データはほぼすべての事業活動の根幹を成しており、そのデータのセキュリティおよび完全性を確保することは極めて重要です。Amazon Simple Storage Service(S3)は、自社のデータ要件に合う、スケーラブルで費用効果の高い弾力性を備えたストレージソリューションを求めている組織が選ぶ選択肢として、長期にわたり高い人気を誇っています。
事実、世界のおよそ百万もの組織がAmazon S3を活用し、数百エクサバイトの非構造化データや業務上不可欠なデータを保存しています。さらには、サイバー攻撃は増加傾向にあり、クラウドは脅威アクターが狙う主要な標的となりつつあります。クラウドデータのセキュリティを強化し、確実に保護するための措置を講じることは組織にとっての最重要課題です。
とはいえ、S3のサイバーレジリエンスおよび復旧を実現することは容易な作業ではありません。ほとんどの組織が個々のオブジェクトの復元をバージョニングに依存していますが、データはAWSのソースアカウントの境界内にとどまっており、侵入者によるアクセスが可能で、認証済みの内部脅威に対する脆弱性もそのまま存在しています。
組織はS3データの保護に関して、以下のような多くの課題に直面しています。
一貫性のないデータ保護:組織は多くの場合、複数のAWSアカウントを活用して、データ分離やセキュリティ境界を実現しています。それぞれのアカウントを別々のエンティティとして扱うなら、多くの場合、各アカウントごとにバックアップ計画を維持しなければならなくなります。これは管理者にとっての悪夢です。さらに、この複数のアカウントがすべて同じAWS組織に参加している場合、企業にとっては脅威アクターをAWS Control Towerにアクセスさせ、すべてのアカウントに大損害をもたらすリスクを冒すことになります。
S3バケットの低い可視性:何百ものアカウントに何百ものバケットがデプロイされていると、S3内にあるデータの可視性が低くなり、データの存在に気付きにくくなって、組織の重要データが保護されていないという状態に陥ります。
時間のかかる復元:組織はS3全体に保存されているデータやオブジェクトを効率的に検索する必要があります。バケットの完全な復元には時間がかかる場合があり、データが環境内の多くのバケットに分散している場合にはさらに困難な作業となる可能性があります。
費用のかかるバックアップ:第一に、バックアップソリューションのデプロイでは、コストを本番データの保存関連コストよりも低く抑えられるよう、AWS内の階層型ストレージを活用できる必要があります。
自社データに関するサイバーレジリエンスを実現するには、自社の全アカウントで保存されているS3データのすべてを可視化し、効率的な検索と復元のプロセスを備え、AWSの階層型ストレージをサポートしているデータ保護ソリューションが必要です。
Rubrik Security CloudによるAWS S3のサポートを発表
Rubrik Security CloudによるAWSの保護対象範囲を拡大し、Amazon S3をサポート対象ワークロードとすることをお知らせします。お客様は、Rubrik Security Cloudの統一インターフェイスを利用して、ご自身のAWSアカウント全体のS3バケットを自動的に検出し、一覧化できます。そこからは、Rubrikの強力かつインテリジェントなサービスレベルアグリーメント(SLA)ドメインポリシーベースの保護により、書き換え不可(イミュータブル)、エアギャップバックアップ、ロールベースのアクセス制御(RBAC)などの主要かつ必須のセキュリティ機能を提供して、お客様のS3オブジェクトのサイバーレジリエンスを確保します。もちろん、高速で効率的なオブジェクトレベルの検索と復元の機能も提供します。
S3データが完全に可視化され全面的に保護されている一方で、総保有コストは最小限に抑えられていると言えるなら、と考えてみてください。RubrikによるS3保護はまさにこのことを実現しています。
RubrikによるS3保護の仕組み
RubrikによるAmazon S3の保護は、以下の4つの主要カテゴリを通じて行われます。
自動的な検知とオンボーディング
グローバルポリシー主導の保護
効率的なバックアップ
高速なリストア
それぞれについて、詳しく見ていきましょう。
自動的な検知とオンボーディング
Rubrik Security CloudにAWSのアカウントIDとアカウント名を追加するだけで、Amazon S3をRubrik Security Cloudにオンボーディングできます。アカウントの認証が完了すると、RubrikはAWS CloudFormationスタックをデプロイします。AWS CloudFormationは、Rubrik Security CloudがS3に対してバックアップや復元のプロセスを実行するのに必要なすべてのリソースをプロビジョニングする役割を担います。オンボーディングの後、新たにデプロイされたクロスアカウントロールによる後続の認証が行われます。これにより、お客様は組織内の制御および監査を行う機能を維持しながら、アカウントへのアクセスをRubrikに安全に付与できます。
クロスアカウントロールのほか、一時的なコンピューティングインスタンス(Rubrik Exocompute)も構成され、S3バケットおよびそこに保存されている個々のオブジェクトのインデックス作成をサポートします。複数アカウントのオンボーディングを検討しているお客様の場合は、アカウント情報を含むCSVファイルをRubrik Security Cloudにアップロードして、複数のAWSアカウントを一度に構成することも可能です。
Amazon S3のオンボーディングが完了すると、Rubrik Security CloudはAWSアカウント内のS3バケットをすべて自動的に検知して一覧化し、データ保護に必要なすべてを管理する統一インターフェイスを提供します。
グローバルポリシー主導の保護
Rubrik Security Cloudの他の保護対象ワークロードと同様に、Amazon S3のバケットもRubrikのグローバルSLAドメインを活用して保護されます。SLAドメインにより、「複数のジョブ」はS3バケットに簡単に適用できる単一のポリシーに置き換えられることで、データ保護に対する従来のアプローチは排除されます。
たとえば、SLAドメインでは、RPO(必要なバックアップの頻度)やリテンション(バックアップの保持期間)といったデータ保護を構成する概念を、単一のデータ保護ポリシーにまとめています。バックアップに関するジョブ、インデックス作成に関するジョブ、アーカイブに関するジョブなどを作成する必要はありません。
構成されたSLAは、次のいずれかの方法でAmazon S3のバケットに簡単に割り当てられます。
アカウントレベル:SLAはAWSアカウント全体に割り当てられます。これにより、既存のバケットのほか、アカウント内で新たに作成されたバケットも割り当てられたポリシーを自動的に継承し、自動的にRubrikによって保護されるようになります。
バケットレベル:SLAドメインを個々のバケットに割り当てることもできます。バケットレベルで割り当てられたSLAはすべて、アカウントレベルのどの割り当てよりも優先されます。これにより、組織はアカウント全体に一律の保護を割り当てながら、より積極的なRPOを設定したSLAをミッションクリティカルな最重要バケットに適用するということもできるようになります。
タグベースの割り当て:SLAドメインをAWSのタグ(キーと値のペア)に基づいて、自動的にバケットに割り当てることができます。多くの組織ではさまざまな部署や人物が管理する複数のAWSアカウントを利用していますが、同時にアカウント間で共通のタグ付け戦略も採用しています。特定のキーと値のペアに基づくSLAドメインの割り当てにより、クラウド管理者はAmazon S3環境を通常の方法で管理・構築することができ、同時にバケットのタグを追加したり変更したりするだけで、AWSアカウント全体にデータ保護を実装することが可能となります。
S3 StandardまたはS3 Infrequently Accessed内で実行されているバケットは、Rubrik Security CloudのグローバルSLAドメインの使用を通じた保護が可能です。
効率的なバックアップ
RubrikはAmazon S3の保護に関して、永久増分アプローチを採用しています。つまり最初のバックアップでは、 バケット内の全データセットを処理するフルバックアップを行う一方、その後のバックアップでは、前回のバックアップ時点後に変更されたデータのみをバックアップする増分バックアップを行います。このアプローチは、適時にS3のバックアップをとれるようにする効率的な方法となるばかりでなく、バックアップ自体にデータを保存する全体的なコストを下げることにもなります。
バックアップおよびリストアのプロセスの実行には、一時的なコンピューティングインスタンスであるRubrik Exocomputeが用いられ、各バックアップイベント後には、メタデータのインデックスが作成されてRubrik Security Cloudに送信されます。Exocomputeが必要となるのは、バックアップ、リストア、インデックス作成のタスクを行う間だけであり、使用しない時にはすぐに停止します。
バックアップ自体はS3の「Standard」、「Infrequently Accessed」、「Glacier」のいずれかのストレージクラスに保存されます。組織がバックアップを別のリージョン、またはソースデータとは異なる別のアカウントに置けるようにすることで、エアギャップが提供されます。ご存知のとおり、単にバックアップを保存するだけではサイバーリカバリを確保することにはなりません。完全なサイバーリカバリを実現するには、バックアップの書き換え不可(イミュータブル)性を確保し、脅威アクターからバックアップを確実に保護する必要があります。書き換え不可(イミュータブル)性の確保では、RubrikはAmazon S3のオブジェクトロックを活用して、バックアップを偶発的または悪意ある削除や暗号化から保護することができます。
高速なリストア
RubrikのS3保護では、バケットレベルおよびオブジェクトレベルの両方で復元が可能です。バケットレベルの復元の場合、お客様はRubrik Security Cloud UI内で復元したいバケットを選択し、リストア先(元のS3バケットまたはまったく異なるS3バケット)を指定するだけです。
オブジェクトレベルの復元では、お客様はスナップショットレベルでオブジェクト名に基づいてオブジェクトを検索し、目的の復元したいオブジェクトを選択できます。そして、元のバケット(インプレース)か別のバケット(エクスポート)のどちらかにリストアできます。
バケット全体でも個々のオブジェクトでも、どちらも元のバックアップがあった場所に関わらず、どのアカウントのどのリージョンにも復元できます。これにより、完全な柔軟性が提供されて事業継続性を確保できます。
RubrikによるS3の重要データの保護へ
Amazon S3に保存されているデータを安全に保護することは、組織の重要情報の可用性、機密性、完全性の確保において極めて重要です。Rubrik Security Cloudはお客様のS3データにサイバーレジリエンスをもたらし、バックアップの可用性だけでなく書き換え不可(イミュータブル)性を確保し、エアギャップ環境を構築して、偶発的または悪意あるアクティビティからバックアップを安全に守ります。何百のAWSアカウントにわたって数千ものバケットを有する大企業でも、1つのバケットを活用している小さな企業でも、Rubrik Security Cloudはお客様のデータを守ります。
現在はベータ版であり、GA(一般提供)版のリリースは2月の予定です。ベータ版への参加を希望される場合は、お客様担当のアカウントチームまでお問い合わせください。