Dell PowerScaleのSecure Snapshot ~管理者でも削除できないSnapshotによるランサムウェア対策~
ランサムウェア攻撃では、暗号化だけでなく復旧用のスナップショット削除を試みるケースもあります。
Dell PowerScale(Isilon)でランサムウェア攻撃などで悪意あるデータ削除から保護するためのSecure SnapshotがOneFS 9.12でリリースされました。
この機能を使ってみましたので、ご紹介します。
はじめに
PowerScale OneFS 9.12にてSecure Snapshotという機能が追加されました。
Secure Snapshotを有効化すると、管理者権限であっても承認なしでスナップショットを削除できなくなります。
この機能について、実際に削除できない状態になるのかを確認しましたので、ご紹介します。
OneFS 9.12で追加されたSecure Snapshotについて
Secure SnapshotはMulti Party Authorization(以下MPAと記載)と連携して、この機能を有効化するとスケジュールで取得されたスナップショットやスケジュール設定自体を承認者の許可がないと削除できなくなるという機能です。
Secure Snapshotを利用した場合のスナップショットの削除フローとしては、以下のようなイメージとなります。
スナップショット対象操作
スナップショットの操作の中では以下の操作が対象となります。
- スケジュールで作成されたスナップショットの削除・変更
- スナップショットスケジュールの削除・変更
- 有効期限が指定された手動スナップショットの削除
※有効期限のない手動スナップショットの削除は承認なしで可能
上記操作については、管理者権限であっても承認がないとできなくなるため、スナップショットデータを保護することが可能です。
なお、スケジュールで有効期限を迎えたスナップショットについては、今まで通り自動で削除が実行されます。
Multi Party Authorizationについて
Secure Snapshotを利用するために連携が必要なMulti Party Authorizationについてご紹介します。
この機能もOneFS 9.12から利用可能な機能となっており、MPAを有効化すると対象操作については、定義した承認者アカウントからの承認が得られないと操作できないというものです。
※対象の操作についての詳細はお問い合わせください。
【注意】
MPAは一度有効にすると無効化することができません。
事前に十分検討してから設定することを推奨します。
Multi Party Authorizationの流れ
MPAを有効化した環境で対象操作を行う場合は、以下のような流れで承認を得る必要があります。
1. GUI/CLIから対象操作を実行
2. MPA承認者にて、1の操作を承認
-> この承認はMicrosoft Authenticator, Google Authenticatorなどを使って行います。
3. GUI/CLIから対象操作を再実行
承認者は最低2名以上で登録を行います。
実機確認
実際にスナップショットを使用した結果です。
MPA有効前後のスナップショットの削除操作で以下のような画面の違いが見られました。
MPA有効化後はMPAの画面を確認するように表示されることがわかるかと思います。
・MPA有効化前
・MPA有効化後
リクエストされたスナップショット削除操作は、GUIのMPAのRequestsに表示されるようになります。
承認の操作を実行するためには、以下画面にてMicrosoft AuthenticatorやGoogle Authenticatorに表示されるSecurity Codeを入力する必要があります。
私はMicrosoft Authenticatorを使用して実施したのですが、30秒毎にコードが更新されました。
・Microsoft Authenticator画面
・PowerScale GUIの承認画面
ちなみに、私の環境ではインターネットに接続していないOneFSで確認を行いましたが、特に問題なく操作ができました。
この操作が実施された後、再度、該当のスナップショットの削除操作をすると、無事スナップショットの削除ができました。
“スナップショットの操作が承認されるまで”や”承認してからの有効期限”などは期間がデフォルトで定義されているので、操作者と承認者間での連携は社内で決めておく必要があります。
おわりに
万が一、管理者権限を持つアカウントが侵害された場合でも、Secure Snapshotによってスナップショットが安全に保護できます。
そのため、データが削除されたり、暗号化された場合でも、保護されたスナップショットを利用して復旧できる可能性がありますので、ランサムウェア対策や内部不正対策として有効な機能であることがおわかりいただけたかと思います。
PowerScaleには、セキュリティ機能が色々とありますが、Secure SnapshotはSnapshotIQのライセンスがあれば利用することができますし、設定や利用も簡単にできました。
セキュリティ対策について、こちらのコラムにも記事を載せていますので、ぜひこちらも参照いただければと思います。






