カテゴリー「技術情報」の175件の記事

2022年4月22日 (金)

Arcserve Replication / High Availability を使ったランサムウェア対策を考えてみた

日本企業を狙ったサイバー攻撃は激しさを増しており、Arcserve Japan にもランサムウェア関連で多数ご相談をいただいています。

弊社では通常、ランサムウェアに備えてデータを守るバックアップ ソフトとして、Arcserve UDP や Arcserve Backup をお勧めしていますが、たまに「Arcserve Replication / High Availability をランサムウェア対策に使えないか?」というご相談をいただく事もあります。

そこで、今日は Arcserve Replication / High Availability(以下 Arcserve RHA と省略) を使ってランサムウェアの被害を軽減する方法を考えてみます。

-------------

目次

1. そもそもレプリケーション ソフトはランサムウェアとは相性が悪い?

2. それでも Arcserve RHA の機能で何かできないか考えてみる

2-1. マスタ/レプリカのセキュリティを強化する

2-2. レプリケーションを一時停止する/遅延させる

2-3. スケジューリング モードを使う

2-4. シャドウ コピーを取得する

3. やっぱりバックアップ ソフトとの組み合わせが大事

-------------

 

1. そもそもレプリケーション ソフトはランサムウェアとは相性が悪い?

はじめに残念なお知らせなのですが、Arcserve RHA のようなレプリケーション ソフトはランサムウェアからのデータ復旧には向いていません。ランサムウェアに備えたバックアップは以下の3つのポイントを押さえるあります。

ポイント 1:バックアップデータの世代管理

ポイント 2:バックアップ環境の保全

ポイント 3:バックアップデータのオフライン化

ランサムウェア対策で重要なバックアップの3つのポイント より

 

ランサムウェアには潜伏期間があり、また、ランサムウェア攻撃を受けてからサーバ管理者が対処するまでの猶予を確保するため、バックアップは複数世代保持しておくのが基本です。一方で Arcserve RHA はリアルタイム レプリケーションが基本となり、世代管理にはあまり向いていません。

2つ目の「バックアップ環境の保全」はともかくとして、3つ目の「バックアップ データのオフライン化」も厳しいです。 Arcserve RHA はレプリケーションするために常時ネットワークにつながっている必要があり、 データのオフライン保管はできません。

という言い訳を一通りしたうえで、以下、現状よりも少しでも被害を軽減するための対策を考えてみます。

 

続きを読む "Arcserve Replication / High Availability を使ったランサムウェア対策を考えてみた" »

2022年1月28日 (金)

Arcserve Replication / HA:クラウド環境での利用に便利! NAT 接続ユーティリティのご紹介

さて今回は、Arcserve Replication / HA (以降、Arcserve RHA)の NAT 接続ユーティリティ機能を改めてご紹介します。

Arcserve RHAをご採用いただくケースとしては、BCP対策として遠隔地のデータ センターにレプリカ サーバ(複製先)を設置してデータを複製するという利用例が多くあります。昨今では遠隔サイトとしてクラウドを利用するケースも増えてきています。

一般的にはマスタ サーバとレプリカ サーバの間にVPN接続が確立されていることが多いですが、コスト削減のために VPN を使用せず、素のインターネット回線でレプリケーションを行う場合もあります。

この場合、マスタ サーバとレプリカ サーバのプライベート IP アドレスがお互いに見えないので、シナリオが作れなかったり、データのリストアができなかったりという問題があります。この問題を解消するのがこれから紹介するArcserve RHAのNAT 接続ユーティリティです!

 

構成例

今回ご紹介する例は、社内にマスタ サーバがあり、レプリカ サーバがクラウドにあるような環境です。

続きを読む "Arcserve Replication / HA:クラウド環境での利用に便利! NAT 接続ユーティリティのご紹介" »

2021年12月24日 (金)

Arcserve Replication / HAフルシステム シナリオで1:2構成に対応

もうすぐ2021年も終わろうとしています。
新型コロナウイルスの終息まではまだ時間がかかると思いますが、この難局を一緒に乗り越えていきましょう!

Arcserve Replication / HA 18.0にてフルシステム シナリオが使えるようになりましたが、今回はそのフルシステム シナリオで新しい構成が対応可能になったご紹介です。

複製先のハイパーバイザー(またはクラウド)1つでしたが、複製先を2つにすることができるようになりました。
これにより、例えば、サーバの冗長化目的で同一拠点内の HA を組みつつ、災害対策目的で遠隔地にレプリケーションする、という使い方がフルシステム シナリオでもできるようになります。


----------------------------
1.(復習) フルシステム シナリオとは?
2.1:2構成を実現する2通りの設定方法(1つのシナリオと2つのシナリオ)
3.方法1:1つのシナリオ内に2つの仮想アプライアンス(VA)
4.方法2:2つのシナリオ
5.まとめ
----------------------------

 

1.(復習) フルシステム シナリオ とは?

フルシステム シナリオは、Arcserve Replication/HA の18.0から新機能として搭載されました。

このArcserve RHA フルシステム シナリオはリアルタイムでOSを含めたシステム全体が複製されるので、障害発生直前の環境で複製済みのVM(レプリカ)をご使用いただける機能です。

続きを読む "Arcserve Replication / HAフルシステム シナリオで1:2構成に対応" »

2021年11月26日 (金)

Arcserve Backup のコマンドラインを使ってみよう

今回のコラムでは、久しぶりに Arcserve Backup に触れてみたいと思います。 Arcserve Backup は、バックアップやリストアなどを行う、コマンドライン ユーティリティを備えています。 たとえば運用監視ソフトを利用する場合、Arcserve Backup のコマンドライン ユーティリティを利用すると、バックアップを含む一連の処理を運用監視ソフト側で管理できます。

Arcserve Backup には様々な機能のコマンドがありますが、よく利用されるのは、下記2つのバックアップに関するコマンドです。 このコラムではコマンドのリターンコードと、メリット/デメリット (注意点) にも触れていきます。

- cabatch コマンド
- ca_backup コマンド

続きを読む "Arcserve Backup のコマンドラインを使ってみよう" »

2021年7月30日 (金)

Arcserve UDP 8.0 新機能紹介(7):その他の新機能と機能改善

皆さま、こんにちは。
Arcserve UDP 8.0 新機能紹介の7回目は、これまでに、ご紹介できなかった新機能や機能改善ポイントをまとめてご紹介します。
--------------------------------------------
[目次]
1)バックアップ/リストア用ネットワーク指定の強化
2)エージェント(Windows)設定のエクスポート/インポート
3)スタンバイVM/インスタントVMの複数同時起動
4)異なるサイトからの逆向きのレプリケーション
5)Microsoft 365 のバックアップ/リストア強化
6)ランサムウェア対応の強化
7)その他の新機能と機能改善(←本日はここ)
--------------------------------------------

その他の新機能「Nutanix Files のバックアップ」

シリーズ最後の新機能紹介は Nutanix Files のバックアップです。Nutanix Files は、Nutanix HCI の共有ストレージの一部を、CIFS (SMB)/NFS ファイルサーバとして利用するスケールアウト型ファイルストレージサービスです。仮想マシンだけでなく物理サーバとして点在していたファイルサーバも HCI に集約し統合管理できるようになるため、HCI 導入による仮想統合のメリットを最大化できる機能として注目されています。

Arcserve UDP では従来から「共有フォルダ」として Nutanix Files 上のファイル/フォルダをバックアップできましたが、Arcserve UDP 8.0 では Nutanix Files のスナップショットと連携し、効率的にバックアップできるように進化しました。

さらに、専用ライセンス「Arcserve UDP Advanced Edition for Nutanix - Socket」も追加され、1種類のライセンスで Nutanix HCI 上の仮想マシンや Nutanix Files を統合的に保護できるようになりました。(もちろん、ライセンス使い放題の Arcserve UDP Appliance でも Nutanix Files のバックアップが行えます。)

1_20210729140101

共有フォルダのバックアップ設定画面で、[スナップショット プロバイダ] として Nutanix Files が選べるようになっています。

Files

<関連記事>

Arcserve UDP 8.x で新しくなった Nutanix 専用ライセンス

Arcserve UDP : CIFS共有フォルダのバックアップを試しました!

続きを読む "Arcserve UDP 8.0 新機能紹介(7):その他の新機能と機能改善" »

2021年7月16日 (金)

Arcserve UDP 8.0 新機能紹介(6):ランサムウェア対応の強化

皆様、こんにちは。
Arcserve UDP 8.0 新機能紹介の6回目となる今回は、ランサムウェア対応の強化についてご紹介します。当初は Nutanix Files のスナップショット連携についてご紹介する予定でしたが、そちらについては次回ご紹介いたしますのでご了承ください。※目次も変更しています。
--------------------------------------------
[目次]
1)バックアップ/リストア用ネットワーク指定の強化
2)エージェント(Windows)設定のエクスポート/インポート
3)スタンバイVM/インスタントVMの複数同時起動
4)異なるサイトからの逆向きのレプリケーション
5)Microsoft 365 のバックアップ/リストア強化
6)ランサムウェア対応の強化(←本日はここ)
7)その他の新機能と機能改善
--------------------------------------------

ランサムウェアの脅威にはバックアップで対策を

昨今、身代金要求型のウィルスであるランサムウェアがまだまだ猛威を振るっています。ランサムウェアは重要なデータを勝手に暗号化して、復号化することを条件に身代金を払うように要求してくるというタイプの悪質なウィルスです。脅迫に屈服して莫大な身代金を支払うことは経済的ダメージもさることながら、社会的な信用の失墜にも繋がって企業経営に大きなダメージになります。

ランサムウェアに対抗するためには、ファイア ウォールの整備や、OSやセキュリティを最新に更新して、そもそも企業ネットワーク環境への不正な侵入を防ぐことが重要ですが、それでもあの手この手で行われる攻撃により、感染を 100% 防ぐことは難しいと言えます。

実際に感染により重要データが使用不能となる事態に備えて、必ず感染「前」に バックアップを取っておくことが重要です。感染前の健全なデータのバックアップさえ残っていれば、感染時にはそこからファイルを復旧することが可能です。

 

Arcserve UDP 8.0 でバックアップ データを狙ってくる攻撃者にも対処

企業に対する攻撃の手口は近年さらに巧妙化しています。標的型攻撃とあわせて、時には攻撃者自身がさまざまな方法で企業ネットワークに不正アクセスを行い、ランサムウェアの被害を拡大させるための工作を行うこともあります。その一環として、復旧のために使用するバックアップ データを破壊、改ざんする場合もあります。そのため、バックアップ データを、攻撃者が容易にアクセスしづらい領域に保管することが必要となっています。

Arcserve UDP 8.0 では、復旧ポイント(バックアップ データ)をより安全な領域に保管するための2つの機能が加わっています。クラウドでのアプローチと、オンプレミスでのアプローチとなります。

 

続きを読む "Arcserve UDP 8.0 新機能紹介(6):ランサムウェア対応の強化" »

2020年12月18日 (金)

Arcserve UDP:RPS ジャンプスタートは RPS のメモリ容量に注意!

Arcserve UDP では災害対策としてバックアップ データを遠隔地に転送(複製)する事ができます。このバックアップ データの転送を始める際によく使われるのが「RPS ジャンプスタート」という機能です。

RPS ジャンプスタート(以下「ジャンプスタート」と省略)では NAS や外付け HDD などの物理媒体を使ってあらかじめバックアップ データを遠隔地の復旧ポイント サーバ(以下「RPS」と省略)に運んでおきます。こうすることで、大容量のデータが WAN を流れることを避け、スムーズにバックアップ データの転送を始めることができます。

00_jump_start

 

今日は、このジャンプスタートを使用する上での注意点を1つ紹介します。ジャンプスタートの操作手順が知りたい方は以下の記事もご覧ください。

<参考記事>

Arcserve UDP のジャンプスタートを試してみる

 

なお、これから説明する内容はデデュプリケーション(重複排除)が有効なデータ ストアが対象です。Arcserve UDP の重複排除機能を使っていない方は今回の話は気にしなくて良いので安心してください。

--------------------
おさらい:Arcserve UDP の重複排除とハッシュ メモリ
ジャンプスタートでは一時的にメモリ使用量が2倍に……
ハッシュ メモリ不足を回避する3つの方法
ジャンプスタートのベンチマーク結果を大公開!!
--------------------

 

続きを読む "Arcserve UDP:RPS ジャンプスタートは RPS のメモリ容量に注意!" »

2020年12月 4日 (金)

Arcserve UDP のジャンプスタートを試してみる

Arcserve UDP では災害対策として復旧ポイントサーバ(以下、「RPS」と省略)間でバックアップ データを遠隔地に複製(レプリケート)する機能があります。このレプリケート機能の強みは、継続的な増分バックアップと連動して少ない転送量でデータを複製できる事です。

<関連記事>

Arcserve UDP 機能紹介 ~ (11) バックアップデータの遠隔転送 ~

 

しかし、初回はどうしてもフル バックアップになるので、WAN 経由だと転送に時間がかかり、ネットワークへの負担も大きくなります。

そこでお勧めしているのが「RPS ジャンプスタート」という機能です。RPS ジャンプスタートでは NAS や外付け HDD などの外部ストレージを使って物理的にデータを運ぶことで、RPS 間の初回のレプリケートを効率的に行えます。

00_jump_start  

 

今日はその RPS ジャンプスタートの手順を画面付きで解説します!!

----------

■ 本番サイトでやること
1. 外部ストレージ(外付け HDD や NAS)の接続と一時データ ストアの作成
2. 一時データ ストアへのジャンプスタート(復旧ポイントのレプリケート)
3. 一時データ ストアの停止/削除と外部ストレージの搬送

■ 災害対策サイトでやること
4. 外部ストレージの接続と、一時データ ストアのインポート
5. 一時データ ストアからのジャンプスタート(復旧ポイントのレプリケート)
6. 一時データ ストアの停止/削除と、本番サイトからのレプリケートの開始

----------

 

続きを読む "Arcserve UDP のジャンプスタートを試してみる" »

2020年11月27日 (金)

Arcserve UDP 7.0 Update 2 for Linux 公開で対応範囲が拡大。RHEL8/CentOS8のベアメタル復旧にも対応!

皆さんこんにちは、2020年11月20日に Arcserve UDP 7.0 Update 2 for Linux が Arcserve サポート ポータルに公開されました。

Arcserve UDP 7.0 Update 2 について

 

今回は Arcserve UDP 7.0 Update 2 for Linux で新しくなった点に加え、Linux サーバのベアメタル復旧に関連したポイントなどを改めて解説しようと思います。

これまで Arcserve UDP 7.0 で公開された Update をリリース順に並べると

– 7.0 Update 1(Windows/Linux共通)2019/09/30 公開
– 7.0 Update 2(Windowsコンポーネント向け) 2020/04/28 公開
– 7.0 Update 2(Linuxコンポーネント向け)2020/11/20 公開

となり、今回は Linux コンポーネント専用の Update となります。Windows コンポーネントのみ利用している方は適用不要ですのでご注意ください。

 

Arcserve UDP 7.0 Update 2 の LiveCD について

Linux-bmr

(図1)

ベアメタル復旧では、復旧用メディア(以降”LiveCD”と記載)で起動し、ネットワーク経由でシステム全体を復旧します。例えば、図1では CentOS 8 と記載された左側のサーバを LiveCD で起動し、LiveCD に認識されたネットワークを使用してバックアップ データにアクセスしリストアします。

Arcserve UDP 7.0 Update 2 for Linux では、標準の LiveCD を CentOS 8 ベースとすることで、Red Hat Enterprise Linux(以降”RHEL”と記載)8 / CentOS 8 / Oracle Linux 8 を含む環境をベアメタル復旧できるようになります。

LiveCD の ISO イメージは Arcserve UDP Linux Agent のインストールパス以下の “/opt/Arcserve/d2dserver/packages/UDP_Agent_Linux-LiveCD.iso” にコピーされます。旧バージョンから Arcserve UDP 7.0 Update 2 へアップグレードした場合は、この ISOイ メージも置き替わります。旧 LiveCD も保存しておく場合は、アップグレード前に、ISO イメージを退避させておいてください。

Update LiveCD のカーネルバージョンは以下です。Update LiveCD が混在する環境ではカーネルバージョンを見れば、どの LiveCD なのかを確認できます。

  • Arcserve UDP 7.0 Update 1(RHEL 7 カーネル): 3.10.0-229.1.2.el7.x86_64 (1,172,484,096 byte)
  • Arcserve UDP 7.0 Update 2(RHEL 8 カーネル): 4.18.0-80.el18.x86_64 (1,272,258,560 byte)

上記カーネルバージョンは LiveCD 起動環境で、”uname -a” コマンドで実行することで確認できます。

カーネルバージョン確認: uname -a

 

以降でご紹介する LiveCD でのコマンド操作は、図2の LiveCD 起動後の画面でキーボードから Enter キーを押しコマンド入力画面に切り替え実行します。

Linux-livecd

(図2)

 

なお、ベアメタル復旧の手順はこれまでと同じです。詳しい手順はユーザガイド環境構築ガイドを参照してください。

 

Arcserve UDP 7.0 Update 2 でサポートされるようになったプラットフォーム

RHEL / CentOS / Oracle Linux 8 系以外にも、SUSE Linux Enterprise Server や Debian、Ubuntu の最新バージョンもサポート対象に加わっています!これらの Linux ディストリビューションをご利用の方は、ぜひ Arcserve UDP 7.0 Update 2 for Linux をご利用ください。

Udp70-linux-u2

(図3)

Arcserve UDP 7.0 動作要件

 

(2021年2月1日追記、2021年4月5日更新)RHEL/CentOS/Oracle Linux 8.3, Debian 9.12, 9.13, 10.6 に対応するパッチも公開されました!

P00002191 | Arcserve UDP 7.0 Update 2 | RHEL/CentOS/Oracle Linux 8.3 のサポート

P00002201 | Arcserve UDP 7.0 Update 2 | Support for Debian 9.12, 9.13

P00002162 | Arcserve UDP 7.0 Update2 | Support For Debian 10.6

 

LiveCD 起動時のネットワークの認識

これ以降は、Arcserve UDP 7.0 Update 2 に限らず、Linux サーバのベアメタル復旧に関わる技術的なポイントを2つ解説します。

Linux サーバのベアメタル復旧は、LiveCD 起動環境のネットワーク経由でバックアップデータ(復旧ポイント)にアクセスする必要があり、そのためには意図した NIC に意図した IP アドレスを割り当てる必要があります。

LiveCD の NIC 認識順番はハードウェア構成に依存し、IP アドレスは DHCP サーバから取得します。意図した IP アドレス、及びデフォルト ゲートウェイが割り当たっていない場合には、ifconfig コマンドで修正します。

IP アドレス変更: ifconfig <NICデバイス> <IPアドレス>
デフォルトゲートウェイ設定: route add default gw <ゲートウェイ IP アドレス>
※ 図2の例では NIC 論理デバイスは ”eth0” として認識されています。

 

NIC に割り当てられている論理デバイス名は ”dmesg” コマンドで確認できます。

NIC論理デバイス確認: dmesg | grep NIC

 

出力例は以下で、論理デバイスは、物理デバイス(この例ではe1000)に続く2番目に表示されます。

e1000: <NICデバイス名> NIC Link is Up 1000 Mbps Full Dupulex

 

リストア オプション

最後はベアメタル復旧操作で良く頂くご質問で、リストアオプションの [ターゲット マシン上の除外ディスク] 及び、ベアメタル復旧中のログ確認方法に関して解説します。

Bmr-option

(図4)

■ [ターゲットマシン上の除外ディスク] とは?

Arcserve UDP Linux では LiveCD で認識されたディスクをベアメタル復旧の前に全て初期化します。図4の [ターゲット マシン上の除外ディスク] オプションで指定したディスクは、この初期化対象から除外されることを意味します。

一方、Arcserve UDP Linux のベアメタル復旧ではバックアップしたボリュームを全てリストアします。上記の除外設定は、バックアップしたボリュームの中から一部のボリュームだけをリストア除外する設定ではないのでご注意ください。

 

■ [デバッグ オプション] とは?

また、ベアメタル復旧で意図した復旧動作とならない場合、ベアメタル復旧中の動作を確認するため、復旧対象サーバ内に保存されたログを確認することができますが、復旧の成否にかかわらずサーバが再起動してしまうとログが消失してしまいます。

これを避けるため [デバッグ オプション] で [再起動しない] を有効にすることで自動的に再起動しなくなります。

この状態で図2画面からコマンド操作できる画面に切り替えた後、/tmp/logs 内のファイルを共有フォルダなどにコピーしておけばベアメタル復旧中のディスクの初期化処理などの詳細を確認することができます。

特にディスクの初期化に失敗しているような場合は、図5中でリストされている、d2dsysinfo-x.log を参照することで、より詳細に確認することが出来ます。

Templogs

(図5)

 

また、Arcserve UDP に関する技術的な情報についてはカタログセンター、Web セミナーなどでもご紹介しています。是非こちらもご参照ください。

Arcserve イベント/セミナー
-Arcserve UDP 前編
-Arcserve UDP 後編

 

その他、Arcserve UDP および Arcserve UDP アプライアンスに関するカタログや紹介資料、事例については Arcserve.com カタログ センターを参照ください。

 

<関連記事>

Arcserve RHA 18.0 SP2 と Arcserve UDP 7.0 Update2 が公開されました!

Arcserve UDP 8.1新機能紹介(3):CentOS 8.x ベースのカスタム Live CD

2020年8月 3日 (月)

Arcserve UDP Appliance にデータ ストアを追加するときの注意点

Arcserve UDP Appliance にはバックアップ データの管理をする復旧ポイント サーバ(RPS)と、そのデータの保管庫であるデータ ストアが最初からインストールされています。

基本的にはこのデータ ストアを使ってバックアップの運用を行いますが 、デフォルトとは別なデータ ストアを作りたい、というような事もあるかもしれません。

そこでこの記事では、Arcserve UDP Appliance に 2 個目のデータストアを追加する上での注意点を説明します。

01_add_data_store

 

なお、本来は RPS 内のデータ ストアは 1 つとすることをお勧めしています。まず以下の記事も読んで、本当にデータ ストアを追加する必要があるかを考え直してください。データ ストアが 1 つでも、複数のノードのバックアップを並行して行う事が可能です。

Arcserve UDP : データ ストアは 1 つでだいたい十分

 

続きを読む "Arcserve UDP Appliance にデータ ストアを追加するときの注意点" »

より以前の記事一覧