クラウドネイティブ アプリケーションにクラウドネイティブ ランサムウェア保護が必要な理由

バックアップおよびリカバリ システムの攻撃ポイントを保護する従来のランサムウェア ソリューションは、クラウド ネイティブ環境では機能しないことが判明しています。

統計は恐ろしいものだ。昨年、世界中で約3億件のランサムウェア攻撃が発生し、パンデミック中に72%増加しました。成功したランサムウェア攻撃 1 件あたりの平均支払額は 30 万ドルで、これは前年比 171% の増加を示しています。サイバー攻撃者がより組織化され、より有能になり、モバイルやエッジデバイスなどの新しい侵入ポイントを悪用するにつれて、脅威は増大しています。

企業は、クラウド コンピューティング環境がランサムウェアの影響を受けないことを保証することはできません。アプリケーションがクラウドネイティブである場合、データ ボリュームとアプリケーション構成情報の両方を含む信頼性の高いポイントインタイム バックアップまたはチェックポイントを保護するという特別な課題があるため、これはさらに大きな懸念事項となります。ランサムウェアの脅威がバックアップ自体（オペレーティング コンソールや物理デバイスなど）を標的にすると想定される場合、企業は、事業継続性と規制遵守のために自社のデータとユーザー データを確実に保護する方法について、いくつかの重要な選択を行う必要があります。

[[432001]]

従来のランサムウェア対策はクラウドネイティブ環境では機能しない

市場に出回っている多くのソリューションは、オンプレミス環境でのランサムウェア保護に対処しています。これはクラウドネイティブ環境にとってまったく新しい世界です。複雑な分散データベースには、高度で強力なセキュリティ ソリューションが必要です。クラウド ネイティブ環境では大量のデータを識別して保護する必要があり、これはハードルとなります。アプリケーションは、アプリケーションとデータがバックアップされている場合にのみ保護されます。 IDC のアナリスト、ルーカス・メアリアン氏は、「コンテナの実稼働展開が拡大するにつれ、従来のデータ保護アプローチではコンテナ化された環境ではうまく拡張できない可能性があるため、ランサムウェアの検出と防止を含むデータ保護が必要になる」と指摘しています。

必要な間隔でバックアップを実行し、攻撃イベント後に回復するために必要な時間は、運用環境の効率と生産性に影響し、収益の損失につながります。俊敏なクラウドネイティブの世界では、仕事のペースが速いため、それに追いつくことができるデータ保護ソリューションが必要です。従来の解決策はほとんど実現可能ではありません。

この現実を考えてみましょう。ある時点に復元して再ステージングする機能がなければ、バックアップは意味がありません。バックアップウィンドウを長くしても意味がなく、復元が遅いことは従来のバックアップおよび災害復旧ソリューションでは大きな問題となります。データ復旧期間が長引くと、停止中に企業に多大な損失（評判、顧客、収益）が発生するだけでなく、業務運営にも重大な影響を及ぼす可能性があります。これらの問題を回避するには、企業はより早く回復する方法が必要です。

クラウド ネイティブ環境向けの従来のバックアップおよび災害復旧ソリューションのもう 1 つの問題は、エンタープライズ環境にまだ対応していないテクノロジを使用してまとめられていることが多いことです。これにより、バックアップの失敗、バックアップ ステータスの表示不能、リカバリ ポイント目標の不一致などの問題が発生する可能性があります。この不整合により、バックアップの展開と管理に問題が発生する可能性があります。

さらに、マルウェアや誤った構成などの脆弱性を特定するには、信頼できる回復と分離テストの問題を考慮する必要があります。クラウド バックアップおよびディザスタ リカバリ ソリューションは、従来のソリューションよりも信頼性が高く、高速で、安全であるため、より大きな安心感が得られます。データが継続的にバックアップされ、簡単にアクセスでき、より迅速に回復できれば、災害発生時だけでなく日常業務でもビジネスの効率が向上します。複数の復旧ポイント目標 (RPO) を管理し、低速のバックアップと復元が完了するまで待機する時間を節約することで、組織はより多くのイノベーションを実現し、バックアップと災害復旧の管理を減らすことができます。

バックアップおよびリカバリシステムにおける攻撃ポイントの保護

データのバックアップ コピーと「ポイントインタイム キャプチャ」を保持することは、ランサムウェア攻撃を阻止する最も効果的な方法です。データの別の安全で保護されたコピーがあれば、データの回復に料金を支払う必要がないためです。しかし、サイバー攻撃者はより巧妙になってきており、バックアップを主な標的として狙うようになってきています。

サイバー攻撃者は、管理コンソール (メインの Kubernetes ストレージ クラスターへのアクセス) またはストレージ メディア自体 (S3 または NFS) を介してバックアップ システムに侵入し、特定の時点のデータの変更や削除を試みることがよくあります。その結果、企業はデータを失い、それが失われてからかなり経つまでそのことに気付かない可能性があります。これにより、データが人質に取られた後に組織が業務を再開する能力が大幅に制限されます。

クラウドネイティブのランサムウェア対策における重要な考慮事項

Kubernetes 環境でデータを保護するときに直面する固有の課題のいくつかを理解することが重要です。最初の、そして最も明白な問題は、クラウド ネイティブ アプリケーションの責任の連鎖に関与するアクターの数です。これらの利害関係者には、アプリケーション開発者、GitOps マネージャー、DevOps エンジニア、クラウド アーキテクト、IT 運用チームのメンバー、さらにはビジネス オーナーや企業幹部が含まれます。誰もがそれぞれの役割を持っています。

次に、アプリケーション中心のレベルでバックアップを保護することの重要性について検討します。 Kubernetes クラスターで実行されているすべてのアプリケーション (使用されるデプロイメント方法 (ラベル、Helm チャート、名前空間、演算子) に関係なく) は保護される必要があります。つまり、すべてのオブジェクト、すべてのデータ、すべてのメタデータを保護して、正確な状態で特定の時点に回復できるようにする必要があります。

従来の環境と同様に、バックアップは別の場所に保存する必要があります。 Kubernetes 環境では、これはクラスターの外部にバックアップを保存することを意味します。

NISTサイバーセキュリティフレームワークを信頼できるガイドとして活用する

Trilio は、すべてのクラウドネイティブ バックアップ モデルで米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークを活用することを推奨しています。このフレームワークには包括的なセキュリティのベストプラクティスが文書化されており、クラウドネイティブのランサムウェア製品である Trilio Vault for Kubernetes はこのフレームワークに準拠するように設計されています。 Trilio Vault for Kubernetes のデータ管理機能 (バックアップと復元、災害復旧、データ移行、ランサムウェア保護など) は、NIST のベスト プラクティスに基づいてモデル化されています。具体的には、NIST の National Cyber​​security Center of Excellence (NCCoE) データ整合性プログラムに詳述されているベスト プラクティスを使用します。フレームワークの対応する機能は、クラウド ネイティブ アプリケーションに包括的なランサムウェア保護と回復性を提供するのに役立ちます。

クラウドネイティブ アプリケーションを実行している企業にとって、NIST サイバーセキュリティ フレームワークに準拠することの主なメリットは、データ保護アプローチの一貫性により業界間で知識を共有できることと、管理オーバーヘッドが発生しないアプローチです。バックアップの不変性と暗号化は NIST フレームワークで標準化されたテクノロジをサポートしていますが、このフレームワークはバックアップとリカバリ モデルの 1 つまたは 2 つの機能に関するものではないことを覚えておくことが重要です。全体的なアプローチに総合的に統合されなければなりません。

Cloud Native Computing Foundation (CNCF) が 1 年前に発表した調査レポートによると、企業の 78% ～ 80% がデータ ストレージとアプリケーションに Kubernetes を使用しています。市場浸透のレベルがこれほど高く、ランサムウェアの脅威が高度化し、クラウドネイティブ アプリケーションに対する従来のバックアップ ソリューションが効果を発揮しない状況では、企業がサイバー脅威から身を守るためには、ランサムウェア攻撃の最悪の事態に備える必要があり、そうしなければビジネスが危険にさらされるリスクがあります。幸いなことに、NIST フレームワークは信頼できるガイドを提供します。