バックアップとリカバリのベストプラクティス

ランサムウェアは起こる。備えましょう。

ランサムウェア攻撃は他人事だと思っていないだろうか?

もう一度考える

ランサムウェア攻撃は増加の一途をたどっており、あらゆる規模や業種の組織を標的にしている。

今日のビジネスにおけるデータの価値と、サイバー攻撃の憂慮すべき増加を考慮すると、重要なデータ資産の保護とセキュリティ確保は、企業における最も重要な責務の1つである。

この重要な使命を果たすために、データをロックダウンし、ランサムウェアやその他のセキュリティ侵害がもたらすリスクを軽減するためのベストプラクティスをまとめました。

 

3-2-1ルールに従う

堅牢なバックアップ、コピー、アーカイブ戦略の構築は、最も重要なデータとシステムを保護するための不可欠な第一歩です。

伝統的なアプローチは、3-2-1:ルールである:

  • データ3部
  • 最低2つのストレージ・ソリューション
  • 1つのメディアはオフサイト/代替ロケーションまたはクラウドにある

これはまだ良い方法ですが、バックアップターゲットの種類を慎重に選択することが重要です。 

このようなアプローチで使う。

WORMを働かせる

WORM

バックアップデータを保護する最も有用な方法の一つは、 WORM(Write Once, Read Many)機能を組み込んだコピーまたはアーカイブ戦略を導入することである。ほぼすべてのクラウドベースまたはオンプレムのオブジェクト・ストレージ・ソリューションが、この機能を提供している。

ブロッブ

WORMは、データの不変性、つまり変更不可能性を提供するように設計されている。このテクノロジーは、指定した期間、データの上書きや削除を防ぐ保持ポリシーを実装している。Object StorageバケットやAzure BLOB(BinaryLarge Object)コンテナは、コピーバックアップやアーカイブバックアップに最適なオプションだ。

あえて

クラウド・ストレージ・プロバイダーを検討する際には、DARE(Data-At-Rest-Encryption)、セキュアなトランスポート技術(VPNやHTTPS/TLS)、クラウド向けデータのAES 256暗号化などのセキュリティ対策を提供しているプロバイダーを探すこと。

オンプレミスの拠点をカバーする

オンプレミスのNAS(ブロック)ストレージ・オプションを、コピーやアーカイブの前の初期バックアップに使用する状況もあるだろう。このような場合は特別な配慮が必要である。

NASアプライアンスは通常、NFS(Network File System)やSMB(Server Message Block)のような標準を採用しています。バックアップシステムおよび/またはネットワークのセーフガードをさらに強化しないと、これらの標準は攻撃に対して脆弱になる可能性があります。

ベストプラクティスは、プライマリストレージターゲットがバックアップ専用であり、他のシステムに使用されたりマウントされたりしないようにすることです。さらに、最初のNASバックアップを保護するために、検出、通知、および防止機能を提供するバックアップおよびリカバリ・ソリューションを探してください。

スマートなポリシーの作成

もう1つのベストプラクティスは、重要なVM、データ、アプリケーションを保護するために、ポリシー駆動型のアプローチを採用することである。

そのためには、スナップショット、バックアップ/コピー/アーカイブ、データ保持、RPO(Recovery Point Objective)/RTO(復旧時間目標)などの適切なポリシー・オプションの設定について、慎重に考える必要があります。バックアップとリカバリのソリューションが、アプリケーションとデータが適切な一貫性で保護されるように、ポリシーを簡単に確立し、実施する機能を提供していることを確認してください。

バックアップとリカバリのポリシーは、「1回で終わり」というものではありません。状況は変化するため、ポリシーを定期的に見直し、組織のニーズ、そして進化するサイバー脅威を満たし続けるようにする必要がある。

安全なネットワークアクセス

  1. 選択したターゲットに基づいて、以下を検討してください:
    プライマリ・バックアップにNFSターゲットを使用する場合、アプライアンスはバックアップ・ソリューションからネットワーク・ストレージへのトラフィックを許可するホワイトリスト設定が必要になる場合があることに注意してください。
  2. SMBターゲットを選択した場合、作成した共有にアクセスできるアカウントを設定する必要があります。また、バックアップ・データ共有への不正なネットワーク・アクセスを許可しない(または不適切に許可しない)ことも重要です。
  3. クラウド・オブジェクト・ストレージをターゲットとする場合、アクセスを許可するためのアカウントおよび/またはシークレット/アクセス・キーを設定する必要がある。次に、暗号化された高速分離接続(ピアリングされた接続ポイントと適切なルートで構成)、サイト間VPN接続、または単にHTTPS/TLSで公衆インターネットを経由することができるかどうかを決定します。
  4. その他の常識的な対策としては、サーバーへのインターネット・アクセスを許可しないこと、管理者のワークステーションの衛生状態に細心の注意を払うこと、ランサムウェア対策機能を備えたストレージ・ターゲットを選択することなどが挙げられる。さらに保護を強化するには、顧客またはプロバイダーが作成したPKI(公開鍵基盤)証明書を使用できるバックアップおよびリカバリ・ソリューションを探す。
  5. iSCSIターゲットを選択した場合、ターゲットおよびバックアップソリューションでCHAP(チャレンジ・ハンドシェイク認証プロトコル)を有効化/設定することを検討してください。

手遅れになる前に。ホワイトペーパーをダウンロードする

フォローする

No.1のSaaSデータ保護プラットフォームを体験しよう

HYCUを試して実感してください。