バックアップのための不変のデータストレージとは何ですか?

チュートリアル

データのバックアップは、主要な本番データが壊れたり削除されたりした場合にデータを回復するのに役立ちます。ただし、サイバー攻撃やその他の脅威の高いリスクにもかかわらず、バックアップも脆弱です。

変更や削除に対してバックアップデータを保護する最善の方法の1つは、不変性をサポートするストレージを使用することです。データの不変性、不変性ストレージの動作方法、および不変性データストレージがデータ保護とリカバリの可能性を向上させる理由について学んでください。

データの不変性とは何ですか?

データの不変性は、コンピュータサイエンスとデータ管理の概念であり、作成された後に変更できないデータを指します。不変なデータモデルでは、データが作成されると、それを変更または更新することはできず、代わりに変更があると新しいデータが作成され、元のデータは変更されません(変更が適用される場合)。このアプローチには重要な意味と利点があります。

不変のデータが常に最善の選択肢ではなく、変更可能なデータが効率的または適切なシナリオもあります。ただし、多くの場合、特にバックアップシステム、同時または分散システムでは、不変性は開発を単純化し、信頼性を向上させることができます。

不変性ストレージとは何ですか?

Immutable storage(不変ストレージ)は、一度データが書き込まれると、指定された期間中はもちろん、その間に限り、修正や変更、削除ができないデータストレージの一種です。この概念は、データの保存、保護、コンプライアンス、セキュリティの文脈でよく使用されます。Immutable storageシステムは、通常、法的または規制上の理由、あるいは重要な情報を不正な変更や削除から保護するために、データの整合性と不変性を確保するよう設計されています。

Immutable storageはデータセキュリティに追加のレイヤーを提供します。データがImmutable storageシステムに書き込まれると、不正な変更に対して耐性を持つようになり、サイバー攻撃や内部の脅威から保護されます。Immutable storageは、証拠保管や財務取引記録の保存など、安全で途切れのない監護の連鎖を維持することが重要なシナリオで使用できます。例えば、一度書き込まれたビデオ監視映像は、証拠として使用するために改ざんや削除ができないことがあります。

Immutable storageシステムは、データを特定期間保持し、監査、コンプライアンス、またはアーカイブ目的で変更されずにアクセス可能であることを保証するために展開されます。これは、厳格なデータ保持要件を持つ金融、医療、法律などの業界で重要です。データ保護、規制コンプライアンス(たとえばGDPR)、または強化されたセキュリティのために、Immutable storageはデータの整合性と不正や未承認の変更に対する耐久性を確保する上で重要な要素です。

Immutable Storageの仕組み

不変のストレージは、データが書き込まれた後も変更、変更、または削除されないようにするメカニズムとポリシーを実装することによって機能します。不変性を実現する具体的な方法は、ストレージシステムの技術とアーキテクチャによって異なります。不変性ストレージで使用される技術と原則には、以下のものがあります:

  • 一度書き込んで多く読み取る(WORM)。 WORMストレージは、データが一度だけ書き込まれ、一度書き込まれた後は変更または上書きできないように設計されています。これは、データを書き込んだ後にデータをロックする物理的または論理的なメカニズムを使用してしばしば達成され、それ以降の変更を防ぎます。
  • データのバージョニング。一部の不変のストレージシステムは、データの変更ごとに新しいバージョンが作成されるデータのバージョニングをサポートしています。古いバージョンのデータが保存され、元のデータが変更されないことを保証しながら、過去のバージョンにアクセスできます。
  • ロックとアクセス制御。不変のストレージシステムは、不正なユーザーがデータを変更または削除しようとするのを防ぐために、アクセス制御とアクセス許可を組み込むことがよくあります。ストレージに書き込む権限があるのは認可された個人やプロセスだけで、他のユーザーはデータを読むだけです。
  • 保持ポリシー。不変のストレージシステムには、データを変更されずに保存する必要がある期間を指定する保持ポリシーが通常含まれています。これにより、特定の期間の間、不変性を設定できます。この保持期間が切れると、データは削除の対象となる場合があります。
  • 暗号ハッシング。多くの不変のストレージシステムは、データの整合性を確保するために暗号ハッシング技術を使用しています。データが書き込まれると、データの内容から導かれた固定長の文字列であるハッシュ値が計算され、データと一緒に保存されます。データを変更しようとすると、異なるハッシュ値が生成され、改ざんが示されます。
  • 内容指向型ストレージ。これは、各データに一意の識別子(通常は暗号ハッシュ)を割り当てるストレージアーキテクチャです。この識別子は、従来のファイルパスではなく、データを取得するために使用されます。データが書き込まれると、その識別子を変更せずにデータを変更することはできません。
  • 監査軌跡。コンプライアンスを確保し、格納されたデータへのすべてのアクセスや変更の試みを追跡するために、不変のストレージシステムはしばしば詳細な監査ログを保持します。
  • ハードウェアおよびソフトウェアの保護機能。不変のストレージは、物理的および論理的な脅威からデータを保護するためにハードウェアまたはソフトウェアの保護機能を利用する場合があります。これには、改ざん防止シール、セキュアハードウェアモジュール、または分散コンセンサスアルゴリズムが含まれます。

不変のストレージは、ブロックチェーン、デジタル署名、およびセキュアタイムスタンプなどの他の技術と組み合わせて使用され、データの信頼性とセキュリティをさらに向上させることがあります。不変のストレージの具体的な実装は、その組織や業界のニーズや要件に応じて大幅に異なる場合があります。

エアギャップ対不変のストレージ

エアギャップは、コンピューティングやデータ管理において、システムやネットワークを安全でない、または潜在的に侵害された環境から物理的かつ論理的に隔離するためのセキュリティ対策です。「エアギャップ」という用語は、保護されたシステム/データと外部ネットワークの間に文字通りのギャップや物理的な切断があり、データが未承認のユーザーやサイバー攻撃によってアクセス、変更、または侵害されにくくなっていることを意味します。

エアギャップドストレージは、コンピュータやネットワークから物理的に切断されたストレージメディアです。エアギャップは、機密情報を扱うシステム、重要インフラ制御システム、安全な政府や軍事ネットワークなど、非常に重要なシステムによく使用されます。

エアギャップは、システムやデータを外部ネットワークから隔離することで、セキュリティの強力な層を提供しますが、ストレージを不変にすることを必然的に意味するものではありません。エアギッピングは主にシステムやネットワークを外部の脅威から隔離することに焦点を当てていますが、データの不変性を保証するものではありません。組織は、エアギャップ環境と追加のセキュリティ対策、データの不変性の実践と方針を組み合わせることで、その隔離されたコンテキスト内でサイバーリジリティを達成し、データが未承認の変更から保護されるようにすることができます。

エアギャップドストレージの例

サーバーやストレージアレイから切断されたSAS、SATA、またはUSB HDDは、エアギャップドストレージの一般的な例です。このようなハードディスクドライブ(HDD)に保存されたファイルは、このデバイスが物理的に切断され電源が切れているために変更できません。ソフトウェアからアクセスできません。この切断されたハードディスクドライブに保存されたデータは、ランサムウェア攻撃やその他不必要な変更から保護されています。

ただし、この保護は、現代の不変のストレージの場合と同様に不変の技術を使用して達成されているわけではありません。ハードウェアのライト保護スイッチもなく、電源がオフになっている標準のハードディスクに対する書き込み保護を保証するソフトウェアもありません。そのため、エアギャップストレージと不変のストレージは、類似の目的に使用されているにもかかわらず、異なります。

テープカートリッジもエアギャップストレージと見なされます。テープにバックアップを書き込んだ後、排出されたテープカートリッジはランサムウェアによってアクセスできず、バックアップデータを変更することはできません。

エアギャップストレージは、サーバー、ローカルまたはパブリッククラウドで実装できる不変のストレージと比較して、管理にはより多くの労力と時間が必要です。

不変のクラウドストレージソリューション

不変のクラウドストレージソリューションとは、クラウドベースのデータストレージサービスまたはシステムであり、不変性をコア機能として提供するものです。これらのソリューションは、データがクラウドに保存されると、特定の期間や特定のポリシーに従って、データを変更、変更、または削除することができないことを保証し、不変性の原則に従います。不変のクラウドストレージは、データの整合性を保護し、コンプライアンス要件を満たし、データセキュリティを向上させ、クラウド環境でデータ保持戦略を実装する組織にとって特に価値があります。

不変のクラウドストレージの例

さまざまなクラウドサービスプロバイダーが不変のクラウドストレージソリューションを提供しており、これらはデータの不変性を提供し、未承認の変更や削除に対する保護を設計しています。いくつかのクラウドサービスプロバイダーは、そのポートフォリオの一部として不変のクラウドストレージソリューションを提供しています。たとえば、Amazon S3(Simple Storage Service)は、Object Lockという機能を提供しており、これによりS3オブジェクト(不変なオブジェクトストレージ)のデータの不変性を実現できます。Microsoft Azureは、Azure Immutable Blob Storageを提供しており、これにより組織はAzure Blob Storageで不変なデータを作成および管理できます。いくつかの主要なクラウドプロバイダーから不変のクラウドストレージソリューションの例を概説しましょう。

  • Amazon S3 Object Lock。 Amazon S3は、Object Lockという機能を提供しており、これによりユーザーはS3バケット内で不変なオブジェクトを作成してパブリッククラウドでの不変なオブジェクトストレージを提供できます。ユーザーは2つのモードから選択できます。管理モードでは、管理者が保持ポリシーを設定できます。コンプライアンスモードでは、オブジェクトがロックされると、保持期間が経過するまで削除または変更できません。Microsoft Azure Immutable Blob Storage。 Microsoft Azureは、その Azure Blob Storage サービスの一部としてImmutable Blob Storageを提供しています。Immutable Blob Storageを使用すると、ユーザーはblobコンテナーに保持ポリシーを設定し、保持期間が経過するまでblobの変更や削除を防ぐことができます。
  • Microsoft Azure Immutable Blob Storage. Microsoft Azureは、Azure Blob Storageサービスの一部としてImmutable Blob Storageを提供しています。Immutable Blob Storageを使用すると、ユーザーはブロックボックスのリテンションポリシーを設定でき、リテンション期間が経過するまでブロックの変更や削除を防ぐことができます。
  • Google Cloud Storage Object Versioning. Google Cloud Storageは、不変性を達成する方法としてオブジェクトのバージョニングを提供しています。バージョニングが有効になると、オブジェクトへの変更ごとにそのオブジェクトの新しいバージョンが作成され、元のものが保存されます。ユーザーは、オブジェクトのライフサイクルポリシーを構成して、時間の経過とともにバージョンを管理できます。これには、不変性のためのリテンション期間の設定を含めることができます。
  • IBM Cloud Object Lock. IBM Cloud Object Storageは、Object Lockを提供しており、ユーザーはバケット内の特定のオブジェクトに対して不変性を強制することができます。他のクラウドプロバイダーと同様に、Object Lockはガバナンスモードとコンプライアンスモードの両方を提供しており、データリテンションと不変性に対する異なるレベルの制御が可能です。
  • Oracle Cloud Storage Service Object Lock. Oracle Cloud Storage Serviceは、Object Lockを提供しており、ユーザーはカスタマイズ可能なリテンション期間で不変なオブジェクトを作成できます。この機能は、データリテンション規制に服する組織や、厳格なデータ保存が求められる組織にとって役立ちます。

これらの例は、さまざまなクラウドプロバイダーがデータの不変性を保証するためのソリューションを提供する方法を強調しています。主に不変オブジェクトの作成やバージョン管理とリテンションポリシーの使用によって行われます。

ローカル不変ストレージ

ローカル不変ストレージとは、デバイスやシステム上に物理的に位置し、格納されたデータの不変性を保証するように設計されたデータストレージのことです。クラウドベースの不変ストレージソリューションとは異なり、リモートサーバーやサービスに依存しているのではなく、ローカル不変ストレージは単一のデバイス、サーバー、またはオンプレミスのインフラストラクチャの範囲内で動作します。このタイプのストレージは、ローカルレベルでデータが不正な変更や削除から保護される必要があるシナリオで特に有用です。

ローカル不変ストレージの主な特徴は次のとおりです。

  • ハードウェアベースの書き込み保護。ローカル不変ストレージは、データが上書きや変更されないようにするハードウェアメカニズムによって実現できます。例えば、一度書き込んだデータを後から変更できないように保護する書き込み保護されたストレージデバイスやメディア、例えば光学ディスクなどがあります。
  • ファイルシステムの機能。一部のファイルシステムは、ローカルの不変性を実装するために使用できる機能をサポートしています。たとえば、Linuxライクなオペレーティングシステムでは、chattrコマンドを使用して、ファイルに「i」(不変)などの属性を設定し、それらを変更または削除できないようにすることができます。
  • 専門ソフトウェア。ローカルで不変のストレージ環境を作成するために設計されたソフトウェアソリューションが存在します。これらはしばしば暗号学的ハッシュ、デジタル署名、およびアクセス制御に依存してデータの完全性と不変性を保証します。

ローカル不変ストレージの例

実際に使用されているローカル不変ストレージの例は次のとおりです。

  • 光ディスク(CD-R、DVD-R、ブルーレイディスク):一度書き込むと変更や削除が不可能な光ディスクは、ローカル不変ストレージの古典的な例です。これらのディスクにデータが焼き付けられると、物理的に媒体を損傷させない限り変更や削除はできません。
  • 書き込み禁止ストレージデバイス:SDフラッシュカードには書き込み禁止スイッチが付いており、一部のUSBハードドライブには、書き込み禁止が有効になった後にデータの変更を防ぐ機構があります。
  • 不変ファイルシステム:WORM(Write-Once-Read-Many)ファイルシステムのようないくつかの専門ファイルシステムは、ファイルシステムレベルでデータの不変性を強制するように設計されています(例えば、Sun QFS)。書き込まれた後の保存データへの変更を防ぎます。
  • ブロックチェーンデータベース:ブロックチェーンデータベースは、分散アプリケーションで使用されるローカル不変ストレージの一形態です。ブロックチェーンでは、データは一連のブロックに保存され、各ブロックが前のブロックの暗号化ハッシュを含んでいます。このブロックのチェーンは、保存されたデータの不変性を保証します。
  • セキュアハードウェアモジュール:一部のハードウェアセキュリティモジュール(HSM)とセキュアエンクレーブは、暗号鍵や機密データの改ざんや不正アクセスから保護することで、ローカル不変ストレージ機能を提供しています。

不変の技術と不変のストレージを使用することは、オンプレミスインフラストラクチャの従来のストレージデバイスに実装できます。CD-R、DVD-R、Blu-Rayなどの光学メディアやSDフラッシュカードなどは、手動モードで個々のユーザーに便利な少量のデータを保護するのに役立ちます。組織や生産環境に関しては、WORM構成を持つファイルシステムやスケーラブルストレージ向けの他のソリューションを実装することで、自動化された効率的な保護が可能です。クラウドベースの不変のストレージソリューションは、リモートアクセスやコラボレーションを含む幅広いユースケースに役立ちます。

テープは不変のストレージメディアですか?

テープストレージは不変のストレージの形態を提供するために使用できます。テープストレージは、他の形式のストレージと同様にデータの書き込み、上書き、削除が可能な多目的な媒体です。ただし、組織はテープストレージを不変の方法で動作させるための手法やポリシーを実装することができます。組織は、テープにデータを保存する際に一度書き込む戦略を採用することができます。これは、データが一度テープに書き込まれ、その後、テープが読み取り専用として扱われることを意味します。この方法でテープにデータが書き込まれると、物理的にテープを破壊しない限り、データを変更または削除することはできません。テープカートリッジには書き込み保護スイッチがあります。また、データを書き込むために1回だけ使用できる特別なVolSafeカートリッジもあります。

組織は、データをテープに保存する際に、バックアップをテープにするために役立つ一度だけ書き込む戦略を使用することができます。これは、データがテープに一度書き込まれた後、テープは読み取り専用として扱われることを意味します。このようにしてテープに書き込まれたデータは、テープを物理的に破壊しない限り、変更または削除することはできません。テープカートリッジには書き込み禁止スイッチがあります。また、データを一度だけ書き込むことができる特別なVolSafeカートリッジもあります。

しかし、テープベースの不変ストレージの維持と管理は、現代的なクラウドベースまたはディスクベースの不変ストレージソリューションを使用するよりも複雑で不便な場合があることに注意することが重要です。これらのソリューションには、データの不変性やアクセス制御のための組み込み機能がよく含まれています。

NAS上の不変ストレージ

一部のネットワーク接続ストレージ(NAS)システム、例えばSynology NASQNAP NASは、NASにインストールされたベンダー原生のオペレーティングシステムのウェブインターフェイスで設定可能な不変ストレージをサポートしています。これは、オンプレミスで不変ストレージを設定するためのもう一つのオプションです。NAS上の一度書き込み共有フォルダに対する不変性の設定は簡単です。

不変バックアップ

不変バックアップとは、変更や削除ができないバックアップです。不変バックアップは、不変データストレージの最も一般的なユースケースの一つです。有効期限が設定されている場合、不変バックアップはこの期間が経過した後にのみ削除できます。不変バックアップは、すべての業界の組織によって使用されています。

バックアップは、ランサムウェア攻撃者にとって主要なターゲットの一つです。攻撃者は、バックアップがあることで被害者がランサムを支払わずにデータを復元できることを知っているからです。不変ストレージ上にあるバックアップは、ユーザーや組織に対してバックアップ内のデータの暗号化、破損、削除に対する保護を提供します。

3-2-1バックアップルールを使用する場合、少なくとも3つのデータコピーを2つ以上の異なる媒体に保存し、そのうちの1つをオフサイトに保存する必要があります。それらのうちの1つを変更不能なストレージに保存すると、より信頼性の高いバックアップが可能になります。これは追加の(4番目の)データコピーとして機能します。データの主要なコピーが危険にさらされた場合、変更不能なバックアップからデータを復元することが可能です。

NAKIVOを使用した変更不能なストレージへのバックアップ

NAKIVO Backup&Replicationは、変更不能性をサポートするリポジトリにデータをバックアップする現代的なデータ保護ソリューションです。変更不能性は、次の場所にバックアップリポジトリを展開することで構成できます:バックアップリポジトリ

  • A physical or virtual machine:
    • A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
  • A public cloud with immutability supported:

さらに、バーチャルアプライアンスの展開をVMware vSphere向けに行い、事前に設定されたAmazon Machine Image(AMI)をAmazon EC2向けに用意し、不変性が有効になっているハードン化された組み込みバックアップリポジトリを備えたものを利用することができます。

Source:
https://www.nakivo.com/blog/immutable-storage/