バックアップ製品用の安全なデータ保管庫の構築

このチュートリアルでは、 IBM Storage Defender Data Protect、Veeam Backup & Replication、Commvaultなどのエンタープライズバックアップソリューションで使用する、安全で不変なデータ保管庫の作成を IBM Cloud® Object Storage。

概要

企業のバックアップソリューションには、バックアップデータを不慮の削除、ランサムウェア攻撃、不正アクセスから保護する、安全で信頼性の高いオブジェクトストレージターゲットが必要です。 Object Storage、不変性ポリシーとコンテキストベースの制限を設定することで、コンプライアンス要件を満たし、堅牢なデータ保護を提供するハード化されたデータ保管庫を構築することができます。

目標

  • バックアップ・ワークロード用に設定された Object Storage バケットを作成する
  • 不変性(WORM)を有効にし、バックアップデータを変更や削除から保護する
  • 許可されたネットワークやサービスへのアクセスを制限するために、コンテキストベースの制限を設定する
  • バックアップ製品に必要な認証情報と接続情報を取得します

アーキテクチャー

セキュアなデータ保管庫のアーキテクチャは、以下のように構成されている:

  • Object Storage bucket- バックアップデータの保存先
  • 不変性ポリシー- データの変更を防ぐWORM(Write Once Read Many)保護
  • コンテキスト・ベースの制限- ネットワークおよびサービス・ベースのアクセス制御
  • サービス認証情報- S3-compatible アクセス用の HMAC 鍵(アクセス鍵と秘密鍵

開始前に

以下の前提条件を満たしていることを確認してください。

  1. IBM Cloud アカウント 有効な支払い方法。
  2. のインスタンスである。 IBM Cloud® Object Storage.
  3. 適切な IAM パーミッション。
    1. Object Storage インスタンスの Manager ロールでバケットを作成し、ポリシーを設定する。
    2. コンテキストベースの制限を構成するためのアカウント 管理者ロール。
  4. バックアップインフラからのネットワーク接続情報(IPレンジ、サブネット)。
  5. インストール済みで設定可能なバックアップ製品( IBM Storage Defender, Veeam, Commvault)。

バックアップデータ用のバケットを作成する

適切なストレージクラスと設定で、バックアップワークロード専用のバケットを作成します。

コンソールの使用

  1. IBM Cloud コンソールにログインする。
  2. リソースリストから Object Storage インスタンスに移動します。
  3. 「バケットの作成」 をクリックします。
  4. バケツのカスタマイズを選択します。
  5. バケツの設定を行う。
    1. バケツ名 :一意で、説明的な名前を入力する(例: company-backup-vault-prod )。
    2. 弾力性クロスリージョンまたはリージョナルをお選びください。
    3. 場所バックアップインフラに近い場所を選ぶ。
    4. ストレージクラス :頻繁にアクセスするバックアップには Standardを、長期保存には Vaultを選択します。
  6. 「バケットの作成」 をクリックします。

CLI の使用

ibmcloud cos bucket-create \
  --bucket company-backup-vault-prod \
  --ibm-service-instance-id <your-cos-instance-crn> \
  --region us-south \
  --class standard

IBM Cloud コンソールの Object Storage インスタンスの Service credentials セクションに IBM Cloud Object Storage インスタンスの CRN があります。

不変性(WORMプロテクション)の設定

イミュータビリティは、保存期間が終了するまでバックアップデータが変更または削除されないことを保証するのに役立ちます。 これにより、ランサムウェア、誤削除、悪意のある内部関係者から保護される。

一度バケツで有効にした不変性を無効にすることはできない。 この機能を有効にする前に、保存期間を慎重に計画してください。

保存期間を理解する

Object Storage immutabilityは、3つの保持期間設定を使用する:

保存期間の設定
設定 説明
最低保持率 オブジェクトを保持しなければならない最短時間。 この期間が経過する前にオブジェクトを削除することはできません。
デフォルト保持 アップロード時に保持期間が指定されていないオブジェクトに適用される。
最大保持率 バケツ内のオブジェクトに設定可能な最長保存期間。

コンソールを使って不変性を有効にする

  1. Object Storage コンソールでバックアップバケットに移動します。
  2. 「構成」 タブをクリックをします。
  3. Immutable Object Storage までスクロールし、 Add retention policy をクリックする。
  4. 保存期間を設定する。
    1. 最小保持期間 :最短のバックアップ保持要件に基づいて設定します(例:7日間)。
    2. デフォルトの保存期間 :標準のバックアップ保持期間(たとえば30日間)に設定します。
    3. 最大保存期間 :最長保存期間:最長保存期間を設定します(例えば、コンプライアンス上365日または7年)。
  5. 保存 をクリックします。

CLIを使って不変性を有効にする

ibmcloud cos bucket-protection-configuration-put \
  --bucket company-backup-vault-prod \
  --protection-configuration '{
    "status": "Retention",
    "minimum_retention": {"days": 7},
    "default_retention": {"days": 30},
    "maximum_retention": {"days": 365}
  }'

コンテキスト・ベースの制限を設定する

コンテキストベースの制限(CBR)は、バックアップバケットにアクセスできるネットワーク、サービス、エンドポイントを制限することで、セキュリティのレイヤーを追加します。 クレデンシャルが漏洩しても、承認されたコンテキストからのリクエストでない限り、アクセスは拒否される。

アクセスルールを計画する

CBRを設定する前に、以下を確認する:

  • バックアップサーバのIPアドレスまたはサブネット :バックアップソフトウェアが動作するネットワーク範囲
  • プライベートまたはパブリックエンドポイントアクセス :本番用ワークロードにはプライベート・エンドポイントを優先する
  • サービス間アクセス :他の IBM Cloud サービスがアクセスを必要としているかどうか

ネットワーク・ゾーンの作成

ネットワークゾーンは、アクセスを許可するソースネットワークを定義する。

  1. IBM Cloud コンソールの コンテキストベースの制限に移動する。
  2. **「ゾーンの作成」**をクリックします。
  3. 説明的な名前を入力する(例えば、 backup-infrastructure-zone )。
  4. 許可されたネットワークソースを追加する。
    1. IPアドレス :バックアップサーバーのIPを追加します(例: 10.240.0.0/24 )。
    2. VPC: IBM Cloud でバックアップサーバーを実行する場合は、VPC を選択します。
    3. サービスの参照 :アクセスが必要な IBM Cloud サービスを追加する。
  5. 「作成」 をクリックします。

CBRルールを作成する

  1. コンテキストベースの制限ルールに移動します。
  2. **「ルールの作成」**をクリックします。
  3. ルールを設定する。
    1. 説明Restrict backup bucket to authorized infrastructure.
    2. サービス選択 Cloud Object Storage.
    3. スコープ Object Storage インスタンスと特定のバックアップバケットを選択します。
    4. コンテキスト作成したネットワークゾーンを追加する。
    5. 強制 :最初は Report-onlyでテストし、その後 Enabledに切り替える。
  4. 「作成」 をクリックします。

強制を有効にする前に、レポート専用モードでCBRルールを十分にテストしてください。 Activity Tracker のログをチェックし、正当なバックアップトラフィックがルールに合致していることを確認する。

CLIを使用したCBRルール

# Create a network zone
ibmcloud cbr zone-create \
  --name backup-infrastructure-zone \
  --addresses 10.240.0.0/24,10.241.0.0/24

# Create a CBR rule for the backup bucket
ibmcloud cbr rule-create \
  --description "Restrict backup bucket access" \
  --service-name cloud-object-storage \
  --resource-attributes "accountId=<account-id>,serviceName=cloud-object-storage,resource=company-backup-vault-prod" \
  --zone-id <zone-id> \
  --enforcement-mode enabled

HMACキーでサービス認証情報を作成する

バックアップ製品は S3-compatible API を使用して Object Storage に接続する。 これにはHMAC認証情報(アクセス・キーとシークレット・キー)が必要である。

コンソールの使用

  1. IBM Cloud コンソールで Object Storage インスタンスに移動する。
  2. 左ナビゲーションのサービス資格情報をクリックします。
  3. **「新規資格情報」**をクリックします。
  4. クレデンシャルを構成する。
    1. 名前 :説明的な名前を入力します(例: veeam-backup-credentials )。
    2. 役割バックアップ操作を行うライター (バックアップ製品がバケット設定を管理する必要がある場合はマネージャー )を選択します。
    3. HMAC クレデンシャルOnに切り替える(これは S3 との互換性のために重要です)。
  5. 追加 をクリックします。
  6. 新しいクレデンシャルを展開して詳細を表示する。

CLI の使用

ibmcloud resource service-key-create veeam-backup-credentials Writer \
  --instance-name my-cos-instance \
  --parameters '{"HMAC": true}'

HMAC認証情報の取得

サービス・クレデンシャルを作成した後、それを展開して HMAC キーを見つける:

{
  "apikey": "...",
  "cos_hmac_keys": {
    "access_key_id": "1a2b3c4d5e6f7g8h9i0j",
    "secret_access_key": "AbCdEfGhIjKlMnOpQrStUvWxYz1234567890abcd"
  },
  "endpoints": "https://control.cloud-object-storage.cloud.ibm.com/v2/endpoints",
  "iam_apikey_description": "...",
  "resource_instance_id": "crn:v1:bluemix:public:cloud-object-storage:global:..."
}

バックアップ製品の構成について、以下の値を記録してください:

HMACクレデンシャル値
フィールド 説明
access_key_id S3 認証用のアクセス・キー 1a2b3c4d5e6f7g8h9i0j
secret_access_key S3 認証用のシークレット・キー AbCdEfGhIjKlMnOpQrStUvWxYz...

シークレットキーは安全に保管してください。 クレデンシャルが作成された後は、再度取得することはできない。

エンドポイントURLの取得

Object Storage は、回復力とアクセス・タイプに応じた複数のエンドポイントを提供する。

エンドポイントを見つける

  1. Object Storage コンソールでバケツに移動します。
  2. 「構成」 タブをクリックをします。
  3. Endpoints にスクロールすると、バケツの場所で利用可能なエンドポイントが表示されます。

エンドポイント・タイプ

エンドポイント・タイプ
タイプ 説明 ユース・ケース
パブリック インターネットでアクセス可能 リモートバックアップサイト、クラウドネイティブバックアップ
プライベート 国内からのみアクセス可能 IBM Cloud IBM Cloud VPCのバックアップサーバー
ダイレクト IBM Cloud サービス用の広帯域接続 IBM Cloud サービス統合

一般的なエンドポイントURL

地域別エンドポイント(米国南部の例):

米国南部地域のエンドポイント
タイプ エンドポイントURL
パブリック s3.us-south.cloud-object-storage.appdomain.cloud
プライベート s3.private.us-south.cloud-object-storage.appdomain.cloud
ダイレクト s3.direct.us-south.cloud-object-storage.appdomain.cloud

クロスリージョンのエンドポイント(米国の例):

米国クロスリージョンエンドポイント
タイプ エンドポイントURL
パブリック s3.us.cloud-object-storage.appdomain.cloud
プライベート s3.private.us.cloud-object-storage.appdomain.cloud
ダイレクト s3.direct.us.cloud-object-storage.appdomain.cloud

エンドポイントの完全なリストについては、 エンドポイントと保管場所を 参照のこと。

バックアップ製品の設定

収集した情報を使用して、バックアップ製品のオブジェクトストレージリポジトリを構成します。

必要な設定値

バックアップ製品を設定する前に、以下の情報を収集してください:

構成パラメーター
パラメーター どこで見つけるか
アクセス・キー あなたのHMACアクセスキーID サービス資格情報
秘密鍵 あなたのHMAC秘密アクセスキー サービス資格情報
バケット名 バックアップバケット名 Object Storage コンソールのバケットリスト
エンドポイントURL 地域または地域をまたがるエンドポイント バケット設定タブ
リージョン リージョンコード (例: us-south) バケット設定タブ

IBM Storage Defender データ保護

IBM Storage Defender Data Protect は、 Object Storage を含む S3-compatible ストレージへのクラウド階層化とアーカイブをサポートしています。 設定プロセスでは、外部の S3 ターゲットを登録し、保護ポリシーを作成する。

詳細な設定手順については、Data Protect バージョン 7.1.1 以降をカバーする IBM Storage Defender Redbook を参照してください。

S3 外部ターゲットを登録する

  1. IBM Storage Defender Data Protect 管理インターフェイスにログインします。
  2. System Configuration(システム構成)> External Storage(外部ストレージ )を開きます。
  3. Add External Targetをクリックします。
  4. ターゲットタイプとしてクラウドを選択し、 S3 互換ストレージを選択する。
  5. S3 接続を設定する。
    1. 名前 :説明的な名前を入力します(例: ibm-cos-backup-vault )。
    2. Endpoint URL: Object Storage のエンドポイント(例えば、 https://s3.us-south.cloud-object-storage.appdomain.cloud )を入力します。
    3. アクセスキー :HMAC access_key_id を入力してください。
    4. 秘密鍵 :HMAC secret_access_key を入力してください。
    5. バケット名 :バックアップバケット名を入力します。
  6. 接続のテスト] をクリックして、設定を確認します
  7. 保存をクリックして外部ターゲットを登録する

S3 アーカイブの保護ポリシーを作成する

  1. Protection > Policiesに移動します。
  2. 保護ポリシーを作成または編集します。
  3. ポリシー設定で、 Cloud Tiering または Cloud Archiveを有効にする。
  4. 登録した S3 外部ターゲットを選択する。
  5. 必要に応じて、保持ルールと階層化ルールを設定する。
  6. ポリシーを保存し、バックアップワークロードに割り当てます。

Data Protectは、 IBM Storage Protectサーバーを S3 インターフェースとして使用することをサポートしています。 既存のStorage Protectインフラストラクチャがあれば、それをData Protectクラスタの S3 ターゲットとして活用できます。

Veeam Backup & Replication

Veeam Backup & Replication は S3-compatible オブジェクト・ストレージ・ターゲットとして Object Storage をサポートしています。 New Object Storage Repository ウィザードを使用して、 Object Storage バケットを追加します。

完全なドキュメントはVeeamヘルプ・センターの Adding S3 Compatible Object Storage を参照してください。

ステップ 1: ウィザードを起動する

  1. Veeam Backup & Replicationコンソールを開きます。
  2. Backup Infrastructure ビューに移動します。
  3. インベントリペインで、 バックアップリポジトリを右クリックします。
  4. バックアップリポジトリを追加 ]を選択します。
  5. バックアップ・リポジトリの追加ダイアログで、以下を選択します。 Object Storage > S3 Compatible > S3 Compatible を選択します。

ステップ2:名前の指定

  1. Name フィールドに、リポジトリのわかりやすい名前を入力します(例: IBM-COS-Backup-Vault )。
  2. オプションで「 説明 」を入力します。
  3. 並列処理を制限したい場合は、 Limit concurrent tasks to Nを選択する。
  4. 次へ をクリックします。

ステップ 3: アカウント指定

  1. Service point(サービスポイント) フィールドに、 Object Storage エンドポイント URL を入力します(例: s3.us-south.cloud-object-storage.appdomain.cloud )。
  2. Region(地域) フィールドに地域コードを入力します(例: us-south )。
  3. 資格情報] ドロップダウンから、[ 追加] をクリックして新しい資格情報を作成します。
    1. アクセス・キー・ フィールドに、HMAC access_key_id を入力する。
    2. 秘密鍵フィールドに、HMAC secret_access_key を入力する。
    3. 「OK」 をクリックします。
  4. 接続モードを選択します。
    1. ダイレクト :データはオブジェクト・ストレージに直接転送される(ほとんどのデプロイメントで推奨)。
    2. ゲートウェイサーバー経由 :ネットワークに制限がある場合は、ゲートウェイサーバーを使用します。
  5. 次へ をクリックします。

ステップ4:バケツの指定

  1. Bucket drop-downから、バックアップバケットを選択します。
  2. Browseをクリックし、バケット内のVeeamデータ用フォルダを選択または作成します。
  3. オプションでストレージの制限を設定する:
    1. オブジェクト・ストレージの消費を制限する :最大容量を設定します。
    2. 最近のバックアップをX日間不変にする :不変性保護を有効にする。
  4. 次へ をクリックします。

ステップ 5: マウントサーバーの指定

  1. リストア操作に使用するマウントサーバーを選択します。
  2. インスタントリカバリ書き込みキャッシュフォルダを設定します。
  3. 次へ をクリックします。

ステップ6:レビューと仕上げ

  1. 設定の概要を確認する。
  2. Finish をクリックしてオブジェクトストレージリポジトリを作成します。

Veeamのイミュータビリティが機能するためには、 Object Storage バケットで S3 Object Lockが有効になっている必要があります。 S3 オブジェクト・ロックは、 Object Storage Immutable Object Storage リテンション・ポリシーとは異なる機能であることに注意してください。 詳細は S3 Object Lock compatibility をご確認ください。

Commvault社

Commvault は S3-compatible クラウド ストレージ ターゲットとして Object Storage をサポートしています。 バックアップとアーカイブの操作については、コマンドセンターから設定できます。

完全なドキュメントは、Commvaultドキュメントの Getting Started with IBM Cloud Object Storage and Configuration for IBM Cloud Object Storage をご参照ください。

クラウドストレージの認証情報を追加する

  1. Commvault Command Centerにログインします。
  2. 管理 > セキュリティに移動します。
  3. クレデンシャル保管庫 (旧バージョンではクレデンシャルの管理 )をクリックします。
  4. Add をクリックして新しいクレデンシャルを作成する。
  5. クレデンシャルを構成する:
    • クレデンシャル名: 説明的な名前を入力する (例: ibm-cos-credentials)。
    • ユーザー アカウント: Object Storage サービスの認証情報から access_key_id を入力してください。
    • パスワード/APIキー : Object Storage サービスの認証情報から secret_access_key を入力します。
  6. 保存 をクリックします。

IBM Cloud コンソールでサービスクレデンシャルを作成する場合は、[ Include HMAC Credential] オプションが有効になっていることを確認する。 access_key_idsecret_access_key は、クレデンシャルJSONの cos_hmac_keys セクションにある。

クラウドストレージの設定

  1. コマンドセンターで、 ストレージ > クラウドに移動します。
  2. クラウドストレージの追加をクリックします。
  3. 選択 IBM Cloud Object Storage ( IBM Cloud® Object Storage が表示されていない場合は、 S3 Compatible )。
  4. ストレージの設定を行う:
    • 名前 :クラウド ストレージのわかりやすい名前を入力します。
    • サービス・ホスト/エンドポイント : Object Storage のエンドポイント(例: s3.us-south.cloud-object-storage.appdomain.cloud )を入力します。
    • クレデンシャル :先に作成したクレデンシャルを選択します。
  5. リストから MediaAgent リストから、クラウド・ストレージにアクセスする MediaAgent。
  6. DDB MediaAgent を重複排除用に設定する(同じでも異なっていてもよい MediaAgent )。
  7. 保存 をクリックします。

バックアップ用のストレージプールを追加する

  1. ストレージクラウドに移動する。
  2. IBM Cloud Object Storage を選択してください。
  3. ストレージプールの追加をクリックするか、バケット設定を構成する。
  4. バケツ名を選択または入力します。
  5. 必要に応じて保持と重複排除の設定を行う。
  6. ストレージプールをバックアッププランに関連付ける。

CommvaultでWORM/不変性を実現するには、 Object Storage バケットでObject Lockを構成し、Commvaultのストレージ構成で対応するコンプライアンス設定を有効にします。

設定を確認する

バックアップ製品を設定したら、セットアップを確認します:

バックアップ操作のテスト

  1. バックアップ製品で小さなテストバックアップジョブを作成します。
  2. バックアップを実行し、正常に完了したことを確認する。
  3. バックアップデータが Object Storage バケットに表示されていることを確認します。

不変性の検証

  1. 最近バックアップしたオブジェクトを Object Storage コンソールで直接削除しようとする。
  2. 削除は保持ポリシーエラーで拒否されるはずです。
  3. Activity Tracker で、削除の試みがログに記録されたことを確認する。

CBRが機能していることを確認する

  1. Activity Tracker、承認されたネットワークゾーン以外からの拒否されたリクエストを確認してください。
  2. 承認されていないネットワークからのアクセスを試み、ブロックされていることを確認する(安全な場合)。
  3. IBM Cloud コンソールで CBR ルールの評価を確認する。

ベスト・プラクティス

セキュリティー推奨事項

  • プライベートエンドポイントを使用する :可能であれば、バックアップトラフィックを IBM Cloud プライベートネットワーク経由でルーティングする。
  • クレデンシャルを定期的にローテーションする :定期的に新しいHMAC認証情報を作成し、バックアップ製品を更新する。
  • Monitor with Activity Tracker: Activity Tracker を有効にして、すべてのバケツ操作をログに記録します。
  • 最小権限を適用する :必要最小限の IAM ロールのみをバックアップ資格情報に付与する。
  • バージョニングを有効にする :上書きに対する保護を強化するために、バージョニングを有効にすることを検討してください。

不変性の推奨

  • バックアップ・ポリシーに保持を合わせる :最短のバックアップ保持要件に合わせて最小の保持期間を設定します。
  • コンプライアンスを計画する :規制(HIPAA、SEC、GDPR)の対象となる場合は、それに応じて保存期間を設定する。
  • リカバリ手順をテストする:不変バックアップから復元できることを定期的にテストする。

パフォーマンスに関する推奨事項

  • 適切なストレージクラスを選択します :アクティブなバックアップにはStandardを、アーカイブにはVaultまたはCold Vaultを使用します。
  • 転送アクセラレーションを有効にする :長距離の大容量バックアップには、 Aspera 高速転送を検討してください。
  • 同時接続の適切なサイズ :ほとんどのバックアップ製品は、同時アップロードストリームを調整することができます。

次のステップ

これで、安全なデータ保管庫が設定されました:

  1. バックアップスケジュールの設定バックアップ製品に適切なバックアップスケジュールを設定します。
  2. アラートの設定バックアップの失敗やポリシー違反に対する通知を設定します。
  3. リカバリ手順を文書化する:リストア操作のランブックを作成する。
  4. ディザスタリカバリの計画を立てる:重要なバックアップをセカンダリー・リージョンに複製することを検討する。
  5. 定期的にアクセスをレビュー する:IAMポリシーとCBRルールを定期的に監査する。