Backup Vault の概要: サイバー レジリエンスと Compute Engine バックアップの簡素化

※この投稿は米国時間 2024 年 9 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

データのバックアップはかつてないほど重要になっています。ランサムウェア攻撃は残念ながら増加しており、多くのお客様がデータの安全性を確保するために保護機能の追加を選択しています。その結果、セキュリティの重要性とともに、シンプルであることの重要性がますます高まっています。セキュリティ面では、ランサムウェアやその他の手段によるサイバー攻撃が蔓延し、財務的にも風評的にも大きなリスクが生じています。その一方、アジリティを高め運用上のトイルを軽減するために、バックアップ管理を簡素化したいという強い要望も存在しています。  

進化し続けるお客様のニーズに応えるため、Google Cloud のバックアップと障害復旧（DR）サービスに 3 つの大きな機能強化が追加されました。いずれもプレビュー版でご利用いただけます。

• 新しい Backup Vault ストレージ機能は、変更不可かつ消去不可のバックアップを提供し、改ざんや不正な削除からバックアップを保護します。

• 一元化されたバックアップ管理機能により、フルマネージドのエンドツーエンド ソリューションを実現します。これにより、容易なデータ保護とリソース管理フローへの直接の統合が可能になります。

• Compute Engine の VM 作成エクスペリエンスとの統合により、アプリケーション オーナーは、VM の作成時にバックアップ ポリシーを適用できるようになります。

改ざんや不正な削除からバックアップを保護

バックアップは多くの場合、サイバー攻撃や致命的なユーザーエラーの影響で本番環境データが利用できなくなった、あるいは信頼できなくなった場合の最後の復旧手段となります。重要なワークロードをバックアップするだけでなく、そのバックアップをその後の変更や削除から保護することも重要です。Backup Vault は、Backup and DR サービスによって作成されたバックアップを安全に保管するストレージを提供し、組織に必要な保護を確実に実現できるようにします。

バックアップの分離: 論理的エアギャップ

Backup Vault のデータは、Google が管理するプロジェクトに保存され、セルフマネージドの Google Cloud プロジェクトとの間には論理的なエアギャップが存在します。基盤となる Backup Vault リソースは、組織内のユーザーには表示されずアクセスも許可されないため、これらのリソースに対する直接的な攻撃を予防できます。Backup Vault データへのアクセスは、Google Cloud の Backup and DR サービスの API と UI を通じてのみ提供されます。

管理とコンプライアンス: 保持の強制

Backup Vault を作成する際には、管理者が指定した最短の強制保持期間が経過するまで、Vault に保存されているバックアップを変更および削除から強力に保護するよう指定できます。この多層的な保護により、セキュリティの取り組みや規制コンプライアンス要件によって求められることの多い、バックアップの変更不可（データ変更に対するセキュリティ）と消去不可（データ削除に対するセキュリティ）の目標を達成できます。

信頼性が高く柔軟な復元

Vault に保存されているバックアップは完全に自己完結型であり、ソースリソースが利用できなくなった場合でも復元が可能です。さらに、Backup Vault はソース プロジェクトとは異なるプロジェクト（保護された Compute Engine VM が実行されているプロジェクトなど）に作成できるため、ソース プロジェクトやソースリソースが存在しなくなった場合でも、バックアップに引き続きアクセスできます。その結果、ソース プロジェクトが削除された際に強力な復元力を発揮するようにバックアップ ポリシーを構成できます。これにより、既存プロジェクトや新規作成プロジェクト内での本番環境アプリケーションの即時復元がサポートされます。これには、サイバー攻撃後の復元前テスト / フォレンジック用の分離復元環境（IRE）として構成されたプロジェクト内での復元も含まれます。

Backup Vault 機能は現在プレビュー版として提供されており、今後数か月以内に一般提供が開始される予定です。Compute Engine VM、VMware Engine VM、Oracle データベース、SQL Server データベースの保護がサポート対象となっています。

フルマネージドの一元化されたバックアップ管理を活用

多くの場合、お客様はクラウド ワークロード向けに設計された、シンプルでセルフサービス型、かつインフラストラクチャ不要のバックアップ サービスを求めています。運用面は重要ですが、そのために企業が追及するアジリティを妨げられることがあってはなりません。お客様は、中央のバックアップ チームによるガバナンスと監視体制の維持と、アプリ デベロッパーによる VM のバックアップを同時に支援できる、より柔軟なモデルを必要としているのです。

Google の新しい一元化されたバックアップ管理は、データ保護を簡素化するフルマネージド サービスによってシンプルさを実現し、統合されたデベロッパー中心のセルフサービス モデルをアプリ デベロッパーに提供します。

ミッション クリティカルな Compute Engine VM データを Backup Vault で保護

Compute Engine VM 保護の管理に対する初期サポートにより、新しいフルマネージド エクスペリエンスでは、1）Backup Vault（ストレージ）の作成、2）バックアップ プラン（スケジュール）の定義、3）VM の保護開始、という簡単な手順でバックアップを設定できます。このユーザー フレンドリーなアプローチにより、複雑な構成が不要になり、バックアップ管理に煩わされることなく本来の業務に集中できるようになります。

アプリケーション オーナーの権限強化: 直接統合

プラットフォーム管理者やアプリ開発者は、統合されたエクスペリエンスにより、VM 作成時に Compute Engine VM をバックアップできるようになりました。この機能により、VM 作成プロセスの一部として各チームが独自のバックアップ戦略を直接管理できるようになり、ワークフローの合理化、中央のバックアップ チームと IT チームの管理負担の軽減が実現します。バックアップ タスクを VM プロビジョニング プロセスに組み込むことで、データ保護ポリシーを最初から一貫して適用できます。これらは Google Cloud Identity and Access Management（IAM）と統合されており、管理者に柔軟性とコントロールを提供します。

ガバナンス、モニタリング、レポートの一元化

バックアップ サービスは、バックアップ ポリシーを一元管理しながら、アプリケーション オーナーに独自のバックアップ タスクの管理をまかせることで、ガバナンスと監視の両方を強化します。この二層型のアプローチにより、組織全体で一貫性とコンプライアンス遵守が確保され、運用の柔軟性と一元管理の適切なバランスが保たれます。

データ保護をさらに強化するために、このソリューションでは包括的なモニタリングおよびレポート機能が提供されます。

• スケジュール設定されたバックアップ ジョブと復元ジョブ: スケジュールされたバックアップ ジョブと復元ジョブのステータスを追跡して、予定どおりに実行されていることを確認します。一元化されたダッシュボードでジョブの成功、失敗、進行状況をモニタリングできます。

• カスタマイズ可能なレポート: 失敗したジョブやスキップされたジョブ、保護されたリソース、コンプライアンス、ストレージの使用状況などに関する詳細なレポートを生成します。これらのレポートを特定のニーズに合わせてカスタマイズし、バックアップ環境に関する貴重な分析情報を取得できます。

• アラートと通知: アラートと通知を設定することで、重大なバックアップ イベントを常に把握できます。失敗したジョブやその他の重要な情報など、適切なアクションを取るための通知をタイムリーに受け取れます。

自動化の容易さ: 既存システムとの統合で大規模な保護を実現

自動化はクラウド リソースを効率的に管理するための鍵であり、Google の新しいサービスは既存の VM 管理ツールと統合できます。gcloud CLI、API、Terraform のいずれを使用している場合でも、このバックアップ ソリューションを使用すると、自動化ワークフローへの統合が簡単になります。プレビュー期間中は、UI と gcloud CLI の両方を通じてサービスにアクセスし、Compute Engine VM を保護する機能を体験できます。一般提供の開始以降は API と Terraform にアクセスできるようになり、既存のインフラストラクチャ上にバックアップ オペレーションをコードとして統合して、より広範な VM 管理戦略に組み込むことが可能になります。この機能により、バックアップ プロセスが効果的になるだけでなく、既存のインフラストラクチャ内で確実に最適化されます。

以下に示すように、いくつかの簡単なコマンドを実行するだけで、プログラムから Compute Engine VM の作成とバックアップを行えます。

今すぐデータを保護

このたびの Google Cloud のバックアップと障害復旧サービスの強化により、Google は、強固なセキュリティ機能、インフラストラクチャを必要としないエクスペリエンス、強力な自動化機能を提供します。変更不可、消去不可、ガバナンスの一元化、ユーザー サポートの強化を組み合わせることで、今日の進化する脅威から重要なデータを保護する包括的なバックアップ戦略を実現します。

ぜひご自身でお試しください。新しい機能は、サポートされているリージョンで今すぐご利用いただけます。

• Backup Vault、VM とデータベースの安全な保護の詳細については、こちらをご覧ください。

• Google Cloud コンソールで Compute Engine VM バックアップの新しい管理ソリューションを体験してください。

• こちらの デモ動画では、新しい機能の実際の動作をご確認いただけます。

ご質問がある場合や新機能の活用に関してサポートが必要な場合は、backup-vault-preview-support@google.com までお問い合わせください。

-Google Cloud、プロダクト マネージャー Jerome McFarland

-Google Cloud、プロダクト マネージャー Jaswant Chajed