隔離されたスキャン環境
IBM® Storage Defender® Data Resiliency Service セキュアで隔離された環境において、ストレージのスナップショットを自動的にスキャンし、マルウェアや異常を検出する機能を提供します。 この機能により、組織はストレージスナップショットの整合性を事前に検証することができ、復旧作業で使用する前に、復旧ポイントが正常かつ信頼できる状態であることを確認できます。
IBM Storage Defender Data Resiliency Service セキュアで隔離された環境において、ストレージのスナップショットを自動的にスキャンし、マルウェアや異常を検出します。 これにより、組織はスナップショットの整合性を事前に検証し、復旧作業で使用する前に復旧ポイントがクリーンで信頼性の高い状態を維持していることを保証できます。
マルウェアスキャンをワーク Data Resiliency Service フローに直接統合 Isolated Scan Environment し、ストレージスナップショットのポリシーベースの自動スキャンを実現します。 サービスは各リカバリポイントごとにスキャン結果を保存するため、組織はデータセキュリティ態勢を明確に把握でき、情報に基づいた確信を持ったリカバリ判断を支援します。
コンセプト
ユーザーはスキャナーホストシステムを分離されたネットワーク環境に展開する必要があります。
2.1.2 IBM Storage Defender Data Resiliency Service を起点として、異常スキャンソフトウェア IBM Storage Defender Sentinel が、独立したスキャナー自動化のコアスキャンコンポーネントとして使用されます。 センチネル異常スキャンエンジンは、リカバリポイントの自動検証を行い、データ整合性を確保するとともに、リカバリ操作前に潜在的なセキュリティ脅威を特定します。
- データ耐障害性サービスの要件(ネットワーク構成および追加ソフトウェアを含む)。 詳細については、 IBM および Storage Defender の「Data Resiliency Service: ネットワーク要件」を参照してください。
- スキャナーの要件(メモリ、CPUコア数、ストレージ、および対応するOSの種類とバージョンを含む)。 詳細については、 IBM ( Storage Defender ) の「Sentinelの準備」に関するドキュメントを参照してください。 IBM Storage Defender Sentinel 異常検知ソフトウェアのダウンロードおよびインストール方法については、 IBM Storage Defender Sentinel 異常検知ソフトウェアのインストールをご覧ください。
2.1.2 以降では、Isolated Scanner Automation IBM Storage DefenderData Resiliency Service は、Sentinel IBM Storage Defender 1.1.12.1IBM Storage Defender 以降の製品に同梱されているSentinel異常スキャンエンジンのバージョンをサポートしています。
- スキャナホストシステムへのスキャナのインストールを開始する前に、以下の要件が満たされていることを確認してください:
- 異常検知 IBM Storage Defender Sentinel ソフトウェアのインストールを開始する前に、スキャナホストにSysstatパッケージがインストールされていることを確認してください。Sysstat パッケージをインストールするには、次のコマンドを実行してください:
sudo apt install sysstat 異常スキャンソフトウェア IBM Storage Defender Sentinel の証明書が、自己署名証明書または認証局(CA)署名証明書のいずれかであることを確認してください。
FlashSystem ボリュームがFCまたは iSCSI 経由でスキャナーホストにマウント可能であることを確認してください。 これには、ストレージ管理者が IBM Storage FlashSystem 上でホストマッピングを作成する必要があります。 このマッピングがない場合、スキャナーホストは異常スキャンに必要なクローンされたスナップショットボリュームにアクセスできません。
- 異常検知 IBM Storage Defender Sentinel ソフトウェアのインストールを開始する前に、スキャナホストにSysstatパッケージがインストールされていることを確認してください。
ユーザーは、1つ以上のスキャナーホストシステムを登録できます IBM Storage Defender。 登録後、スキャナーの接続 IBM Storage Defender 性を検証し、オペレーティングシステムやスキャナーソフトウェア情報を含むバージョン詳細を収集します。 スキャナーが検証されると、スキャナーポリシーを通じてリカバリグループへの割り当てが可能になります。
- VMware 回復グループ
- IBM FlashSystem 保護されたコピーのスナップショット
- リカバリポイントの選択 : システムはポリシー設定に基づいてスキャン対象のリカバリポイントを特定します。
- データ準備 : SafeGuarded IBM FlashSystem Copyスナップショットのクローンを作成し、スキャナーホストシステムにマッピングして、スキャン用にデータにアクセスできるようにします。
- スキャン実行 :スキャナソフトウェアはマウントされたデータを分析し、マルウェア、異常、その他のセキュリティ脅威を検出します。
- 結果収集 :スキャン結果が集められ、保存されます。
- クリーンアップ : 一時リソース(クローン、マウント、エクスポート)はスキャン完了後に削除されます。
このプロセス全体を通じて、 IBM Storage Defender モニターが進行状況を監視し、ユーザーインターフェースを通じてリアルタイムのステータス更新を提供します。
IBM Storage Defender インテリジェントなキューイング機構を使用してスキャン作業負荷を管理し、スキャナーリソースを保護します。 手動スキャンをスケジュールされたスキャンよりも優先し、CPU、メモリ、I/Oの使用率を継続的に監視して各スキャナーの利用率を測定します。 システムは各リカバリグループを専用のスキャナに割り当て、キャッシュされたインデックスファイルを再利用して効率を向上させます。 ユーザーインターフェースには、アクティブなスキャン、キューに追加されたスキャン、および完了したスキャンがすべて表示されます。
スキャンが完了すると、システムは結果をスキャンされたリカバリポイントに永続的に関連付けます。 脅威が検出されない場合、 リカバリポイントをクリーンとタグ付けします。脅威を発見しアラートを生成した場合は、 感染済みとタグ付けします。 感染したリカバリポイントはフォレンジック分析のために利用可能であり、リカバリ選択時に警告を表示します。 スキャン結果には、スキャナーとマルウェア定義のバージョン、検出された脅威、スキャン時間、リカバリグループ、リソース使用量などの詳細なメタデータが含まれます。 システムは過去のスキャン結果の完全な監査証跡を保持します。
以下の表は、スキャンの実行進捗を示すジョブステータスと、考えられるスキャン結果を一覧表示しています。 スキャン結果は、スキャンエンジンによって生成された出力を表します。
ジョブ状況 |
スキャン結果 |
ジョブの結果およびスキャン状況の根本原因 ユーザーによる対応策 |
完了 |
クリーン |
ジョブの状態 :すべてのリソースのスキャンが完了しました。 スキャン結果 :問題は見つかりませんでした。 ユーザーの操作 :該当なし |
怪しい |
ジョブの状態: すべてのリソースのスキャンが完了しました。 スキャン結果: ユーザー定義のスキャンルールが適用されたか、前回のスキャンですでに不審な結果が検出されていました。 ユーザーの操作: 詳細を確認するには、スキャンログの概要をご覧ください。 |
|
悪意のある |
ジョブの状態: すべてのリソースのスキャンが完了しました。 スキャン結果: 現在のスキャンまたは前回のスキャンで、悪意のあるファイルが検出されました。 ユーザーの操作: 詳細を確認するには、スキャンログの概要をご覧ください。 |
|
部分的 |
怪しい |
ジョブの状態: すべてのリソースがスキャンされませんでした。 スキャン結果: ユーザー定義のスキャンルールが適用されたか、前回のスキャンですでに不審な結果が検出されていました。 ユーザーの操作: 詳細を確認するには、スキャンログの概要をご覧ください。 |
悪意のある |
ジョブの状態: すべてのリソースがスキャンされませんでした。 スキャン結果: 現在のスキャンまたは前回のスキャンで、悪意のあるファイルが検出されました。 ユーザーの操作: 詳細を確認するには、スキャンログの概要をご覧ください。 |
|
解決不能 |
ジョブの状態: すべてのリソースがスキャンされませんでした。 スキャン結果: スキャンにより異常は検出されませんでしたが、すべてのリソースがスキャンされたわけではないため、残りのリソースには未検出の異常が含まれている可能性があります。 ユーザーの操作: 詳細を確認するには、スキャンログの概要をご覧ください。 完全なジョブ結果を得るために、手動でスキャンを再度実行してください。 |
|
失敗 |
スキャンされていません |
ジョブの状態: リソースはスキャンされませんでした。 スキャン結果: 該当なし ユーザーによる対応: スキャナーホストおよびスキャナーエンジンで使用されている認証情報を確認し、必要に応じて修正してください。 スキャナーのユーザーインターフェースにログインし、スキャナーが正常に動作しているか確認してください。 |
クリーン |
ジョブの状態 :すべてのリソースのスキャンは完了しましたが、環境のクリーンアップなどのスキャン後の処理に失敗しました。 スキャン結果 :問題は見つかりませんでした。 ユーザーの操作 :詳細を確認するには、スキャンログの概要をご覧ください。 |
|
キャンセル済み |
スキャンされていません |
ジョブの状態: リソースはスキャンされませんでした。 スキャン結果: 該当なし ユーザーの対応: 次のスキャンを待つか、同じリカバリポイントに対して手動スキャンを実行してください。 |
スキップ |
スキャンされていません |
ジョブの状態: リソースはスキャンされませんでした。 スキャン結果: 該当なし ユーザーの対応: 次のスキャンを待つか、同じリカバリポイントに対して手動スキャンを実行してください。 注:これはスケジュールされたジョブにのみ適用されます。 以下の場合、スケジュールされたジョブは「スキップ」としてマークされます:
手動で開始されたジョブは決してスキップされることはなく、実行可能になるまで保留状態のままとなります。 |
保留中 待機中、実行中、キャンセル中 |
スキャン結果がありません |
ジョブのステータス: これらは一時的な状態です。 スキャン結果: 該当なし ユーザーの操作: 一時的な状態が「完了」、「一部完了」、「失敗」、「キャンセル」、「スキップ」などの最終状態に更新されるまで待機します。 注:すべてのスキャンジョブ(手動またはスケジュールされたもの)は、開始時に「保留中」の状態になります。 そのジョブは、スキャナーサービスによる処理を待っています。 スキャナーが使用中の場合、手動ジョブが同じリカバリグループでの次のスキャンを待機している場合、またはジョブが再試行されている場合、ジョブは保留状態のままとなります。 ジョブは、ステータスが「QUEUED」に移行した場合、再試行のためにキューに再登録された場合、またはスキップまたは失敗としてマークされた場合に、保留状態になります。 |
この機能はガバナンス Isolated Scan EnvironmentIBM Storage Defender 機能と連携し、スキャンコンプライアンスを強制します。 ガバナンスプロファイルは必要なスキャン頻度を定義し、システムはスキャンがそれらの間隔内で実行されることを検証します。 予定されたスキャンが実行されない場合にアラートを生成します。 ガバナンス検証は、ポリシー設定ではなく実際のスキャン完了に依存します。 自動生成されるガバナンスプロファイルには、データの重要度レベルに応じたデフォルトのスキャン頻度要件が含まれます。
IBM Storage Defender スキャナからCPU負荷やメモリ使用量などの実行時統計を継続的に収集し、これらの指標をユーザーインターフェースに表示します。 これらの知見は、ユーザーが新しいリカバリグループを作成する際に最適なスキャナを選択するのに役立ちます。 インターフェースでは、すべての適格なスキャナーを一覧表示し、直近数日間のスキャン完了数に基づいて並べ替え、最も使用頻度の低いスキャナーを最初に表示することで、スキャナーを推奨します。
セキュリティは.の基盤を Isolated Scan Environment成す。 スキャナーホストは、マルウェアへの感染リスクを最小限に抑えるため、お客様による設定に基づき、分離されたネットワークセグメント内で動作します。また、システムは保存されたデータを保護するため、リカバリポイントを読み取り専用モードでマウントします。 コンポーネント間のすべての通信は、REST API用の TLS やホストアクセス用のSSHなど、暗号化された通信経路を使用して保護されています。 IBM Storage Defender スキャナーの認証情報を安全に保管・管理し、すべてのスキャナーの動作は監査ログに記録されるため、完全な追跡可能性が確保されます。
は、テストおよび本番環境の復旧操作における復旧ポイント選択 Isolated Scan Environment 時にスキャン結果を表示することで、の IBM Storage Defender復旧機能と連携します。 感染したリカバリポイントは使用前に明確な警告インジケーターを表示し、スキャン済みリカバリポイントはクリーンルーム環境における安全なリカバリテストをサポートします。 感染したリカバリポイントは、フォレンジック分析を可能にするため、隔離された環境でアクセス可能な状態を維持する。
- スキャナーの配置 :適切なファイアウォールルールを設定した、分離されたネットワークゾーンにスキャナーを展開する。
- リソースのサイジング :スキャナーホストが十分なCPU、メモリ、ストレージを確保していることを確認してください。
- ポリシー設定 :スキャン頻度をデータの重要度およびコンプライアンス要件に合わせる。
- スキャナーの割り当て :場所と利用可能な容量に基づいてスキャナーを割り当てます。
- 定期的な更新 :スキャナソフトウェアとマルウェア定義ファイルを最新の状態に保ってください。
- 監視 :リソース使用状況とスキャン結果を定期的に確認する。
- テスト :スキャンワークフローを定期的に検証する。
スキャン性能は、環境や設定のさまざまな要因によって左右されます。 これらの要因を理解することで、スキャン環境を適切に構成し、調整することができます。
- インフラと接続性
- ストレージへのネットワーク帯域幅:iSCSI の導入環境において、スキャン環境とストレージシステム間の利用可能なイーサネット帯域幅は、スキャンスループットに直接影響します。 帯域幅が不足していると、スキャン完了までの時間が大幅に長くなる可能性があります。
- ジャンボフレーム( iSCSI ):iSCSI 環境では、ジャンボフレームを有効にすることで、効率の向上と遅延の低減が期待できます。 最適な結果を得るためには、ストレージシステム、スキャン環境、およびすべての中間ネットワークコンポーネントを、一貫したMTU(通常は9000)で設定する必要があります。
- ファイバーチャネル接続: ファイバーチャネル環境では、ストレージシステムへの利用可能なファイバーチャネル帯域幅によって、達成可能な最大スキャンスループットが決まります。
- 演算およびストレージの特性
- 処理能力(CPUコア数): CPUコア数が多いシステムほど、複数のスキャン処理を並行して実行できるため、スキャンをより迅速に完了させることができます。
- ストレージメディアの種類: スキャン処理では、大量のランダム読み取り操作が発生します。 フラッシュベースのストレージ(SSD)は、一般的に、NL-SASなどの回転式ディスク技術よりもはるかに優れたパフォーマンスを発揮します。
- スキャン構成とデータの特性
- 1回のスキャンあたりの仮想マシン数: 1つのジョブ内でスキャンする仮想マシンの数を増やすと、並列処理が向上します。 さらに、十分なリソースが確保できる場合は、複数のスキャンジョブを同時に実行することで、全体的な処理能力をさらに向上させることができます。
- 前回のスキャン以降に変更されたデータ量: 変更されたデータ量が少ないほど、スキャン時間は短縮されます。 変更率は、 IBM Storage Protectや IBM Data Protectなどのソリューションが提供するバックアップ統計データを用いて推定できることがよくあります。
- ファイルサイズの分布: 小さなファイルが多数存在する環境では、通常、ファイル数は少ないがサイズが大きいファイルが多数存在する環境よりも、処理に時間がかかります。
- 初期スキャンと増分スキャンの比較: 初期スキャンではすべてのデータを分析する必要があるため、通常、処理にかなり時間がかかります。 その後の増分スキャンでは、新しく作成されたデータや変更されたデータのみを処理するため、より短時間で完了します。
- スキャン頻度: スキャン頻度が高くなると、スキャンインフラとストレージシステムの両方にさらなる負荷がかかり、システム全体の負荷が増加する可能性があります。
この機能の使用ガイド
リソースの異常やマルウェアを検証し、データ復旧に安全であることを確認するには、まずユーザー IBM Storage Defender インターフェースでスキャナを登録し、自動または手動スキャン用の復旧グループを設定する必要があります。 個々のリカバリグループに対して、スキャナ、スキャナポリシー、およびスキャン構成を確認および更新することもできます。 さらに、環境全体のスキャナとスキャンポリシーをすべて表示できます。
- システム認証情報が、ユーザーに root アクセス権、またはパスワード不要の sudo 経由で以下のコマンドを実行する権限を付与していることを確認してください:
/usr/sbin/dmidecode -s system-uuid - スキャナーの認証情報がユーザーに管理者権限を提供していることを確認してください。
- スキャナーの詳細、 システムの詳細、 システムの認証情報、 スキャナーの認証情報の編集、 および接続マネージャーの関連付けは、いつでも行うことができます。
- 設定済みのスキャナーも削除できます。 詳細については、 「スキャナーの削除」 を参照してください。
- スキャナポリシーはいつでも編集できます。 更新は今後のすべてのスキャンに適用されます。 詳細については、 「ポリシーの詳細の編集」 および 「スナップショットスキャン頻度の編集」 を参照してください。
- スキャナポリシーも削除できます。 詳細については、 「スキャナーポリシーの削除」 を参照してください。
リカバリグループの自動スキャンを有効にするには、 [スキャン構成の編集ウィザード] で [自動的にスキャンする] を選択します。 次に、リカバリグループにスキャナポリシーと推奨スキャナを割り当てます。 詳細については、 「スキャン設定の構成または削除」 を参照してください。
手動スキャンを開始するには、対象のリカバリグループを開き、 の順に選択します。 目的の回復ポイントを選択し、オーバーフローメニューから 「今すぐスキャン 」を選択します。 スキャンは優先度高くキューに追加され、スキャナーリソースが利用可能になり次第開始されます。 並行スキャンが既に実行されている場合、スキャンの優先度を設定するよう求められます。 スキャン結果は処理が完了すると表示されます。
1つ以上のリカバリグループに対して手動スキャンを設定するには、各リカバリグループごとに手動スキャンを設定し、選択したリカバリグループにスキャナを割り当てる必要があります。 詳細については、 「スキャン設定の構成または削除」 を参照してください。
- リカバリグループに新しいスキャナを割り当てるか、 [スキャナを追加] ボタンをクリックしてください。 詳細については、 「スキャナーの割り当ての編集」 を参照してください。
- リカバリ グループに新しいスキャナ ポリシーを割り当てます。 詳細については、 「スキャナーポリシーの割り当ての編集」 を参照してください。
- リカバリグループのスキャン方法を切り替えるか、スキャン構成を削除します。 詳細については、 「スキャン設定の構成または削除」 を参照してください。
登録済みのスキャナーはすべて、「 に表示されます。 この画面では、各スキャナーについて、接続状態、スキャナーのバージョン、関連付けられているスキャナーポリシー、実行中のスキャン、前回のスキャン日時とステータス、リンクされているリカバリグループ、および対応する接続マネージャーなどの詳細情報を確認できます。
- 概要タブに含まれるタイル:
- 詳細:システム、スキャナー、およびスキャナー設定情報
- 関連ポリシー:スキャナーに関連付けられたポリシー
- パフォーマンス:リソース利用率メトリクス
- スキャン済みジョブ:ジョブステータス、最終スキャン結果、および進行中のスキャン
- リカバリグループタブには、スキャナに割り当てられたすべてのリカバリグループを一覧表示するテーブルが含まれています。
- ジョブタブには以下の表が含まれています:
- ジョブステータスと最終スキャン結果(クリーン、異常、失敗)
- スキャナに割り当てられたリカバリグループ
- スキャン済みリカバリポイント
- スキャン開始時刻、終了時刻、および総スキャン時間
- 完了:すべての仮想マシンがスキャンされました
- 部分的: すべての VM ディスクがスキャンされたわけではありません
- 失敗: スキャンされた仮想マシンはありません
- キャンセルされました:ジョブがキャンセルされ終了しました
- スキップされました: スキャンが競合したためジョブがスキップされました
- 保留中: スキャンジョブが開始され、スキャナーの空きスロットを待機中です
- 実行中: スキャンジョブが現在実行中です
- キュー中: スキャンが要求されましたが、まだ開始されていません。
- キャンセル: 開始されたジョブがユーザーによってキャンセルされました。 キャンセルとクリーンアップのプロセスは進行中です。
すべてのスキャナーポリシーは に一覧表示されています。 ここから、作成済みのすべてのスキャナーポリシー、対応するスキャナー、および各ポリシーに関連付けられたリカバリグループを確認できます。また、ガバナンスプロファイルで定義されたスナップショットのスキャン頻度と開始時刻も表示されます。
詳細については、 「スキャン環境」 を参照してください。