イミュータブル(Immutable)・バックアップに関する議論
この議論では、ある人がイミュータブルはストレージアレイ自体の機能であるべきだという考えを提唱していました。実際、どのSANでも提供できる便利な機能でしょう。通常、これはWORMストレージと呼ばれ、私は、ハンマーでハードディスクを破壊することによってのみ回避できる、驚くべき実装をいくつか見てきました。しかし、残念ながらこのようなケースは稀で、多くの場合、ストレージベンダーは実際に不変のデータを削除する方法を提供しています。とにかく、この特定のケースでは、この人は自分のアレイが定期的に不変のスナップショットを作成する方法を共有しました - バックアップを保持するLUNに何が起こっても、いつでもそれをロールバックすることができるのです。バックアップをSAN上に保存している多くのお客様が、追加の保護レイヤーとして非可変ストレージスナップショットを使用しているのを見てきましたし、ランサムウェア攻撃からの復旧に役立ったお客様もいます。
しかし、ハッカーが関与してくると、いつもより興味深いものになります。このとき、自分のストレージが本当に不変なのかどうか、本当に心配になるのです。この人は、「このイミュータブルスナップショットを削除するには、社内の2人の人間がストレージベンダーに電話する必要があり、この包括的な承認がなければ、サポートエンジニアはイミュータブルスナップショットを削除できない」ので、十分に保護されていると確信しているようです。これは普通の人にとってはとても良いことだと思うし、その不変のスナップショットが防弾であるという慰めの保証になることに同意していただけるでしょうか?つまり、このようなレベルの承認が必要であれば、ハッカーや悪意のあるインサイダーに勝ち目はないでしょう。
では、技術的な側面から詳しく見てみましょう。ここで最も重要なことは、サポート担当者は、不変のデータをリモートで消去する能力を持っているということです。ええ、もちろんです。お客様から2名の承認者を得て、すべて行うことができます。しかし、結局のところ、ここで本当に重要なのは、SANアレイが、ハッカーがまさに必要としていること、すなわち不変のデータを削除するための機能を持ち、リモートで起動することも可能であるということなのです。つまり、ハッカーが脆弱性を見つけて、リモートサポートと同じレベルまで権限を上げ、承認なしで同じ機能を起動させることができればよいのです。この時点で、彼らはすでに root である可能性が高いので(ほとんどのサポート活動は root を必要とするので)、彼らはもはやネイティブ機能を使用する必要さえありません。
残念ながら、このような半端なセキュリティ・ソリューションは、現実のサイバー脅威に対する保護機能を全く備えていないことがあまりにも多く、しかも、様々な理由から、そのようなソリューションは増え続けているようです。
●その理由は、「一般人には聞こえが良すぎるから」です。常識的に考えて、この承認プロセスがあれば、大きな保護が得られるように感じられます。しかし、ほとんどの人が気づいていないのは、ルールに従って標準的な方法でデータを削除しようとする攻撃者に対してのみ効果があるということです。しかし、現実には、上記の例のように、ハッカーがストレージ・ベンダーのサポートに電話して何かを削除するよう依頼し、そこで笑われるようなことは決してないのです。彼らは常に別の方法で問題に取り組みますし、ゼロデイ特権昇格脆弱性は決して終わらないので、彼らが最高特権で操作することを期待してもよいでしょう。
●マーケティングは、これらの機能の欠点に一切触れずに売り込むという、あまりに良い仕事をしています。最も人気のあるリクエストは、「ハッカーが勝手に削除できないように、バックアップの削除を他の人が承認するオプションを追加してほしい」というようなものでした。しかし、バックアップサーバーへのローカルアドミニストレーターレベルのアクセスでは、高度な攻撃者でもこれらの余分なチェックや制御を簡単にバイパスすることができます! 例えば、すべての必要な承認が得られた後、最終的にバックアップ削除を実行する関数を直接呼び出すことができます。あるいは、より可能性が高いのは、保存されたリポジトリの認証情報を単に抽出して使用することです。
●多くのセキュリティチームは、この種の承認機能を好む傾向があります。なぜなら、それらはほとんどプロセスに関するものだからです。なぜなら、彼らは攻撃者のようには考えず、多くの場合、基礎となる技術を基本的にしか理解していないからです。彼らは「バックアップを保護するための素晴らしい承認プロセスがある」と考えるでしょうが、攻撃者としては、自分が望むことをするために必要なすべてのツールを備えたリソースにアクセスすることができたので、利用できる攻撃ベクトルが豊富であるとしか思えません。最初は何人かの人がその電線につまずくかもしれませんが、すぐにその電線が知られるようになり、人々はそれを踏み越えるだけとなるでしょう。
しかし、すべてのバックアップ管理者が、少なくとも次のような単純なことを実行してくれれば大きな勝利です。
バックアップサーバへのアクセスをロックする。rootはソフトウェアベースの保護をバイパスすることができるため、それに対する保護がないため、rootは自分自身に限定してください。そして、バックアップサーバにアクセスすべきでないユーザーをローカルグループからすべて削除し、もしこれらのアカウントが漏洩しても、特権拡大ゲームに使われないようにします。
Veeam ONEまたは他の手段でバックアップ環境の設定変更を監視する(例えば、ベースラインに対して設定をチェックするPowerShellスクリプトをスケジュールする)。保持ポリシー、バックアップ暗号化パスワード、不変性設定などを知らないうちにいじられるのは本当に困ります。
グローバルドメインアカウントがバックアップインフラコンポーネント、ローカル/RDP/SSHアクセスだけでなく、IPMI/DRAC/iLOにもアクセスできないことを確認する。私たちのサポートで見た成功した攻撃の大部分は、侵害されたグローバルドメインアカウントから始まっています。
バックアップのコピーをエアギャップ(完全にオフライン)またはイミュータブル(リモート・サポートでも削除できないような、本当にイミュータブルなもの)にしておくことです。最近、Veeamは、回転ドライブ、テープ・メディア、Insider Protection付きCloud Connectリポジトリ、S3 Object Lock付きオンプレミスまたはクラウド・オブジェクト・ストレージ、Veeam V11 Hardened Repositoryなど、あらゆる予算に合わせて非常に多くのネイティブオプションを提供しており、これらのいずれかを使用しない言い訳はないほどになってきています。
バックアップ達人の声
この記事が気に入ったらサポートをしてみませんか?