Veeam Softwareの中川です。パートナーやエンドユーザーを対象に、製品トレーニングを提供しています。Veeam Data PlatformのAdvancedエディション以上で提供される監視製品の「Veeam ONE」について、計12回にわたりご紹介します。
2回目:Veeam ONEのインストール, Veeam ONE Clientアクセス方法, 設定メニュー
3回目:Veeam ONE Client – データ保護環境の監視および考察
4回目:Veeam ONE Client – ランサムウェア対策のための事前定義アラーム
5回目:Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム
6回目:Veeam ONE Client – 仮想環境運用時のスナップショットも監視は必須
7回目:Veeam ONE Client – インテリジェント診断にアシストしてもらおう
8回目:Veeam ONE Web Client – アクセス方法, 設定メニュー, ダッシュボードの活用
9回目:Veeam ONE Web Client – スケジュールしたレポートを報告書に流用
10回目:Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート
11回目:Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート
12回目:Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能
11回目は「Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート」です。
暗号化の対象として、「構成バックアップ (推奨)」と「データ」があります。悪意ある攻撃者からバックアップやデータを保護するには、Veeamで実装する暗号化は有効な手段の一つです。
同時に悪意ある攻撃者が、バックアップサーバーへログインし、暗号化パスワードを変更したり、新たな暗号化パスワードを設定したりすることも想定されます。バックアップサーバーへ侵入されるかもしれない可能性を考慮し、暗号化パスワードも監視の対象にします。
保護のための暗号化パスワードの作成方法と、侵入をいち早く検知するための暗号化設定の変更追跡レポートをご紹介します。
暗号化パスワードの作成
暗号化パスワードは、メインメニュー – 「Credentials and Passwords」 – 「Encryption Passwords」から作成します。
暗号化パスワードを作成する上での注意点は図1右の赤色点線枠内です。
「Do not lose your passwords. Veeam Support cannot recover lost passwords or retrieve your data from encrypted backup files. (パスワードを紛失しないこと。Veeamサポートは紛失したパスワードを回復したり、暗号化されたバックアップファイルからデータを取り戻したりすることはできません。) 」と注意喚起しています。
このメッセージは安全にパスワードを管理してくださいというお願いと、悪意ある攻撃者が作成したパスワードで暗号化した場合、状況によっては暗号化されたバックアップからリストアできない可能性があることも示唆しています。そのため暗号化パスワードも監視対象とします。
構成バックアップの暗号化
構成のバックアップを実行すると、Veeam Backup & Replicationは構成データベースからバックアップサーバーのデータを取得し、そのデータをXMLファイルに書き込み、指定されたバックアップリポジトリへ拡張子「bco」で保存します。
※有事に備え、構成のバックアップはリモートから接続可能なファイル共有のリポジトリやオブジェクトストレージリポジトリへ保存することをおすすめします。ただしロック機能を有効にしたオブジェクトストレージリポジトリを選択することはできません。また構成のバックアップも3-2-1ルールの適用をおすすめします。
暗号化パスワード作成の終了時、図2左の警告メッセージが表示されます。
「Configuration backup is disabled for security purposes. Please configure encryption in the configuration backup settings before re-enabling. (セキュリティのため構成のバックアップは無効になっています。再度有効にする前に、構成のバックアップで暗号化を構成してください。) 」と注意喚起しています。
このメッセージにしたがい、メインメニューの「Configuration backup」から、「構成バックアップ」と「暗号化」の設定を有効にし、リストから暗号化パスワードを選択します。パスワードの識別は「Hint」の文字列を使用します (図1参照)。図2では、「Encryption Password required」が識別の文字列です。
設定変更の後は、「Backup now」で最新構成のバックアップをおすすめします。
構成バックアップの暗号化が無効の場合、構成のバックアップから任意のバックアップサーバーへ自由にリカバリーすることが可能になります。これは悪意ある攻撃者も自由にリカバリーできる環境を提供していることと同様になります。
だたし暗号化が無効の場合は大切な情報を構成バックアップへ保存しないようになっています。
無効時は、図2の緑色点線枠内の箇所には、「Saved credentials, backup server certificate and backup appliance data will not be include in the configuration backup until encryption is enabled. (暗号化が有効になるまで、保存された認証情報、バックアップサーバー証明書、およびバックアップアプライアンスデータは、構成バックアップに含まれません。)」と警告文が表示されます。
なぜ構成バックアップの暗号化は必要?
構成データベースには、暗号化キー(暗号化パスワードから生成されたキー等)やクレデンシャル情報(ユーザー認証に使用するユーザーIDやパスワード等の情報)を保存します (図3参照)。
バックアップサーバーは、構成データベースに保存された暗号化キーを使用して暗号化したバックアップデータを復号化したり、保存されたクレデンシャル情報を使用してジョブを実行したりします。重要な情報が保存される構成データベースのバックアップも安全に保護する必要がありますね。
構成バックアップの暗号化が有効の場合、構成バックアップのリカバリー中、元のバックアップサーバーの構成データベースに保存したクレデンシャル情報のリスト (図3と同様のリスト)を表示します。必要に応じてリスト内のユーザーアカウントのパスワード変更が可能です。
暗号化が無効の場合、クレデンシャル情報は構成バックアップに含まれませんから、リカバリー対象になりません。バックアップサーバーやジョブを正常に動作させるために、リカバリー中にリスト内のユーザーアカウントのパスワード入力を求められます。ユーザーアカウントのパスワードを入力せずリカバリーを進めることはできますが、リカバリー後パスワードは設定されていない状態です。
構成バックアップの暗号化は、パスワードの再入力タスクを減らすため、リカバリー後のバックアップサーバーやジョブを正常に動作させるための手段でもありますね。
バックアップデータの暗号化
ランサムウェア対策として、オフラインで物理的に隔離する(エアギャップ)、または書き換え不能なストレージにバックアップを保存する「3-2-1-1-0ルール」をVeeamは提唱しています。しかしこれらの環境を準備することができない場合もあります。その場合はバックアップデータの暗号化を検討ください。
※重複排除アプライアンスにバックアップを保存する場合、暗号化によって重複排除率に影響があることを考慮ください。
バックアップジョブの暗号化設定は、「Storage」 – 「Advanced」の「Storage」タブで行います。
暗号化パスワードを紛失 / 忘れた場合
暗号化パスワードを紛失または忘れた場合は、Veeam Backup Enterprise Managerのプライベートキーを使用して暗号化キーを復号化することができます。「Encryption Algorithms」をご確認ください。Veeam Backup Enterprise Managerとバックアップサーバーで使用される暗号化キー / 復号化キーの関係をわかりやすく図を使って説明しています。
図2または図4の緑色点線枠内には正常を示す緑色のアイコン (「Loss protection enabled」の左側)が表示されています。これは、このバックアップサーバーがVeeam Backup Enterprise Managerで管理されているからです。管理されていない場合は黄色の警告アイコンが表示されます。
暗号化パスワードのリストアには、事前にバックアップサーバーからパスワードのリストアをVeeam Backup Enterprise Managerへ依頼します。
図5左は構成バックアップのリカバリー時の暗号化パスワードの入力画面です。暗号化パスワードを紛失 / 忘れた場合は、「I forgot the password (赤色線枠内)」リンク文字列をクリックします。詳細手順は「Decrypting Data Without Password」をご確認ください。
Veeam Backup Enterprise Managerの管理者は依頼にしたがって、「キー管理」の「パスワードをリストアする (図5右の緑色点線枠内)」を実行します。詳細手順は「Handling Password Recovery Requests」をご確認ください。
「Backup Objects Change Tracking」レポート
暗号化パスワードの作成や設定変更を追跡するレポートをご紹介します。
図6は「Backup Objects Change Tracking」レポートの2ページ目の「Change Details」です。
バックアップサーバーを対象に、いつ、だれが、以前の設定から現在の設定に変更したかを確認できます。
図6の緑色線枠内の設定内容から、構成バックアップの暗号化に使用したパスワードの変更や暗号化パスワードの作成がわかります。意図した変更や作成でなければ、悪意ある攻撃者の侵入が予想されるため、問題が起きる前に処置する必要があります。
※図6の赤色下線の文字列は、暗号化パスワード作成時に入力した「Hint」の文字列です。
「Job Configuration Change Tracking」レポート
次にジョブの設定変更を追跡するレポートをご紹介します。
図7は「Job Configuration Change Tracking」レポートの2ページ目の「Details」です。
バックアップジョブを対象に、いつ、だれが、以前の設定から現在の設定に変更したかを確認できます。
ここでは、悪意ある攻撃者が新たに暗号化パスワードを作成し、既存のバックアップジョブに暗号化設定を行ったという想定です。暗号化設定後もバックアップジョブは正常に終了します。そのため悪意ある攻撃者によって作成 / 変更された暗号化パスワードに気付くのは難しいかもしれません。
バックアップデータの復号化は、構成データベース内の暗号化キーが利用可能な場合はバックグラウンドで自動的に行われます。しかし構成データベースの暗号化キーを利用できない場合は復号化のためのパスワード入力を求められます。パスワードの入力またはパスワードのリカバリーができない場合、バックアップからリストアできない事態を招きます。
攻撃者の侵入を検知する、およびバックアップからのリストア不可を回避するために、ジョブの設定変更の追跡をお役立てください。
まとめ
今回は暗号化パスワードとそのパスワードの設定変更を追跡するレポートを紹介しました。
構成バックアップの暗号化が必須であることや、悪意ある攻撃者による暗号化パスワードへのアプローチを監視する必要があることを認識いただけたのではないでしょうか。実際に悪意ある攻撃者の形跡を見つけたら怖いですね。
また攻撃者の潜伏期間は長くなりつつあるそうです。バックアップの保護はもちろん、長い潜伏期間の攻撃者の形跡を監視することも重要なタスクとなってきました。Veeam ONEを使用すると、バックアップインフラのコンポーネントやジョブの変更追跡が可能になります。Veeam Backup & Replication とVeeam ONEで盤石なバックアップインフラを運用いただけたらと思います。
12aでは暗号化キーを管理するKey Management Server (KMS)との統合機能が提供されると聞いております。KMSの使用によって暗号化パスワードの管理の煩雑さも軽減されるのではないでしょうか。
◆参考情報 ※Webブラウザの日本語翻訳機能をご利用ください。
・Backup Objects Change Tracking
https://helpcenter.veeam.com/docs/one/reporter/backup_objects_change_tracking.html?ver=120
・Backup Infrastructure Audit
https://helpcenter.veeam.com/docs/one/reporter/job_configuration_change_tracking.html?ver=120
・File Copy
※Veeamの「File Copy」機能を使用して、構成バックアップのファイルも3-2-1ルールを適用できます。
https://helpcenter.veeam.com/docs/backup/vsphere/file_copy.html?ver=120