クラウドデータのバックアップは、現代のあらゆるビジネスにとっての優先事項です。しかし、 Fortune 500の企業の95%がそうであるように、お客様がMicrosoft Azureクラウドに依存している場合は、バックアップをToDoリストの最優先事項にする必要があります。これには以下のような理由があります。
おそらく、Azureは最も重要で機密性の高いデータをホストしている場所です。
Microsoft 365の生産性アプリケーションデータはAzure上に、Microsoftスタックシステムの一部 (またはすべて) としてクラウドに保存されています。
Azureのデータが失われると、業務に回復が容易ではないダメージが及びます。
Azure VMの共有セキュリティ責任モデルにより、バックアップはお客様の責任となります。
Azure、特にAzure上の仮想マシン (VM) の徹底的かつ安全なバックアップは、難しい課題となる可能性があります。本Azure VMバックアップセキュリティガイドは、サードパーティ製のバックアップソリューションを活用して最善の結果を達成する方法に関するベストプラクティスと提案を提供します。Azure VMをバックアップする方法と、Azure全般をバックアップする方法について説明します。
Azureインスタンスのサードパーティバックアップの利点
Azureバックアップのベストプラクティス
Azure VMバックアップ は、成長かつ進化しつつあるベストプラクティスのセットの対象です。それらの一部はセキュリティを重視し、バックアップされたデータが攻撃者にとっていかに魅力的なターゲットになり得るかを考えると納得できます。サードパーティ製のバックアップツールの使用も推奨されます。
セキュリティ
昔は、データをバックアップするとは、テープに保存し、そのテープを塩鉱山に隠しておくということでした。誰かがトレーラー付きトラックを持ち込まない限り、データは悪意ある攻撃者から十分に隔離されていました。
クラウドは、控えめに言っても異なります。クラウドは、従来のストレージ環境と比較すると広範囲に広がっています。組織には、さまざまな地域やクラウドプラットフォームに広がる複数のアカウントがある場合があります。結果として、データは広範囲の攻撃対象にさらされ、防御するにはより多くのリソースと専門知識が必要になります。(また、共有セキュリティモデルであるため、これらのリソースと専門知識はクラウドプロバイダー側ではなく、お客様側が提供する必要があります)
クラウドにバックアップされたデータも、侵害や流出のリスクがあります。適切に保護しない限り、侵害のリスクにさらされます。他の重要なITシステムと同じレベルのセキュリティの厳格さをAzure上のバックアップに適用することがベストプラクティスです。
これはどう見えますか? 大まかに言うと、Azure VMバックアップのセキュリティは、クラウドデータ保護 全体像の一部です。クラウドバックアップのセキュリティを確保する際に注意する要因の1つは、資格情報の管理です。盗まれたまたは誤って公開された認証情報は、ランサムウェア攻撃の主な悪用です。MFAを有効にすると、悪意ある攻撃者が不明デバイスからログインできる可能性が減るため、役立ちます。ロールベースのアクセス制御 (RBAC) も、組織の役割に基づきアクセスを制御、アクセス権限の割り当てと取り消しプロセスを簡素化することで役立ちます。
さらに、Azureのすべてのストレージ層でデータの暗号化を強く推奨します。ベストプラクティスは、内蔵型Azure Key Vaultツールを活用して、データ侵害への対策として使用する暗号化キーやその他の秘密を保護することです。
監視、アラート、レポート
効果的なバックアップと復元には、バックアップジョブの状態を常に認識する必要があります。潜在的な問題(ワークフロー手順の見落とし、停止、サイバー攻撃など)を認識することも必要です。したがって、影響を受けるすべてのシステムを継続的、徹底的に監視することがベストプラクティスです。監視プロセスで問題が検出される場合は、迅速かつ適切な対応が取れるよう、監視後には必要に応じてアラートとレポートを送信する必要があります。
バックアップとリカバリ用にシステムを監視する方法は複数あり、1つのみに限定されません。システムの使用状況とバックアップ ジョブを常に管理するために、Azure Monitorを設定することは理にかなっています。Azure Monitorは、クラウドとオンプレミス環境から監視データを収集、分析、対応する多面的ソリューションです。バックアップとリカバリ関連データを収集し、集約します。Azure Monitorを使用すると、バックアップしたVMとデータの状態に影響する潜在的な問題を瞬時に認識できます。
レポートを確認し、監視データストリームを分析することで、ユーザーの行動を検証できると同時に、進行中の脅威または攻撃を示唆する異常アクティビティを発見できる可能性もあります。たとえば、ランサムウェア攻撃の前には、ユーザーは通常とは異なる場所または営業時間外にログインしている可能性があります。監視ソリューションがこれらの疑わしい信号を素早くキャッチすれば、攻撃を回避または爆発の影響範囲を制限できます。
ネイティブバックアップとサードパーティバックアップの比較
Azureには独自のバックアップ機能がありますが、サードパーティ製バックアップソリューションの方が好ましい場合があります。Azureの内蔵型バックアップには、いくつかの利点 (ワークロード範囲の広さ、比較的な使い易さ、単一ベンダー関係の簡素化など) がありますが、固有の制限もあります。
Azureなどのネイティブバックアップツールは、ベースラインバックアップの取得を難しくする場合があります。複数のアカウント間にポリシーを設定するのは、運用面が複雑になる可能性があります。これらのツールは、マルチクラウドアーキテクチャの一元管理された可視性が欠ける傾向があり、ポリシーの定義と適用に一貫性がなくなる可能性があります。より高度なレベルでは、ネイティブバックアップツールは、ストレージ階層化が不十分かつ重複排除が非効率的で、他のコスト要因も最適でないため、経済的ではない場合があります。
サードパーティ製バックアップソリューションがこれらのギャップの多くを埋めます。一般的に、複数のAzureアカウントとリージョン、ならびに複数のクラウドとオンプレミスVM間のバックアップの一元管理と広範な可視性が一因となり、総所有コスト (TCO) を低減できます。サードパーティ製ソリューションは、バックアップデータを初日に安いコールドストレージに保存することでTCOを低減します。対照的に、Azure Backupはホットストレージに30日間保存する必要があり、これはコールドストレージの2倍のコストです。
Rubrik Security Cloudなどのサードパーティ製バックアップソリューションには、データ脅威分析やランサムウェア対策となる不変のバックアップなどのセキュリティ機能も含まれます。RubrikのAzureバックアップソリューションは、Azure SQL、Azure VM、Azure NetAppファイルなど、専用バックアップ機能など、Azure環境に明確な利点を提供します。
Azureバックアップベンダーを選定する際のポイント
適切なAzureバックアップベンダーは、Azure VMと関連Microsoftワークロード用の特定の機能を提供するだけでなく、「一元管理画面」管理インターフェイスを通じて複数のクラウドとオンプレミスインフラストラクチャ間で作業できるようにするベンダーです。不変性、ロールベースのアクセス制御 (RBAC)、多要素認証 (MFA)、ランサムウェア検出、エアギャップバックアップ、高速復元、高速RTOとRPOによりバックアップセキュリティを強化する必要があります。総所有コスト (TCO) をできるだけ低く抑えるには、「コールドストレージ」オプションも不可欠です。
ポリシー駆動型自動化による管理の簡素化
適切なAzure VMバックアップセキュリティソリューションは、自動化でバックアップ管理をシンプルにする必要があります。ソリューションは、たとえば、Azure VMとマネージドディスクの階層化などのプロセスを自動化できる必要があります。Azure VMの自動検出も、特にソリューションがポリシー駆動型自動化を実現できる場合にプラスになります。例として、リソースグループ内のリソースの自動タグ付けがあります。
さらに、宣言ステートメントを使用してサービスレベル契約 (SLA) を作成できることは、Azureバックアップベンダーにとって大きなプラスです。RubrikのSLAドメイン構造に例示されているように、宣言ステートメントは、SLAを順守する従来の「命令型」モードとは対照的です。バックアップSLAを満たすために管理者が実行する必要がある一連の手順の概要を説明する命令型のアプローチとは異なり、必然的に面倒で非効率なプロセスですが、宣言ステートメントではRTOなどの目標が設定されます。それは、SLAを満たすバックアップをする、「設定して忘れる」方法です。結果的に、コンプライアンスははるかに簡単になります。
RTOとRPOをほぼゼロにする高速復旧
Azureで何らかのデータ損失イベントが発生すると、迅速な復旧が絶対に必要です。最適なAzureバックアップベンダーは、最も必要なAzure VMとその他のデータを大規模に選択的に復元できるベンダーです。このように、重要なデータの最速復元が優先され、通常の業務への復帰が迅速化されます。
これは、具体的にはイベントの開始から影響を受けたAzure VMと関連ファイルの回復までに経過する時間である、可能な限り復旧時間目標 (RTO)を実行することを意味します。さらに、ソリューションは可能な限り狭い復旧ポイント目標 (RPO)を実現する必要があります。RPOとは、一連のトランザクションの最新のものなど、停止時にデータが失われるポイントです。効果的なAzureバックアップソリューションは、ほぼゼロ時間のRTOとRPOを提供します。
費用対効果に優れた長期保持、アプリケーションの復元、またはテスト/開発に対応するアプリケーションモビリティ
長期保持とアプリケーションの復元が目標である場合は、アプリケーションモビリティを提供するAzureバックアップベンダーと連携する価値があります。たとえば、VMをAzureからAmazon Web Services (AWS) に移動、またはアプリを開発環境からテスト環境、さらに本番環境に移動する必要がある場合があります。このプロセスには、クラウド間でのデータの迅速な複製が含まれる場合があります。ベンダーはそのプロセスをサポートする必要があります。クラウド全体でシンプル、一元管理が成功に向けて不可欠です。
データの脅威分析
攻撃者はバックアップされたAzure VMも狙っているのか? 適切なAzureバックアップベンダーは、データ脅威分析機能を提供することで、手遅れになる前に問題を把握する上で役立ちます。データセキュリティには常に警戒が必要です。たとえば、バックアップソリューションは、バックアップされたデータの攻撃の痕跡を継続的にスキャンする必要があります。脅威ハンティング、つまり、特定の脅威を探し、攻撃として現れるのを待たずに検出する機能もあれば良いです。ソリューションが脅威を発見すると、脅威の軽減担当者にアラートを送信する必要があります。
Azure上で実行中の仮想ワークロードとSaaS アプリケーションのネイティブ保護
サードパーティ製Azureバックアップソリューションは、理想的には、Microsoft 365などのサービスとしてのソフトウェア (SaaS) アプリケーションをカバーする必要があります。つまり、論理的にエアギャップ化され、アクセス制御されたバックアップと迅速な復元によるSaaSデータの保護を含む、大規模なSaaSデータ保護です。直感的なダッシュボードを備えた一元管理バックアップ/復元管理機能がこの機能の実現に役立ちます。