組織の保護はActive Directoryのディザスタリカバリに関連しているので、徹底しなければなりません。Active Directoryに障害が発生すると、ビジネス全体の状況に悪影響がおよぶのは、まぎれもない事実です。従業員はワークステーションにログインできなくなり、サードパーティとの連合アプリケーションは一か所でユーザーを認証できなくなるため、ユーザーは拒否され、重要なグループやグループポリシーオブジェクトへの変更は不可能になり、情報へのアクセスが過剰プロビジョニングおよびプロビジョニング不足になります。重要なのは、Active Directoryがなければ、ビジネスはほぼ行き詰まった状態になることです。だから、Active Directoryを最も効率的な方法で適切にリストアするツールの確保が不可欠なのです。
もう少し詳しく説明します。Active Directoryには十分な冗長性が内部に組み込まれている分散型のアプリケーションで、データはドメインコントローラ間で複製される可用性の高いシステムです。最終的に託されるのは、マルチマスターアーキテクチャで、そこでは参加しているドメインで変更や修正が行われ、ドメイン全体で複製されます。これにより、復旧が簡素化され、新しいWindowsのホストをスピンアップして、それを既存のドメイン内のドメインコントローラに昇格するだけで済むことがあります。ただし、兼用できる復旧シナリオなどなく、ドメインコントローラがDNS、DHCP、証明書サービスなどの重要な基本的サービスを担っている場合、復旧は非常に複雑になる恐れがあります。データ破損のせいであれ、ランサムウェア攻撃のせいであれ、サイト全体の障害が原因でフレキシブルシングルマスター操作(FSMO)が役割を果たせなくなった経験のある人は、復旧プロセスはそれほど「簡素」ではないと主張するかもしれません。ネイティブの方法を用いたActive Directoryの復元は、時間がかかり、複雑なプロセスになり得ます。また、ポイントソリューションでは、多くの場合、本番環境がまだ存在することを保証する必要があります。しかも、DCを実行するために新たなホストを構築している間中ずっと、業務は停止しているし、アプリケーションはダウンしているし、データは人質に取られている状態なのです。
RubrikのActive Directory保護を活用
Rubrikは、Active Directoryの保護では、シンプルさと効率性は同じだということを理解しているため、Rubrik Security Cloud(RSC)内の公式ワークロードとしてActive Directoryのサポートを発表し、ユーザーとグループ向けにドメインレベル全体の障害だけでなく、個々のオブジェクトレベルの復元に対応しているのです。
まず、ドメインコントローラ(DC)の1つをRSCに追加すると、Rubrikが、関連するドメインに参加している他のDCすべてを自動で検出し、インベントリを作成します。単にホスト名のインベントリを作成するだけでなく、RSCもUI内の重要なFSMOの役割(スキーママスター、インフラストラクチャマスター、ドメイン名前付けマスター、PRCエミュレータ)を検出し、ラベルを付けます。DNSやDHCPなどの重要なドメインサービスを提供しているDCも特定し、情報をRSCインターフェースに伝えます。Rubrikは、Active Directoryの復元中は、これらのサービスの位置を正確に把握することが重要であることを理解しているので、復元作業の優先順位付けと連携を容易に行えます。
インベントリが作成されると、プラットフォーム内にあるその他のワークロードの保護と同じ、簡素化された統合アプローチを使って、RSCによりActive Directoryが保護されます。ドメインレベルまたはドメインコントローラレベルのいずれかでグローバルSLAを割り当てるだけで、Rubrikは、バックアップがRPOや保持ポリシーなどのポリシー内で定められた構成に準拠していることを確認します。また、Rubrikプラットフォーム内の重要なゼロトラスト機能には、書き換え不可、アーカイブ、レプリケーション、暗号化、保持ロックなどがあり、これらはActive Directoryバックアップに適用できるので、バックアップの可用性と整合性が損なわれることはありません。さらに、Rubrikはwbadminを利用してActive Directoryをアプリケーションと一貫性を保つようにバックアップすることで、Microsoftの推奨事項とベストプラクティスに準拠しながら、復旧に関連する多くのオプションを使用できるようにしています。
柔軟な復旧オプションと言えば…
事実をお伝えしましょう。世界中のバックアップは望むように復元できなければ役にも立ちません。Rubrikは高速かつ効率的な復旧オプションの提供に常に重点を置き、さまざまなリストアシナリオを解決してきました。Active Directoryも例外ではありません。Rubrik Security CloudでのActive Directoryのリストアは大きく2つのカテゴリーに分けられます。完全なドメイン/ドメインコントローラの復元と個々のオブジェクトレベルの復元です。
ドメイン/ドメインコントローラ全体の復元
ドメイン全体の復元が必要でも、ドメインコントローラそれぞれの復元が必要でも、これはワーストケースシナリオです。いずれにせよ、ネイティブツールを使った復元は複雑で時間がかかる恐れがあるうえに、組織のダウンタイムが長くなる可能性があります。Rubrikなら、裏で多くの些細で面倒なタスクを自動化することでこのプロセスをシンプルにし、以下のシナリオをサポートする復旧機能を提供します。
同じホストへの復元
ある程度機能しているドメインコントローラを復元する必要があるだけなら、Rubrikがポイントインタイム(特定の時点の)バックアップを生産環境に直接リストアできます。ドメインコントローラは復元モードにリブートされ、データとシステムの状態はRubrikプラットフォームの書き換え不可のバックアップから自動で復元されます。
同じ基本構成の新たなホストへの復元
ランサムウェアや他のサイバーイベントでドメインコントローラが影響を受け、その結果、元のDCの信頼性が失われることが多分にあります。この場合、事前設定されたテンプレートを利用して、ソースドメインコントローラと同じ基本構成の仮想インスタンスを作成できます。Rubrikは同じホストへの復元と同じ方法で使用できるので、データもシステムの状態もリストアでき、既存のドメインコントローラを完全に新しい仮想ホストに復元できます。
完全に新しいベアメタルホストへの復元
残念ながら、現代のサイバー環境では、生産環境全体を新しいハードウェアにリストアまたは再構築しなければならない場合があります。Active Directoryは、多くの場合、これをサポートするために立ち上げる必要のある最初のインフラストラクチャの1つに入ります。RubrikはWindows回復環境(WinRE)を利用して、ドメインコントローラのバックアップを完全に新しいベアメタルホストにリストアするサポートをします。これは、共有パスをLive Mount経由でドメインコントローラにエクスポートし、WinREから起動、復元モードにブートして、セキュアなSMB共有を指定することで実現します。
個々のオブジェクトレベルの復元
ドメイン/ドメインレベルコントローラ全体の復元は有用であり、率直に言うとほとんどの組織にとって必要不可欠ですが、実際のところ、Active Directoryの日常的な管理のほとんどが、ユーザーとグループなどの個々のオブジェクトに集中しています。まったくの偶然であれ、一部の自動化機能の故障であれ、ユーザーやユーザーグループがディレクトリサーバーから削除や消去される事態に陥った経験は、だれしもどこかの時点であるでしょう。以前は、このような事態が起こると、少しのユーザーやグループを生産環境に戻すためだけに、ドメインコントローラの全体的な復元が必要でした。
Rubrikの場合、これは簡単な作業で、バックアップ全体を検索するか、特定のポイントインタイムを探し当てるかして、リストアしたいユーザーまたはグループを選択すれば、Rubrikが指定オブジェクトのデータを抜き出し、それらを生産環境に戻すという残りの作業をしてくれます。さらに、個々のオブジェクトを単にリストアするだけでなく、オブジェクトが持っていた他のエンティティとの関係も復元します。たとえば、あるユーザーを復元すると、そのユーザーに割り当てられていたグループも確実に復元され、維持されます。
Active Directoryの保護はITの懸念事項というだけでなく、ビジネスで必要とされる重要な要素です。Active Directoryの障害の影響は組織全体におよぶ可能性があり、その結果、生産性が低下し、収益が失われ、全体的なイメージの悪化につながります。Rubrik Security Cloudには、書き換え不可のバックアップ、柔軟で効率的なリストアオプションで、堅牢なポリシー駆動型のActive Directory保護を、シンプルで統合されたインターフェースを通じて提供するサポート機能が組み込まれています。
手遅れになる前に、SaaS、クラウド、データセンターワークロードを横断するデータ保護のために、Rubrik Security Cloudをご確認ください。また、Rubrikの年次ユーザーカンファレンスであるForwardに参加して、Rubrikで完全なサイバーレジリエンスを実現する方法を知ってください。こちらからForwardに参加登録してください。
免責条項:本文書で言及している未公開のサービスや機能は現時点では利用できません。公開時期等はRubrikの単独の裁量により決定され、予定どおりに一般公開されない可能性も公開が中止される場合もあります。ここで言及されるいかなるサービスや機能もRubrikが提供を約束するものではなく、その責任や義務を意味せず、いかなる契約にも含まれません。現在一般公開されているサービスや機能に基づいて、購入の意思決定を行うようにしてください。