Veeamブログ
Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK

CiscoとNutanixの提携がVeeamユーザーに及ぼす影響評価版

ジョシュ・ドラックが9月14日のブログで述べたように、VeeamはCisco HyperFlexおよびNutanixの双方と長年にわたる技術関係を築いています。このブログでは、最近発表されたCiscoとNutanixのグローバルな戦略的パートナーシップが、Veeamのお客様またはVeeamの将来のお客様にとってどのような意味を持つのかを技術的な観点から説明していきたいと思います。

ご存じのとおり、Veeamは10年以上にわたってCiscoと連携し、Veeam Data PlatformでCisco HyperFlexワークロードの保護と復元に取り組んでいます。2023年9月12日、CiscoはCisco HyperFlex Data Platformの販売終了とサポート終了を発表しました。CiscoのHyperFlexをご利用のお客様は、1年以内にHyperFlex機器を追加購入でき、さらに何年もかけてHyperFlexクラスターの運用を継続することができます。HyperFlexの運用継続をご希望のお客様につきましては、お客様の環境においてVeeam Data Platformが引き続きサポートいたします。

HyperFlexからCisco Compute Hyperconverged with Nutanixとして知られる、Cisco UCSサーバー上のNutanix Cloud Platformへの移行をご希望のCiscoのお客様向けに、Veeam Data Platformは最適なデータ保護を提供するだけでなく、HyperFlexからNutanixへのVMの移行を簡素化します。Cisco Compute Hyperconverged with Nutanixを導入しているお客様は、Nutanixクラスターで実行するハイパーバイザーを選択する必要があります。VMware vSphereまたはNutanix独自のAHVハイパーバイザーです。

vSphereを引き続き使用する場合も、AHVに変更する場合も、以下の2つの異なる移行ユースケースでVeeam Data Platformをご利用いただけます。

HyperFlex vSphereからNutanix vSphereへの移行(図1)vSphereからNutanix AHVへのワークロードの移行(図4)

HyperFlex vSphereからNutanix vSphereへの移行

このユースケースに関して、Ciscoは『Cisco HyperFlexからCisco Compute Hyperconverged Solution with Nutanixへのワークロードの移行』というタイトルの優れたホワイトペーパーを公開しています。このホワイトペーパーでは、vSphere VMをHyperFlexからCisco Compute Hyperconverged with Nutanixに移行するいくつかの方法について詳しく説明しています。この移行ガイドのセクション全体では、Veeam Data Platformのレプリケーション機能を使用してこれらの移行を実行する方法を説明しています。

Veeamのレプリケーションには、本ホワイトペーパーで取り上げられている他の方法に比べて、いくつかのメリットがあります。メリットには次のようなものがあります。

レプリケーション/移行プロセスを自動化するジョブVMのネットワークの再マッピングと再IP化が可能データ消失ゼロのための計画フェイルオーバーバックアップからレプリカをシード処理する機能フェイルオーバーまたは最終的な移行にコミットする前に、移行されたマシンをテストする機能

vSphereからNutanix AHVへのワークロードの移行

このユースケースは、vSphereからNutanix AHVへの移行だけでなく仮想マシンの変換も行うため、より複雑です。Veeam Data Platformを使用すれば、Veeamをご利用のお客様はNutanix AHVへのインスタントリカバリ(図2)またはVM全体のNutanix AHVへのリストア(図3)のいずれかを活用して、VMをvSphereからNutanix AHVに移行および変換できます。

 

Nutanix AHVへのインスタントリカバリプロセスの手順は次のとおりです。

既存のVeeam Backup & ReplicationサーバーでVeeam Nutanix AHVプラグインをインストールして設定Veeam Backup & ReplicationインベントリにNutanix AHVクラスターを追加Nutanix AHVバックアップアプライアンスを導入オプションで、AHVワーカー(プロキシ)VMを追加導入Veeamヘルプセンターのドキュメントの「開始する前に」セクションに記載されている要件を満たしていることを確認Nutanix AHVに対してワークロードのインスタントリカバリを実行ゲストOSで、ターゲットNutanixクラスターのネットワーク設定(IPアドレスなど)を変更

Veeamのインスタントリカバリプロセスを通じて、お客様は次の項目を指定できます。

復元先のNutanixクラスターVM仮想ディスク用のNutanixストレージコンテナ新しいVM名(必要に応じて)変換されたVMのターゲットネットワーク、または検証のためにVMを切断したままにしておくことの検討

vSphereからAHVへのVMの移行のためのVeeamインスタントリカバリには、次の利点があります。

vSphereからAHVへのVMの完全変換バックアップ管理者に馴染みのある使いやすいツール大量のVM変換を行う機能移行前に増分バックアップを実行することによるデータ消失の最小化移行完了前の移行済みVMのテストRead more
Pete Ybarra
Pete Ybarra

Solutions Architect, NetApp/Nutanix - Product Management, Alliances

Kubernetesのデータ保護に関する4つの俗説を暴く

オープンソースのコンテナオーケストレーションプラットフォームであるKubernetesは、コンテナ化されたアプリケーションのデプロイ、スケーリング、管理を自動化できるため、広く採用されています。ESGのプラクティスディレクターを務めるクリストファー・バートランド氏による2023年4月のESG調査『Measuring the Current State and Momentum in the Enterprise Market for Kubernetes Protection』(エンタープライズ市場におけるKubernetes保護の現状と勢いの測定)によると、Kubernetesの利用は成熟しつつあるとのことです。実際のところ、回答者の66%は、コンテナの管理とオーケストレーションにすでにKubernetesを使用していると断言しています。

組織がクラウドネイティブアーキテクチャに移行する中で、Kubernetesはアジリティとスケーラビリティを促進する基盤となります。上記の同じ調査によると、組織の約5分の1がKubernetesの使用量が増えたことを報告しており、現時点では、Kubernetesを使って51~100個のコンテナベースのアプリケーションが本番環境で管理されています。また、この調査からは、本番環境で現在最も一般的なKubernetesのワークロードは、アプリケーションとその関連データの両方でハイアベイラビリティを必要とする、カスタマイズされたWebアプリケーション、データベース、トランザクションアプリケーションであることも判明しました。

Kubernetesの出現によって、アプリケーションの開発と導入のパラダイムは大きく変化しました。しかし、その数々のメリットに伴い、特にデータの保護と管理に関して新たな課題も生じています。アプリケーションとワークロードを最新化する際は、その波及効果も考慮に入れる必要があります。これは、ますます複雑化するKubernetesの導入においては特に重要であり、堅牢なデータ保護を導入することが非常に大切です。

これは、Kubernetesのデータ保護にまつわる俗説を詳しく解析することが重要であることを意味します。本ブログでは、ESGによる最近の評価を詳しく見ていきます。この機会にKubernetesのデータ保護戦略についてよくある誤った先入観を確認し、こうしたギャップをどう埋められるかを明らかにしていきます。

Kubernetesにおけるデータ保護の役割

広く知られている俗説を確認する前に、まず一歩引いて、それらの背後にある概念を見てみましょう。Kubernetesのデータ保護。

Kubernetes環境におけるデータ保護要件は、他のプラットフォームと同じです。これらの基本要件には、データの整合性の保護、リスクの軽減、およびビジネスの継続性が含まれます。

データの整合性の確保: Kubernetesのデータ保護メカニズムは、重要なデータの整合性と可用性を確保し、データの損失や破損から組織を保護することを目的としています。リスクの軽減: 堅牢なデータ保護対策を導入することで、組織はリスクを軽減し、データ侵害、ランサムウェア攻撃、および コンプライアンス 違反に関連するコストを軽減できます。ビジネス継続性の確保:効果的なデータ保護によってシームレスな復元とビジネス継続性の確保が可能になり、障害や災害の発生時にダウンタイムと収益損失を最小限に抑えることができます。

Kubernetesのデータ保護における課題

Kubernetesのデータ保護が重要であることは明白ですが、それを簡単に実現できるわけではありません。このESGの調査では、Kubernetesのデータ保護に関する次の課題がユーザーから提起されました。

Kubernetesワークロードの動的な性質従来のモノリシックなアプリケーションとは異なり、Kubernetesのコンテナ化されたワークロードはエフェメラルであり、複数のクラスターに分散されています。この動的な性質により、従来のバックアップと復元のソリューションを使用する際に課題が生じます。データの永続性と復元:Kubernetesはコンピューティングリソースのアベイラビリティの維持に重点を置いていますが、データの永続性や復元には本質的に対応していません。組織が重要なデータを保護するには、専用のデータ保護ソリューションを自社に導入する必要があります。セキュリティリスク:Kubernetesには堅牢なセキュリティ機能が備わっていますが、コンテナ内に保管されている重要なデータを標的とするランサムウェア攻撃に対しては脆弱です。適切なデータ保護対策が講じられていなければ、組織はデータ漏洩や金銭的損失のリスクにさらされます。

Kubernetesのデータ保護にまつわる俗説トップ4

Kubernetesを初めて使用するチーム(およびある程度の経験があるチーム)の多くは、コンテナ化された環境との関わりに関してある程度の先入観を持っています。そうしたチームの「世界を知る機会」は他のテクノロジーとのかかわりで自らが得た経験であり、それらの教訓に関連性があったかどうかは関係ありません。組織がこのコンテナオーケストレーションシステムの力をより活用するのに伴い、Kubernetesのデータ保護にまつわる俗説を解明して実態を明らかにし、貴重なデータ資産を保護するための強固な戦略の確立へと実務担当者を導くことが重要になります。だからこそ、Veeamではこの新着の技術検証レポート『Kubernetesデータ保護神話を払拭する』を通じてESGとの調査を続けてきました。このレポートは、ESGのシニア検証アナリストを務めるアレックス・アルシラ氏による執筆です。組織の重要なアプリケーションデータを危険にさらすことなくKubernetesの導入を成功させるには、誤った思い込みを特定して払拭することが唯一の方法です。

最も一般的な誤解の例としては、以下があります。

A:俗説:「Kubernetes環境には既存のバックアップと復元のソリューションを使用すれば十分である」

一般に信じられていることとは異なり、従来のバックアップ/復元ソリューションは、Kubernetes環境の動的な性質を処理するには不十分です。モノリシックなアプリケーションとは異なり、Kubernetesのコンテナ化されたマイクロサービスベースのワークロードには、整合性とアベイラビリティを確保するための特殊なデータ保護メカニズムが必要です。Kubernetesワーカー・ノードやKubernetes構成データベースをバックアップするだけでは、アプリケーションを正常に復元できる保証はありません。

B:俗説:「Kubernetesはハイアベイラビリティをサポートしているため、データは保護されています」

Kubernetesは、自動スケーリングや自己修復などの機能によってアプリケーションのアベイラビリティを強化しますが、データ保護を本質的に保証するものではありません。ハイアベイラビリティと効果的なデータ保護は同じではありません。組織が重要なデータを保護し、事業継続性を確保するには、 Veeam Kasten ような専用のデータ保護ソリューションを導入する必要があります。

C:俗説:「Kubernetesはランサムウェアを侵入させない」

Kubernetesは堅牢なセキュリティ機能を備えていても、重要なコンテナデータを標的とするランサムウェア攻撃に対しては、従来の仮想環境内のアプリケーションと同様に影響を受けやすいのです。実際、一部の脅威アクターは、Kubernetesでホストされているワークロードを特に標的にして、Kubernetesが比較的新しいプラットフォームであり、適切な組織的制御やデータ保護が欠けている可能性があるという事実を悪用しています。適切なデータ保護対策が講じられていないと、組織はランサムウェアによる恐喝やデータ侵害の被害に遭う恐れがあります。

D:俗説:「従来のソリューションでアプリケーションを移行する方法をすでに知っています」

Kubernetes環境でアプリケーションを移行するには、コンテナオーケストレーションの複雑さに合わせた専門知識とツールが必要です。従来のバックアップと復元ソリューションはKubernetesアプリケーションのモビリティに最適化されていないため、移行プロセス中に複雑さが増したり非効率になったりすることが多々あります。さらに、コンテナ化されたイメージによって以前は実現できなかったポータビリティのレイヤーが追加されますが、それらはコンテナ化されたイメージ外の他のリソースやデータにいまだ依存しています。これには、専用のクラウドネイティブなモビリティソリューションが必要になります。

効果的なKubernetesバックアップソリューションに必須の機能

Kubernetesのデータ保護に関する誤解を明らかにしたので、次はKubernetesの導入を適切に保護するためのソリューションに求めるべき、最も関連性の高い属性について見直すことが重要です。さまざまな選択肢が多く存在する中で、適切なKubernetesバックアップソリューションを特定するのはなかなか難しい作業です。注目すべき5つの重要な属性は次のとおりです。

Kubernetesネイティブの統合:高品質なソリューションとは、KubernetesのAPIとメタデータを活用することでKubernetes環境にシームレスに統合され、一貫性と信頼性の高いデータ保護を実現するものを指します。また、真の拡張性を得るために、Kubernetesバックアップソリューションはクラウドネイティブのアプリケーションと同じ方法での管理/被管理が可能である必要があります。包括的なデータ保護:検討中のソリューションが、Kubernetes上で実行されるクラウドネイティブアプリケーション特有の要件に対応できるよう設計された包括的な機能スイートを提供できることを確認しましょう。バックアップと復元、ディザスタリカバリ(DR)からアプリケーションモビリティやランサムウェアからの保護に至るまで、データ管理に対して包括的なアプローチを提供するソリューションであることを確認してください。ポリシーベースの自動化:テクノロジーの領域と同様に、組織の運用効率を最大化するには、Kubernetes上で反復的なタスクをできるだけ多く自動化することが重要です。組織独自の要件に基づいてバックアップスケジュール、保持ポリシー、復元目標を定義できる、ポリシーベースの管理機能が組み込まれたデータ保護ワークフローを求めましょう。クラウド間のポータビリティ:Kubernetesの導入の規模が拡大し、エッジアプリケーションによって生成されるトラフィックが増加するにつれ、Kubernetesにハイブリッドクラウドやマルチクラウドの導入モデルを採用する組織が増えています。企業の成長が保護ソリューションの範囲を超えてしまわないよう、検討中のソリューションでこれらのタイプの導入を保護できることを確認してください。イミュータビリティと暗号化: 上記の神話でわかったように、Kubernetesは他のレガシーテクノロジーと同様にランサムウェアやその他の攻撃の影響を受けやすいです。問題は、企業がこれらの攻撃の標的になる かどうか ではなく いつ かという問題です。こうしたシナリオで問うべき重要な論点は、データ保護ソリューションによって迅速な復元を実現し、目標復旧時間と目標復旧時点(RTOとRPO)を満たしつつ、効果的なビジネス運用を維持できるかどうかが問われます。

従来のソリューションと専用ソリューションの使用における経済性

適切なソリューションを採用することで、技術的な課題に対処できるだけでなく、大きな経済的メリットを得ることもできます。従来のバックアップと復元のソリューションには、手動での操作やダウンタイム、データ消失に関連する「隠れたコスト」が存在します。独自のソリューションやオープンソースのソリューションを試験的に採用している組織もあります。ただし、こうしたアプローチには、エラーが発生しやすく反復的なスクリプト作成や手動による操作が含まれます。一方で、自動化されたポリシーベースのアプローチでは運用の負荷が削減され、ダウンタイムやデータ侵害による収益損失のリスクが最小限に抑えられます。Veeam Kastenでは、こうした高度な自動化機能が直感的なGUIを通じて提供されます。さらに、クラウドネイティブなアーキテクチャにより、組織はデータの整合性を損なうことなく、クラウドストレージのスケーラビリティと投資対効果を確保できます。

結論として、Kubernetes環境におけるデータ保護にまつわる数々の俗説は、専用ソリューションが極めて重要であることを浮き彫りにしています。組織を複雑なクラウドネイティブアーキテクチャ環境で運営するうえで、強固なデータ保護メカニズムへの投資は不可欠な要素です。さまざまな俗説や誤解を払拭し、Veeam Kastenなどの革新的なソリューションを導入することで、企業は自社のデータ資産を保護し、リスクを軽減して、デジタル変革の実現に必要なビジネスの回復力を確立することができます。

Kubernetesのデータ保護に関する俗説の解析や、Kubernetesクラスターのバックアップと保護においてVeeam Kastenがクラス最高のプラットフォームである理由については、こちらのホワイトペーパーをダウンロードしてお読みください。

Read more

Kubernetesのステートフルとステートレスの現状

2024年現在、私はプラットフォーム事業者が「Kubernetesはステートレスワークロード専用である」、あるいは「当社のアプリはすべてステートレスなので、データ保護は必要ない」などと話しているのをよく耳にすると、驚きを隠しきれません(冗談ですが)。今回の記事では、アプリケーションのどこに「ステート」が存在するかについての背景情報、「Kubernetes = ステートレス」とする俗説の台頭、そしてすべてのKubernetes環境におけるデータ保護のニーズについて説明します。

ステートフルとステートレス — 基礎

「ステートレス」とはステートフルな永続性を必要としないワークロードを指し、そうしたワークロードの再起動または再導入の際には、収集または変更した設定がすべて失われます。ステートフルな仮想マシン(VM)の先行製品と比較すると、コンテナは本質的にステートレスです。ユーザーは、コンテナを再起動することで、そのコンテナイメージを最初に作成したときと同じワークロードが実行されることをわかっています。

ロジックに従えば、ステートフル ワークロードとは、再起動後もアクセスできるようにデータを保持するワークロードです。一般的なステートフルなワークロードには、PostgreSQL、MySQL、MongoDBなどのデータベースが含まれます。

では、ステートレスアプリケーションとは何でしょうか。

アプリケーションは通常、複数のワークロードで構成されています。モノリシックなVMベースのアプリケーションであっても、全般的には個別のフロントエンド、ビジネスロジック、データベースのワークロードで構成されています。通常、クラウドネイティブのマイクロサービスベースのアプリケーションは、組織が新しい機能やサービスを今まで以上のスピードでリリースできるようにすることを目標として、さらに多くの個別のワークロードで構成されており、それぞれが固有の機能を備えています。

これはつまり、ステートレスなアプリケーションは存在しないことを意味しています。

お気に入りの食品注文アプリ、携帯電話の「To Do」アプリ、診察予約のための入力フォームなどは、どれもそれぞれのユースケースに関連する重要なデータを保持するステートフルなワークロードがなければ、実際には役に立ちません。

Kubernetesでは、アプリケーションのデータ(状態)がクラスターの内部または外部のどこにあるかを把握することが重要です。

「Kubernetes = ステートレス」の俗説が生まれた経緯

2010年代初頭から半ばにかけて、Dockerがソフトウェアをパッケージ化するための事実上のコンテナプラットフォームとなったため、コンテナのグループを大規模にオーケストレーションするソリューションを持つことは、マイクロサービスへの移行から運用上の価値を最大限に引き出すために不可欠であり、Kubernetesはそれを実現しました。宣言型の導入、ハイアベイラビリティ、自動スケーリングは、簡単に停止、再起動、クローン作成できるステートレスワークロードにとって大きなメリットでした。多くの場合、これらのワークロードは、より多くのフロントエンドまたはアプリケーションサーバーのコンピューティングを提供し、クラスターの外部で実行されているデータサービスに接続することも可能でした。このソリューションは、多くの人から成功として歓迎されましたKubernetesは明らかにステートレスなワークロード向けに設計されたソリューションですよね?

ただし、Kubernetes v1.0には、ステートレスなワークロード向けのこうした優れた機能と並んで、永続ストレージを一時的なポッドにアタッチするためのKubernetesネイティブのメカニズムである永続ボリュームがありました。ステートフルなワークロードをサポートする意図は当初から検討されていたことは明らかであり、その過程でいくつかの注目すべき機能拡張が行われました。

2017年12月(v1.9)、StatefulSetの一般提供開始 — ポッドのアイデンティティ特性と順序付けされた操作の永続性を提供2018年12月(v1.13)、コンテナストレージインターフェイス(CSI)の一般提供開始 — すべてのストレージ製造メーカーが、Kubernetesワークロードにストレージを提供するための独自のプラグインを作成できるようにするための標準規格2018年5月、Operator Frameworkの登場 — Kubernetes上でデータベースなどの高度なワークロードの導入と管理を簡素化するソフトウェア開発キット(SDK)2020年12月(v1.20)、CSI仕様におけるボリュームスナップショットの一般提供開始 — Kubernetes内でストレージスナップショット操作を実行するための、標準化されたインターフェイスを提供

これらの改善と、さまざまなベンダーやプロジェクトコントリビューターの努力が組み合わさり、アプリケーションの状態を提供するデータサービスとそれらのワークロードを実行する場所をユーザーが自由に選択できる、充実したエコシステムが形成されました。

GitOpsの台頭

この間、Kubernetesコミュニティでは、コンテナオーケストレーションを向上するための新たなアイデアである「GitOps」が話題になりました。その概念はシンプルなものであり、ソース管理を信頼できる情報源として使用し、コードやKubernetesリソースなど、アプリケーションの導入に必要なものをそれにすべて格納します。コードがリポジトリに統合されて変更が加えられるたびに、コントローラーによって導入が更新され、Gitで記述された希望のステートが反映されます。GitOpsの実装により、変更制御のメカニズム、ワンクリックで環境全体を再導入する機能、不適切な変更を元に戻す方法が提供されます(常にではない)。

Kubernetesでステートフルなワークロードの実行が可能であるというだけで、それを実行すべきなのでしょうか?

概念実証アプリケーションの構築を任された開発者は、多くの場合、クラウドホスト型マネージドデータベース(DBaaS)を選択して、Kubernetesクラスタの外部で永続データをホストします。DBaaSソリューションは、データベース管理の専門知識のレベルに関係なく、開発者にとって使いやすいAPIと価値実現までの時間を短縮します。しかし、よくあることですが、最も簡単なことが必ずしも最善であるとは限りません。ステートフルワークロードの実行をクラスターの内部と外部で検討すべき理由を探ってみましょう。

レイテンシ — データサービスを他のコンテナ化されたワークロードと同じ場所に配置することで、低レイテンシのデータ接続を確保して、一貫したユーザーエクスペリエンスを提供できます。モビリティ — Kubernetesは強力な抽象化レイヤーを備えているため、同じワークロードを異なるクラウド間で移行できます。これにより、組織はデータの主権性に関するニーズに対応したり、有利な価格条件のメリットを単に得たりすることができます。ただし、お使いのデータサービスがクラウド固有のDBaaSに関連付けられている場合、環境間の移行は大幅に複雑になります。特定のDBaaSに対して作成された自動化とポリシーは、目的のクラウド内に同等のマネージドデータベースが存在し、要件を満たしていることを前提に、そのデータベースに向けて再作成する必要があります。Kubernetesワークロードを外部データサービスから再導入するには、別途ツールと処理が必要になります。コピーデータ管理 — 開発者は関連性の高い最新のデータを使ってアプリケーションをテストする必要があり、クラスター外で実行する場合は、これらのデータサービスを管理して接続するための個別のプロセスが必要になります。クラスター内でステートレスとステートフルの両方のワークロードを実行する完全に宣言型のソリューションの一部として、「kubectl」などのKubernetesネイティブのインターフェイスを使用して、アプリケーション全体のバックアップをクローンとしてリストアするだけで済みます。ポリグロットパーシステンス — 「適切なユースケースのための適切なデータサービス」を表す技術的な表現です。従来のアプリケーションはマイクロサービスアーキテクチャを使って再構築されるため、開発者はKubernetes上でそれぞれのニーズに最適なデータサービスを実装することができ、導入は簡素化され、継続的な管理は担当のオペレーターが対応します。Kubernetes以外でデータサービスを運用している組織は、開発者が選択した理想的なデータサービスに対応していくという複雑な運用要件を満たすようにスケーリングできない可能性があります。コスト — DBaaSソリューションでは、その利便性に対して料金を支払います。ただし、EnterpriseDBのようなパートナーは、Kubernetes上で独自のデータサービスをホストすることで、ユーザーエクスペリエンスを大幅に犠牲にすることなく、総所有コスト(TCO)を削減できることを実証しています。

ステートレスなワークロードとステートフルなワークロードをKubernetes上で統合することで、アプリケーションを実行する場所に関して柔軟性を高めることができます。また、DevOpsのための追加のセルフサービスが提供され、コストを削減してツールとプロセスを合理化することも可能です。これにより、アプリケーションのすべての部分にGitOps手法を適用できるようになります。実際のコンテナ使用に関するDatadogの最新レポートによると、データベースは引き続き、コンテナ化されたワークロードの最も一般的なカテゴリであるとのことですが、これは驚くべきことではありません。

Kubernetesデータの継続的な保護

「ステートフル」チーム

Kubernetesのステートフルなワークロードが今後の進むべき道であるとすでに確信しているなら、これらのアプリケーションのバックアップとディザスタリカバリを提供するには専用ツールが必要であることをすでに理解している可能性があります。各アプリケーションは、多数の異なるKubernetesリソース(ConfigMap、Secret、Deploymentなど)と永続ボリュームデータで構成されています。さらに、これらすべてを適切に検出してスナップショットを作成し、クラスター外の安全な場所にエクスポートする必要があります。

そこで、Kubernetesネイティブのデータ保護およびアプリケーションモビリティのソリューションであるVeeam Kasten for Kubernetesの出番です。Kastenでは、使いやすく、拡張性と安全性に優れた方法でイミュータブルなバックアップを作成し、アプリケーション全体を迅速かつ確実に復元することができます。

Kastenでは、ポリシーの定義やアクションの実行などを行うための宣言型のKubernetesネイティブAPIが提供されるため、あらゆるGitOps環境にデータ保護を緊密に統合することができます。これは、新しいクラスターでのKastenの導入と設定から、コード更新を展開する前にバックアップを自動化してGitOpsを強化することまで、あらゆるユースケースに当てはまります。GitOps自体は、設定の変更をKubernetesリソースにまでロールバックする機能を提供します。ただし、不適切な変更によって永続ボリューム上のデータが変更された場合(スキーマの誤った変更やテーブルの削除など)は、迅速に復元可能な最新のバックアップが必要になります。

チーム ステートレス

お気に入りのDBaaSを、Kubernetesでホストされ、オペレーターによって管理される真新しいデータベースに切り替える気持ちはまだ整っていませんか?Kastenがお客様の支えとなります。Kubernetesネイティブのデータ保護が依然として必要な理由をご紹介します。

ステートはどこかに存在する必要がある — データはクラスター外のどこにでも保存できますが、通常はDRまたはコンプライアンス上の理由から、アプリケーションのポイントインタイム導入を再現できることが依然として重要になります。Kastenは、基本的にはデータ保護運用のために設計されたオーケストレーションエンジンです。Kastenのブループリント機能ならクラスター上のデータサービスを静止させる堅牢な制御が可能ですが、外部データサービスのスナップショットやバックアップのオーケストレーションにも活用できます。これには、データベースの論理ダンプのオーケストレーションや、DBaaS APIとの直接統合が含まれます。GitOpsは絶対確実ではない — 多くの管理者やエンジニアは、何らかの形で「本番でのテスト済み」を経験しています。これは、<insert important reason here>のために、変更管理プロセスを迂回して、変更が本番のインスタンスに加えられたことを意味します。したがって、デプロイされた内容の唯一の信頼できる情報源は、実行時にクラスター自体から得られます。デプロイされた各アプリケーションに関連付けられたマニフェストの定期的なバックアップを作成することで、これらの不一致が確実にキャプチャされ、元の環境を忠実に再現してDRや規制要件をサポートできます。コンテナイメージの保護 — Kastenは、ImageStreamコンテナイメージの保護やリストアのサポートなど、 Red Hat OpenShiftが提供する高度な機能の多くと統合されています。イメージストリームは、アップストリームのKubernetesと比較して、コンテナイメージを構築およびデプロイするための豊富な機能を追加します。クラスターステートの見逃されがちなソースとは、デフォルトでクラスターの内部コンテナレジストリにプッシュされるImageStreamのコンテナイメージです。ソースから再構築しても、結果のイメージが同じであるという保証はありません。繰り返しになりますが、環境を完全に再現したり、クラスターの損失から復元したりするには、信頼性の高いバックアップが必要になります。Kubernetes上の仮想マシン — KubeVirtプロジェクトとそのコントリビューターのおかげで、Kubernetes上のコンテナ化されたワークロードとVMを並行して実行できるようになりました。これにより、組織はKubernetes関連のツールやプロセスを合理化できると同時に、完全なクラウドネイティブアプリ化されていない、あるいは変換されないワークロードへのシンプルな入口を提供することができます。VMはKubernetes上でも本質的にステートフルですが、従来のVMバックアップツールでそれらを保護することはできません。Kasten V7.0なら、OpenShift Virtualizationを実行するKubernetes上のVMのバックアップとリストアに関して、クラス最高のサポートを提供します。

「Kubernetesのデータ保護」チーム

Kubernetesは、「ステートレスなワークロードにのみ適している」という固定観念にかかわらず、あらゆるタイプのワークロードをサポートするように進化してきました。組織がクラウドネイティブへの投資から最大限の価値を引き出そうとしている現状では、ステートフルなワークロード実行への継続的な移行は避けられません。パフォーマンスとモビリティの向上、コピーデータ管理の簡素化、ポリグロットパーシステンス、コスト削減などの潜在的なメリットを実現しましょう。

実行するワークロードがステートフルかステートレスかにかかわらず、データ保護が重要であることに変わりはありません。Veeam Kasten for KubernetesはKubernetesネイティブのソリューションを提供し、アプリケーションとデータのバックアップ、ディザスタリカバリ、アプリケーションモビリティ、ランサムウェア対策を可能にします。さらに、データ保護をアプリケーションの導入に統合することで、GitOpsを使ったアプローチが強化されます。最終的に、Kubernetesにステートフルなワークロードを導入することで、収益機会が広がるだけでなく、柔軟性やセルフサービス、投資対効果の向上、そして運用の合理化が組織にもたらされます。

Veeamが提供するVeeam Kasten Freeソリューション、またはEnterprise評価版をお試しください。今すぐ開始しましょう。

Read more

Veeam強化リポジトリのためのハードウェアの選択と環境の設定

Veeam強化リポジトリは、Veeamのネイティブソリューションであり、Linuxサーバー上のVeeam Backup & Replicationのバックアップに信頼できるイミュータビリティを提供します。汎用Linuxサーバーをサポートすることで、Veeamはベンダーロックインなしに常にハードウェアの選択肢を提供します。また、Veeamでは、顧客は信頼できるLinuxディストリビューション(Ubuntu、Red Hat、SUSE)を使用でき、「カスタムVeeam Linux」の使用を無理強いされることはありません。

強化リポジトリは、3-2-1ルールに準拠し、強化リポジトリをオブジェクトストレージのオブジェクトロックやWORMテープなどの他の書き換え不能オプションと組み合わせながら、Veeamバックアップのイミュータビリティを確保するのに役立ちます。このブログ記事では、後から強化リポジトリとして使用する物理サーバーの環境を選択して準備する方法を説明します。今後のブログ記事では、準備と計画、Linuxシステムの保護、Veeam Backup & Replicationへの統合といったトピックを取り上げていく予定です

せっかちな場合は、内部ディスクを備えた(高密度の)サーバーを使用してください。このアプローチでは、新しい強化リポジトリノードごとに、CPU、RAM、RAID、ネットワーク、ディスク容量、I/Oパフォーマンスが増えるため、直線的に拡張できます。高密度のサーバーを満載したラックでは、約8 PBのネイティブ容量が得られます。Veeamのネイティブデータ削減とXFSスペース削減(ブロッククローニング)により、1つのラックで最大100PBの論理データが節約され、バックアップ速度は最大で420TiB/hです。

小規模な環境でも心配はいりません。2つのラック ユニット、12のデータ ディスク、オペレーティング システム用の2つのディスクから開始します。

ネットワーク

ネットワークは、強化リポジトリが目標復旧時点(RPO、消失可能な最大データ量)と目標復旧時間(RTO、リストアにかかる時間)の達成を支援する上で重要な要素です。「永久増分」バックアップの世界では、「永久増分」アプローチの低帯域幅要件のために、ネットワークが忘れ去られることがあります。「完全リストア」シナリオを想定して設計することをお勧めします。好みの計算ツールを使用し、復元要件に合わせることにより、帯域幅を見積もります。

さまざまなネットワーク速度で、10 TBのデータをコピーするのに要する時間の例を以下にいくつか示します。

1 Gbit/秒                    22時間45分

10 Gbit/秒                 2時間15分

20 Gbit/秒                 1時間8分

40 Gbit/秒                 34分

100 Gbit/s 14分未満

100 Gbit/sは、現実的には、今日の顧客がリポジトリ・サーバーに置く最速の速度です。HPEは 2021年にApollo 4510 サーバーで、このような速度が単一のサーバーで達成できることを示しました。

しかし、それは帯域幅だけではありません。また、冗長性も重要です。スイッチ・インフラストラクチャへのネットワーク・ケーブルが1本しかない場合は、単一障害点を意味します。強化リポジトリには冗長なネットワーク接続を使用することをお勧めします。お使いのネットワーク機能により、それが負荷分散を備えたアクティブ/アクティブ リンク (LACP/802.3adなど)となる場合もあれば、単純なアクティブ/パッシブシナリオとなる場合もあります。

LinuxはVLANタグを使用して簡単に設定できますが、KISS原則ではタグなしのスイッチポートの使用が必須となります。つまり、LinuxでVLANを使用せずにIPアドレスを直接設定するということです。現在のところ最小の冗長構成となるのが、2つのスイッチ/スイッチスタックへの2つの10 Gbit/s接続です(ネットワーク環境によって異なります)。

Linuxセキュリティアップデートを受信するには、Linuxディストリビューションのセキュリティアップデートサーバーにアクセスできる必要があります。

シンプルにするため、ファイアウォール外部への送信用のHTTPインターネットアクセスを許可します。インターネット全体ではなく、選択したLinuxディストリビューションの更新サーバーへの接続のみが許可されます。これに代替する手段として、ご希望のLinuxディストリビューションのミラーを設定して、そこからアップデートとソフトウェアを取得することもできます。

適切なサーバーベンダーとモデルを見つける

Veeamでは、強化リポジトリとして内部ディスクを備えたサーバーを使用することをお勧めします。内部ディスクを推奨するのは、攻撃者がストレージシステムにアクセスしてストレージ側の全てを削除できるリスクを排除できるからです。サーバー・ベンダーによっては、「Veeamバックアップ・サーバー」モデルを採用している場合があります。これらのサーバー・モデルは、バックアップ・パフォーマンス要件に合わせて最適化されており、ベンダーの推奨事項に従うのも良い考えです。

ご希望のLinuxディストリビューションがある場合は、そのLinuxディストリビューションで認定されているモデルを選択するのが理にかなっています。事前検証済みの設定により、Linuxを操作する時間を大幅に節約できます。大手ブランドには通常、Ubuntu、Red Hat(RHEL)、SUSE(SLES)など、主要なLinuxディストリビューションと互換性のあるサーバーがあります。

以前、HPEについて言及したように、CiscoにはS3260シリーズおよびC240シリーズのVeeamを対象とした「シスコ検証済み設計」があります。Veeamとしては、以下の必須要件を満たしてさえいれば、どのサーバーベンダーでも技術的には問題ありません。

バッテリ駆動のライトバックキャッシュ(または同様の技術)を搭載したRAIDコントローラ

障害予測分析機能を備えたRAIDコントローラーを強く推奨

ディスクが多数(50個以上)存在する場合、RAIDコントローラの速度制限(多くの場合、約2GByte/秒)があるため、通常は複数のRAIDコントローラーが有効

オペレーティング・システムとデータ用の分離されたディスク

オペレーティングシステムにはSSDを強く推奨

冗長電源

必要なリンク速度を持つ冗長ネットワーク(上記参照)

Veeamではデフォルトで非常に高速なLZ4圧縮が使用されるため、CPU速度はそれほど重要ではありません。サーバーベンダーが提供するどのようなサーバーでも問題ありません。多くのCPUコアは、多くのタスクを並行して実行するのに役立ちます。RAMは、CPUコアごとに4 GBがベストプラクティスでは推奨されています。16コアCPU×2個を選択した場合は、128 GBのRAMが最適です。このようなサイジングは「単純化しすぎている」ように聞こえるかもしれませんが、私たちのテストや本番環境では何年も問題なく機能しています。

基本的なサーバー設定

Linuxオペレーティングシステムをインストールする前に、いくつかの設定を行う必要があります。前述のように、オペレーティング・システムとデータは異なるディスク上で分離されています。正確には、異なるRAIDセット。

Linuxオペレーティング システムの場合、専用のRAID 1が使用されます。100 GBもあれば十分です。データディスクの場合、ほとんどの顧客がRAID 10よりも費用対効果の優れたRAID 6/60を選択します。RAID 5/50やその他のシングルパリティオプションは、安全上の理由から推奨されません。RAID 6/60は、少なくとも1つのスペア ディスクを「ローミング構成」で構成する必要があります。つまり、故障したディスクはスペアディスクで交換でき、本番ディスクになります。

サーバにはライトバックキャッシュ付きの適切なRAIDコントローラが装備されているため、内部ディスクキャッシュを「無効」に設定する必要があります。推奨されるRAIDストライプサイズは、サーバーベンダーによって文書化されている場合があります。情報が提供されていない場合は、128 KBまたは256 KBが適正な値となります。

UEFIセキュアブートを有効にして、署名されていないLinuxカーネルモジュールがロードされないようにします。

ディスクの破損について通知を受け取る方法は?

サーバー/Linuxシステムを強化する際の最大の課題の1つは、障害が発生したディスクに関する通知を受け取る方法です。最新のすべてのサーバーには、「帯域外」管理があります(HPE iLO、Cisco CIMC、Dell iDRAC、Lenovo XCCなど)。ディスクとRAIDのステータスを表示し、ディスクの障害について電子メールで通知できます。このタイプの通知には、後でLinuxで何も構成する必要がないという利点があります。管理インターフェイスで多要素認証を構成できる場合は、それを使用することをお勧めします。

マルチファクター認証は、帯域外管理システムが過去に抱えていた多くのセキュリティ問題を防御するものではないことを心に留めておいてください。顧客はセキュリティ上の理由から、帯域外管理システムの使用を避けることがよくあります。攻撃者が帯域外管理の管理者になった場合、オペレーティングシステムに触れることなく、強化リポジトリのすべてを削除できます。妥協案としては、管理ポートの前にファイアウォールを配置し、発信通信のみを許可することが考えられます。これにより、ディスクに障害が発生した場合に電子メール通知を送信できます。しかし、ファイアウォールはすべての着信接続をブロックするため、攻撃者は管理インターフェイスを攻撃/ログインできません。

デザインは次の例のようになります。

帯域外管理ポートを完全に取り外すことにした場合、障害が発生したディスクに関する通知は、Linuxオペレーティングシステム上で実行されているソフトウェアで構成できます。サーバーベンダーは、オペレーティングシステム内部からステータスを表示したり、RAIDを設定したりするためのパッケージを提供することがよくあります(例: http://downloads.linux.hpe.com/ )。これらのツールは通常、電子メールを直接送信できますが、スクリプトを使用して構成できます。ベンダー固有ツールのスクリプト作成と設定は、この記事の範囲外です。

もう一つの選択肢は、物理的またはカメラによる監視です。毎日テープを交換していて、強化リポジトリサーバーのステータスLEDを物理的に確認できる場合は、これを回避策にできます。また、強化リポジトリサーバーに向けるカメラを設置したお客様の声も聞いたことがあります。その後、お客様はカメラを介してディスクのLEDを定期的にチェックします。

まとめ

Veeamを使用すれば、イミュータブルなストレージや、WORM準拠ストレージへのVeeamバックアップの格納も簡単です。非常に多くのベンダーとオプションがあるため、サーバーハードウェアの選択は困難な場合があります。次の手順に従って、選択肢を制限し、決定をスピードアップできます。

リポジトリで必要なディスク容量を 計算します。ご希望の(かつVeeamがサポートしている)Linuxディストリビューションを選択します(Veeamのお客様の間では、UbuntuとRHELが最も人気があります)。Linuxディストリビューションのハードウェア互換性リストをチェックして、いくつかのベンダー/サーバーモデルを確認してくださいサーバーベンダーに相談して、要件に合ったソリューションを提供するように依頼します

サーバーベンダー側からのアドバイスがない場合は、次の点を確認してください。

SSDを使用する場合、IOPSは問題ありません。回転ディスクを使用する場合は、純粋なディスク領域だけでなく、I/O制限にも注意してください。ディスクが提供できる速度は、アクセスパターン(シーケンシャルかランダムか)に依存するため、厳密なルールはありません。控えめに計算すると、RAID 60ではディスクあたり10〜50 MByte/sです。シーケンシャルリードでは、7k NL-SASディスクは80 MByte/sまたはそれ以上の速度を実現できます(これにはすべてのRAIDオーバーヘッドが含まれます)上記で計算したリンク速度の2XネットワークカードCPUとRAMについては、Read more
Hannes Kasparick
Hannes Kasparick

Senior Analyst, Product Management

ランサムウェア対策:デジタル世界を守る

ランサムウェアは、多くの企業が直面している問題です。『 2023ランサムウェアトレンドレポートによると、調査対象企業の85%が過去12ヶ月に少なくとも1回のサイバー攻撃を経験しています。影響を受けた企業データのうち、回復できたのはわずか66%でした。ランサムウェアが脅威であることは紛れもない事実ですが、防御戦略を立てることでリスクを大幅に軽減できます。

同じ統計によると、これらの企業のうち16%は身代金を支払っていません。回復できたのは、堅牢なランサムウェア防止システムを導入していたからです。

ランサムウェア対策とは、攻撃のリスクを軽減するために実施できる、一連のプロアクティブな手段のことです。サイバー攻撃を阻止するには、堅牢なIDおよびアクセス管理(IAM)ポリシーを整備する必要があります。IAMを補完するため、SIEMやXDRなどの強力なセキュリティツールを用意して、セキュリティチームが脅威を検出、監視、調査、対応できるように支援する必要があります。最後に、攻撃が成功した場合に迅速かつクリーンな復元ができるように、フェイルセーフなバックアップセットを確保します。これらの対策には、以下などがあります。

堅牢なIDとアクセスの制御

メールのセキュリティ

ネットワークのセグメント化

定期的なソフトウェアアップデート

一貫性のある従業員教育

Webブラウザのセキュリティ

エンドポイントの強化

2つ目の目的は、安全で書き換え不能なバックアップとスナップショットを確実に入手して、攻撃を受けた場合にデータの復元を容易にすることです。

ランサムウェアについて:簡易ガイド

ランサムウェアは、被害者の情報やデータを暗号化する悪意のあるソフトウェアです。FBIによると、サイバー犯罪者がデバイスやアプリにアクセスするために使用する一般的な方法は次のとおりです。

フィッシング:マルウェアをホストするサイトへのリンクが含まれたメール、テキストメッセージ、またはソーシャルメディアの投稿

ドライブバイ攻撃:訪問者のデバイスやシステムにマルウェアをダウンロードさせる、感染したWebサイトへの誘導

ソフトウェアの欠陥の悪用:エンドポイントやサーバーにおけるソフトウェアの脆弱性を通じたシステムへのアクセスの奪取

感染したリムーバブルドライブ:悪意のあるウイルスやマルウェアが仕込まれたUSBなどのリムーバブルドライブの挿入によるデバイスの感染

ソーシャルエンジニアリング攻撃:これらの攻撃は、悪意ある行為を目的に、企業の従業員や請負業者を標的にして、被害者に機密情報を漏えいさせます。

サイバー犯罪者は、システムへのアクセスを奪取すると、暗号化の対象となるデータサーバーを探索するランサムウェアの実行ソフトウェアをダウンロードします。いったん暗号化されると、サイバー犯罪者は復号化キーと引き換えに身代金の支払いを被害者に要求します。また、これらの犯罪者は、機密データを含むファイルを不正に転送し、身代金を支払わなければそのデータを公開または販売すると脅迫することもよくあります。

残念ながら、身代金の支払いが常にうまくいくとは限りません。4件中1件は、復号化キーに欠陥があります。キーが機能しても、暗号化されたデータのうち、復元できるのは平均でわずか55%に過ぎません。

ランサムウェア対策の重要な役割

ランサムウェア攻撃は、サイバー犯罪者にとって非常に有益です。金融犯罪捜査網(Financial Crimes Enforcement Network)によると、2021年のランサムウェアインシデントによる被害総額は約$12億に上ります。また、ランサムウェアインシデントから復旧するまでに平均で3週間半かかるという事実も、同様に憂慮すべき事実です。インシデントが発生すると、企業は多額の経済的損失や風評被害を被る可能性がありますが、顧客の住所、社会保障番号、クレジットカード情報など、個人を特定できる情報(PII)が公開されたり、闇市場で販売されたりするため、顧客も同様に影響を受けます。

このことから、ランサムウェア攻撃を防ぎ、被害を軽減する戦略を確実に実施しておくことが重要な役割が浮き彫りになります。ビジネスが攻撃を受けるのを防ぐ確実な方法というものは存在しません。ですが、包括的なサイバー回復性戦略を策定することで、攻撃の影響を軽減し、機密情報を復元できる可能性を高めることができます。

次のセクションでは、ランサムウェア攻撃を阻止する方法について説明します。

強力なランサムウェア対策戦略の策定

ランサムウェアの撃退には、多層的な戦略が不可欠です。複数の防御層が必要なのは、ハッカーが1つの層を侵害した場合でも、防御が維持されるためです。1つですべてを賄えるソリューションは存在せず、予防戦略や復元戦略を組み合わせて総合的な対策とします。

複数のレイヤーにより、ランサムウェア攻撃をさまざまなポイントで、さまざまなタイプの攻撃に対して防ぐことができます。こうした戦略には、従業員トレーニング、システムの攻撃防御能力の強化、そしてデータ回復力の強化などがあります。

強力な認証と承認:アクセスの保護

防御の最前線となるのが、パスワードを使わない強力なIDおよびアクセス管理戦略です。パスワードは簡単にハッキングされ、覚えて維持するのが困難です。組織では、従業員とワークロードに対して、パスワードレスアプローチまたはパスキーへ移行することを強くお勧めします。

企業の情報、システム、デバイスへのアクセスに 多要素認証 (MFA)を確実に実装することで、ゼロトラストアプローチを強化します。たとえば、Windows Helloのようなパスワードレスソリューションと、PINや、認証のために位置情報の物理的検証を要求するMicrosoft Authenticatorなど、第2の認証形式を併せて活用します。

セキュリティソリューション:最良のパートナー

セキュリティソリューションは、サイバーセキュリティチームがサーバーやオペレーティングシステムを攻撃から迅速かつ効果的に保護するための取り組みを支援するために存在しています。SIEMおよびXDRソリューションは、ネットワークトラフィックを監視し、異常なネットワークアクティビティやサイバー脅威を検出して、マークすることができます。ファイアウォールは、ネットワークとインターネットの間や、VPNとネットワークパーティションの間の不正なトラフィックを防止します。ウイルス対策ソフトウェアは、特にコンピューターウイルスやマルウェアを検出して遮断する一方、エンドポイントセキュリティは、コンピューター、プリンター、サーバー、IoTデバイスなどのネットワーク上のデバイスを保護します。クラウドベースのソリューションは、仮想化されたセキュリティを使用して、仮想マシン、サーバー、ネットワークを保護します。信頼できるセキュリティソリューションを選択し、セキュリティソフトウェアを最新の状態に保ちましょう。

アクセス制御とネットワークセグメンテーション

堅牢なアクセス制御機能を採用します。システムを分離して、感染の可能性を封じ込めます。脆弱で価値の高いシステムがインターネットに外部からアクセスできないようにします。最小権限の原則を採用して、ユーザーが業務を遂行する上で必要なリソースのみにアクセスを制限します。

メールフィルタリングとWebセキュリティ

メールは、ランサムウェアマルウェアを配布する一般的な手段の1つです。ハッカーは、これらの電子メールを本物に見えるように偽装します。堅牢なメールフィルターを設定し、フィッシング攻撃を検出して、堅牢なスパムフィルターを有効にします。Microsoft 365などのコラボレーションアプリには、高度なフィッシング対策機能が組み込まれています。その他にも、モバイルデバイスにおけるSMSや音声フィッシングなどの形態を取るフィッシングがあります。

ソフトウェアとシステムのアップデート:脆弱性の解消

完璧なソフトウェアなど存在しません。どれほど徹底的にテストを行ったとしても、脆弱性はどこかに必ず潜んでいます。サイバー犯罪者はこうした脆弱性を探し求めており、見つけた場合にはそれを悪用して、マルウェアの設置、データの窃取、ファイルの暗号化を行います。ハッカーがこれらの脆弱性を悪用するのを防ぐには、可能な限り早急にセキュリティパッチを適用することが極めて重要となります。サポート対象外の古いソフトウェアは、攻撃に対して特に脆弱です。

一貫性のある従業員トレーニングおよび意識向上

従業員は、セキュリティ体制を強化し、デジタル資産を保護する上で重要な役割を果たします。従業員が自身と組織を保護できるように、従業員のトレーニングと意識向上の取り組みに投資しましょう。KnowBe4Gophishといった教育ツールを使用して、様々な形態のフィッシング攻撃とその対応方法について従業員をトレーニングします。無料Wi-Fiはハッカーには格好の標的のため、個人および企業のデバイスでの使用は避けるべきです。サイバー犯罪者が、誤解を招くURLをどのように使用しているかを紹介するとともに、広告にマルウェアを隠匿して感染させることが多い、海賊版Webサイトにアクセスする危険性についての認識を高めます。

安全なダウンロードの実践

ハッカーはファイル、アプリ、メッセージ、ブラウザにマルウェアを簡単に添付できるため、安全なダウンロード方法を採用することは極めて重要です。信頼できるサイトからのみファイルまたはソフトウェアをダウンロードし、これらのサイトにブラウザのアドレスバーに「https」があることを確認してください。「http」サイトは安全ではないため、避けてください。また、通常はアドレスバーの左側(サイトのURLの前)に表示される、盾のエンブレムまたは鍵のマークがあるのを確認してください。サイトの認証情報が疑わしい場合は、「概要」ページと、住所や固定電話番号などの情報を確認してください。不審なWebサイトや、メールまたはメッセージアプリ内の不明なリンクからファイルをダウンロードしないでください。不審なメールを報告する。添付ファイルを開く前に、セキュリティソフトウェアでスキャンすることをお勧めします。

バックアップの力:データの回復力

バックアップは、決意を定めたランサムウェア攻撃に対抗する最も重要かつ最終防衛線です。最初のステップとなるのが、バックアップおよびレプリケーションコンソールの保護です。というのも、コンソールがないと、何をすればよいかが分からなくなってしまうからです。デジタル資産を強化し、強力なIDとセキュリティ対策を講じるだけでなく、貴社の復旧と貴社データのリストアを迅速に行えるように、構成設定をバックアップしておくことは欠かせません。これにより、コンソールが破損していたり、暗号化されたりした場合に、そのコンソールをリストアできます。また、次のガイドラインに従って、ランサムウェア攻撃からバックアップストレージを保護することも極めて重要です。

定期的なバックアップの実行:最新のバックアップは、最新のトランザクションが含まれたバックアップであるため、最も重要なバックアップです。定期的なバックアップで、ランサムウェア攻撃が発生した際のデータ消失を最小限に抑えます。トランザクションの量、その価値、および複数のバックアップのコストに見合った頻度を選択してください。

イミュータビリティの確保:バックアップをイミュータブルにします。つまり、バックアップの上書き、変更、修正ができないようになります。イミュータビリティは、ランサムウェア攻撃や意図せぬ削除から保護します。

バックアップの暗号化:バックアップは常に暗号化してください。暗号化されていると、ハッカーがバックアップにアクセスしたり、それを傍受したりしても、バックアップを読み取ったり窃取したりすることはありません。これにより、バックアップのセキュリティがさらに強化されます。

バックアップの検証:バックアップを検証する必要があります。使用するバックアップソフトウェアによっては、破損していたり、不完全であったり、使用できなかったりするバックアップが作成される可能性が十分にあります。バックアップを確認する最善の方法は、仮想マシンをセットアップしてテスト リストアを実行することです。または、ファイルレベルでバックアップをチェックする自動バックアップ検証ソリューションを使用します。また、リストアプロセス中にデータを暗号化する可能性のあるマルウェアの痕跡がないか、バックアップをスキャンします。

バックアップへのアクセスを制限:アクセスをできるだけ少数のキーパーソンに制限し、高レベルの認証手順を使用してアクセスを制御します。バックアップサーバーをオンラインシステムから分離します。

3-2-1-0 バックアップルールの採用:オンラインデータセット以外に3つの冗長バックアップセットを保持します。2種類以上の異なるメディアを使用してデータを保存します。これは、ハード・ドライブ、安全なクラウド・リポジトリ、またはテープのいずれであってもかまいません。簡単にアクセスできるように1つのコピーを企業システム内に保管し、もう1つのコピーはオフサイトのオフライン環境で安全に保管します。これにより、ランサムウェアや自然災害、その他の災害から保護されます。3-2-1-0バックアップルールの最後の桁である「0」は、バックアップをテストしてエラーがゼロであることを確認することの重要性を示しています。

結論:ランサムウェアに対する防御を強化する

ランサムウェアは今もなお脅威であり続けています。

同時に、サイバー犯罪者の手が及ばないイミュータブルバックアップにアクセスできた企業は、最小限の中断でシステムをリストアし、事業活動を再開することができました。

この成功は、以下のような複数の防御層を含む強力なランサムウェア防止戦略によってもたらされました。

強力なIDおよびアクセス管理アプローチ

脅威の検知、監視、調査、対応を専門とするセキュリティソリューションベンダー

堅牢なアクセス制御とネットワークセグメンテーション

メールフィルタリングとWebセキュリティ

脆弱性を防ぐための頻繁なソフトウェアアップデートとパッチ

一貫した従業員教育と意識向上プログラム

安全なダウンロードの実践

最後の保護レイヤーは効果的なバックアップ戦略で、異なる場所、異なるメディア、オフラインに保存された複数の冗長バックアップに依存しています。これをサポートするのが、不変性、バックアップの暗号化、バックアップの検証です。他の全ての対策が突破された場合、安全なランサムウェア対応復元ソリューションが、ランサムウェアに対して最も優れた保護機能を果たします。

あらゆる企業にとって、ランサムウェアの脅威は増大しています。統計によると、ほとんどの企業がランサムウェア攻撃を経験しています。バックアップが暗号化されていたために、多くの企業が身代金の支払いを余儀なくされました。ほとんどの企業は、こうした攻撃からの復旧の際、平均3週間以上のダウンタイムを経験しています。

関連コンテンツ

ランサムウェア対策における6つのベストプラクティス

ランサムウェア対策の7つのベストプラクティス

Read more

Misha Rangel
Misha Rangel

Director, Enterprise Product Marketing

NISTフレームワークをデータ保護に活用

今日のデータドリブンの世界では、情報は最も重要な資産であり、機密データの保護は組織のセキュリティにとって不可欠になっています。米国国立標準技術研究所(NIST)は、企業のデータ保護を支援する 包括的なサイバーセキュリティフレームワーク (CSF)を提供しています。このフレームワークを理解して実装することで、組織はサイバーセキュリティ態勢を強化し、潜在的なリスクを軽減できます。

NISTサイバーセキュリティフレームワークの概要と利点

NISTデータ保護フレームワークは、データを保護するためのガイドライン、基準、ベストプラクティスを提供します。米国国立標準技術研究所によって開発されたNISTサイバーセキュリティフレームワークは、組織が堅牢なサイバーセキュリティプログラムを策定するのを支援しており、5つのコア機能(識別、保護、検出、対応、復元)に基づいています。

識別:この機能は、データ関連リスクの理解と管理に重点を置いています。これには、資産管理、リスク評価、および組織のデータランドスケープの包括的な理解の開発が含まれます。

このフレームワークにより、組織は体系的なアプローチをとって、データ関連のリスクを特定して管理できます。識別機能を実装することで、企業はデータ資産と関連するリスクを包括的に理解し、情報に基づいた意思決定を行い、リソースを効果的に割り当てることができます。

保護:この機能は、データの機密性、整合性、および可用性を確保するためのセーフガードを実装することを目的としています。アクセス制御、データ暗号化、従業員向けのセキュリティ意識向上トレーニングなどの活動が対象です。

検出:検出機能には、継続的な監視とプロアクティブな脅威検出が含まれます。これには、セキュリティ・イベント・ログ、侵入検知システム、異常検知などのアクティビティが含まれます。

フレームワークの「保護」および「検出」機能は、組織がプロアクティブなセキュリティ対策を確立するのに役立ちます。アクセス制御、暗号化、継続的な監視を導入することで、組織はデータ侵害を防止したり、早期に検出したりして、潜在的な影響を最小限に抑えることができます。

対応:この機能は、サイバーセキュリティインシデントの発生時に組織が取るべき手順を概説します。これには、インシデント対応計画、通信プロトコル、外部の利害関係者との調整が含まれます。

対応機能は、サイバーセキュリティインシデントに効果的に対応するために必要なツールと手順を組織に提供します。インシデント対応計画を策定することで、組織はインシデントによる被害を最小限に抑え、タイムリーなコミュニケーションを確保し、業務を効率的に復旧することができます。

復元:復元機能は、セキュリティ侵害後のサービスと操作の復元に重点が置かれています。これには、バックアップと復元の戦略、インシデント後のレビューの実施、将来のインシデントに向けたレジリエンスの向上が含まれます。

復元機能は、セキュリティインシデント発生後のビジネス継続性の確保に重点が置かれています。バックアップと復元の戦略を導入することで、組織はデータとシステムを迅速に復元し、ダウンタイムを削減し、運用を維持できます。

VeeamがNISTフレームワークの実装を導入する方法

サイバーセキュリティのフレームワークを導入するには、構造化されたアプローチが必要です。Veeamは、いくつかの主要機能を提供することで、企業がNISTサイバーセキュリティフレームワークを適用するのを支援できます。組織による、以下のデータ保護の取り組みの連携をVeeamがどのように支援するかご覧ください。

データのバックアップと復元:Veeamは、NISTフレームワーク‘の「保護」および「復元」機能と連携する、堅牢なバックアップおよび復元ソリューションを提供します。Veeam Data Platformを導入することで、組織は重要なデータの定期的なバックアップを作成し、アベイラビリティと整合性を確保できます。サイバーセキュリティインシデントが発生した場合、Veeamを使用することで、組織は迅速にデータを復元して、通常業務を復旧することで、ダウンタイムや中断を最小限に抑えることができます。

データの暗号化:暗号化はデータ保護において極めて重要な側面であり、Veeamは機密情報を保護するために強力な暗号化機能を提供しています。保存中および転送中のデータを暗号化することにより、組織はデータの機密性を保護するための要件を満たすことができます。

アクセス制御と認証:Veeamでは、「保護」機能のもう1つの重要な要素である、アクセス制御手段を企業が実装するのを支援します。Veeamにより、組織はきめ細かいアクセス制御を実施し、許可された人員のみがデータにアクセスしてデータを変更できるようにすることができます。さらに、Veeamは、マルチファクター認証を含む様々な認証メカニズムをサポートして、データアクセスのセキュリティを強化します。

継続的なデータ監視:NISTフレームワークは、潜在的な脅威を早期に検出するための継続的な監視の重要性を強調しています。Veeamは、組織がデータ保護環境を効果的に監視できるようにする監視機能とレポーティング機能を提供しています。組織は、 ランサムウェア攻撃などのセキュリティ侵害を示す疑わしいアクティビティや異常を プロアクティブに特定して、迅速に対応できるようになります。

インシデント対応とレポート:Veeamにより、インシデント対応の計画と実行を容易に行い、「対応」機能と連携します。Veeamのソリューションにより、組織は包括的なインシデント対応計画を作成し、通信プロトコルを確立し、セキュリティインシデント時の措置を調整することができます。Veeamでは、レポート作成機能も提供されているため、組織はサイバーセキュリティインシデントを文書化し、報告することができます。

セキュリティツールとの統合:Veeamはさまざまなセキュリティツールやテクノロジーと統合し、組織の全体的なサイバーセキュリティ態勢を強化します。Veeamと、セキュリティ情報およびイベント管理(SIEM)システムの統合により、組織はデータ保護とセキュリティの状況を包括的に把握できます。この統合により、脅威の検出、対応の調整、コンプライアンス レポートの作成が向上し、NISTフレームワークの目標に沿ったものになります。

どこから始めればよいですか?

サイバーセキュリティフレームワークは、サイバーセキュリティリスクを管理し、セキュリティ体制を改善し、業界のベストプラクティスに準拠するための包括的なフレームワークを組織に提供するため、セキュリティにとって重要です。セキュリティ体制を改善するための最初のステップは、組織に固有のリスクを理解することです。組織の現在のサイバーセキュリティ態勢を初期評価することで、データ保護対策の強み、弱み、ギャップを特定できます。環境を把握したら、重要なデータ資産に対するリスクに基づいてNIST機能の実装に優先順位を付け、実装計画を作成して、アクティビティ、リソース、タイムラインを概説できます。

Veeamは包括的なデータ保護ソリューションを提供し、企業がサイバーセキュリティフレームワークを適用するのを支援する上で重要な役割を果たしています。Veeamの機能の活用によって、組織はデータ保護の実践を強化し、リスクを軽減し、サイバーセキュリティ態勢を完成させることができます。最後に、Veeamのソリューションをサイバーセキュリティフレームワークと併せて導入することで、組織はデータ資産を効果的に保護し、サイバーセキュリティインシデントに対応して、価値ある情報を守ることができるようになります。データが企業にとって最も貴重な資産である現代において、データ保護に妥協の余地はありません。

Read more
Jeff Reichard
Jeff Reichard

Senior Director, Enterprise Strategy

WORM(Write Once, Read Many)とは?

業界全体でデータのプライバシーと保持に関する法律の厳格化が進む中、コンプライアンスへの対応は困難なタスクに思えるかもしれません。そこで今回ご紹介するのが、一度書き込んだデータを何度も読み込める「Write Once Read Many」(WORM)ストレージです。データを所定の場所にしっかりと固定し、偶発的な変更や意図的な脅威からデータを保護するように設計された、わかりやすいソリューションです。 Read more
Alexey Strygin
Alexey Strygin
Marco Escobar
Marco Escobar

Solutions Architect

インスタントデータバックアップとインスタントリカバリ:ダウンタイムの最小化

データ消失の危機に直面したときの胃が痛むような感覚は、ご存じのとおりです。業務を円滑に進めることを使命とするITプロフェッショナルとして、ダウンタイムは許されません。しかし、データ消失からの復旧が、時間とストレスの多い試練である必要がないとしたらどうでしょうか。新しいインスタントデータバックアップおよびリカバリソリューションを使用すると、数時間や数日どころか数分で業務を再開できます Read more
Billy Cashwell
Billy Cashwell

Principal Product Marketing Manager

Veeam Data Platformでデータの回復力を容易に実現する

データレジリエンスに関して、Veeam Data Platformは比類のない速さで、企業の要求とコンプライアンスの課題に応えるために必要なものを提供し続けています。1年前のインラインマルウェア検出の提供から、今日では幅広いプロアクティブな脅威検出機能が提供されるまで、データ、ひいてはビジネスの防御に関して、お客様がかつてないほど有利な立場に立っています。  Read more
Matt Crape
Matt Crape

Senior Technical Product Marketer

ハイアベイラビリティ仮想化のベストプラクティス

一貫した運用パフォーマンスを必要とする企業にとって、ハイアベイラビリティ(HA)仮想化には実行する価値があります。HAでは、常にアクセス可能で障害に対する回復力があり、迅速に復旧してダウンタイムを最小限に抑えるシステムを設計できます。中断が重大な結果をもたらす可能性のある今日のビジネス環境では、これは特に重要です。 Read more
Matt Crape
Matt Crape

Senior Technical Product Marketer