« Arcserve Backup 19.0 のライセンスキー登録時に「入力済みのライセンス キーは無効です」と表示された場合にチェックする項目をまとめました。 | トップページ | Arcserve クラウド サービスのメンテナンス/障害情報を確認する方法 »

2022年7月 1日 (金)

イミュータブル ストレージ “ Arcserve OneXafe “ で利用するアカウントについて

皆様、こんにちは。
先月(2022年6月 )にランサムウェア対策の新しいソリューションとなる不変 (イミュータブル) ストレージ製品 “ Arcserve OneXafe “ の販売が開始されましたが、今回はこの Arcserve OneXafe がセキュリティを高めるために利用しているアカウントについて解説します。

 

Arcserve OneXafe が利用する2つのアカウント

Arcserve OneXafe (以下、OneXafe) は次の2種類のアカウントを使用いたします。

- OneXafe 内の共有領域に書き込み権限を持つアカウント
- OneXafe の管理コンソール(OneSystem)を操作できる権限を持つアカウント

OneXafe はそれぞれ役割を持つアカウントを利用してOneXafe内のバックアップデータの守るためにセキュリティを向上しております。
それでは、それぞれのアカウントについて以下で詳しくご説明いたします。

 

OneXafe 内の共有領域に書き込み権限を持つアカウント

OneXafeの共有領域は、通常のNASのWindowsの共有フォルダと同じようにArcserve UDPや Arcserve Backup のバックアップ先として利用できます。
しかし、OneXafeの共有領域にアクセスするアカウントは、Windows ユーザ以外のアカウントを利用できます。

<参考情報>
OneXafeの共有領域にアクセスするアカウントとして、Active Directory のドメインアカウントを利用する設定も可能です。但し後述するセキリティ上の理由からActive Directory のドメインアカウントを利用しないで、OneXafe独自のアカウントを利用されることを推奨しております。

このため、外部からの侵入者など悪意ある人が管理者パスワードなどの情報を不正に入手して、Windowsの管理者権限を持つアカウントを利用出来たとしても、OneXafeの共有領域にアクセスしてバックアップデータを削除したり、改ざんすることは出来ません。

また、Arcserve UDP 復旧ポイントサーバ(以下、RPS)データストアとして OneXafe の共有領域を指定する際は、あらかじめ共有領域をエクスプローラ等でマウントしておく必要は無く、データストアの設定後にOneXafeの共有領域にアクセスできるアカウントを指定せず自動的にエクスプローラなどから OneXafe の共有領域にアクセス出来るようになることもありません。

 

[RPSデータストアの作成画面]

Datastore5

上部データストアの作成画面からOneXafe の共有領域にアクセス出来るユーザ名とパスワードを以下のように指定します。

Datastore4

Windows エクスプローラからOneXafe の共有領域にアクセスする場合は、エクスプローラなどから以下のような画面が表示されてアカウント名とパスワードの入力が求められます。

Datastore2

尚、Arcserve UDPコンソール上でRPSデータストアを削除しても、バックアップデータは削除されません。

このため、悪意ある人がWindows管理者アカウントでArcserve UDPコンソールを操作してRPSデータストアを削除しても、OneXafe内のバックアップデータは削除できません。

 

OneXafeの管理コンソール(OneSystem)を操作出来る権限を持つアカウント

万が一OneXafe の共有領域にアクセスできるアカウントの情報が洩れ、OneXafeの共有領域あるバックアップデータが暗号化されたとしても、OneXafe内の“不変”(イミュータブル)なスナップショットからOneXafeの共有領域を正常な状態のバックアップデータに戻すことが出来ます。

OneXafe には OneSystem という管理コンソールがあり、これを操作出来る権限を持つ Admin アカウントは、OneXafe の共有領域自体をスナップショットごと削除することが出来てしまいます。

そこで、OneSystem の多要素認証を有効にすることをお勧めします。こうする事で、悪意ある人がOneSystem Admin アカウントの情報を入手しても、OneSystemにログインして操作することを防ぐことが可能です。

尚、OneSystemにはログイン後の操作をログに記録しておりますので、不正な操作が行われた場合に、誰がいつ操作を行ったかを確認することもできます。

また、OneSystem Admin アカウントは、OneXafe の共有領域にアクセスできるように設定することも可能ですが、万が一のことを想定し、共有領域へのアクセス権は割り当てない事をお勧めします。逆に、OneXafe の共有領域にアクセスできる User アカウントには、OneSystem を操作する権限を与えません。

このように2つのアカウントがそれぞれ別々の役割を持つことで、OneXafe内のバックアップデータを2重、3重に保護し、より安全にデータを保管出来るようになっております。

今回ご紹介した Arcserve OneXafe については以下のカタログセンターに製品紹介資料や、Arcserve UDP との連携ガイド、FAQなど掲載しておりますので、ご興味がございましたら是非参照ください。

 

Arcserve カタログセンター

https://www.arcserve.com/jp/jp-resources/catalog-center

Datastore3  

<関連記事>

ランサムウェア対策ストレージ Arcserve OneXafe のドキュメントを公開しました。

ランサムウェア対策の次の一手!イミュータブル(不変)ストレージ Arcserve OneXafe

« Arcserve Backup 19.0 のライセンスキー登録時に「入力済みのライセンス キーは無効です」と表示された場合にチェックする項目をまとめました。 | トップページ | Arcserve クラウド サービスのメンテナンス/障害情報を確認する方法 »

Arcserve OneXafe」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Arcserve Backup 19.0 のライセンスキー登録時に「入力済みのライセンス キーは無効です」と表示された場合にチェックする項目をまとめました。 | トップページ | Arcserve クラウド サービスのメンテナンス/障害情報を確認する方法 »