Veeam Softwareの中川です。パートナーやエンドユーザーを対象に、製品トレーニングを提供しています。Veeam Data PlatformのAdvancedエディション以上で提供される監視製品の「Veeam ONE」について、計12回にわたりご紹介します。
2回目:Veeam ONEのインストール, Veeam ONE Clientアクセス方法, 設定メニュー
3回目:Veeam ONE Client – データ保護環境の監視および考察
4回目:Veeam ONE Client – ランサムウェア対策のための事前定義アラーム
5回目:Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム
6回目:Veeam ONE Client – 仮想環境運用時のスナップショットも監視は必須
7回目:Veeam ONE Client – インテリジェント診断にアシストしてもらおう
8回目:Veeam ONE Web Client – アクセス方法, 設定メニュー, ダッシュボードの活用
9回目:Veeam ONE Web Client – スケジュールしたレポートを報告書に流用
10回目:Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート
11回目:Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート
12回目:Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能
5回目は「Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム」です。
Veeam Backup & Replicationユーザーの方々は、強化Linuxリポジトリやロック機能を設定したオブジェクトストレージによって、バックアップを保護する(変更/削除させない)施策は行われていると思います。しかし、設定変更されることを懸念し、その対策までなされている方は少ないのではないでしょうか。
悪意ある攻撃者の水平方向の動きにフォーカスしたVeeam ONEの監視アラームを紹介します。
バックアップリポジトリの不変設定の変更追跡のために事前に定義されたアラームです。
バックアップサーバや管理下OSへ不正ログインを防止するためのVeeam Backup & Replication v12で強化されたセキュリティ機能は12回目でご紹介します。
攻撃者はすぐには攻撃をしかけない
最近の悪意ある攻撃者は、次のステップを経て本番環境のデータを暗号化するそうです。物色している気配を検知すれば、防御策を立てられそうですね。
- バックアップを探す
- ネットワークを水平展開(ラテラルムーブメント)する
- バックアップの設定を変更する
- バックアップを削除する
- 本番環境のデータを暗号化する
事前に定義されたアラーム
「Alarm Management」画面で、「Immutability」という文字で検索すると、「Immutability」の文字列を含む4つの事前定義アラームが表示されます(図1)。今回は赤枠内の「Immutability change tracking」アラームを取り上げます。
参考までに、「Immutability State」アラームは不変の状態を確認するアラームです。デフォルトでデータ保護環境全体に割り当てられます。不変設定を変更する(無効にする)とアラートが通知されます。
悪意ある攻撃者が設定を無効にした場合、メール等で通知を受け取ることもできます。
v12の「Linux (Hardened Repository)」では不変の有効/無効の設定は存在せず、設定するのは不変期間のみです。図2の左側の図を参照ください。
Immutability change tracking
「Immutability change tracking」アラームは、「Veeam Backup & Replication」セクションにあります。このアラームのデフォルト設定は有効です。
図2はリポジトリの不変期間設定(赤枠内)画面です。期間が変更されるとこのアラームは通知されます。
事前に定義されたアラームの「Alarm Details」を確認します。
< Knowledge >
「The configured immutability period has been changed on one or several backup repositories or scale-out backup repository extents. (設定された不変期間が、1つまたは複数のバックアップリポジトリまたはスケールアウトバックアップリポジトリエクステントで変更されました。)」と記述があります。
< Cause >
「ランサムウェアや悪意ある攻撃者からのバックアップ削除のようなサイバー脅威に耐えるために、次の機能を提供しているが、これらのリポジトリの不変期間が変更されるとこのアラームが作動する。」と述べられています。
- WORM-compliant immutability for Linux Hardened Repositories and Linux performance tier of scale-out backup repository. (WORMに準拠した強化Linuxリポジトリとスケールアウトバックアップリポジトリのパフォーマンス層の強化Linuxリポジトリ)
- S3 Object Lock immutability for object storage repositories. (ロック機能による不変設定を行ったオブジェクトストレージリポジトリ)
< Resolution >
ここから下は、日本語に訳した解決策の全文です。
影響を受けたバックアップリポジトリの不変設定が、内部セキュリティポリシーに従って構成されていることを確認してください。設定を表示するには:
- Veeam ONE クライアントで、関連する「バックアップリポジトリ」または「スケールアウトバックアップリポジトリエクステント」の「Summary」タブを開きます。※3回目で紹介済み
- Veeam ONE ClientまたはVeeam ONE Web Clientで、「Scale-Out Backup Repository Configuration」レポートを生成します。※レポートは9回目で紹介します。
不変設定の変更を調査するには、Veeam ONE ClientまたはVeeam ONE Web Clientを使用して、Backup Infrastructure AuditまたはBackup Objects Change Trackingレポートを生成し、誰がいつ有効または無効にしたかを特定します。※こちらのレポートは10回目で紹介します。
変更が悪意的でなく、不変設定の調整が必要な場合は、以下の手順を実行します。
強化Linuxリポジトリの場合:
- Veeam Backup & Replicationコンソールを開く
- 対象のBackupサーバに接続する
- 影響を受けたリポジトリに移動する
- 認証方法に応じて、不変設定を構成するために必要な手順を実行する(※認証ユーザー変更の検討や不変期間の再設定)。
オブジェクトストレージリポジトリの場合:
- Veeam Backup & Replicationコンソールを開く
- 対象のBackupサーバに接続する
- 影響を受けたリポジトリに移動する
- 必要であれば、不変設定を再設定する。
必要に応じて、Veeam Backup & Replicationの公式ドキュメントを参照するか、Veeam Customer Supportでサポート・ケースをオープンください。
「Immutability change tracking」アラームのルール
このルールにより、不変期間の減少/増加に対してトリガーされ、「Warning (警告)」アラートが表示されます。不変期間の最少日数は7日です。7日未満に設定することはできません。
不変期間変更後のアラーム
アラームの内容を確認したところで、不変期間を7日から10日に変更してみます。
「バックアップリポジトリ」の「Summary」タブに表示される不変期間は直後に更新され、図5のアラームは5分ほどで表示されました。意図せず変更された場合には、このアラームによって悪意ある攻撃者の足あとを確認することができます。
どのユーザーアカウントで、どのように変更されたかを通知アラートの「Alarm Details」から確認できますが、レポートからも確認できます。追跡の詳細については10回目にご紹介します。
まとめ
今回は悪意ある攻撃者の水平方向の動きにフォーカスしました。バックアップだけを攻撃から守るのではなく、バックアップ周辺も注視する必要があるということですね。
Veeam ONEのアラームを活用することによって、物色中の形跡も監視することができます。その形跡から事前に対処することで、次のステップへ進めることを断念させることができたらと強く願います。
◆参考情報 ※Webブラウザの日本語翻訳機能をご利用ください。
・Predefined Alarms – Veeam Backup & Replication Alarms
https://helpcenter.veeam.com/docs/one/monitor/backup_alarms_events.html?ver=120
・Configuring DISA STIG Compliance for Ubuntu Linux Server
※Ubuntu 20.04 LTS ベースのLinuxサーバはDISA STIG にしたがって構成できます。設定は手動、またはVeeamが提供する自動構成スクリプトを適用することが可能です。下記Webページにスクリプトの入手先リンクがあります。
・All-Demo Session for Veeam Hardened Repository Playlist from VeeamON
・Securing Veeam Hardened Repository Against Remote Time Attacks
https://www.veeam.com/blog/securing-hardened-repository-against-remote-time-attacks.html
・Veeam Alliance Technical Programs
※オブジェクトストレージリポジトリでimmutable機能を使用するには、Veeamのサポート対象であり、オブジェクトストレージ側でオブジェクトロック機能を有効にする必要があります。機能の詳細については、各ベンダーのドキュメントを参照ください。
・Object Storage Repositories – Considerations and Limitations
https://helpcenter.veeam.com/docs/backup/vsphere/object_storage_repository_cal.html?ver=120