Microsoft (有志)Publicationへの投稿

続-Azure ランサムウェア対策(不変コンテナー、論理的な削除、リソースガード)

shohei.s
に公開
Azure
ランサムウェア
tech

はじめに

こんにちは!
前回 Azure のランサムウェア対策に関する記事を書き、そこで Azure Backup での対策にて不変コンテナー、論理的な削除、リソースガードを紹介いたしました。どのサービスも概要は理解しているものの、改めて詳細を確認しておこうという気持ちになったので確認してみました。

対象者

  • Azure のセキュリティに関わる方
  • ランサムウェア関連に興味がある方
  • Azure でのバックアップ関連に関わる方

不変コンテナーとは

不変コンテナーとは、バックアップデータをランサムウェアや誤操作から保護するための機能です。
復旧ポイントを失う可能性のある操作をブロックすることで、バックアップ データを保護するのに役立ち、さらに不変コンテナー設定をロックすることで設定を戻せないようにし、悪意のあるアクターが不変性を無効にしてバックアップを削除できないようにすることが可能になります。
Azure VM バックアップは、必要な通信やデータ転送はすべて Recovery Services コンテナーにデータを移動する際、Azure バックボーン ネットワーク上でのみ行われ、仮想ネットワークにアクセスする必要がありません。
そのため、Azure Backup のランサムウェア対策としては、ポータル上からの操作を制限することが有効であり、不変コンテナーを有効にし、バックアップ データの削除や保持期間の短縮を行わせないようにすることは、ランサムウェア対策として有用です。
不変コンテナーは、Recovery Services コンテナーと Backup コンテナーの両方でサポートされているが、あとから出てくる WORM(Write Once, Read Many) に関しては、現時点ではRecovery Services コンテナーのみのサポートとなっている。

不変コンテナーの状態

不変コンテナーには状態の種類があり、「無効」「有効」「有効でロック済み(WORM)」の 3 種類があります。それぞれの説明は以下になります。

  • 無効
    既定の状態であり、不変性は有効になっておらず、操作はブロックされない
  • 有効
    不変性が有効になっており、バックアップが失われる可能性のある操作は許可されない。しかし、設定を無効に戻すことも可能
  • 有効でロック済み
    WORM ストレージが有効な不変性があり、バックアップが失われる可能性のある操作は許可されない。さらに、設定がロックとなるため無効に戻すことが不可

Azure Backup の不変コンテナー

不変コンテナーの有効化方法

  1. Recovery Services コンテナーの[設定]→[プロパティ]→[不変コンテナー]の設定をクリック
  2. [コンテナーの不変性を有効にする]にチェックし適用
  1. 再度設定から[ロック済み]をチェックし、不変性のロックと、バックアップに WORM ストレージを使用する確認に関してもチェックし適用

不変コンテナーの制限される操作

Recovery Services コンテナー

Backup コンテナー

不変コンテナーのコスト

不変コンテナーの有効化自体に追加料金は発生いたしません。
しかし、不変コンテナーのロックを有効化した場合、保持期間中はバックアップ データを削除できないため、ストレージ利用料が継続して発生します。
バックアップ停止後も、最後の復元ポイントは保持期間終了まで残りますので、バックアップ データをすぐに削除し、以降のバックアップにかかる課金をすぐにゼロにすることはできなくなります。

また、バックアップを停止させる際、バックアップ データをポリシーに従って徐々に削除させていくことは可能ですが、最後に残った復元ポイントは自動で削除されず、残存し続けます。
バックアップを停止させ、ポリシーに従ってバックアップ データを削除する際は気を付けてください。
Azure Backup の不変コンテナーの操作を管理する

論理的な削除とは

バックアップアイテムを削除しても、一定期間(既定で14日間)復元可能な状態で保持する機能。既定では 14 日間に設定され、最大 180 日間に延長できます。
削除後 (データが論理的に削除された状態にある間)、削除されたデータの回復が必要になった場合は、削除を取り消すことができます。 これにより、データの状態を保持して保護を停止するデータが返されます。
現在 Recovery Services コンテナーにおいて「論理的な削除(Soft Delete)」が既定で有効化されるようにすべてのパブリック リージョンでパブリック プレビューされています。
バックアップ データがランサムウェアまたは不適切なアクターによって悪意を持って削除
されたときに役立つ機能となっている。

論理的な削除のフロー

論理的な削除の種類

  • コンテナーの論理的な削除
    現在既定での安全が保証されているため、コンテナーが削除されると、論理的に削除された状態に移行します。
    対象は、「Recovery Services コンテナー」と「Backup コンテナー」となります。
    論理的に削除された項目を含むコンテナーの削除を開始すると、そのコンテナーは完全に削除されるのではなく、論理的に削除された状態に自動的に移行し、成された論理的な削除の保持期間内に削除を取り消すことで、論理的に削除されたコンテナーを回復できます。
  • 復旧ポイントの論理的な削除
    誤ってまたは悪意を持って削除された復旧ポイントを復旧するのに役立ちます。
    バックアップ項目に関連付けられているバックアップ ポリシーを変更してバックアップのリテンション期間を短縮することで期間外となり削除される復旧ポイントも該当します。
    コンテナーに指定された論理的な削除のリテンション期間に従って、これらの復旧ポイントのリテンション期間を延長することが可能です。

論理的な削除の保持期間

論理的な削除の保持は、論理的に削除された状態の削除済み項目の保持期間 (日数) です。
論理的な削除の保持期間が経過すると (削除した日から)、項目は完全に削除され、削除を取り消すことはできません。 論理的な削除の保持期間は 14 日から 180 日 まで選択できます。

設定方法

  • 設定箇所
    Recovery Services コンテナーの[設定]→[プロパティ]→[論理的な削除の設定]の更新をクリック

    保持期間を編集し、更新をクリック
  • 削除から復元までの流れ
    Recovery Services コンテナーの[保護されたアイテム]→[バックアップアイテム]からバックアップの種類を選択

    対象の Azure VM の詳細をクリック

    バックアップの停止 をクリック

    バックアップ データ保持で[無期限に保持]もしくは[ポリシーに従って保持]を選択することで、復旧ポイントを復元した際にバックアップジョブをアクティブにする前の保持ポリシーを選択できます

    バックアップデータの削除 をクリック

    バックアップ項目の名前を入力し、削除 をクリック

    ちなみに不変コンテナーを有効化していた場合、以下のエラーで失敗する

    復旧ポイントが論理的な削除状態であるメッセージが表示されます

    削除の取り消し をクリック

    説明書きがあるので、Undeleted で削除の取り消しを実行します

    VM の復元が可能な状態に戻りました

Azure Backup でのソフト削除の構成と管理

論理的な削除のコスト

コンテナー化されたバックアップに対する既定の論理的な削除期間である 14 日間は保持コストがかかりません。しかし、保持期間を 14 日以上に設定した場合は 15 日目からのバックアップに関して通常のバックアップ料金が加算されます。14 日に関しては直近の 14 日が適用されます。

リソース ガードを使用したマルチユーザー認可とは

バックアップ環境をランサムウェアや誤操作から守るため、重要な操作を複数人の承認で実行する仕組みです。
通常、Recovery Services コンテナーやBackup コンテナーの管理者(バックアップ管理者)は、削除やポリシー変更などの操作を単独で実行できます。しかし、これでは権限が悪用された場合にリスクが高いです。
そこでリソース ガードを使用します。
リソースガードによって、コンテナーに対する重要な操作の内、追加の承認プロセスが必要な操作を設定し、それをコンテナーに紐づけることで重要な操作が単独で実行することができないようにします。

リソース ガードで保護できる重要な操作

Recovery Services コンテナー

Backup コンテナー

仕組み

  • セキュリティ管理者
    リソース ガードを作成し管理し、コンテナーに対する保護する操作を設定する。
    バックアップ管理者がリソース ガードの設定を変更できないようにするため、バックアップ管理者にはリソース ガードに閲覧権限のみ付与しておく。
  • バックアップ管理者
    Recovery Services コンテナーやBackup コンテナーを管理し、リソースガードを使用したマルチユーザー認可を有効化することが可能。
    重要操作を実行する場合に、一時的な権限付与リクエストを実施し、操作を行う
  • 承認プロセス
    セキュリティ管理者が Microsoft Entra Privileged Identity Management(PIM)や JIT アクセスで承認。
    承認後はバックアップ管理者が指定時間内に操作を行い時間が過ぎると権限は自動で失効する。

リソース ガードを使用したマルチユーザー認可について

設定方法

リソース ガードの作成方法から Recovery Services コンテナーへの適用方法は以下の公開情報に記載されている。
Azure Backup で Resource Guard を使用してマルチユーザー承認を構成する

リソース ガードのコスト

リソースガードを作成の上利用した場合に、コストが生じることはない。

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion