Azure Backup の不変コンテナーは、復旧ポイントの損失につながる可能性のある操作をブロックすることで、バックアップ データを保護するのに役立ちます。 不変のボルト設定をロックして、元に戻せないようにすることができます。 また、WORM (1 回書き込み、多読み取り) ストレージをバックアップに使用して、悪意のあるアクターが不変性を無効にしてバックアップを削除できないようにすることもできます。
WORM ストレージのサポートされるシナリオ
- 有効でロックされた状態の不変性機能は、Recovery Services コンテナーのすべての Azure リージョンで一般提供されています。
- ロックされた状態の不変ボールトに対する WORM ストレージの使用は、現在、以下の地域において Recovery Services ボールトで一般提供されています: オーストラリア中部 2、スイス西部、南アフリカ西部、韓国中部、ドイツ北部、韓国南部、スペイン中部、イスラエル中部、インド南部、インド西部、メキシコ中部、ノルウェー西部、ポーランド中部、東日本。
- ロックされた状態の不変コンテナーに対する WORM ストレージの使用は、現在、南アフリカ西部、韓国中部、インド南部、インド西部、ポーランド中部のバックアップ コンテナーでプレビュー段階です。
- WORM ストレージがまだ一般公開されていないリージョンでは、不変性が有効でロックされているバックアップは、機能が使用可能になると自動的に WORM 対応ストレージに移行します。 この切り替えでは、ユーザーアクションは必要なく、データ移動は必要ありません。
- ロックされた状態の不変コンテナーに WORM ストレージを使用することは、Azure Virtual Machines、Azure Virtual Machines 上の SQL Server、Azure Virtual Machines 上の SAP HANA、Azure Files、Azure Backup (サーバーとエージェント)、System Center Data Protection Manager、Azure Kubernetes Service、Azure Database for PostgreSQL のワークロードに適用できます。
開始する前の考慮事項
- 不変ボールトは、すべての Azure パブリック リージョンと米国政府リージョンで使用できます。
- 不変コンテナーは、Recovery Services コンテナーとバックアップ コンテナーでサポートされています。
- 不変性を有効にすると、ボールトとその保護された項目に対して特定の操作を実行できなくなります。
- コンテナーの不変性の有効化は、元に戻せる操作です。 ただし、悪意のあるアクターがボールトを無効にして破壊的な操作を実行するのを防ぐために、操作を元に戻すことができないようにすることもできます。
- 不変性は、ボールト内のすべてのデータに適用されます。 コンテナーで保護されているすべてのインスタンスに不変性が適用されます。
- 不変性は、BLOB、ファイル、ディスクなどのリソースの運用バックアップには適用されません。
-
Microsoft.RecoveryServicesのサブスクリプションにリソース プロバイダーが登録されていることを確認します。 それ以外の場合は、不変性の設定のようなゾーン冗長やコンテナー プロパティのオプションにはアクセスできません。
不変性の動作のしくみ
Azure Backup は、運用ワークロードから分離してデータを格納します。 復旧ポイントを削除する操作など、バックアップの管理に役立つ管理操作を実行できます。
特定のシナリオでは、悪意のあるアクターによって使用された場合にバックアップが失われる可能性がある操作を防ぐことで、バックアップ データを不変にしたい場合があります。 コンテナーの不変性設定を使用して、このような操作をブロックし、悪意のあるアクターがデータの回復可能性に影響を与えるためにそれらを削除しようとした場合でも、バックアップ データを保護できます。
不変性を元に戻せないようにする
コンテナーの不変性は元に戻せる設定です。 バックアップ データの削除を許可する必要がある場合は、不変性を無効にすることができます。
ただし、不変性の影響に満足したら、コンテナーをロックして不変のコンテナー設定を元に戻せなくし、バックアップ用に WORM ストレージを有効にすることをお勧めします。 これらの選択は、不適切なアクターが不変性を無効にできないようにするのに役立ちます。
不変のボールト設定には、次の 3 つの状態が適用されます。
| 不変ボールト設定の状態 | 説明 |
|---|---|
| 無効 | コンテナーで不変性は有効になっておらず、操作はブロックされません。 |
| 有効 | コンテナーで不変性が有効になっており、バックアップが失われる可能性のある操作は許可されません。 この設定は無効にすることができます。 |
| 有効でロック済み | コンテナーには WORM ストレージが有効な不変性があり、バックアップが失われる可能性のある操作は許可されません。 イミュータブルボールトの設定がロックされており、無効にすることはできません。 不変ロックは元に戻すことができません。 使用の決定が十分に情報に基づいて行われるようにします。 |
制限される操作
不変性により、データの損失につながる可能性があるボールトに対して次の操作を実行できなくなります。
| 操作の種類 | 説明 |
|---|---|
| データの削除による保護の停止 | 保護された項目は、それぞれの有効期限の前に回復ポイントを削除することはできません。 ただし、その場合でも、データを永続的に、または有効期限が切れるまで保持しながら、インスタンスの保護を停止することができます。 |
| バックアップ ポリシーを変更してリテンション期間を短縮する | バックアップ ポリシーの保持期間を短縮するアクションは、不変の保管庫では許可されません。 ただし、保持期間が長くなるようにポリシーを変更することはできます。 バックアップ ポリシーのスケジュールを変更することもできます。 アイテムのバックアップが中断されている場合、リテンション期間の増加は適用できません。 |
| バックアップ ポリシーを変更してリテンション期間を短縮する | バックアップ項目に関連付けられているバックアップ ポリシーを、既存のポリシーよりも保持期間が低い別のポリシーに置き換えようとすると、ブロックされます。 ただし、保持期間がさらに長いポリシーに置き換えることはできます。 |