ActiveImage Protector Linux の保存先隔離機能について

ActiveImage Protector Linux(以降一部 AIP と略す)には、ランサムウェアの対策として保存先隔離機能が実装されており、3種類の設定方法があります。
この記事では、AlmaLinux 8.5 + AIP2022 linux バージョン 6.5.1.7719を使用し、これらの機能の動作仕様と注意点について簡単に説明します。基本的には各機能とその動作仕様はAIPのWindows版と同じです。

スケジュール作成時の保存先の指定画面で、保存先隔離オプションの有効化が可能です。
1)バックアップ後に 保存先のローカルHDDのマウントを解除する
2)バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
3)バックアップ後に 指定したネットワークを無効にする

動作仕様の概要は、AIPがバックアップを実行する時間のみ、保存先の使用を有効にして、保存先へバックアップを実施します(“2)”を除く)。そのため、取り扱いには十分にご注意頂きご利用下さい。

1)バックアップ後に 保存先のローカルHDDのマウントを解除する
このオプションは、タスク実行後、保存先HDDのマウントポイントを自動で解除(削除)します。

例では、”mount /dev/sdb1 /data1” コマンドで保存先をマウントしています。
はじめのdfがタスク実行前、あとのdfがタスク実行後です。/dev/sdb1のマウント解除が確認出来ます。

スケジュールにより次のタスクが動作するとき、自動的に、そのタスクの保存先と同じマウントポイントを作成し、タスクを実行します。処理が終わったらマウントポイントを解除します。この処理の繰り返しによって、タスク動作時以外に、対象のマウントポイント内のデータ改竄を抑制します。

注意点:
・何らかの理由により、ディスクへの排他アクセスなどで、マウントポイントが解除されない場合は、mountコマンドでマウントおよびアンマウントが可能かどうかをご確認ください。

・この機能は、/etc/fstabに予め保存先のマウントポイントを設計していない場合も動作しますが、設計している場合はmountコマンドにより保存先へマウントし、アクセスは可能です。

・このオプションは、保存先USB HDDに対して無効です。

2)バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
このオプションは、タスク実行後、保存先フォルダーが存在するハードディスクに対して、OS上から安全な取り外しを行います。

基本動作は1)と同じで、結果も1)の機能と同じように見えますが、このオプションは、Windows版の同オプションと同じく、OS上からUSBの接続自体を安全に解除しています。そのため、手動でUSBの再接続を行う必要があります。

以降は、タスク実行前にお客様側でUSBを再接続し、バックアップ、と言った運用方法になります。

注意点:
・自身でマウントポイントを作成している場合(例では /data2 )、USBを再接続時、OS側で自動マウントすることがあります。

具体的には、OSの仕様によって、USB保存先のマウントポイントが /run/media/root/ に変更されます。

AIPのパスは/data2に設定しており、この保存先を追従しないため、mountコマンドでマウントポイントを更新する必要があります。解決策の1つの手段として、/etc/fstabに、マウントポイントを記載しておき、タスク完了後、次のタスク開始するまでにUSBを接続します。この場合は自動マウントしないので、” mount -a “のコマンドでマウントポイントを更新し、適切な保存先へ参照可能になります。

/etc/fstabの例)
/dev/sdc1 /data2 defaults 0 0

*OSとUSBデバイスの接続状況により解決策が変わるかもしれません。例えばautofsが有効になっていた場合は無効にする必要があるなど。その場合、AIPを観点とした調査では無くなるため、環境に応じて対策して下さい。この機能はすべてを自動化することが出来ないため、トラブルシュートが起きた場合でも環境に応じた解決ができるかどうかを判断してご利用下さい。

・保存先にサブフォルダーが無い(今回の例のように保存先がローカルに存在する)場合、USBの再接続および適切なマウントポイントがOS上で認識されないまま次のタスクが動作すると、次のタスクからはローカルの/data2にバックアップ処理を実行してしまいます。結果、保存先に余裕があれば作成は完了し、保存先として想定していないマウントポイント(ここではルート)が逼迫する可能性があります。

解決策として、保存先のUSBにサブフォルダー /data2/backup のようにしてタスクを作成します。こうすることで、タスク開始までに保存先USBの接続を忘れた場合でも、/data2は存在しても/data2/backupは存在しないので、AIPは保存先のパスが見つからないエラー(-403 path not found)を発生し、処理を終了します。

尚、エラー発生後のタスクが増分タスクの場合、フル(と増分)が保存先に存在すれば、AIPの仕様に基づき、フルを仕切り直さず、増分を作成することが出来ます。

3)バックアップ後に 指定したネットワークを無効にする
このオプションは、タスク実行後、保存先として使用しているネットワークデバイスを無効にします。
下記のens192を使用例とします。

このデバイスを指定しタスクを作成します。

作成したタスク動作のバックアップ完了後、指定したネットワークが無効になります。

この状態から、スケジュールにより次のタスクが動作するとき、自動的にネットワークを有効にしてからタスク処理を行います。タスクが完了したら、デバイスを無効にします。

手動で接続する場合linuxのコマンド(nmcli)で可能です。

注意点:
・このオプションで指定したネットワークデバイスは、タスク実行中以外は常に無効となります。メインのネットワークとして使用している場合、お取り扱いには十分にご注意ください。

・保存先をcifsや nfsのローカルマウントポイントで指定した場合、タスク実行後に保存先が存在しない事によってdfコマンドが応答しないなどが発生します。AIPのGUIからネットワークを参照(smbmount)の場合は基本的に影響ありません。

*ActiveImage Protector Windows版の保存先隔離機能については「ActiveImage Protectorの保存先隔離機能について」をご参照ください。

Support T.

ActiveImage Protector(AIP)トラブルシュート その3 パイプラインエラーとプラットフォームエラー等

ActiveImage Protector でバックアップ運用中にトラブルシュートが発生した場合、行うアクションは複数あります。調査依頼を頂く際には、基本的にはサポート情報があれば、何が起きているかある程度の類推が立てられます。
*全てがそうとは限りません。エラーの原因究明が困難の場合には、サポート情報をご提供頂き、調査が必要になります。

エラーコードを公開しているのでご参照ください。

今回は -701 と -999ついて取り上げます。エラーは下記を意味します。

-701 : パイプラインエラー
-999:予期しないPlatformのエラー

続きを読む…

ActiveImage Protector 2022 バックアップイメージファイルの命名規則とバックアップファイルの内容を検索する方法

ActiveImage Protector 2022より、バックアップイメージファイルの命名規則が変わりました。

AIP2022のイメージファイルの命名規則について の内容になりますが、イメージファイルのセキュリティの向上を目的とした仕様の変更によって、イメージファイルの名前を変更することができなくなりました。

複数の環境のイメージファイルを管理する場合は、任意の名前のサブフォルダーを作成してから、イメージの保存先として指定して頂ければと思いますが、すでに作成した後に、保存先にバックアップイメージがあるが、どの環境のものかがわからなくなった場合に、検索する方法があります。

続きを読む…

ハイパーバイザーホスト、エージェント、エージェントレスのスケジュール運用について

ActiveImage Protectorのスケジュール運用において、各機能での複数スケジュールタスクの同時刻実行、および世代管理に関する仕様とその注意点について説明します。

ActiveImage Protectorは、世代管理でスケジュール管理を行うことができます。また、世代はフルバックアップ+増分バックアップを1つの世代としてカウントします。

保有ポリシーを設定することで自動削除が可能となりますが、フルバックアップ(ファイルの拡張子aiv)+増分バックアップ(ファイルの拡張子aii)を1つの世代として認識するので、自動削除が行われる条件はフルバックアップの作成になります

続きを読む…

ActiveImage Protectorの保存先隔離機能について

ActiveImage Protector (以降一部 AIP と略す)には、ランサムウェアの対策として保存先隔離機能が実装されており、4種類の設定方法があります。この記事では、AIP2022 バージョン 6.5.0.7616を使用し、これらの機能の動作仕様と注意点について簡単に説明します。

スケジュール作成時の保存先の指定画面で、保存先隔離オプションの有効化が可能です。
1) バックアップ後にドライブレターを解除する
2) バックアップ後に 保存先 をオフラインにする
3) バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
4) バックアップ後に 指定したネットワークを無効にする

続きを読む…

Wasabiテクノロジーアライアンスパートナーに

この度、弊社はWasabi Technologies(Wasabi)社のWasabiテクノロジーアライアンスパートナーになりました。
今後、両社の専門知識・技術を活かしたより良いサービスをお客様にご提供いたします。

Wasabi社は、米国を拠点とするオブジェクトストレージサービスプロバイダーです。Wasabi Hotクラウドストレージと呼ばれる大容量かつ低価格で使える​クラウドストレージサービスを提供しています。

そして、最も注目されるのは、データ転送料が発生しないということです。Amazon S3であれば転送量に対する課金が発生しますが、Amazon S3互換のWasabiでは転送量に対しての課金が発生しません。つまりいくらデータをダウンロードしても追加料金が発生しないということです。

Wasabi社の公式サイトにActiphy&Wasabiのソリューション概要が掲載されています。英語ではありますが、興味がある方はぜひご覧いただければ幸いです。

続きを読む…

ActiveImage Protector とRDXについて


最近出張が増え、新幹線に乗る機会が増えましたが、新幹線も結構混んできているのを見て少しほっとしています。

しかし、IT機器など色々な物の生産が安定しないので、納期の話なども話題に上がっています。
そして、ランサムウェア対策と長期データ保管の件などの課題もたくさんある中で、弊社では昨年 ActiveImage Protector 2022をリリースしましたが、ActiveImage Protector 2018 Update for RDX についてはアップグレードをしていませんでした。5月末にアップデートをリリースした ActiveImage Protector 2022よりLTOに対応しましたので、最近そのお問い合わせが増加しており、そんな中、RDXについてもお問い合わせが増えています。

RDXは、LTOよりコスト面と扱いやすさなどから、取り外せる記憶媒体の選択肢としては、導入しやすい記憶媒体です。しかし、そんな中で ActiveImage Protector 2018 Update for RDXの販売終了のご案内となり、一部のマニアなお客様の間では話題となっていたようです。

「ActiveImage Protector 2018 Update for RDXでなければ、RDXを保存先として使用できないか?」といったお問い合わせをいただきますが、RDXはWindowsのマシンに接続した場合、認識はリムーバブルディスクとなります。そのため、Windows版に関しましては、一つ前のバージョン ActiveImage Protector 2018 Update Server Editionでもご使用いただくことが出来ます。このため、ActiveImage Protector 2022でも、RDXを保存先としてご利用いただくことが出来ます。

では、「何が for RDXだったか?」と思われると思いますが、バックアップ後に自動的に媒体をイジェクトする機能があるか?またはないか。の違いになります。

バックアップ完了後にRDXのメディアをイジェクトすることにより、ランサムウェアの感染予防対策などの目的があります。

ActiveImage Protector 2022は5月30日にアップデートを行い、ActiveImage Protector 2022 Server などにこのイジェクト機能がマージされました。

使用方法は ActiveImage Protector のコンソールより、下図のように環境設定から一般設定をクリックします。

すると下記のように設定画面が表示されますので、下記の部分にチェックを入れます。

上記の設定を行うと、バックアップタスク作成の保存先指定の画面で、下図のようにRDXに特化した設定画面が表示されます。この設定画面がfor RDX専用の画面と同様になります。

通常のActiveImage Protectorの画面では隔離オプションの画面となっており、上記の設定のRDXオプションのチェックを外した場合、ノーマルの下記のような設定画面が表示されます。

用途に合わせてRDXをイジェクトすると、ソフトウェア的な遮断とするか、または何もしないかをお客様のお好みで設定することができます。

今回アップデートしました ActiveImage Protector 2022 の Windows版では、このように for RDX の機能を含めたリリースとなっております。もちろん、RDXの他にNAS、USB機器、LTOにも対応しております。

尚、ActiveImage Protector 2018 Update Linux for RDXについては、ライセンスは ActiveImage Protector 2022 Linuxに統合され保存先としてRDXをサポートしておりますが、2022 Linuxにイジェクト機能はございません。
(2022/7/28 追記:7/28公開のアップデートパッチ(パッチバージョン:2207251652)により、ActiveImage Protector 2022 Linux にRDXのイジェクト機能が追加されました。詳細はこちら)。

ActiveImage Protector はRTO削減できる実践的なバックアップソリューションです。

今後も様々なソリューションに発展するべく開発を進めてまいりますので、今後とも引き続き ActiveImage Protectorシリーズを宜しくお願い申し上げます。

ご不明な点はお気軽に弊社までご連絡ください。

By Sato

ランサム対策のお問合せ増えています。

今年は年明けからランサムウェア対策のお問合せが増えています。

ここ最近でも企業のランサム感染のニュースがあり、実際はランサムウェアだけではありませんが、システムを止めなくてはならない(システムが停止してしまう)状況になっています。

システム停止=業務も停止となり大問題になるのですが、さらにシステムの復旧が出来なければ問題が大きくなり被害が広がります。事業規模にもよりますが、今やパソコンやサーバーなどを使用していない法人はないかと思います。もちろん行政機関、病院、学校なども同様です。

完全なローカルエリアネットワークだけで運営するのは製造ラインなどではあるかと思いますが、インターネットへの接続をしているシステムが多く、それらの対策を本格的に考える必要があるようです。

続きを読む…

Amazon S3互換クラウドスドレージへの直接バックアップ保存

前回のブログでは、ActiveImage Protector 2018でAmazon S3と互換性のあるWasabiクラウドストレージへのバックアップレプリケーション方法をご紹介しました。ActiveImage Protector 2022のリリースにより、レプリケーションだけでなく、バックアップイメージを幅広いAmazon S3互換ストレージへ直接保存することが可能になりました。
今回は、Amazon S3互換ストレージへ直接バックアップする手順をご紹介します。

続きを読む…

ActiveImage Deploy USBの作業と注意点

ActiveImage Deploy USB (以降、一部DeployUSBと略)は、Windowsのパソコン/サーバーのキッティングを簡単に短時間で行うことが可能な、ライセンス消費型のデプロイツールです。

Windows OSへの必要なソフトウェアの導入、一般化(Sysprep)後、作成したデプロイ用USBデバイスから起動して、1クリックでUSBデバイス内にイメージを取得します。

一般化(Sysprep)を含むキッティング操作については、セミナー(Webinar、参加費無料)を定期的に公開していますので、参加をご検討下さい。尚、Sysprepに関するトラブルシュートについて、弊社サポート窓口での対応は行っておりません。

この記事は、基本的にはセミナーの内容以外の、起動環境の作成からリストアまでの作業における注意点をある程度纏めた資料です。尚、今後DeployUSBは、画面のレイアウトなどを刷新するため、画像の内容は参照する時期により古い場合がありますが、使用方法や注意点は変わりません。

続きを読む…