[レポート] AWS Backupを活用したランサムウェア対策とデータ復旧の構築 #AWSReInvent #STG402

[レポート] AWS Backupを活用したランサムウェア対策とデータ復旧の構築 #AWSReInvent #STG402

AWS re:Invent 2024

AWS re:Invent 2024

#AWS
#AWS Backup
丸毛篤史

丸毛篤史

facebook logohatena logotwitter logo
Clock Icon2024.12.06

AWS re:Invent 2024、今回はSTG402「Build ransomware data recovery and response with AWS Backup」のレポートをお送りします

セッション概要

ランサムウェアやマルウェアは、ビジネスアプリケーションを混乱させ続けています。このエキスパートレベルのワークショップでは、AWSバックアップのロックメカニズム、論理的にエアギャップされたボールト(保管庫)、および復元テストを適用し、サイバー復旧態勢の強化を支援します。目的を達成するために、エアギャップされた不変の保管庫の設定や、復元ポイントのテスト自動化について検討します。これらの機能を組み合わせ、進化するサイバー脅威に耐えることができる、包括的で復旧に重点を置いたデータ保護戦略を構築する方法を確認します。ハンズオン形式の演習を通じて、AWS Backup を使用した弾力性のあるバックアップおよびリカバリソリューションの設計、展開、および維持管理に関する実践的な経験を積んでください。参加するには、ノートパソコンを持参する必要があります。

スピーカー

  • Sabith Venkitachalapathy, Worldwide Solutions Architect, Amazon Web Services
  • Fathima Kamal, Sr SA leader, Aws

セッション内容

近年、ランサムウェア攻撃が企業にとって深刻な脅威となっています。AWS Backupを活用したランサムウェア対策と効果的なディザスタリカバリー戦略について解説します。

ランサムウェア攻撃の実態と脅威

攻撃の手法

ランサムウェア攻撃者は主に以下の方法で組織に侵入します

  • フィッシング攻撃による初期侵入
  • ユーザー認証情報の窃取
  • リモートデスクトップサービスの悪用
  • ソーシャルエンジニアリングによる管理者権限の取得

攻撃者の標的

特筆すべきは、攻撃者が最初に狙うのは本番データではなく、バックアップデータだという点です。これは組織の復旧能力を奪うことで、身代金支払いを強要するためです。

効果的なバックアップ戦略

3-2-1-1-0アプローチ

推奨されるバックアップ戦略として、以下の「3-2-1-1-0」アプローチがあります:

  • 3つの異なるデータコピー
  • 2つの異なるメディアでの保存
  • 1つのオフサイトコピー
  • 1つの不変(イミュータブル)コピー
  • 0エラー(検証済みで、ウイルスなどがないことを確認)

クラウド環境での実装例:

  • 複数のAWSアカウントにまたがるバックアップの保存
  • 地域的な災害復旧要件がある場合は、別リージョンでのコピー保持

この「3-2-1-1-0」アプローチは、従来の「3-2-1」バックアップ戦略に、イミュータブルコピーと検証の要素を加えた、より包括的なアプローチとなっています。

AWS Backupの主要機能

AWS Backupは以下の重要な機能を提供します:

  • 論理的にエアギャップされたボールト
  • イミュータブルバックアップ
  • 高速リストア機能
  • 強化された暗号化機能
  • バックアップ検証機能

論理的にエアギャップされたボールト(Logically Air-gapped vault)については、2024年9月にリリースされた新しい機能ですのでキャッチアップしておきましょう。

https://dev.classmethod.jp/articles/ga-backup-logically-air-gapped-vault/

実践的な防御戦略

  • マルチレイヤー防御
    • バックアップの作成戦略
    • バックアップの保護戦略
    • 定期的な検証戦略
  • クロスアカウント保護
    • 別のAWSアカウントでバックアップを保管
    • AWS Resource Access Managerを活用した共有機能
    • 独立した検証環境の構築

コンプライアンスと監査

AWS Backup Audit Manager

  • 運用レポート機能
  • コンプライアンスフレームワーク
  • 定期的な自動検証
  • ポリシー遵守の確認

実装のベストプラクティス

リージョン戦略

  • プライマリリージョンでのバックアップ
  • DRリージョンへのレプリケーション
  • クロスリージョンバックアップの活用

セキュリティ考慮事項

  • Customer Managed Key (CMK)の適切な管理
  • アクセス制御の実装
  • 定期的なバックアップ検証

ワークショップのシナリオ

前段のバックアップ戦略を踏まえ、本セッションのワークショップへと入っていきます。

ワークショップのシナリオ

このワークショップでは、AWS Backupの論理的にエアギャップされたボールトの使用、AWS Backupの復元テスト、AWS Backup Audit Managerなど、AWS Backupの高度なデータ保護機能を紹介します。このセッションではバックアップライフサイクル全体をカバーし、参加者が堅牢で準拠したバックアップ戦略を実装できるようにします。ワークショップの最後には、参加者はAWS Backupの高度な機能を導入し、組織向けの回復力のあるバックアップおよびリカバリソリューションを構築するための知識を身に付けることができます。

ワークショップで準備されている環境は以下のとおりです。
stg40200.png

次にワークショップ内の6つのセクションの概要を紹介します。

EC2の手動バックアップとコピー

EC2インスタンスの通常のボールトへのオンデマンド バックアップを実行します。次に、通常のボールトからプライマリ リージョンとDRリージョンの論理的にエアギャップされたボールトにリカバリポイントをコピーします。

  • 通常のボールトにEC2をバックアップする
  • 同じリージョン内のLAG(Logically Air-gapped)ボールトにリカバリポイントをコピーする
  • クロスリージョンのLAGボールトにリカバリポイントをコピーする

リカバリポイントのセキュリティ

通常のボールトから同じリージョン内の論理的にエアギャップされたボールトに復旧ポイント(バックアップ)をコピーします。

通常のボールトでは、そこに保存されているバックアップを手動で削除できます。一方、論理的にエアギャップされたボールトには追加のセキュリティ機能があります。このタイプのボールトは不変になるように設計されており、ロックメカニズムを備えているため、バックアップを手動で削除することはできません。

  • 通常の保管庫内のリカバリポイントを削除する
  • LAGボールト内のリカバリポイントを削除する

AWS Backupでは、論理的にエアギャップされたボールトからのリカバリポイントの削除は許可されません。AWS Backupは、デフォルトでロックされ、AWS所有のキーを使用して暗号化されて分離された不変のバックアップコピーを保存し、リカバリ時間と多層防御体制の改善に役立ちます。

リカバリポイントの復元

論理的にエアギャップされたバックアップボールト内の回復ポイントを削除してみましょう。

  • 同じリージョンのLAGボールトにリカバリポイントを復元する
  • クロスリージョンのLAGボールト内のリカバリポイントを復元する
  • LAGボールトからクロスアカウントのリカバリポイントを復元する

アクセスポリシーを使用してリカバリポイントを安全に復元する

ボールトのアクセスポリシーを使用してLAGボールトからの復元を制限する方法を説明します。このセクションの目的は、ProtectionLevel=Openタグが付けられたリカバリポイントを除くすべてのリカバリポイントに対して、事前に作成されたIAMロールからの復元を拒否するバックアップボールトアクセスポリシーを作成することです。

  • 想定される役割でのテストの復元
  • バックアップボールトアクセスポリシー

バックアップ復元テスト計画

アカウントに事前に展開されている復元テスト プランについて説明します。また、復元テストのさまざまなコンポーネントについても説明します。このセクションの目的は、復元テスト プロセスの構造を理解し、復元テスト検証スクリプトを変更して、それがテスト結果に与える影響を理解することです。

  • 復元テスト計画の検証
  • 復元テスト計画の失敗をシミュレートする

AWS バックアップ監査マネージャーレポート、AWS RAM 共有 (オプション)

オプションのセクションでは、AWS Backup Audit Managerレポートを確認し、暗号化の違いを理解し、AWS Backupの論理的にエアギャップされたボールトを他のアカウントと共有してリカバリを容易にする方法について説明します。

レポートの部分では、AWS Backup Audit Managerの運用およびコンプライアンス レポート機能と、これらのレポートを使用してAWS Backup実装の運用面を監視および検証する方法について説明します。この部分では、AWS Backup Audit Managerレポートを使用して、以前にテストされたジョブを効果的に監視する方法を紹介します。

レポートには2つの種類があります。1つはジョブレポートで、過去24時間以内に完了したジョブとすべてのアクティブなジョブが表示されます。もう1つはコンプライアンスレポートです。コンプライアンスレポートでは、リソースレベルや有効なさまざまなコントロールを監視できます。レポートを作成するときに、作成するレポートの種類を選択します。

AWSリソースマネージャーのセクションでは、AWS Backupの論理的にエアギャップのあるボールトのリソース共有を作成し、宛先アカウントからアクセスする方法を説明します。

  • AWS Configを有効にする
  • 運用ジョブレポートの検証
  • コンプライアンスレポートの検証
  • AWS Backupの論理的にエアギャップされたボールト共有の作成と管理
  • AWS Backupの論理的にエアギャップされたボールト共有を受け入れて検証する
  • LAGボールトクロスアカウントのリカバリポイントを復元する

まとめ

ランサムウェア対策には、単なるバックアップの作成だけでなく、包括的な保護戦略が必要です。AWS Backupの機能を最大限に活用し、適切な防御層を構築することで、組織のデータを確実に保護できます。

本セッションでの学び

本セッションではできることだけでなく、できないことも実践することで機能の特性を深く理解できる内容となっていました。個人的な学びを以下に紹介しておきます。

  • AWSマネージドキー(AMK)で暗号化されたバックアップは、リージョンコピーすることができない
  • 論理的にエアギャップされたボールトは誤削除や攻撃者による削除から防ぐため、容易に削除できない
  • リージョンコピーされたバックアップから復元するには、DR先からもとのリージョンにコピーしたうえで復元を行う

Share this article

facebook logohatena logotwitter logo

関連記事

[レポート] Create a data marketplace with Amazon DataZoneに参加しました #AWSreInvent #ANT319

[レポート] Create a data marketplace with Amazon DataZoneに参加しました #AWSreInvent #ANT319

User avatar
kobayashi.m
2024.12.12
「Amazon Bedrock Knowledge BasesがGraphRAGに対応!! ・・・それってつまりどういうコト!? をチョット深堀ってみる」というタイトルでCM re:Growth 2024 OSAKAに登壇しました #regrowth_osaka

「Amazon Bedrock Knowledge BasesがGraphRAGに対応!! ・・・それってつまりどういうコト!? をチョット深堀ってみる」というタイトルでCM re:Growth 2024 OSAKAに登壇しました #regrowth_osaka

Let's Try AWS Console-to-Code

Let's Try AWS Console-to-Code

User avatar
yusuke
2024.12.12
EC2のキャパシティ予約時に設定したタグ情報が、CostExploer上に反映されないのはなぜでしょうか

EC2のキャパシティ予約時に設定したタグ情報が、CostExploer上に反映されないのはなぜでしょうか

User avatar
ちゃあこ
2024.12.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.