Veeam Softwareの中川です。パートナーやエンドユーザーを対象に、製品トレーニングを提供しています。Veeam Data PlatformのAdvancedエディション以上で提供される監視製品の「Veeam ONE」について、計12回にわたりご紹介します。
2回目:Veeam ONEのインストール, Veeam ONE Clientアクセス方法, 設定メニュー
3回目:Veeam ONE Client – データ保護環境の監視および考察
4回目:Veeam ONE Client – ランサムウェア対策のための事前定義アラーム
5回目:Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム
6回目:Veeam ONE Client – 仮想環境運用時のスナップショットも監視は必須
7回目:Veeam ONE Client – インテリジェント診断にアシストしてもらおう
8回目:Veeam ONE Web Client – アクセス方法, 設定メニュー, ダッシュボードの活用
9回目:Veeam ONE Web Client – スケジュールしたレポートを報告書に流用
10回目:Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート
11回目:Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート
12回目:Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能
このブログシリーズ最後の12回目は「Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能」です。
「Jobs Calendar」はv12からVeeam ONE Web Clientへ追加された機能です。ジョブのスケジュールを一覧し、ビジー状態を確認することができます。
また、「悪意ある攻撃者がバックアップサーバーへ侵入するかもしれない」を前提に、v12から
Veeam Backup & Replicationへ追加されたセキュリティ機能も併せてご紹介します。
ジョブカレンダー
ジョブカレンダーは、指定された期間にスケジュールされたジョブを視覚的に表示する機能です。「今後のジョブセッション」と「終了したジョブセッション」をカレンダー形式で表示します。
ジョブカレンダーを一覧することによって、バックアップサーバーへの過負荷の状況確認や過去に発生した問題回避のためのジョブ履歴の分析から、ジョブスケジュールの計画 / 見直しに役立てることができます。
カレンダーは日・週・月単位で表示可能です (図1赤色線枠内) 。このブログでは週 / 月単位のカレンダー表示をご紹介します。
< 月単位表示 >
デフォルトの表示は月単位です。図1は検証環境のジョブを月単位で表示したジョブカレンダーです。
月単位の表示では、完了したジョブセッションは塗りつぶし表示、スケジュールされたジョブセッションは透過的に表示されます (青色点線枠内)。
また、ジョブはタイプ別に色分けされます。たとえば、バックアップジョブは水色、レプリケーションジョブは青色 (日 / 週単位は青色ですが月単位は紫色に近いですね)、SureBackupジョブは濃い緑色です。その
完了したジョブセッション、またはスケジュールされたジョブセッションの任意の日付を選択すると、「Details」リンク文字列が表示されます (図1緑色点線枠内)。
図2は「完了したジョブセッション」の「Details」をクリックした後に表示される詳細画面です。
「ジョブタイプ」「ステータス」「開始時刻」「終了時刻」「セッション時間」「セッションの平均時間」「転送サイズ」を一覧で確認することができます。
「スケジュールされたジョブ」を選択した場合は、「ステータス」「終了時刻」以外の項目が表示されます。
< 週単位表示 >
図3は「完了したジョブ」を、図4は「スケジュールされたジョブ」を週単位で表示したジョブカレンダーです。
完了したジョブのカレンダー上の紫色の■にマウスオーバーすると、期間中に同時に実行されたジョブのセッション数を確認できます (図3赤色線枠内)。セッション数は日および週単位の選択時に表示されます。
セッション数の確認によって、ジョブのビジー状態を把握し、バックアップサーバーの過負荷を軽減するためにジョブスケジュールを見直したり、バックアッププロキシーの同時実行タスク数を検討したりすることができます
各ジョブでマウスオーバーすると、そのジョブのスケジュール内容を確認できます。図4の「スケジュールされたジョブ」では「ジョブタイプ」「ジョブの間隔 (Daily)」「開始時刻 (10:00 PM)」を確認できます。
「完了したジョブ」では、それらに「ジョブステータス」と「終了時刻」が追加されます。
ジョブカレンダーから、確認したい表示単位でジョブの「過去」「未来」そして「現在 (Today)」の状況を把握できます。見慣れたカレンダー形式の表示は、タスク管理に適したGUIかもしれませんね。
Veeam Backup & Replication v12で強化されたセキュリティ機能
ここからは、Veeam Backup & Replication v12から提供された「バックアップサーバーへログオン時の機能」と「OSへログイン時のクレデンシャル」について取り上げます。
< バックアップサーバー >
バックアップサーバーへログオン時の追加のユーザー認証としてMulti-Factor Authentication (MFA:多要素認証)が使用できるようになりました。2番目の検証方法としてモバイル認証アプリケーションで生成されるワンタイムパスワード (OTP) を使用します。
事前に「Multi-Factor Authentication」で要件と制限事項を確認ください。
MFAの設定は、メインメニューの「Users and Roles」から行います。図5の「Require two-factor authentication for interactive logon (緑色点線枠内)」を有効にすると、すべてのユーザーに適用されます。特定のユーザーのみMFAを無効にするには、ユーザーの編集画面で「This is a service account (disable multi-factor authentication) (青色点線枠内)」を選択します。MFAはユーザーが属するグループをサポートしませんのでユーザーを対象に設定します。
また、「Enable logoff after X min of inactivity (紫色点線枠内)」を有効にすると、指定した分数アイドル状態が続いた場合バックアップコンソールから自動的にログオフすることができます。
図5:MFAの設定方法
図6左の図は、MFAを有効にした、管理コンソールのログイン画面です。
ユーザーはログインするたびに、モバイル認証アプリケーションで生成された6桁の確認コード (図6右の図はコード例)を入力します。Veeam Backup & Replicationはコードが有効かどうかをチェックし、成功した場合にユーザーセッションを開始します。
※モバイル認証アプリケーションは、6桁の認証コードを生成できる標準ベースの TOTP (タイムベースワンタイムパスワード) アルゴリズムである RFC 6238 に準拠している必要があります。
< グループ管理サービスアカウントの利用 >
グループ管理サービスアカウント(gMSA)は、サービスのセキュリティ保護のためのドメインアカウントです。
管理者がパスワードの管理をすることなく、ランダムに生成された長く複雑なパスワードが30日ごとに自動的に変更されるため、運用の煩雑さを軽減するメリットもあります。
Windows OSを対象に、アプリケーション認識処理の「Guest OS credentials (図7青色点線枠内)」で、このグループ管理サービスアカウントを指定することができます。
グループ管理サービスアカウントは、Active Directoryユーザーとコンピューターの「Managed Service Accounts」コンテナに追加されている必要があります。グループ管理サービスアカウントの詳細は、マイクロソフト社提供の「グループ管理サービス アカウントをセキュリティで保護する」を確認ください。
バックアップサーバー側の手順や考慮事項は、「Using Group Managed Service Accounts」を確認ください。
< Single-use Credentialsの利用 >
Linuxサーバー接続時にSingle-useを選択すると使い捨て認証情報を使用することができます。
バックアップサーバーは使い捨て認証情報を使用して、Veeam Data Moverサービス / Transportサービスをインストールするために、LinuxサーバーへSSH接続します。以降は、SSH接続はせず、Transportサービスを使用して通信します。たとえば、Veeam Data Moverのアップグレードは、Transportサービスを介して行われます。
使い捨て認証には非rootアカウントを使用することをおすすめします。このユーザーアカウントはバックアップサーバーの構成データベースに保存されませんから、より安全な環境で運用することができます。
サービスのインストール後はリモート接続可能な環境のリスクを抑えるために、使い捨て認証に使用したユーザーアカウントのSSH接続を無効にする、またはコンソールからサーバーを操作できる場合はサーバー自体のSSH接続を無効にすることをおすすめします。
図8は、Veeam Agentを利用したバックアップジョブのクレデンシャル情報を追加する画面です。
非rootユーザーアカウントに、rootアカウント権限を付与するには、「Elevate account privileges automatically (紫色線枠内)」を有効にします。詳細手順は、「Linux Accounts (User Name and Password)」を確認ください。
クレデンシャル情報追加時に、「Linux private key」を選択すると、ユーザー認証に加え、サーバー認証情報として公開キー / 秘密キーを使用し、Linuxサーバーにログインすることができます。手順も含めた詳細は、「Linux Private Keys (Identity/Pubkey)」を確認ください。
まとめ
ジョブ結果を一覧で把握することはできませんか?というご質問をいただくことがあります。
ジョブカレンダーを使用すると、ジョブのビジー状態の確認だけではなく、完了したジョブの詳細を一覧表示できますから、「一目で結果を把握したい」というニーズに役立ちそうですね。
加えて、Veeam Backup & Replication v12で強化されたセキュリティ機能の中から認証関連をご紹介しました。ゼロトラストを前提にすると、バックアップサーバーに侵入されるかもしれないとセキュリティ対策を講じることは今後必須となりそうですね。
安全な環境で運用するために、Veeam ONEやVeeam Backup & Replication v12のセキュリティ機能がその手助けになりましたら幸いです。
このブログシリーズは今回の12回目で終了です。最後までお付き合いいただきありがとうございました。
◆参考情報 ※Webブラウザの日本語翻訳機能をご利用ください。
・Security Guidelines
https://helpcenter.veeam.com/docs/backup/vsphere/security_guidelines.html?ver=120
