Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティに関する考慮事項と攻撃対象

共同作成者
PDF

データのセキュリティを確保する方法を理解する最初のステップは、リスクと潜在的な攻撃対象を特定することです。

これには、次のものが含まれます(ただし、これらに限定されません)。

  • 管理とログイン

  • 保存データ

  • 転送中のデータ

  • ネットワークとファイアウォール

  • ランサムウェア、マルウェア、ウイルス

攻撃の対象となる面を理解することで、環境のセキュリティを強化できます。Google CloudのCloud Volumes Service は、これらのトピックの多くをすでに考慮しており、管理者の介入なしにデフォルトでセキュリティ機能を実装しています。

セキュアなログインの確保

重要なインフラコンポーネントを保護するには、承認されたユーザのみがログインして環境を管理できるようにすることが不可欠です。不良なアクターが管理資格情報に違反した場合、そのアクターは城へのキーを持ち、必要な操作(構成の変更、ボリュームとバックアップの削除、バックドアの作成、スナップショットスケジュールの無効化)を実行できます。

Cloud Volumes Service for Google Cloudを使用すると、ストレージサービス(StaaS)の難読化により、不正な管理ログインを防止できます。Cloud Volumes Service はクラウドプロバイダによって完全に管理されており、外部からのログインはできません。セットアップと設定の処理はすべて完全に自動化されているため、ごくまれな状況を除いて、人間の管理者がシステムを操作する必要はありません。

ログインが必要な場合、Google CloudのCloud Volumes Service は、システムにログインするためのアクセス権を持つ信頼できる管理者のごく短いリストを保持することで、ログインを保護します。このゲートキーピングは、アクセス権を持つ潜在的な不正アクターの数を減らすのに役立ちます。さらに、Google Cloudネットワークは、ネットワークセキュリティの層の背後にあるシステムを隠し、外部に必要なものだけを公開します。Google CloudのCloud Volumes Service アーキテクチャについては、を参照してください "「Cloud Volumes Service アーキテクチャ」"

クラスタの管理とアップグレード

潜在的なセキュリティリスクを持つ2つの領域には、クラスタ管理(不正なアクターに管理者アクセス権がある場合に発生する動作)とアップグレード(ソフトウェアイメージが侵害された場合に発生する動作)があります。

ストレージ管理の保護

ストレージサービスとして提供されるため、クラウドデータセンターの外部にあるエンドユーザがアクセスするリスクが軽減され、管理者のリスクを高めることができます。代わりに、顧客がデータアクセスプレーンを対象とした唯一の設定が行われます。各テナントは固有のボリュームを管理し、テナントが他のCloud Volumes Service インスタンスにアクセスすることはできません。このサービスは自動化によって管理され、セクションで説明するプロセスを通じて、信頼できる管理者のごく一部にシステムへのアクセス権が付与されます "「サービスオペレーション」"

CVS -パフォーマンスサービスタイプでは、リージョンに障害が発生した場合に別のリージョンにデータを保護するオプションとして、リージョン間のレプリケーションを提供できます。このような場合は、Cloud Volumes Service を影響を受けない領域にフェイルオーバーしてデータアクセスを維持できます。

サービスのアップグレード

更新プログラムは、脆弱なシステムの保護に役立ちます。各アップデートには、セキュリティの強化機能とバグ修正が含まれており、攻撃対象となる面を最小限に抑えるソフトウェアの更新は、中央リポジトリからダウンロードされ、更新が許可される前に検証されて、公式イメージが使用されていること、およびアップグレードが不正なアクターによって侵害されていないことを確認します。

Cloud Volumes Service を使用すると、クラウドプロバイダチームが更新を処理できるため、管理者チームは、プロセスの自動化と完全なテストに精通したエキスパートが設定とアップグレードに精通することで、リスクの危険性を回避できます。アップグレードは無停止で実行され、Cloud Volumes Service は全体的な最善の結果を得るために最新の更新を維持します。

これらのサービスのアップグレードを実行する管理者チームの詳細については、を参照してください "「サービスオペレーション」"

保存データを保護

保管データの暗号化は、ディスクが盗難、返却、転用された場合に機密データを保護するために重要です。Cloud Volumes Service のデータは、ソフトウェアベースの暗号化を使用して保存データを保護します。

  • Googleで生成されたキーは、CVS-SWに使用されます。

  • CVSパフォーマンスの場合、ボリューム単位のキーはCloud Volumes Service に組み込まれたキー管理ツールに格納されます。このキー管理ツールでは、NetApp ONTAP CryptoModを使用してAES-256暗号化キーが生成されます。CryptoModは、CMVP FIPS 140-2の検証済みモジュールのリストに表示されています。を参照してください "FIPS 140-2認定番号4144"

2021年11月より、CVSパフォーマンス向けにプレビューによる顧客管理暗号化(CMEK)機能が提供されました。この機能を使用すると、ボリュームごとのキーを、Google Key Management Service(KMS)でホストされているプロジェクトごとのリージョンごとのマスターキーで暗号化できます。KMSを使用すると、外部キー管理ツールを接続できます。

CVS -パフォーマンス用のKMSの設定方法については、 "Cloud Volumes Service のドキュメントを参照してください"

アーキテクチャの詳細については、を参照してください "「Cloud Volumes Service アーキテクチャ」"

転送中のデータを保護

保存データを保護するだけでなく、Cloud Volumes Service インスタンスとクライアントまたはレプリケーションターゲットの間で転送中のデータも保護する必要があります。Cloud Volumes Service では、Kerberosを使用したSMB暗号化、パケットの署名と封印、データ転送のエンドツーエンド暗号化に使用するNFS Kerberos 5pなどの暗号化方式を使用して、NASプロトコルで転送中のデータを暗号化できます。

Cloud Volumes Service ボリュームのレプリケーションにはTLS 1.2が使用され、AES-GCM暗号化方式を利用できます。

TelnetやNDMPなどのセキュアでないインフライトプロトコルのほとんどは、デフォルトで無効になっています。ただし、DNSはCloud Volumes Service によって暗号化されないため(DNSセキュリティはサポートされません)、可能な場合は外部ネットワーク暗号化を使用して暗号化する必要があります。を参照してください "「転送中のデータ暗号化」" 転送中のデータの保護に関する詳細については、を参照してください。

NASプロトコルの暗号化については、を参照してください "「NASプロトコル」。"

NAS権限のユーザとグループ

クラウドでデータを保護するには、適切なユーザ認証とグループ認証が必要になります。この場合、データにアクセスするユーザは環境内の実ユーザとして検証され、グループには有効なユーザが含まれます。これらのユーザとグループは、初回の共有アクセスとエクスポートアクセスに加え、ストレージシステム内のファイルとフォルダの権限検証も提供します。

Cloud Volumes Service では、SMB共有およびWindows形式の権限に対して、Active Directoryベースの標準のWindowsユーザ認証およびグループ認証を使用します。このサービスでは、NFSエクスポート、NFSv4 ID検証、Kerberos認証、NFSv4 ACL用のLDAPなど、UNIXユーザおよびグループのUNIX IDプロバイダも利用できます。

メモ 現在のところ、Cloud Volumes Service for LDAP機能ではActive Directory LDAPのみがサポートされています。

ランサムウェア、マルウェア、ウィルスの検出、防止、および軽減

ランサムウェア、マルウェア、ウィルスは管理者にとって常に脅威であり、これらの脅威の検出、防止、および軽減は、エンタープライズ組織にとって常に最重要課題です。重要なデータセットでランサムウェアが1回発生すると、数百万ドルのコストがかかる可能性があるため、リスクを最小限に抑えるために何ができるかを実行することが有益です。

Cloud Volumes Service には、現在、アンチウイルス保護やなどのネイティブの検出や防止対策は含まれていませんが "ランサムウェアの自動検出"では、定期的なSnapshotスケジュールを有効にすることで、ランサムウェアのイベントから迅速にリカバリする方法がいくつかあります。Snapshotコピーは変更不可で、ファイルシステム内の変更されたブロックへの読み取り専用ポインタであり、ほぼ瞬時に作成されます。パフォーマンスへの影響は最小限で、データが変更または削除された場合にのみスペースを消費します。Snapshotコピーのスケジュールは、許容されるRecovery Point Objective(RPO;目標復旧時点)やRecovery Time Objective(RTO;目標復旧時間)に合わせて設定できます。また、ボリュームあたり最大1、024個のSnapshotコピーを保持できます。

Cloud Volumes Service では、Snapshotのサポートは追加料金なしで利用でき(Snapshotコピーによって保持される変更されたブロックやデータのストレージ料金を除く)、ランサムウェア攻撃が発生した場合には、攻撃が発生する前にSnapshotコピーにロールバックするために使用できます。Snapshotのリストアは完了までに数秒しかかかりませんが、リストア完了後は通常どおりデータを提供できます。詳細については、を参照してください "『NetApp解決策 for Ransomware』"

ランサムウェアによるビジネスへの影響を回避するには、次のようなマルチレイヤアプローチが必要です。

  • エンドポイント保護

  • ネットワークファイアウォールによる外部の脅威からの保護

  • データの異常を検出します

  • 重要なデータセットの複数のバックアップ(オンサイトおよびオフサイト)

  • バックアップの定期的なリストアテスト

  • 変更不可の読み取り専用NetApp Snapshotコピー

  • 重要なインフラに対する多要素認証

  • システムログインのセキュリティ監査

このリストは、完全なものではありませんが、ランサムウェア攻撃の可能性を扱う際の青写真としては適しています。Google CloudのCloud Volumes Service では、ランサムウェアのイベントを保護してその影響を軽減する方法を複数提供しています。

変更不可のSnapshotコピー

Cloud Volumes Service は、データを削除した場合や、ランサムウェア攻撃によってボリューム全体が影響を受けた場合に、カスタマイズ可能なスケジュールで作成された書き換え不可の読み取り専用Snapshotコピーを標準で提供します。以前の正常なSnapshotコピーへのSnapshotのリストアは高速で、Snapshotスケジュールの保持期間とRTO/RPOに基づいてデータ損失を最小限に抑えます。Snapshotテクノロジによるパフォーマンスへの影響はごくわずかです。

Cloud Volumes Service のSnapshotコピーは読み取り専用であるため、ランサムウェアが大量に発生してデータセットにデータが拡散し、Snapshotコピーがランサムウェアによって感染した場合を除き、ランサムウェアに感染することはできません。そのため、ランサムウェアによるデータの異常を検出することも検討する必要があります。Cloud Volumes Service は、現在ネイティブでは検出機能を提供していませんが、外部監視ソフトウェアを使用することもできます。

バックアップとリストア

Cloud Volumes Service は、標準のNASクライアントバックアップ機能(NFSまたはSMB経由のバックアップなど)を提供します。

  • CVS -パフォーマンスを利用すると、他のCVSパフォーマンスボリュームにリージョン間でボリュームをレプリケーションすることができます。詳細については、を参照してください "ボリュームのレプリケーション" Cloud Volumes Service のドキュメントを参照してください。

  • CVS-SWは、サービスネイティブのボリュームバックアップ/リストア機能を提供します。詳細については、を参照してください "クラウドバックアップ" Cloud Volumes Service のドキュメントを参照してください。

ボリュームレプリケーションを実行すると、ソースボリュームの正確なコピーが作成されるため、ランサムウェアのイベントなどの災害が発生した場合に迅速にフェイルオーバーできます。

クロスリージョンレプリケーション

CVS - Performanceを使用すると、Googleのネットワークで実行されているレプリケーションに使用される特定のインターフェイスを使用して、ネットアップが制御するバックエンドサービスネットワーク上でTLS1.2 AES 256 GCM暗号化を使用して、データ保護およびアーカイブのユースケース用にGoogle Cloudリージョン間でボリュームを安全に複製できます。プライマリ(ソース)ボリュームにはアクティブな本番データが格納され、セカンダリ(デスティネーション)ボリュームにレプリケートされてプライマリデータセットの正確なレプリカが提供されます。

最初のレプリケーションではすべてのブロックが転送されますが、更新ではプライマリボリューム内の変更されたブロックのみが転送されます。たとえば、プライマリボリュームにある1TBのデータベースがセカンダリボリュームにレプリケートされている場合、最初のレプリケーションでは1TBのスペースが転送されます。このデータベースの初期化と次の更新の間に数百行(仮定としては数MB)のデータがある場合、変更された行を持つブロックだけがセカンダリに複製されます(数MB)。これにより、転送時間を短縮し、レプリケーションの料金を抑えることができます。

ファイルとフォルダに対する権限はすべてセカンダリボリュームにレプリケートされますが、共有のアクセス権限(エクスポートポリシーとルール、SMB共有と共有ACLなど)は別々に処理する必要があります。サイトフェイルオーバーの場合、デスティネーションサイトは同じネームサービスとActive Directoryドメイン接続を利用して、ユーザ、グループのIDおよび権限を一貫して処理する必要があります。災害が発生したときにセカンダリボリュームをフェイルオーバーターゲットとして使用するには、レプリケーション関係を解除します。これにより、セカンダリボリュームが読み書き可能に変換されます。

ボリュームのレプリカは読み取り専用で、書き換え不可のデータのコピーをオフサイトに保管します。このため、ウィルスに感染したデータやランサムウェアによってプライマリデータセットが暗号化された場合に、データを迅速にリカバリできます。読み取り専用データは暗号化されませんが、プライマリボリュームに影響があり、レプリケーションが実行された場合は、感染したブロックもレプリケートされます。影響を受けない古いSnapshotコピーをリカバリに使用できますが、SLAは、攻撃が検出されるまでの時間に応じて、約束されたRTO/RPOの範囲外になる可能性があります。

また、Google Cloudのクロスリージョンレプリケーション(CRR)管理により、ボリュームの削除、Snapshotの削除、Snapshotスケジュールの変更など、悪意のある管理操作を防止できます。そのためには、ボリューム管理者を分離したカスタムロールを作成します。カスタムロールでは、ソースボリュームは削除できますが、ミラーを解除できないため、ボリューム操作を実行できないCRR管理者からデスティネーションボリュームを削除できません。を参照してください "セキュリティに関する考慮事項" 各管理者グループが許可する権限については、Cloud Volumes Service のマニュアルを参照してください。

Cloud Volumes Service バックアップ

Cloud Volumes Service はデータの保持性は高くなりますが、外部イベントによって原因 のデータが失われる可能性があります。ウィルスやランサムウェアなどのセキュリティイベントが発生した場合、バックアップとリストアは、データアクセスを迅速に再開するために不可欠なものになります。管理者が誤ってCloud Volumes Service ボリュームを削除した場合があります。また、ユーザは、データのバックアップバージョンを数カ月間保持し、Snapshotコピー用にボリューム内に余分なスペースを残しておくことがコストの課題となります。過去数週間にバックアップ・バージョンを維持して失われたデータをリストアする方法としてはSnapshotコピーを推奨しますが、Snapshotコピーはボリューム内に置かれており、ボリュームが失われると失われます。

これらの理由から、NetApp Cloud Volumes Service は、を使用してバックアップサービスを提供します "Cloud Volumes Service バックアップ"

Cloud Volumes Service バックアップを使用すると、Google Cloud Storage(GCS)にボリュームのコピーが生成されます。バックアップされるのはボリュームに格納されている実際のデータのみで、空きスペースはバックアップされません。増分データとして永久に機能するため、ボリュームの内容は1回転送され、以降も変更されたデータのみのバックアップが続行されます。従来のバックアップの概念と比較して、複数のフルバックアップを使用する場合に比べて、大量のバックアップストレージを節約し、コストを削減できます。バックアップスペースは、ボリュームと比べて月単位で少なくて済むため、バックアップバージョンの間隔を長くしておくのが理想的です。

ユーザはCloud Volumes Service バックアップを使用して、同じリージョン内の同じボリュームまたは別のボリュームに任意のバックアップバージョンをリストアできます。ソースボリュームを削除した場合は、バックアップデータが保持され、個別に管理する必要があります(削除した場合など)。

Cloud Volumes Service バックアップは、Cloud Volumes Service Asオプションに組み込まれています。ユーザは、Cloud Volumes Service バックアップをボリューム単位でアクティブ化して保護するボリュームを決定できます。を参照してください "Cloud Volumes Service バックアップのドキュメント" バックアップの詳細については、を参照してください "サポートされる最大バックアップバージョン数"、スケジュール、および "価格設定"

プロジェクトのすべてのバックアップデータはGCSバケットに格納されます。GCSバケットはサービスによって管理され、ユーザには表示されません。各プロジェクトで異なるバケットを使用します。現在、バケットはCloud Volumes Service ボリュームと同じリージョンにありますが、その他のオプションについては現在説明しています。最新のステータスについては、のドキュメントを参照してください。

Cloud Volumes Service バケットからGCSへのデータ転送では、HTTPSとTLS1.2を使用したサービス内部のGoogleネットワークが使用されます。データはGoogleが管理するキーで保管中に暗号化されます。

Cloud Volumes Service バックアップの管理(バックアップの作成、削除、リストア)を行うには、が必要です "役割/ netappcloudvolumes .admin" ロール。