問題
Backup Exec 20.4 は [ランサムウェアレジリエンス] と呼ばれる新機能を導入しました。この機能は、Veritas 以外のプロセスがバックアップディスクまたは重複排除ストレージの場所に書き込む動作をブロックすることにより、セキュリティの追加レイヤーを提供します。
Backup Exec 21 で導入された [ランサムウェアレジリエンス v2] は、Backup Exec サービスに対する保護を追加し、ランサムウェアによる悪意のあるコードインジェクションを防ぎます。
解決策
構成
Backup Exec (20.4 以降) をインストールすると、ランサムウェアレジリエンス機能がデフォルトで有効になります。この機能は Backup Exec GUI で次のように設定できます。
1. [Backup Exec] ボタンをクリックし、[構成と設定] [Backup Exec の設定] を選択します。(図1)
図1.
2. 左側のメニューで [ネットワークとセキュリティ] を選択します。下にスクロールすると、デフォルトで有効である [ディスクストレージのロックダウン設定] が表示されます。(図2)
この設定を無効にする場合は、システムログオンアカウントのパスワードと無効にする理由を求められます。
図2.
3. ディスクストレージロックダウンステータスアイコンは、Backup Execで設定されているロックダウンのステータスを表示します。
このアイコンは、Backup Exec UI の下部のアイコンの右側にあります。(図3)
図3.
4. ディスクへのバックアップフォルダの内容または重複排除フォルダの内容を削除または変更しようとすると、アクセス拒否のメッセージが表示されます。(図4、5)
図4.
図5.
5. Backup Exec ロックダウンサーバーサービスは、悪意のあるコードインジェクションから Backup Exec サービスを保護します。(図6)
図6.
6. 重要な Backup Exec サービスはすべて Backup Exec ロックダウンサーバーサービス依存します。(図7)
図7.
7. ディスクベースのバックアップデータを確実に保護するために、[ディスクストレージのロックダウン設定] を常に有効にすることを Veritas は強く推奨します。
この設定が無効になっている場合は、デフォルトでは、ロックダウン設定が有効になるまで毎日アラートが生成されます。(図8)
図8.
保護されるストレージ
次の種類のディスクストレージが保護されます。
- メディアサーバーの固定ディスク上のディスクストレージ
- メディアサーバーに接続された固定ディスク上の重複排除ストレージフォルダ
- 限定されたサポート範囲で、メディアサーバーに接続された RDX デバイス
- 限定されたサポート範囲で、リモートネットワークデバイスのネットワーク共有上に作成されたディスクストレージ (詳細は以下を参照)
この機能は、テープ装置のような他のリムーバブルデバイスには有効ではありません。
制限事項
- 保護対象は、ディスク全体には適用されず、ディスクストレージが存在するフォルダに限定されています。
- RDX デバイス上にあるディスクストレージに対しては、GRT データ (IMG フォルダ) がボリュームのルートに書き込まれるため、書き込み処理の保護対象になりません。非 GRT データは RDX デバイスのサブフォルダに書き込まれるため、無許可のプロセスによる書き込みから保護されます。
- Network attached storage (NAS) にあるネットワーク共有上に作成されたディスクストレージについては限定的な保護になります。NAS 上のデータ保護は、デバイスの存在するマシン側の責任になります。Backup Exec では、ネットワーク共有をディスクストレージとして作成したメディアサーバーからの書き込みだけを保護します。ネットワーク共有に対して、Backup Exec がインストールされていない別のサーバーからアクセスするとデータは保護されません。
- Central Admin Server Option (CASO) 環境では、管理対象 Backup Exec サーバー (MBES) または集中管理サーバー (CAS) に接続された固定ディスク上のディスクストレージが別のメディアサーバーに共有されている場合は、どのサーバーから発生した書き込みに対しても書込み保護が行われます。ただし、ディスクストレージが Windows 2008 上のメディアサーバーの場合は、この保護は適用されません。
ベストプラクティス
- ディスクベースのバックアップデータを確実に保護するために、[ディスクストレージのロックダウン設定] は常に有効にしておきます。設定が無効になっている場合は、デフォルトでは、ロックダウン設定が再度有効になるまで毎日アラートが生成されます。
- リリースごとにセキュリティ機能が追加されているため、常に最新バージョンの Backup Exec を使用します。最新バージョンは ダウンロードセンター で確認できます。
- バックアップに使用されるストレージが、セキュリティで保護されていないシステムと共有されていないこと、またはそのようなシステムからアクセスできないことを確認します。
- 3-2-1ルールを使用して、定期的かつ一貫してデータをバックアップします。
データのコピーを最低 3 つ保管します。少なくとも 2 種類の種類の異なるメディアに保管します。1 つのコピーをオフサイトに配置します(プラグを抜いた状態)。 - セキュリティ/マルウェア対策および IDS/IPS (侵入者検出/防止システム)の使用を含めて、すべてのファームウェア、OS、ソフトウェアパッチが最新であることを確認します。
- バックアップのクレデンシャルを必要最小限に制限し、アクセス制御とアクセス許可が適切に構成されていることを確認します。
- 定期的にリストアテストを実行し、常に最新のディザスタリカバリ計画を用意します。
- ランサムウェア攻撃の可能性を減らすために、ソーシャルエンジニアリングとフィッシング技術に対する従業員の意識を向上させます。
Related Knowledge Base Articles
Was this content helpful?
Translated Content
Please note that this document is a translation from English, and may have been machine-translated. It is possible that updates have been made to the original version after this document was translated and published. Veritas does not guarantee the accuracy regarding the completeness of the translation. You may also refer to the English Version of this knowledge base article for up-to-date information.