セキュリティに関する考慮事項と攻撃対象
データのセキュリティを確保する方法を理解する最初のステップは、リスクと潜在的な攻撃対象を特定することです。
これには、次のものが含まれます(ただし、これらに限定されません)。
-
管理とログイン
-
保存データ
-
転送中のデータ
-
ネットワークとファイアウォール
-
ランサムウェア、マルウェア、ウイルス
攻撃の対象となる面を理解することで、環境のセキュリティを強化できます。Google Cloud NetApp Volumeでは、これらのトピックの多くがすでに考慮されており、デフォルトでセキュリティ機能が実装されています。管理者の操作は必要ありません。
セキュアなログインの確保
重要なインフラコンポーネントを保護するには、承認されたユーザのみがログインして環境を管理できるようにすることが不可欠です。不良なアクターが管理資格情報に違反した場合、そのアクターは城へのキーを持ち、必要な操作(構成の変更、ボリュームとバックアップの削除、バックドアの作成、スナップショットスケジュールの無効化)を実行できます。
Google Cloud NetApp Volumes for Google Cloudは、Storage as a Service(StaaS)を難読化することで、不正な管理者ログインから保護します。Google Cloud NetApp Volumeはクラウドプロバイダによって完全に管理されており、外部からログインすることはできません。セットアップと設定の処理はすべて完全に自動化されているため、ごくまれな状況を除いて、人間の管理者がシステムを操作する必要はありません。
ログインが必要な場合、Google CloudのGoogle Cloud NetApp Volumeでは、システムにログインするためのアクセス権を持つ信頼できる管理者のごく一部が管理されるため、ログインの安全性が確保されます。このゲートキーピングは、アクセス権を持つ潜在的な不正アクターの数を減らすのに役立ちます。さらに、Google Cloudネットワークは、ネットワークセキュリティの層の背後にあるシステムを隠し、外部に必要なものだけを公開します。Google CloudとGoogle Cloud NetApp Volumeのアーキテクチャについては、次のセクションを参照してください。"「Google Cloud NetApp Volumeのアーキテクチャ」"
クラスタの管理とアップグレード
潜在的なセキュリティリスクを持つ2つの領域には、クラスタ管理(不正なアクターに管理者アクセス権がある場合に発生する動作)とアップグレード(ソフトウェアイメージが侵害された場合に発生する動作)があります。
ストレージ管理の保護
ストレージサービスとして提供されるため、クラウドデータセンターの外部にあるエンドユーザがアクセスするリスクが軽減され、管理者のリスクを高めることができます。代わりに、顧客がデータアクセスプレーンを対象とした唯一の設定が行われます。各テナントは独自のボリュームを管理し、他のGoogle Cloud NetApp Volumeインスタンスにテナントからアクセスすることはできません。このサービスは自動化によって管理されており、このセクションで説明するプロセスを通じて、信頼できる管理者のごく一部がシステムにアクセスできるようになっています。"「サービスオペレーション」"
NetApp Volumes - Performanceサービスタイプでは、リージョンで障害が発生した場合に別のリージョンでデータを保護するためのオプションとして、リージョン間レプリケーションを提供します。このような場合は、影響を受けないリージョンにGoogle Cloud NetApp Volumeをフェイルオーバーして、データアクセスを維持できます。
サービスのアップグレード
更新プログラムは、脆弱なシステムの保護に役立ちます。各アップデートには、セキュリティの強化機能とバグ修正が含まれており、攻撃対象となる面を最小限に抑えるソフトウェアの更新は、中央リポジトリからダウンロードされ、更新が許可される前に検証されて、公式イメージが使用されていること、およびアップグレードが不正なアクターによって侵害されていないことを確認します。
Google Cloud NetApp Volumeでは、更新はクラウドプロバイダチームによって処理されます。そのため、プロセスを自動化して完全にテストした設定やアップグレードに精通したエキスパートが提供されるため、管理者チームのリスクにさらされることはありません。アップグレードはシステムを停止することなく行われ、Google Cloud NetApp Volumesでは最新の更新が維持され、全体的に最適な結果が得られます。
これらのサービスのアップグレードを実行する管理者チームの詳細については、を参照してください "「サービスオペレーション」"
保存データを保護
保管データの暗号化は、ディスクが盗難、返却、転用された場合に機密データを保護するために重要です。Google Cloud NetApp Volume内のデータは、ソフトウェアベースの暗号化を使用して保存データを保護します。
-
Googleが生成したキーはNetApp Volumes-SWに使用されます。
-
NetApp Volumes-Performanceの場合、ボリューム単位のキーはGoogle Cloud NetApp Volumeに組み込まれたキー管理ツールに格納されます。このキー管理ツールでは、NetApp ONTAP CryptoModを使用してAES-256暗号化キーが生成されます。CryptoModは、CMVP FIPS 140-2の検証済みモジュールのリストに表示されています。を参照してください "FIPS 140-2認定番号4144"
2021年11月より、NetApp Volumes - Performanceでお客様が管理する暗号化(CMEK)機能のプレビュー版が提供されます。この機能を使用すると、ボリュームごとのキーを、Google Key Management Service(KMS)でホストされているプロジェクトごとのリージョンごとのマスターキーで暗号化できます。KMSを使用すると、外部キー管理ツールを接続できます。
NetApp Volume -パフォーマンス用にKMSを設定する方法の詳細については、を参照してください "Google Cloud NetApp Volumeのドキュメントを参照"。
アーキテクチャの詳細については、を参照してください。"「Google Cloud NetApp Volumeのアーキテクチャ」"
転送中のデータを保護
保存中のデータを保護するだけでなく、Google Cloud NetApp Volumeインスタンスとクライアントまたはレプリケーションターゲットの間で転送中のデータも保護できる必要があります。Google Cloud NetApp Volumesは、Kerberosを使用したSMB暗号化、パケットの署名と封印、データ転送のエンドツーエンド暗号化を行うNFS Kerberos 5pなどの暗号化方式を使用して、NASプロトコルを介した転送中のデータの暗号化を提供します。
Google Cloud NetApp Volumeボリュームのレプリケーションでは、AES-GCM暗号化方式を利用するTLS 1.2が使用されます。
TelnetやNDMPなどのセキュアでないインフライトプロトコルのほとんどは、デフォルトで無効になっています。ただし、DNSはGoogle Cloud NetApp Volumeでは暗号化されず(DNSセキュリティはサポートされません)、可能な場合は外部ネットワーク暗号化を使用して暗号化する必要があります。転送中のデータの保護の詳細については、を参照してください"「転送中のデータ暗号化」"。
NASプロトコルの暗号化については、を参照してください "「NASプロトコル」。"
NAS権限のユーザとグループ
クラウドでデータを保護するには、適切なユーザ認証とグループ認証が必要になります。この場合、データにアクセスするユーザは環境内の実ユーザとして検証され、グループには有効なユーザが含まれます。これらのユーザとグループは、初回の共有アクセスとエクスポートアクセスに加え、ストレージシステム内のファイルとフォルダの権限検証も提供します。
Google Cloud NetApp Volumeでは、SMB共有とWindows形式の権限に対して、Active Directoryベースの標準のWindowsユーザおよびグループ認証が使用されます。このサービスでは、NFSエクスポート、NFSv4 ID検証、Kerberos認証、NFSv4 ACL用のLDAPなど、UNIXユーザおよびグループのUNIX IDプロバイダも利用できます。
現在、Google Cloud NetApp Volume for LDAP機能でサポートされているのはActive Directory LDAPのみです。 |
ランサムウェア、マルウェア、ウィルスの検出、防止、および軽減
ランサムウェア、マルウェア、ウィルスは管理者にとって常に脅威であり、これらの脅威の検出、防止、および軽減は、エンタープライズ組織にとって常に最重要課題です。重要なデータセットでランサムウェアが1回発生すると、数百万ドルのコストがかかる可能性があるため、リスクを最小限に抑えるために何ができるかを実行することが有益です。
現時点では、Google Cloud NetApp Volumeには、ウイルス対策保護やなどのネイティブの検出または防止対策は含まれていませ "ランサムウェアの自動検出"んが、定期的なSnapshotスケジュールを有効にしてランサムウェアイベントから迅速にリカバリする方法はあります。Snapshotコピーは変更不可で、ファイルシステム内の変更されたブロックへの読み取り専用ポインタであり、ほぼ瞬時に作成されます。パフォーマンスへの影響は最小限で、データが変更または削除された場合にのみスペースを消費します。Snapshotコピーのスケジュールは、許容されるRecovery Point Objective(RPO;目標復旧時点)やRecovery Time Objective(RTO;目標復旧時間)に合わせて設定できます。また、ボリュームあたり最大1、024個のSnapshotコピーを保持できます。
Google Cloud NetApp Volumeでは、Snapshotのサポートが追加コストなし(変更されたブロックやSnapshotコピーによって保持されたデータに対するデータストレージ料金を超える)で提供され、ランサムウェア攻撃が発生した場合は、攻撃が発生する前にSnapshotコピーにロールバックするために使用できます。Snapshotのリストアは完了までに数秒しかかかりませんが、リストア完了後は通常どおりデータを提供できます。詳細については、を参照してください "『NetApp解決策 for Ransomware』"。
ランサムウェアによるビジネスへの影響を回避するには、次のようなマルチレイヤアプローチが必要です。
-
エンドポイント保護
-
ネットワークファイアウォールによる外部の脅威からの保護
-
データの異常を検出します
-
重要なデータセットの複数のバックアップ(オンサイトおよびオフサイト)
-
バックアップの定期的なリストアテスト
-
変更不可の読み取り専用NetApp Snapshotコピー
-
重要なインフラに対する多要素認証
-
システムログインのセキュリティ監査
このリストは、完全なものではありませんが、ランサムウェア攻撃の可能性を扱う際の青写真としては適しています。Google Cloud NetApp Volumes Google Cloudには、ランサムウェア攻撃から保護し、その影響を軽減するためのいくつかの方法が用意されています。
変更不可のSnapshotコピー
Google Cloud NetApp Volumesは、書き換え不可の読み取り専用Snapshotコピーを標準で提供します。Snapshotコピーはカスタマイズ可能なスケジュールで作成され、データが削除された場合や、ボリューム全体がランサムウェア攻撃によって被害を受けた場合に、ポイントインタイムリカバリを迅速に実行できます。以前の正常なSnapshotコピーへのSnapshotのリストアは高速で、Snapshotスケジュールの保持期間とRTO/RPOに基づいてデータ損失を最小限に抑えます。Snapshotテクノロジによるパフォーマンスへの影響はごくわずかです。
Google Cloud NetApp Volume内のSnapshotコピーは読み取り専用であるため、ランサムウェアがデータセット内に拡散し、ランサムウェアに感染したデータのSnapshotコピーが取得されていないかぎり、ランサムウェアに感染することはありません。そのため、ランサムウェアによるデータの異常を検出することも検討する必要があります。現在、Google Cloud NetApp Volumeは標準では検出機能を提供していませんが、外部の監視ソフトウェアを使用できます。
バックアップとリストア
Google Cloud NetApp Volumesは、標準のNASクライアントバックアップ機能(NFSまたはSMB経由のバックアップなど)を提供します。
-
NetApp Volumes-Performanceは、他のNetApp Volumes-Performanceボリュームへのリージョン間レプリケーションを提供します。詳細については、Google Cloud NetApp Volumeのドキュメントのを参照してください "ボリュームのレプリケーション"。
-
NetApp Volumes-SWは、サービスネイティブのボリュームバックアップ/リストア機能を提供します。詳細については、Google Cloud NetApp Volumeのドキュメントのを参照してください "クラウドバックアップ"。
ボリュームレプリケーションを実行すると、ソースボリュームの正確なコピーが作成されるため、ランサムウェアのイベントなどの災害が発生した場合に迅速にフェイルオーバーできます。
クロスリージョンレプリケーション
NetApp Volumes-Performanceでは、Googleのネットワークでレプリケーションに使用される特定のインターフェイスを使用して、NetApp制御のバックエンドサービスネットワークでTLS1.2 AES 256 GCM暗号化を使用して、データ保護とアーカイブのユースケースでGoogle Cloudリージョン間でボリュームをセキュアにレプリケートできます。プライマリ(ソース)ボリュームにはアクティブな本番データが格納され、セカンダリ(デスティネーション)ボリュームにレプリケートされてプライマリデータセットの正確なレプリカが提供されます。
最初のレプリケーションではすべてのブロックが転送されますが、更新ではプライマリボリューム内の変更されたブロックのみが転送されます。たとえば、プライマリボリュームにある1TBのデータベースがセカンダリボリュームにレプリケートされている場合、最初のレプリケーションでは1TBのスペースが転送されます。このデータベースの初期化と次の更新の間に数百行(仮定としては数MB)のデータがある場合、変更された行を持つブロックだけがセカンダリに複製されます(数MB)。これにより、転送時間を短縮し、レプリケーションの料金を抑えることができます。
ファイルとフォルダに対する権限はすべてセカンダリボリュームにレプリケートされますが、共有のアクセス権限(エクスポートポリシーとルール、SMB共有と共有ACLなど)は別々に処理する必要があります。サイトフェイルオーバーの場合、デスティネーションサイトは同じネームサービスとActive Directoryドメイン接続を利用して、ユーザ、グループのIDおよび権限を一貫して処理する必要があります。災害が発生したときにセカンダリボリュームをフェイルオーバーターゲットとして使用するには、レプリケーション関係を解除します。これにより、セカンダリボリュームが読み書き可能に変換されます。
ボリュームのレプリカは読み取り専用で、書き換え不可のデータのコピーをオフサイトに保管します。このため、ウィルスに感染したデータやランサムウェアによってプライマリデータセットが暗号化された場合に、データを迅速にリカバリできます。読み取り専用データは暗号化されませんが、プライマリボリュームに影響があり、レプリケーションが実行された場合は、感染したブロックもレプリケートされます。影響を受けない古いSnapshotコピーをリカバリに使用できますが、SLAは、攻撃が検出されるまでの時間に応じて、約束されたRTO/RPOの範囲外になる可能性があります。
また、Google Cloudのクロスリージョンレプリケーション(CRR)管理により、ボリュームの削除、Snapshotの削除、Snapshotスケジュールの変更など、悪意のある管理操作を防止できます。そのためには、ボリューム管理者を分離したカスタムロールを作成します。カスタムロールでは、ソースボリュームは削除できますが、ミラーを解除できないため、ボリューム操作を実行できないCRR管理者からデスティネーションボリュームを削除できません。各管理者グループで許可される権限については、Google Cloud NetApp Volumesのドキュメントのを参照してください "セキュリティに関する考慮事項"。
Google Cloud NetApp Volumeのバックアップ
Google Cloud NetApp Volumeはデータ保持性に優れていますが、外部イベントによってデータが失われる可能性があります。ウィルスやランサムウェアなどのセキュリティイベントが発生した場合、バックアップとリストアは、データアクセスを迅速に再開するために不可欠なものになります。管理者が誤ってGoogle Cloud NetApp Volumeボリュームを削除する可能性があります。また、ユーザは、データのバックアップバージョンを数カ月間保持し、Snapshotコピー用にボリューム内に余分なスペースを残しておくことがコストの課題となります。過去数週間にバックアップ・バージョンを維持して失われたデータをリストアする方法としてはSnapshotコピーを推奨しますが、Snapshotコピーはボリューム内に置かれており、ボリュームが失われると失われます。
これらすべての理由から、Google Cloud NetApp Volumesはを使用してバックアップサービスを提供しています "Google Cloud NetApp Volumeのバックアップ"。
Google Cloud NetApp Volumeのバックアップでは、Google Cloud Storage(GCS)上のボリュームのコピーが生成されます。バックアップされるのはボリュームに格納されている実際のデータのみで、空きスペースはバックアップされません。増分データとして永久に機能するため、ボリュームの内容は1回転送され、以降も変更されたデータのみのバックアップが続行されます。従来のバックアップの概念と比較して、複数のフルバックアップを使用する場合に比べて、大量のバックアップストレージを節約し、コストを削減できます。バックアップスペースは、ボリュームと比べて月単位で少なくて済むため、バックアップバージョンの間隔を長くしておくのが理想的です。
ユーザは、Google Cloud NetApp Volumeのバックアップを使用して、任意のバックアップバージョンを同じリージョン内の同じボリュームまたは別のボリュームにリストアできます。ソースボリュームを削除した場合は、バックアップデータが保持され、個別に管理する必要があります(削除した場合など)。
Google Cloud NetApp Volumeのバックアップは、Google Cloud NetApp Volumeにオプションとして組み込まれています。保護するボリュームを選択するには、Google Cloud NetApp Volumeのバックアップをボリューム単位でアクティブ化します。バックアップ、、スケジュール、およびの "価格設定"詳細については "サポートされる最大バックアップバージョン数"、を参照してください "Google Cloud NetApp Volumeのバックアップドキュメント"。
プロジェクトのすべてのバックアップデータはGCSバケットに格納されます。GCSバケットはサービスによって管理され、ユーザには表示されません。各プロジェクトで異なるバケットを使用します。現時点では、バケットのリージョンはGoogle Cloud NetApp Volumeボリュームと同じですが、さらに多くのオプションについて検討中です。最新のステータスについては、のドキュメントを参照してください。
Google Cloud NetApp VolumesバケットからGCSへのデータ転送には、HTTPSとTLS1.2を使用するサービス内部のGoogleネットワークが使用されます。データはGoogleが管理するキーで保管中に暗号化されます。
Google Cloud NetApp Volumeのバックアップを管理(バックアップの作成、削除、リストア)するには、ユーザにロールが割り当てられている必要があります "役割/ netappcloudvolumes .admin"。