攻撃者はランサムウェアを使用してデータを暗号化または盗み出し、身代金を要求する可能性があります。セキュリティセンターはアンチランサムウェア機能を提供します。この機能を使用して、サーバー上のデータをバックアップするためのアンチランサムウェアポリシーを作成できます。このようにして、サーバーがランサムウェアによって攻撃された場合、バックアップを使用してデータを復元できます。これにより、ワークロードへのランサムウェアの影響を最小限に抑えることができます。このトピックでは、サーバーのアンチランサムウェアポリシーを作成する方法について説明します。
前提条件
アンチランサムウェア容量を購入し、アカウントにアンチランサムウェア機能を使用する権限を付与します。詳細については、「アンチランサムウェアを有効にする」をご参照ください。
サーバーに Security Center エージェントがインストールされていることを確認します。
データバックアップ
セキュリティセンターは、アンチランサムウェアポリシーで指定されたバックアップディレクトリのデータを Cloud Backup にアップロードしてバックアップします。データを段階的にバックアップして、サーバーをランサムウェアから保護できます。アンチランサムウェアポリシーに基づいて保護されたディレクトリ内のすべてのデータを初めてバックアップするときは、大量の CPU とメモリリソースが消費されます。サービスへの悪影響を避けるために、オフピーク時にデータをバックアップすることをお勧めします。後続のバックアップでは、セキュリティセンターは、新しく作成、変更、または削除されたファイルのみをバックアップします。これにより、サーバーリソースの消費が削減され、アンチランサムウェア容量の過剰な消費が防止されます。
セキュリティセンターは、アンチランサムウェアポリシーのバージョンとバックアップするディレクトリに基づいて、特定の数のデータバックアップタスクを開始します。 V1.0 および V2.0 アンチランサムウェアポリシーの詳細については、「アンチランサムウェアエージェントのバージョン説明」をご参照ください。
バックアップするディレクトリ
V1.0 アンチランサムウェアポリシー
V2.0 アンチランサムウェアポリシー
すべてのディレクトリ
Linux サーバーの場合、セキュリティセンターは 1 つのデータバックアップタスクのみを生成します。
Windows サーバーの場合、セキュリティセンターはデータディスクごとに 1 つのデータバックアップタスクを生成します。 Windows サーバーに 2 つのデータディスクがある場合、セキュリティセンターは 2 つのデータバックアップタスクを生成し、同時にタスクを開始します。 Linux サーバーと比較して、Windows サーバーはバックアップ中に多くの CPU とメモリリソースを消費します。
重要Windows サーバーの CPU 使用率とメモリ使用量に基づいてデータバックアップタスクをスケジュールすることをお勧めします。
サーバーの場合、セキュリティセンターは 1 つのデータバックアップタスクのみを生成します。複数のサーバーの場合、セキュリティセンターは複数のデータバックアップタスクを生成し、タスクを順番に開始します。これにより、CPU とメモリリソースの消費が少なくなり、サービスに影響を与えません。
特定のディレクトリ
セキュリティセンターは、アンチランサムウェアポリシーで指定されたディレクトリごとに 1 つのデータバックアップタスクを開始します。セキュリティセンターでは、複数のデータバックアップタスクを同時に実行できます。タスクは大量の CPU とメモリリソースを消費する可能性があります。
重要ビジネス要件に基づいて、アンチランサムウェアポリシーで適切な数のディレクトリを指定することをお勧めします。
アンチランサムウェアポリシーを作成する
アンチランサムウェアポリシーを作成する前に、サーバーのオペレーティングシステムバージョンがサーバー用アンチランサムウェアでサポートされていることを確認してください。オペレーティングシステムのバージョンがサポートされていない場合、サーバーのデータをバックアップできません。サポートされているオペレーティングシステムバージョンの詳細については、「サーバー用アンチランサムウェアでサポートされているオペレーティングシステムとバージョン」をご参照ください。
セキュリティセンターコンソールにログオンします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
サーバーのランサムウェア対策 タブの ランサムウェア対策 ページで、保護ポリシーの作成 をクリックします。
保護ポリシーの作成 パネルで、[ポリシー名]、[サーバータイプ]、[アセットの選択] パラメーターを設定します。
パラメーター
説明
[ポリシー名]
アンチランサムウェアポリシーの名前。
[サーバータイプ]
アンチランサムウェアポリシーを適用するサーバーのタイプ。
バックアップルート
データをバックアップするために使用される通信方法。 [サーバータイプ] を Alibaba Cloud 以外のサーバー に設定する場合は、このパラメーターを設定する必要があります。有効な値:
インターネット: このオプションを選択すると、インターネット帯域幅リソースの料金が発生する場合があります。
[内部ネットワーク]: このオプションを選択する場合は、Alibaba Cloud 仮想プライベートクラウド ( VPC )、Express Connect 回線、または Cloud Enterprise Network ( CEN ) インスタンスを使用して、Alibaba Cloud にデプロイされていないサーバーと、選択したリージョンのアンチランサムウェアエンドポイント間の接続を確立する必要があります。
リージョン:
サーバーが存在するリージョン、またはアンチランサムウェアエンドポイントが利用可能なリージョン。 [サーバータイプ] を Alibaba Cloud 以外のサーバー に設定する場合は、このパラメーターを設定する必要があります。選択したリージョンは、アンチランサムウェアへのアクセスに使用されるエンドポイントを指定します。データを正常にバックアップするには、サーバーが選択したリージョンのアンチランサムウェアエンドポイントにアクセスできることを確認してください。詳細については、「アンチランサムウェアエンドポイント」をご参照ください。
アセットの選択:
保護するアセット。アセット、アセットグループ、またはアセットグループから複数のアセットを選択できます。保護するアセットを選択するには、次の操作を実行します。
[アセットグループ] セクションで、アセットグループを選択します。その後、グループ内のすべてのアセットが選択されます。 [アセット] セクションで、保護が不要なアセットの選択を解除できます。
[アセット] セクションで、検索ボックスにアセットの名前を入力してアセットを検索します。あいまい一致がサポートされています。
説明アンチランサムウェアポリシーを Elastic Compute Service ( ECS ) インスタンスに適用する場合、異なるリージョンに存在する ECS インスタンスを選択できます。アンチランサムウェアポリシーを Alibaba Cloud にデプロイされていないサーバーに適用する場合は、同じリージョンに存在するサーバーを選択する必要があります。
アンチランサムウェア容量が効果的に活用されるように、サーバーは 1 つのポリシーにのみ追加できます。
残りのパラメーターを設定し、OK をクリックします。
[保護ポリシー]: アンチランサムウェアポリシーのタイプ。有効な値: 推奨ポリシーとカスタムポリシー。
[推奨ポリシー]: 推奨ポリシーは、セキュリティセンターの組み込みアンチランサムウェアポリシーであり、変更できません。次のパラメーターのデフォルト値が使用されます。
保護ディレクトリ: すべてのディレクトリ
指定したディレクトリの除外:: ポリシーから除外されるディレクトリ
[非ローカルマウントパス]: OSS オブジェクトまたは NAS ファイルシステムがアタッチされているディレクトリなど、非ローカルマウントパスを除外します。
保護ファイルのタイプ: すべてのファイルタイプ
データバックアップ開始時間: 00:00 から 03:00 までの範囲内の時点
バックアップポリシーの実行間隔: 1 日
バックアップデータの保持期間: 7 日
バックアップネットワーク帯域幅の制限::
Alibaba Cloud サーバー: 0 MB/s
説明値 0 は、帯域幅に制限が課されていないことを示します。
Alibaba Cloud にデプロイされていないサーバー: 5 MB/s
[カスタムポリシー]: ビジネス要件に基づいて設定できるカスタムポリシー。次のパラメーターを設定する必要があります。[保護されたディレクトリ]、[指定されたディレクトリを除外]、[保護されたファイルタイプ]、[開始時刻]、[バックアップポリシーの実行間隔]、[バックアップデータの保持期間]、[バックアップネットワークの帯域幅制限]。次の表にパラメーターを示します。
パラメーター
説明
保護ディレクトリ:
バックアップするディレクトリ。有効な値:
ディレクトリの指定: セキュリティセンターは、指定されたサーバーの指定されたディレクトリのみをバックアップします。 保護ディレクトリのアドレス: に指定されたディレクトリのアドレスを入力する必要があります。例:
Windows サーバー:
C:\Program Files (x86)\Linux サーバー:
/usr/bin/
最大 20 個のアドレスを入力できます。セキュリティセンターは、保護されたディレクトリアドレスに基づいてバックアップタスクを順番に実行します。保護されたディレクトリアドレスに多数のファイルが保存されている場合、アドレスのデータをバックアップするために、 CPU やメモリリソースなどの大量のサーバーリソースが消費される可能性があります。この場合、ディレクトリを複数のアドレスに分割できます。その後、バックアップタスクはアドレスに基づいて順番に実行されます。これにより、各バックアップタスクで消費されるサーバーリソースを削減できます。
すべてのディレクトリ: セキュリティセンターは、指定されたサーバーのすべてのディレクトリをバックアップします。
指定したディレクトリの除外:
バックアップしたくないディレクトリ。セキュリティセンターには、バックアップする必要のないデフォルトのディレクトリが表示されます。ディレクトリを追加したり、特定のディレクトリを削除したりできます。
[非ローカルマウントパス]
OSS オブジェクトまたは NAS ファイルシステムがアタッチされているディレクトリなど、非ローカルマウントパスを除外するかどうかを選択します。
保護ファイルのタイプ:
保護するファイルのタイプ。有効な値:
すべてのファイルタイプ: セキュリティセンターはすべてのファイルを保護します。
指定したファイルタイプ: セキュリティセンターは、選択したファイルタイプのファイルのみを保護します。ドキュメントや画像などのファイルタイプを選択できます。
重要複数のファイルタイプを選択できます。セキュリティセンターは、指定されたアセットに対して、選択されたファイルタイプのファイルのみをバックアップします。
データバックアップ開始時間:
データバックアップタスクを開始する時刻。
重要アンチランサムウェアポリシーに基づいて保護されたディレクトリ内のすべてのデータを初めてバックアップするときは、大量の CPU とメモリリソースが消費されます。サービスへの悪影響を避けるために、オフピーク時にデータをバックアップすることをお勧めします。
バックアップポリシーの実行間隔:
2 つのデータバックアップタスク間の時間間隔。デフォルト値: 1 日。
バックアップデータの保持期間:
バックアップデータの保持期間。デフォルト値: 7 日。
重要バックアップデータは、指定された保持期間内にのみ保存されます。ビジネス要件に基づいて保持期間を指定することをお勧めします。
有効な値:
永久: バックアップデータは、セキュリティセンターの有効期限が切れるか、アンチランサムウェアポリシーを削除するか、指定されたサーバーをアンチランサムウェアポリシーから削除するまで保持されます。
カスタム: 保持期間を指定できます。有効な値: 1 ~ 65535 。単位: 日。
バックアップネットワーク帯域幅の制限:
データバックアップタスクで消費できる最大帯域幅。有効な値: 0 ~ 無制限。単位: MB/s 。
ECS インスタンスのアンチランサムウェアポリシーを作成する場合、内部ネットワーク帯域幅のみが消費されます。 Alibaba Cloud にデプロイされていないサーバーのアンチランサムウェアポリシーを作成する場合、パブリックまたは内部ネットワーク帯域幅が消費されます。このパラメーターを設定して、バックアップタスクが過剰な帯域幅を消費するのを防ぎ、サービスの安定性を確保できます。
Alibaba Cloud サーバー: 0 MB/s
説明値 0 は、帯域幅に制限が課されていないことを示します。
Alibaba Cloud にデプロイされていないサーバー: 5 MB/s
ランサムウェア対策ポリシーが作成されると、ポリシーはデフォルトで有効になり、Security Center はサーバーにランサムウェア対策エージェントをインストールします。 その後、Security Center は、ランサムウェア対策ポリシーで構成したバックアップ設定に基づいて、サーバーの保護されたディレクトリ内のデータをバックアップします。
警告ランサムウェア対策エージェントのステータスを監視し、異常なステータスを迅速に処理して、ランサムウェア対策のバックアップとリカバリ タスクが正常に実行されるようにする必要があります。 詳細については、「ランサムウェア対策クライアント ステータスを表示する」をご参照ください。
サーバーのオペレーティングシステムが置き換えられた後にアンチランサムウェアポリシーを設定する
サーバーのオペレーティングシステムが置き換えられた後、サーバー上の保護されたディレクトリは変更されません。この場合、すべてのディレクトリのバックアップが原因で、サーバーでリソース使用率の増加やバックアップの失敗などの問題が発生する可能性があります。
サーバーのオペレーティングシステムを置き換える場合は、既存のアンチランサムウェアポリシーが新しいオペレーティングシステムのディレクトリを保護できるかどうかを確認する必要があります。
置き換え後、既存のアンチランサムウェアポリシーが保護要件を満たしている場合は、アンチランサムウェアポリシーからサーバーを削除し、サーバーをアンチランサムウェアポリシーに再度追加できます。
置き換え後、既存のアンチランサムウェアポリシーが保護要件を満たしていない場合は、アンチランサムウェアポリシーを変更するか、アンチランサムウェアポリシーからサーバーを削除して別のアンチランサムウェアポリシーを作成できます。
アンチランサムウェアエージェントを管理する
アンチランサムウェアエージェントのバージョン説明
V2.0 アンチランサムウェアポリシーを作成できます。既存の V1.0 アンチランサムウェアポリシーは変更できません。
次の表に、V1.0 アンチランサムウェアポリシーと V2.0 アンチランサムウェアポリシーの違いを示します。
項目 | V1.0 アンチランサムウェアポリシー | V2.0 アンチランサムウェアポリシー |
除外するカスタムディレクトリ | サポートされていません。 | サポートされています。 |
クラシックネットワーク | ||
Cloud Backup との互換性 | ||
バックアップ方法 | 複数のデータバックアップタスクを同時に実行できるため、 CPU 使用率が高くなる可能性があります。 | 複数のデータバックアップタスクを順番に実行できます。 |
数回クリックするだけで V1.0 アンチランサムウェアポリシーをアップグレード
数回クリックするだけで、V1.0 アンチランサムウェアポリシーを V2.0 アンチランサムウェアポリシーにアップグレードできます。 V1.0 アンチランサムウェアポリシーをアップグレードするには、アンチランサムウェアポリシーリストの [アクション] 列の [アップグレード] をクリックします。ポリシーのアップグレード中に、アンチランサムウェアポリシーに基づいてインストールされたアンチランサムウェアエージェントのバージョンは自動的に V2.X.X にアップグレードされます。
アンチランサムウェアエージェントのアップグレードは、バックアップデータに影響を与えません。アップグレード後、データバックアップタスクは期待どおりに実行されます。アップグレードが失敗した場合、アンチランサムウェアエージェントのバージョンは自動的に V1.X.X にロールバックされ、データバックアップタスクは影響を受けません。
一部のサーバーでは、インストールされているアンチランサムウェアエージェントを数回クリックするだけでアップグレードすることはできません。この場合、アンチランサムウェアエージェントのアップグレードに失敗したサーバーをアンチランサムウェアポリシーから削除し、アンチランサムウェアポリシーの [アクション] 列の [アップグレード] をクリックして、ポリシーをアップグレードすることをお勧めします。アンチランサムウェアポリシーがアップグレードされたら、サーバーをアンチランサムウェアポリシーに再度追加します。その後、V2.X.X アンチランサムウェアエージェントがサーバーに自動的にインストールされます。
アンチランサムウェアエージェントのステータスを表示する
アンチランサムウェアポリシーを作成した後、アンチランサムウェアポリシーによって保護されているサーバーにインストールされているアンチランサムウェアエージェントのステータスを確認し、アンチランサムウェアエージェントのステータスが オンライン であることを確認します。ステータスを確認するには、[アンチランサムウェア] ページの サーバーのランサムウェア対策 タブに移動し、アンチランサムウェアポリシーを見つけて、ポリシー名の横にある 
アイコンをクリックします。アンチランサムウェアポリシーによって保護されているサーバーのリストで、[エージェントステータス] 列の各サーバーのエージェントステータスを表示します。セキュリティセンターは、サーバーのアンチランサムウェアエージェントのステータスが オンライン の場合にのみ、サーバーのデータをバックアップできます。サーバーを見つけて 復元可能なバージョン数 列の番号をクリックすると、回復可能なデータバージョン パネルに移動できます。[回復可能なバージョン] パネルの バージョン名 列にバージョンが表示されている場合、サーバー上のデータはバックアップされています。[バージョン] 列の値は、バックアップが開始された時刻を示します。
アンチランサムウェアエージェントのステータスが[例外] の場合、データバックアップは失敗します。アンチランサムウェアエージェントの例外の原因を特定し、例外を処理する必要があります。詳細については、「アンチランサムウェアエージェントとバックアップタスクの異常なステータスを引き起こす問題のトラブルシューティング」をご参照ください。
アンチランサムウェアエージェントのステータスが[例外] の場合、データバックアップまたはデータ復旧中にエラーが発生する可能性があります。データ復旧中にエラーが発生した場合、データバックアップタスクは影響を受けません。プロンプトに従って例外を処理できます。
アンチランサムウェアエージェントを手動でインストールする
サーバーのアンチランサムウェアポリシーを作成すると、セキュリティセンターはサーバーにアンチランサムウェアエージェントを自動的にインストールします。サーバーが起動されていないか、特定のファイアウォールポリシーで設定されている場合、セキュリティセンターはサーバーにアンチランサムウェアエージェントをインストールできない場合があります。アンチランサムウェアエージェントのインストールに失敗した場合は、原因を特定して問題を解決する必要があります。次に、サーバーにアンチランサムウェアエージェントをインストールします。アンチランサムウェアエージェントを手動でインストールする方法の詳細については、「アンチランサムウェアポリシーに追加されたサーバーを管理する」をご参照ください。
アンチランサムウェアエージェントをアンインストールする
アンチランサムウェアポリシーによって保護されているサーバーにインストールされているアンチランサムウェアエージェントが異常な場合は、サーバーの 操作する 列の アンインストール をクリックして、アンチランサムウェアエージェントをアンインストールできます。次に、サーバーにアンチランサムウェアエージェントを再インストールします。
指定されたデータ保持期間内にアンチランサムウェアエージェントをアンインストールした場合、セキュリティセンターはアンチランサムウェアエージェントがバックアップしたデータを削除しません。指定されたデータ保持期間外にアンチランサムウェアエージェントをアンインストールすると、セキュリティセンターはサーバーのバックアップデータを削除します。
アンチランサムウェアエージェントを削除する
サーバーにアンチランサムウェアポリシーが不要になった場合は、サーバーからアンチランサムウェアエージェントを削除できます。サーバーからアンチランサムウェアエージェントを削除すると、サーバーはアンチランサムウェアポリシーによって保護されているサーバーのリストから削除され、サーバーのバックアップデータも削除されます。サーバー上のバックアップデータが削除されると、セキュリティセンターはアンチランサムウェア容量を解放します。アンチランサムウェア容量は、解放後 24 ~ 72 時間以内に更新されます。アンチランサムウェア容量を使い果たさないことをお勧めします。アンチランサムウェア容量が使い果たされると、データバックアップタスクが停止し、完全バックアップが実行されます。これにより、サーバーのリソース使用量が大幅に増加します。
サーバーからアンチランサムウェアエージェントを削除すると、サーバー上のバックアップデータも削除されます。削除されたバックアップデータは復元できません。注意して進めてください。
