はじめに
昨今のセキュリティインシデントの増加を受けて、データセキュリティが注目されています。その中でも、最近Rubrik社のデータソリューションについてよく耳にするようになったので、個人的な学習のために少し調査してみました。
Rubrikとは
Rubrikとは、「データの保護」「データの脅威監視」「データ復旧」を包括的に提供するデータセキュリティソリューションです。
仮想マシンやデータベースなど各種システムコンポーネントのデータやバックアップをセキュアに保管するソリューションを提供しています。
特徴
Rubrikは、オンプレミス、クラウド、SaaSアプリケーション全体にわたるデータを保護・管理するための包括的なSaaSプラットフォーム「Rubrik Security Cloud (RSC)」を中核としたサービスを提供しています。
具体的には、以下のような主要な機能とサービスで構成されています。
主要なコンポーネント
Rubrikは、全体を統制する「Rubrik Security Cloud (RSC)」を中核に、データ保護機能を担う「Cloud Data Management (CDM)」が連携する仕組みになっています。
Rubrik Security Cloud(RSC)
- あらゆる環境のデータ保護とセキュリティを一つの画面で統括するプラットフォーム
- 全体を管理するためのクラウド上のSaaSダッシュボードにて提供される
- あらゆる設定や監視・管理操作等を実行
画像は公式Youtubeより引用
Data Protection(データ保護)
オンプレミス、クラウド、SaaSなど各プラットフォームのデータを保護する仕組みを後述のCDMにて提供します。
-
セキュリティ
- データは書き換え不可のImmutable形式で保持
- 安全性の高いプロトコル
- 論理的なエアギャップ
- 暗号化
- ロールベースのアクセス制御
等によりデータの完全性と可用性を維持します。
-
運用自動化
バックアップのルール(SLA)をグローバルポリシーとして定義し、運用を自動化します。
Data Threat Analytics(データの脅威分析)
ランサムウェア等のデータ脅威や侵害の兆候を監視しプロアクティブにデータを守る仕組みを提供します。
Data Security Posture Management(データセキュリティポスチャー)
データのリスク管理を行う機能です。バックアップデータ内をスキャンし、機密データの場所の監視や、ユーザーのアクセス権限、ユーザーアクティビティを追跡・可視化し、リスクを早期対処可能する仕組みを提供します。
Cyber Recovery(サイバーリカバリ)
攻撃を受けた後の安全な復旧を指揮する機能です。脅威の封じ込め、安全なクリーンポイントへの復旧(オーケストレーション)、復旧のシミュレーションなどを実行し、システムを迅速に再開する仕組みを提供します。
Rubrik Cloud Data Management(CDM)
- データ保護の実行エンジンです
- オンプレミス、エッジ端末、クラウド環境でのバックアップ、復旧、データのアーカイブ、ディザスタリカバリを提供します
CDMは主に下記の4つより構成されます
データの保存と管理のために、独自に開発されたクラウドスケールの分散ファイルシステム
Atlasと連携して動作し、膨大なバックアップデータの中から特定のファイルを一瞬で見つけ出すための、インデックスとカタログを提供
データの取り込みから、保存、複製、クラウドへのアーカイブ、そして有効期限切れによる削除まで、データのライフサイクル全体を自動管理
APIやコネクタを介してさまざまなシステムと通信し、対象のデータベースや仮想マシン、クラウドなどとやり取りを行うためのインターフェース層
バックアップの特徴
バックアップの隠蔽
汎用的なバックアップストレージではNFSやSMB等の汎用プロトコルにて常時マウントし運用するケースが多いため、サーバーOSから簡単にバックアップストレージが特定可能です。一方、Rubrikでは取得時にのみ接続をし、論理的なエアギャップを構成することで攻撃者からバックアップを隠蔽します。また、汎用プロトコルではない「Secure Thrift」という独自プロトコルによる接続も可能です。
Immutableバックアップ
バックアップデータを保管していても改竄や暗号化されてしまっては意味がありません。そこでバックアップを変更や削除できない不変性が求められます。
Rubrikでは保存されるデータは「追記専用」の形式をとっており、一度書き込まれたデータブロックを後から変更・上書きすることはできず、ランサムウェアによる暗号化や改ざんを防ぎます。
さらに、「SLA Retention Lock」を有効にし、設定された保持期間が過ぎるまでバックアップの削除や期限の短縮ができなくすることも可能です。
永久増分バックアップ
バックアップの取得時間を短縮することはセキュリティ観点でも運用観点でも大きなメリットがあります。
Rubrikでは一般的な運用で必要となる定期的なフルバックアップは初回のみで、その後は更新された増分データのみをバックアップします。更新分のみのバックアップで済むのでバックアップ時間の短縮、ネットワーク帯域やストレージの節約が可能です。また、初回の完全バックアップと増分バックアップをマージすることで最新のフルバックアップを保持し速やかな復旧を可能としています。
ポイントインタイムリカバリ(PITR)
ランサムウェアの潜伏期間は長期にわたります。万が一論理的な工作でバックアップが汚染されるようなことがあれば、それより前のバックアップで復旧する必要があります。
Rubrikではストレージスナップショットにより、永久増分バックアップでマージされたとしても、より過去の断面へと復旧が可能にするPITRを両立しています。これによりデータ損失を最小限に抑え、任意の安全な時点への復旧を可能にします。
まとめ
Rubrikはあらゆるシステムに対して高いセキュリティの統合バックアップソリューションを提供しています。
バックアップ保護のアプローチとして、「見せない」「改変させない」というのをベースとしたデータ保護に加え、監視や分析による脅威の発見まで可能なのは強力だと感じました。
参考