IBM Cloud Docs
Veeam Linux 強化リポジトリー

Veeam Linux 強化リポジトリー

変更不可能バックアップと隔離リカバリー環境の両方のソリューション・アーキテクチャーにおける主要なソリューション・コンポーネントは、強化 Linux® リポジトリーです。

バックアップへの攻撃を防ぐために、Veeam® Backup and Replicationは、バックアップを必要な日数だけ不変にするLinuxハード化リポジトリ機能を提供します。 そのため、ランサムウェアやハッカーなどの脅威から保護することができます。

Linux hardened repository
Linux hardened repository

Veeam の強化 Linux リポジトリー機能では、Linux OS で不変性機能を使用します。 各バックアップ・ファイルに対して不変性 (immutability) ファイル属性が設定されており、これにより、ファイルの内容が保証されます。 これに関連付けられたメタデータは、適用された「この日まで変更不可能 (Immutable Until Date)」の期限が切れるまで、書き換え不能および消去不能として保持されます。

以下の2つのVeeamサービスのみがLinuxハード化リポジトリ・サーバ上で実行されます:

  • Veeam トランスポート・サービスは、バックアップ・データを受け取り、Veeam Immureposvc サービスに対して、「この日まで変更不可能 (Immutable Until Date)」を設定するように指示します。 このサービスは、通常ユーザー (非 root) として実行されます。
  • Veeam Immureposvc サービスは、バックアップ・ファイルに対して不変フラグを設定し、Immutable Until Dates をモニターし、有効期限が切れると不変フラグを削除します。

強化 Linux リポジトリーの初期構成を行うために、Veeam バックアップ・サーバーによって、1 回限りの資格情報が使用されます。 この資格情報は Veeam によって保管されることはありません。 初期構成中に、Veeam バックアップ・サーバーと Veeam トランスポート・サービスの間で証明書ベースの認証が確立されます。

初期構成後は、Veeam 操作を行う際にセキュア・シェル (SSH) アクセスは必要ありません。 ただし、すべてのコンソール・アクセスがサーバーの IPMI ポートを介して行われていない限り、サーバー更新やその他のメンテナンス作業には SSH アクセスが必要です。

初期設定中、Make recent backup immutable for x days が設定されると、このリポジトリへのすべての互換性のある新しいバックアップは、少なくとも_x 日_間は不変になります。 変更不可能時間はさらに長くてもかまいません。 例えば、バックアップ・チェーン内の初期の増分バックアップは、より長く不変となります。 インクリメンタルバックアップファイルはバックアップチェーン内で互いに依存しているため、この操作により、バックアップチェーン全体が同じ不変時間を持つようになります。

バックアップもリストアも実行されない場合、強化 Linux リポジトリーでは TCP 6162 インバウンド・ポートのみが開かれ、Veeam トランスポート・サービスが他の Veeam コンポーネントと通信できるようになります。

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule

Veeam トランスポート・サービスが、TCP 2500 から 3300 などの追加ポートを一時的に開きます。 その結果、バックアップやリストアのプロセス中にプロキシー・サーバーからデータを受信できるようになります。

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
2500/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule
2500/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4

caption-side=bottom"
Veeamバックアップ*

強化 Linux リポジトリーのベスト・プラクティス

コンプライアンス評価レポート(Cohasset社)には、以下の規制に準拠するために構成する必要がある設定が記載されています:

  • FINRA ルール 4511。
  • SEC ルール 17a-4(f)。
  • CFTC ルール 1.31 (c)-(d)。

前述のアセスメント・レポートでは、以下の詳細を強化 Linux リポジトリーのベスト・プラクティスとしています。

  • Linuxのハード化されたリポジトリは、独立したバックアップ・リポジトリにも、スケールアウトしたバックアップ・リポジトリにもなる。 SEC 17a-4(f) に準拠するために変更不可能バックアップ・ファイルを保持するリポジトリーは、Veeam スケールアウト・ バックアップ・リポジトリーがこのルールに準拠していないため、スタンドアロン・バックアップ・リポジトリーとして構成する必要があります。
  • 強化 Linux リポジトリー機能が有効になっている場合は、リポジトリーの name 属性と description 属性に「immutable」という用語を含めることをお勧めします。
  • システム・タイム・クロックの高速化によるバックアップ・ファイルの早期削除の可能性を防ぐために、Linux OS は、安全なタイム・ソースと同期するように構成する必要があります。 例えば、Network Time Protocol (NTP) クロックを使用します。
  • 強化 Linux リポジトリーの管理をバックアップ管理者以外のチームに割り当てることにより、職務を確実に分離します。
  • Veeam では、パフォーマンスとスペース効率 上の理由から XFS を推奨しています (ブロック・クローン作成のサポート)。
  • 合成フルまたはアクティブ・フルでは、増分のバックアップ・ジョブ構成のみがサポートされます。 デフォルトのバックアップ・ジョブ設定は、合成フルの増分バックアップです。
  • バックアップ・コピー・ジョブに対しては、GFS を使用可能にする必要があります。
  • バックアップ・ファイルの暗号化は、以下のようにして使用できます。
    • バックアップ・ジョブで構成された場合、Veeam Backup and Replication は 256 ビット AES ブロック暗号化を使用できます。
    • 転送中のデータについては、グローバル・ネットワーク・トラフィック規則を構成することで、256 ビット AES 暗号化を使用してすべてのトラフィックを暗号化できます。 有効になっており、2 つのバックアップ・インフラストラクチャー・コンポーネントが通信する必要がある場合、動的キーがバックアップ・サーバーによって生成され、セキュア・チャネルを介して各ノードに伝達されます。 2 つのコンポーネントは、このキーを使用して相互間に暗号化された接続を確立します。 そのセッションにおける、これら 2 つのコンポーネント間のすべての通信は、このキーを使用して暗号化されます。 鍵は 1 回のみ使用され、セッションが完了すると破棄されます。