください。

Arcserve UDP 復旧ポイントのコピーを実測!Wasabi オブジェクトロックを使ったランサムウェア & 災害対策!

 

## コピーした復旧ポイントをダウンロードする方法(その1)

Wasabi ホット クラウド ストレージにコピーされた復旧ポイントはノードの右クリック メニューでダウンロードできます。災害やサイバー攻撃で一時バックアップデータが破壊された場合は、クラウドからダウンロードした復旧ポイントを使ってシステムを復旧できます。

なお、暗号化を有効にしている場合には、この際にセッション パスワードの入力が求められます。

18_download_rp

Crp_download

 

## コピーした復旧ポイントをダウンロードする方法(その2)

先ほど紹介した方法は Arcserve UDP コンソールにバックアップ対象ノードが登録されている事が前提でした。しかし、災害やランサムウェア攻撃で Arcserve UDP コンソールが全損してしまった場合は、この方法は使えません。

そこで、AWS CLI を使って、Wasabi から直接復旧ポイントをダウンロードしてみます。

 

AWS CLI のインストール

まず復旧ポイントのダウンロードに必要な環境を準備する為、AWS CLI のインストール ドキュメントをチェックします。この記事では例としてインターネットに接続済の Windows 環境に AWS CLI をインストールし、復旧ポイントをダウンロードしていきます。

<参考資料>

AWS CLI の最新バージョンをインストールまたは更新します。

インストール手順は、ダウンロードしたインストーラを実行するだけなのでとても簡単です。上記資料をご覧いただきながらインストールを進めてください。展開された環境変数を有効にするため、インストール後にコマンドプロンプトを再起動するのを忘れないようにしてください。

 

AWS CLI の環境設定とバケット一覧の取得

AWS CLI のインストールが終了したら Wasabi への接続確認を行うため、Wasabi のエンド ポイントに登録されているバケット一覧を取得してみます。

まず、管理者権限でコマンドプロンプトを起動し、接続に必要なアカウント情報を入力する為 aws configure コマンドを実行します。

c:\ > aws configure

コマンド実行後、以下の順番で接続に必要な各情報の入力が促されるので、それぞれ入力していきます。
最後の [Default output format] は、デフォルトの [None] のまま空エンターで構いません。

AWS Access Key ID:xxxxxxxxxxxxxxxxxxxxxxxxxxx

AWS Secret Access Key:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Default region name:”ap-northeast-1”(東京)または、”ap-northeast-2”(大阪)

Default output format:None

登録した情報が正しければ以下のコマンドでバケット一覧が取得できます。
この例では Wasabi の東京リージョンに作成したバケット一覧を取得しています。

c:\ >aws s3 ls --endpoint-url=https://s3.ap-northeast-1.wasabisys.com

 

復旧ポイントのダウンロード

無事、バケット一覧が取得できたら、コマンド プロンプトのホーム ディレクトリをリストア先フォルダに移動し、コピー コマンドを実行します。コマンド詳細については以下の URL を参考にしてください。

<参考資料>

AWS CLIによるオブジェクトのコピー

また、ダウンロード時間を最小化する為、特定ノードの復旧ポイントを指定してダウンロードすることもできます。この場合は、あらかじめWasabiコンソールに接続しターゲットのサブディレクトリを確認しておきます。

d:\Restore >aws s3 cp s3://<リストア対象のバケット名もしくはサブディレクトリ名> . --endpoint-url=https:// s3.ap-northeast-1.wasabisys.com --recursive

サブ ディレクトリを指定した場合のダウンロード実行例は以下となります。

d:\Restore >aws s3 cp s3://arcserve-xxxxxx-udprpcp-bkt1/ca_root_arcserve-recovery-points_win2019j-udp/set0/2022-05-27_11-30-06_daily . --endpoint-url=https://s3.ap-northeast-1.amazonaws.com --recursive

この例では、Wasabi の東京リージョンに保存した、ノード名 [win2019j-udp] の日次バックアップの復旧ポイント(5/27にバックアップ)をダウンロードしています。

このように Wasabi や、Amazon Sバケット内のディレクトリ構造から復旧ポイントを探す際は、以下の資料も参考になります。是非、ご一読ください。

<参考資料>

Arcserve UDP 8.x ソリューション ガイド - クラウド バケット/コンテナの復旧ポイント ディレクトリ構造

 

ここでダウンロードした復旧ポイントを使って、サーバを復旧する事ができます。例えば、まず Arcserve UDP コンソールだけをベアメタル復旧して、そこから他のサーバの復旧ポイントをダウンロードするという方法もあります。

 

以上、ランサムウェア対策としても有効な復旧ポイントのコピーについて、ホテがご紹介しました。

 


※1 【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について

※2 なお、Arcserve UDP 8.1 に前述の P00002562 を適用していないと、オブジェクトロックの保存期間にかかわらず復旧ポイントの保存数が超過したタイミングでパージが行われ、中途半端に復旧ポイントが削除されてしまいます。異常がある場合はご利用の Arcserve UDP のバージョンとパッチの適用状況をご確認ください。

※3 Arcserve UDP 9.0 からスケジュール ジョブを任意のタイミングで実行できるので、スケジュールを待たずにこういう検証を行えるようになりました。
Arcserve UDP 9.0 新機能紹介(1):手動バックアップをスケジュール ジョブとして実行

※4 Wasabi ではオブジェクトごとに30日間や90日間といった最低課金期間というものがあるようです。短い期間でパージを行う場合は復旧ポイントの削除後も課金が発生する可能性があります。詳しくは Wasabi の提供元にご確認ください。
Wasabiオブジェクトストレージ – プランと料金 - Smart Data Platform Knowledge Center
購入時の補足事項 | Wasabi Technologies | 取扱製品 | ネットワールド
How does Wasabi's minimum storage duration policy work? — Wasabi Knowledge Base

« ランサムウェア対策ストレージ Arcserve OneXafe のドキュメントを公開しました。 | トップページ | Arcserve Backup 19.0 のライセンスキー登録時に「入力済みのライセンス キーは無効です」と表示された場合にチェックする項目をまとめました。 »

Arcserve UDP」カテゴリの記事

ランサムウェア対策」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« ランサムウェア対策ストレージ Arcserve OneXafe のドキュメントを公開しました。 | トップページ | Arcserve Backup 19.0 のライセンスキー登録時に「入力済みのライセンス キーは無効です」と表示された場合にチェックする項目をまとめました。 »