ランサムウェア対策のための Azure Backup + Recovery Services の不変コンテナー設定を確認してみた
いわさです。
ランサムウェア攻撃への対策のひとつにバックアップデータを保護するというものがあります。
Microsoft Azure には Azure Backup というサービスがありますが、そこでは不変バックアップのオプションがありランサムウェア対策の一部として有効です。
Azure Backup を利用したことはあったのですが、不変バックアップオプションを使ったことはなかったので設定方法と挙動を確認してみました。
Recovery Services コンテナーのプロパティで設定可能
Azure Backup には「Recovery Services コンテナー」と「バックアップ資格情報コンテナー」があります。
Recovery Services コンテナーのプロパティに「不変性」の設定があります。
これを有効化すると、保存したバックアップデータの削除ができなくなります。
有効化方法ですが、Recovery Services コンテナーの作成時に「コンテナーのプロパティ」タブで「不変性を有効にする」という設定があります。
こちらを有効化するか、あるいは作成済みの Recovery Services コンテナーのプロパティから有効化ができます。
こちらの設定を行うことで保存された復旧ポイントの意図的な削除を防ぐことが出来るのですが、この有効化したプロパティはいつでも無効にすることができます。
そのため、ランサムウェア対策という意味だと不変性は十分ではありません。
上記プロパティを有効後、ロックをすることができます。
ロックした Recovery Services コンテナーはもうロック解除することは出来ません。バックアップポリシーで自動で復旧ポイントが削除されてコンテナー自体を削除する出来るようになるまで待つしかありません。バックアップ保持期間に気をつけながら有効化しましょう。
不変性が有効化されたコンテナーでの削除
通常のコンテナーでは次のように復旧ポイントの削除が可能です。
不変性を有効化したコンテナーの場合だと、復旧ポイントを削除した時に次のようにエラーが発生します。
当然ながら復旧ポイントが残っていて削除が出来ない場合は次のように Recovery Services コンテナーの削除も出来ません。
今回知ったのですが、不変性を有効化している場合バックアップポリシーの変更は可能なのですが制限があります。
まずバックアップポリシーの内容を変更して期限日を短くすることは出来ません。
また、違うバックアップポリシーを割り当てし直すことも出来るみたいなのですが、変更前よりも保持期間が短いポリシーを当て直すことは出来ないみたいです。
なるほど、バックアップポリシーの保持期間を使った削除タイミングの変更も出来ないみたいですね。良いですね。
さいごに
本日はランサムウェア対策のための Azure Backup + Recovery Services の不変コンテナー設定を確認してみました。
今回の検証で復旧ポイントの削除って色々な方法があることに気が付きましたね。
それらのパターンについても今回の設定を有効化することで意図的な削除からの防止が出来ることを確認できました。
