PureStorage初心者が試してみたSafeMode機能とその体験談

はじめに

近年サイバー攻撃の手法が複雑化し、ランサムウェアによる被害のリスクが増大しています。

ランサムウェア攻撃によりシステム内のデータが暗号化されるケースでは、暗号化と同時にストレージ管理者のアカウントも奪取され正常なデータが残っているバックアップデータも削除されてしまうことがあります。

しかしデータ保護の機能を用いることで、ストレージ管理者のアカウントがたとえ奪取されたとしてもバックアップデータの破壊リスクを低減することができます。

そういった社会的背景を受け、今回筆者はPure Storage(FlashArray)が持つデータ保護機能であるSafeMode機能を触ってみることにしました。

本記事では、その際の体験を共有します。

前提知識

本記事をスムーズに読むために押さえておきたい用語を紹介します。

1. FlashArrayとは

Pure Storage社が提供する高速I/Oを実現するオールフラッシュストレージです。

2. SafeModeとは

FlashArrayが備えているスナップショットを保護するためのセキュリティ機能(データ保護機能)です。

3. プロテクショングループとは

FlashArrayにおける設定の1つです。プロテクショングループを用いることでスナップショット取得のスケジューリングが可能になります。プロテクショングループで指定可能な設定値は例えば次のような項目があります。

• スナップショットの取得頻度
• スナップショットの保存期間
• スナップショットの保存世代数
• SafeModeの有効/無効

テスト環境

今回はSafeModeの動作を確認するためFlashArray内に以下の環境を用意しました。

用意した2つのプロテクショングループ

今回はSafeModeが有効と無効のプロテクショングループを1つずつ用意しました。

pgroup-safemode-on

• SafeMode：有効(ratcheted)

pgroup-safemode-off

• SafeMode：無効(unlocked)

pgroup-safemode-onの設定値	pgroup-safemode-offの設定値

今回の検証ではスムーズにスナップショットが取得できるよう5分間隔での取得としています。

Create a snapshot on source every 5 minutes

用意した2つのボリューム

E-Drive

• SafeMode 有効 のプロテクショングループでスナップショットを取得するボリューム

• WindowsからはEドライブとして認識

F-Drive

• SafeMode 無効 のプロテクショングループでスナップショットを取得するボリューム

• WindowsからはFドライブとして認識

SafeModeの検証

検証の目的

本記事では以下2点の確認を検証の目的とします。

1. SafeMode有効のプロテクショングループで取得したスナップショットは削除できないことの確認
2. 攻撃を受けた状態(ボリュームを削除された状態)からでもスナップショットを使用してデータを復元できることの確認

検証の内容

ステップ1：確認用ファイルをWindows上に作成

• SafeMode有効側：EドライブにE-Drive.txtを作成

• SafeMode無効側：FドライブにF-Drive.txtを作成

ステップ2：スナップショットの自動取得を待機

• ステップ1でファイルを作成した後、スナップショットが自動的に取得されるまで待機(スナップショット取得を5分間隔にしているため本検証では5分待てばOK)

ステップ3：データを擬似的に破壊

• ステップ1で作成したE-Drive.txtとF-Drive.txtをWindows上から削除

• EドライブとFドライブ用のボリュームをFlashArray上から削除

ステップ4：バックアップ(スナップショット)を削除

FlashArrayのGUIからスナップショットの削除操作(eradicate)を試みたところ、各プロテクショングループでそれぞれ次の結果となりました。

• SafeMode有効側：スナップショットの削除不可
• SafeMode無効側：スナップショットの削除可能

SafeMode有効側のスナップショットを削除しようとしたところ、次のエラーが表示され実行できませんでした。
【pgroup-safemode-on.1:Eradication is disabled】

ステップ5：データの復元

• スナップショットからEドライブ用のボリュームを復元してWindowsに再接続

• EドライブにE-Drive.txtが存在することを確認

SafeModeを触ってみた所感

SafeModeを利用して削除不可のスナップショットを作ること自体は容易にできました。またスナップショットからボリュームを復元後、Windows上で確認用ファイルも確認できました。

ただし、今回の検証を通じて以下の点には注意が必要だと思いました。

• プロテクショングループ単位のSafeModeはスナップショットを保護するための機能であり、ボリューム自体の削除を不可にはできません(ボリュームは削除されてもスナップショットから復元できるため問題ありません)
• SafeModeが有効なスナップショットの削除はプロテクショングループで設定された保持期間の終了に伴う自動削除のみに限られ、手動での削除やスナップショット保持期間の短縮はできません。そのため管理者は残容量に注意して運用やテストを行う必要があります
• SafeModeはデータ保護の機能であり、要件次第でランサムウェア感染検知/侵入防止措置等を組み合わせてシステムを構築する必要があります

まとめ

いかがでしたでしょうか。

実際のシステムを構築する際は、スナップショットのライフサイクル(保管する期間や世代など)をはじめ色々詰める点はあるかと思いますが、FlashArrayを導入の際はランサムウェア対策の一環としてSafeMode有効化も検討してみるのはいかがでしょう。

さらに、SafeModeだけでなく「ランサムウェアの侵入防止」や「万が一感染した際の検知」などの対策も別途考慮してより要件に合致したシステムとなるようご検討ください。

参考リンク

We Are Hiring!