近年、VMware vSphere 環境におけるランサムウェア攻撃「ESXiArgs」など、脆弱性を悪用したサイバー攻撃が増加しています。このような攻撃からシステムおよびデータを保護するためには、攻撃を成功させないための「ファイアウォール」「アンチウイルス」といったセキュリティ対策に加えて、攻撃被害からの迅速な回復を行うためのバックアップ運用が必須です。
本記事では、「VMware Cloud」のサービスとして提供される「VMware Cloud on AWS」におけるバックアップ運用の注意点や、「Veeam Backup & Replication」によるバックアップソリューションについてご紹介します。
ESXi の脆弱性を悪用したランサムウェア「ESXiArgs」とは?
2月3日ごろより、VMware vSphere 環境においてセキュリティ被害の急拡大が発生した「ESXiArgs」をご存知でしょうか?
「ESXiArgs」はVMware vSphere 環境のハイパーバイザーである「ESXi」が持つ既知の脆弱性を標的としたランサムウェアで、攻撃に「.args」の拡張子に持つファイルを残すことから「ESXiArgs」と呼ばれています。
このような脆弱性を悪用したランサムウェア攻撃は、過去にも様々な形で発生しており、その中でも特に有名な例としては、2017年に世界的に拡散した「WannaCry」や「NotPetya」があります。これらの攻撃はWindows OSの脆弱性を悪用して感染を広げ、その被害額は数十億ドルにのぼりました。
ランサムウェアに感染するとファイルが暗号化されてアクセスできなくなり、画面に「身代金を支払わなければデータは戻らない」といった内容のメッセージが表示されます。ユーザーの不安につけこむ悪質な攻撃手法であり、要求に応じてもファイルが復旧する保証はありません。
こうした「ランサムウェア攻撃」の対策として、「ファイアウォール」や「アンチウイルス」といった防御ソリューションは必要不可欠ですが、次々に発見される未知の攻撃を100%検知・防御できるわけではありません。そのため、万が一の感染時に根本原因を調査するため「EDR」や、データを確実に復旧させるための「バックアップ対策」といった備えも重要になります。
VMware Cloud 環境のランサムウェア対策については、こちらの記事でも紹介しています。
「VMware Cloud on AWS (VMC on AWS)」とは?
「VMware Cloud on AWS」は、AWSのベアメタルサーバー上に「VMware vSphere」などのVMware製品を利用した「SDDC (Software-Defined Data Center)」を構築し、ユーザー向けの占有環境として提供するクラウドサービスです。オンプレミスで運用しているVMware vSphere 環境からのクラウド移行や、オンプレミスとAWSをまたがって管理する「ハイブリッドクラウド」環境の構築に活用されています。
「VMware Cloud on AWS」ではAWSのグローバルインフラストラクチャを利用できるため、可用性や耐久性の高いデータセンターを構築することができます。また、VMware vSphere上で動作するデータをAWS上に移行することで、ネイティブのAWSサービスを活用しやすくなり、より高度なアプリケーションを開発・提供することが可能になります。
VMware Cloud on AWS の特徴
- シンプルで高品質なサービスをVMwareが提供
- プライベートクラウドと一貫性のある運用
- シンプルなクラウド移行
- AWSのネイティブサービスへの直接アクセス
「VMware Cloud on AWS」におけるバックアップ運用の注意点
オンプレとは異なる「VMC on AWS」のバックアップの考え方
仮想マシンが動作するための基盤となる「VMware vSphere」は、仮想マシンの情報だけでなくネットワーク設定やストレージ構成など、多くの要素が含まれています。システム障害や設定ミスなどが発生への備えに加えて、先述のランサムウェア対策としても、「vSphere」環境におけるバックアップの運用はオンプレミス・クラウドを問わずに重要です。
一方で、クラウドサービスである「VMware Cloud on AWS」には、オンプレミス環境の「vSphere」の運用時とは製品操作などで異なる制限があるため、以下のような注意点を踏まえたバックアップ運用が必要です。
「VMware Cloud on AWS」 バックアップ検討の注意事項
- ESXi に対する直接操作ができない
- オンプレミスよりもネットワーク構成が複雑
- vCenter Server の管理者権限が一部制限される
- vSphere コンポーネントが自動更新
「AWS」で利用可能な多様なストレージサービス
「VMware Cloud on AWS」においては、SDDCに障害が発生した場合に備え、AWSが提供するストレージサービスを利用してバックアップデータの保存先を検討することが重要です。AWSは、コストや速度といった用途に応じて、多様なバックアップデータ保存先の選択肢を提供しています。
たとえば、容量単価に優れた「AWS S3」や、ストレージ性能に優れた「AWS EC2」などのストレージサービスを活用することができます。
選択肢 | 容量単価 | ストレージ性能 | 他リージョンへの複製 | プロトコル | WORM |
---|---|---|---|---|---|
AWS FSxN | 0.150USD/GB Storagre Only | NFS CIFS iSCSI | Snap Lock | ||
AWS EFS | 0.192USD/GB | NFS | |||
AWS S3 | 0.025USD/GB | HTTP/HTTPS | Object Lock | ||
AWS EC2 | 0.096USD/GB | SCSI/SAS | |||
(参考) AWS Backup | 0.06USD/GB 0.012USD/GB |
(2023年3月時点での情報)
豊富なストレージサービスの選択肢
AWSでは、各ストレージサービスにおいて、サービス料金に応じて異なる性能を提供しています。たとえば、今回のようなバックアップ用途のストレージとしては容量単価に秀でた「AWS S3」ストレージは、一般的に利用される「S3 Standard」以外にも、豊富なストレージオプションの選択肢があります。用途に応じて適切なサービスを選定することで、より多くのコスト削減が実現できます。
「AWS S3」ストレージの中での選択肢
今回紹介するVeeam Backup Replicationでは最新バージョン12から直接オブジェクトストレージにバックアップデータを保管することが可能になりました。用途によってサポートされるストレージオプションが異なりますので注意が必要です。
バックアップにおける柔軟性の課題を解決する「Veeam」連携
このような課題を解決策として、ネットワールドでは「VMware Cloud on AWS」のバックアップ課題解決ソリューションとして、バックアップ要件に応じた柔軟な構成が可能なVeeam社の「Veeam Backup & Replication」との連携ソリューションをおすすめしています。
- Veeam社は、バックアップソリューションを提供するソフトウェアメーカー
- Veeam社が提供する「 Veeam Backup & Replication」は、「VMware vSphere」環境の仮想マシンに対してスナップショットを活用したシンプルで使いやすい復旧ポイントを提供し、オンプレミス・クラウドを問わずにデータ損失を最小限に抑えるバックアップソリューションです。
「オンデマンドセミナー」で連携ソリューションのポイントを解説
以下の「オンデマンドセミナー」の動画では、本記事でご紹介した「VMware Cloud on AWS」環境におけるバックアップの課題と、「Veeam Backup & Replication」との連携によるバックアップ構成のポイント、AWS Backupとの違い、ストレージ性能に起因する仮想マシンのスタン対策などについて、ネットワールドのエンジニアが詳しく解説しています。
すでに「VMware Cloud on AWS」を利用されている方や、オンプレからクラウド移行時のバックアップについてご検討中の方におすすめの内容となっております。これからの「VMware Cloud on AWS」バックアップ検討に、是非ご活用ください。