ランサムウェア攻撃は、停電や自然災害と同じカテゴリに属するものと見なすべきです。迅速に復旧するという要件を欠かすことはできません。最近、データ保護業界の多くのベンダーがイミュータビリティとランサムウェア検知機能を宣伝しているのを見かけます。どちらの機能も、間違いなく企業のランサムウェア戦略の一環であるべきですが、回転ディスクやテープによる書き換え不能なコピーでは、ダウンタイムが長くなりすぎてしまうおそれがあります。攻撃者が要求する身代金が10万ドルで、ダウンタイムによる1日あたりのコストが50万ドルの場合、CEOやCFOにとってどちらを取るかの判断は簡単です。この時点で残る問題は、Bitcoinを送金するためにCoinbaseのアカウントをどうやって作成するのか、ということだけです。
加えて、ランサムウェアの検知・対策ツールは既にほとんどの企業で導入されています。現実的には、バックアップソフトウェアによってランサムウェアが検知されたバックアップが、何日も(または何週間も)前に取られたものである場合、いずれにしてもデータ損失コストが大き過ぎてリストアできない可能性があります。だからといってイミュータビリティ機能と検知機能を導入する価値が低いわけではありません。Veeamはこうした機能を重視していますが、企業が最優先すべきはランサムウェア攻撃から迅速に復旧できる能力です。
前置きはここまでとして、RTOを短縮し、身代金の支払いを回避できる可能性を現実的に高めるVeeamの復元機能を次に紹介します。
バックアップからのレプリカ – バックアップからレプリケートしたVMで、本番の負荷を継続的に軽減
ストレージスナップショットからの復元 – ストレージスナップショットからファイルやVMを迅速にリストア
高速リポジトリからの復元 – 高速メディアへのバックアップ
フェイルオーバー/フェールバック機能 – 同じUIとライセンスで従来のDR機能を提供
バックアップからのレプリカ
バックアップからのレプリカは、最も過小評価されているVeeam機能の1つです。バックアップからのレプリカの利点は、DRサイト内でバックアップリポジトリからVMを作成して、障害発生時にすぐにフェイルオーバーできるようにしていることです。つまり、本番VMに何の負荷もかけることなくレプリカを作成できます。RPOはバックアップソースに応じて24時間程度までになると思われますが、ほぼDRにあるVMを有効にするだけなので、RTOに関しては大幅に短縮されます。ちなみに、これはバックアップコピーのジョブから実行することもできます。
その「方法」を少し詳しく説明すると、レプリケーションジョブの仮想マシンを選ぶ際に、[Source(ソース)]を選択するだけです。下に示すように、本番ストレージではなくバックアップからレプリケートするオプションがあります。
もともとVMが構築されており、すぐに使用できるため、飛躍的に迅速なRTOを実現できます。障害が発生した場合はフェイルオーバーするだけで、VMが起動します。
ストレージアレイのスナップショットからの復元
過小評価されているもう1つのVeeam機能は、ストレージアレイ(Pure、NetApp、EMC、HPE、その他多数)のスナップショットからの復元です。スナップショットはVeeamによりオーケストレーションされていても、いなくても構いません。私がこの機能を紹介するとき、常にお客様に感心されるのは、Veeamが未取得のスナップショットまでカタログに表示することです。下のスクリーンショットのとおり、アレイ > LUN > スナップショット > VMの順でツリービューが表示されます。
インスタントVMリカバリの場合、ご覧のように、スナップショットのクローンが作成されESXiホストにマウントされるため、即座に使用できます。
最後に、これらがダミーではないかと疑いを抱く方がいる場合に備えて、vSphereにリストアされ、ログインできる状態になっているVMのスクリーンショットを以下に示します。
高速バックアップリポジトリからの復元
Veeam最大の強みの1つは、ソフトウェアのみであることです。ベンダーロックインもなければ、使用が必須のハードウェアプラットフォームもありません。現在、企業が全ワークロードをフラッシュベースのリポジトリにバックアップしているとは考えられませんが、環境内のレベル0またはレベル1のワークロード(5~10%)を、インスタントVMリカバリで短いRTOを達成できるリポジトリにバックアップして保護していることは珍しくありません。これまでの経験で、この戦略を取り、EMC Unity、Pure Flash Array C、HPE Nimble、その他多数の類似製品を使用してバックアップしているVeeamユーザーを見てきました。また、物理マシンをVMwareにインスタントリストアすることも可能であり、ベアメタル復元に代わる優れた手段となっています。
スナップショットベースのレプリケーションまたはCDPによるフェイルオーバーとフェールバック
より広く知られたVeeamの機能は、従来型のスナップショットベースのレプリケーションまたはCDP(継続的データ保護)で、これらは秒単位のRPOを必要とするSLAに対応します。この話題に関してはすでに多数の優れたコンテンツが提供されているため、さらに繰り返すことはしません。ここで強調したいのは、迅速なRTOだけでなく低RPOを必要とするワークロード向けに、CDPとスナップショットベースのレプリケーションが同一のUIおよびライセンスで提供されているということです。追加のコストや管理オーバーヘッドはかかりません。
まとめると、ランサムウェアからの効果的な復旧計画に関して戦略を立てる際の重要な懸念は、それが安価ではないことです。このような戦略は、データセンターの停電や自然災害と同じ観点から捉える必要があります。収益の高い企業は、テープや回転ディスクからのリストアはそのダウンタイムに見合う価値がなく、身代金を支払った方が安いと内心考えているかもしれません。場合によっては、身代金の支払いや攻撃後のブランドや評判の問題を避ける上でより効果的なランサムウェア戦略は、レプリケーション用のコンピューティングリソースとバックアップ用の高速ストレージを増やすことになります。