攻撃者はランサムウェアを使用してデータを暗号化または盗み、身代金を要求できます。 セキュリティセンターは、ランサムウェア対策機能を提供します。 この機能を使用して、サーバー上のデータをバックアップするランサムウェア対策ポリシーを作成できます。 このようにして、サーバーがランサムウェアに攻撃された場合、バックアップを使用してデータを復元できます。 これにより、ランサムウェアがワークロードに与える影響を最小限に抑えます。 このトピックでは、サーバーのランサムウェア対策ポリシーを作成する方法について説明します。
データバックアップ
Security Centerは、ランサムウェア対策ポリシーで指定されているバックアップディレクトリ内のデータをバックアップ用にCloud backupにアップロードします。 データを段階的にバックアップして、サーバーをランサムウェアから保護できます。 ランサムウェア対策ポリシーに基づいて保護されたディレクトリ内のすべてのデータを初めてバックアップすると、多数のCPUおよびメモリリソースが消費されます。 サービスへの悪影響を避けるため、オフピーク時にデータをバックアップすることを推奨します。 以降のバックアップでは、Security Centerは新しく作成、変更、または削除されたファイルのみをバックアップします。 これにより、サーバーリソースの消費が削減され、ランサムウェア対策容量の過剰な消費が防止されます。
セキュリティセンターは、ランサムウェア対策ポリシーのバージョンとバックアップするディレクトリに基づいて、特定の数のデータバックアップタスクを開始します。 V1.0およびV2.0のアンチランサムウェアポリシーの詳細については、「アンチランサムウェアエージェントのバージョン説明」をご参照ください。
バックアップするディレクトリ
V1.0 anti-ransomwareポリシー
V2.0 anti-ransomwareポリシー
すべてのディレクトリ
Linuxサーバーの場合、Security Centerは1つのデータバックアップタスクのみを生成します。
Windowsサーバーの場合、Security Centerはデータディスクごとに1つのデータバックアップタスクを生成します。 Windowsサーバーに2つのデータディスクがある場合、Security Centerは2つのデータバックアップタスクを生成し、同時にタスクを開始します。 Linuxサーバーと比較して、Windowsサーバーはバックアップ中により多くのCPUとメモリリソースを消費します。
重要WindowsサーバーのCPU使用率とメモリ使用率に基づいて、データバックアップタスクをスケジュールすることをお勧めします。
サーバーの場合、Security Centerは1つのデータバックアップタスクのみを生成します。 複数のサーバーの場合、Security Centerは複数のデータバックアップタスクを生成し、タスクを順番に開始します。 これにより、CPUとメモリリソースの消費が少なくなり、サービスに影響を与えません。
特定のディレクトリ
Security Centerは、ランサムウェア対策ポリシーで指定されているディレクトリごとに1つのデータバックアップタスクを開始します。 セキュリティセンターでは、複数のデータバックアップタスクを同時に実行できます。 タスクは、多数のCPUおよびメモリリソースを消費し得る。
重要ビジネス要件に基づいて、ランサムウェア対策ポリシーで適切な数のディレクトリを指定することを推奨します。
ランサムウェア対策ポリシーの作成
ランサムウェア対策ポリシーを作成する前に、お使いのサーバーのオペレーティングシステムのバージョンが、サーバーのランサムウェア対策でサポートされていることを確認してください。 オペレーティングシステムのバージョンがサポートされていない場合、サーバーのデータはバックアップできません。 サポートされているオペレーティングシステムのバージョンの詳細については、「オペレーティングシステムとサーバー用アンチランサムウェアでサポートされているバージョン」をご参照ください。
ランサムウェア対策容量を購入し、ランサムウェア対策機能の使用をアカウントに許可します。 詳細については、「ランサムウェア対策の有効化」をご参照ください。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
サーバーのランサムウェア対策のタブランサムウェア対策ページで、保護ポリシーの作成をクリックします。
保護ポリシーの作成パネルで、ポリシー名、サーバータイプ、およびSelect Assetsパラメーターを設定します。
パラメーター
説明
ポリシー名
ランサムウェア対策ポリシーの名前。
サーバータイプ
ランサムウェア対策ポリシーを適用するサーバーのタイプ。
バックアップルート
データのバックアップに使用される通信方法。 [サーバータイプ] を Alibaba Cloud 以外のサーバー に設定した場合、このパラメーターを設定する必要があります。 有効な値:
インターネット: このオプションを選択すると、インターネット帯域幅リソースに対して課金される可能性があります。
内部ネットワーク: このオプションを選択した場合、Alibaba Cloud仮想プライベートクラウド (VPC) 、Express Connect回線、またはCloud Enterprise Network (CEN) インスタンスを使用して、Alibaba Cloudにデプロイされていないサーバーと選択したリージョンのアンチランサムウェアエンドポイント間の接続を確立する必要があります。
リージョン:
サーバーが存在するリージョン、またはランサムウェア対策エンドポイントが使用可能なリージョン。 [サーバータイプ] を Alibaba Cloud 以外のサーバー に設定した場合、このパラメーターを設定する必要があります。 選択したリージョンは、アンチランサムウェアへのアクセスに使用するエンドポイントを指定します。 データを正常にバックアップするには、サーバーが選択したリージョンのランサムウェア対策エンドポイントにアクセスできることを確認します。 詳細については、「Anti-ransomwareエンドポイント」をご参照ください。
アセットの選択:
保護するアセット。 アセット、アセットグループ、またはアセットグループから複数のアセットを選択できます。 保護するアセットを選択するには、次の操作を実行します。
[アセットグループ] セクションで、アセットグループを選択します。 次に、グループ内のすべてのアセットが選択されます。 保護を必要としないアセットは、[アセット] セクションでクリアできます。
[アセット] セクションで、検索ボックスにアセットの名前を入力して、アセットを検索します。 あいまい一致はサポートされていません。
説明ランサムウェア対策ポリシーをElastic Compute Service (ECS) インスタンスに適用する場合は、異なるリージョンにあるECSインスタンスを選択できます。 Alibaba Cloudにデプロイされていないサーバーにアンチランサムウェアポリシーを適用する場合は、同じリージョンにあるサーバーを選択する必要があります。
アンチランサムウェアの容量を有効に活用するために、1つのポリシーにのみサーバーを追加できます。
残りのパラメーターを設定し、OK をクリックします。
保護ポリシー: ランサムウェア対策ポリシーのタイプ。 有効な値: 推奨ポリシーとカスタムポリシー。
推奨ポリシー: 推奨ポリシーはSecurity Centerの組み込みのアンチランサムウェアポリシーであり、変更することはできません。 次のパラメータのデフォルト値が使用されます。
すべての保護ディレクトリ:するディレクトリ
指定したディレクトリの除外:: ポリシーから除外されるディレクトリ
非ローカルマウントパス: OSSオブジェクトまたはNASファイルシステムがアタッチされているディレクトリなど、非ローカルマウントパスを除外します。
すべての保護ファイルのタイプ:するファイルタイプ
データバックアップ開始時間:00:00 ~ 03:00の範囲内の時点で
1日のバックアップポリシーの実行間隔:
7日間のバックアップデータの保持期間:
バックアップネットワーク帯域幅の制限::
Alibaba Cloudサーバー: 0 MByte/s
説明値0は、帯域幅に制限が課されないことを示す。
Alibaba Cloudにデプロイされていないサーバー: 5 MByte/s
カスタムポリシー: ビジネス要件に基づいて設定できるカスタムポリシー。 保護されたディレクトリ、指定されたディレクトリの除外、保護されたファイルタイプ、開始時間、バックアップポリシーの実行間隔、バックアップデータの保持期間、およびバックアップネットワークの帯域幅制限を設定する必要があります。 下表に、各パラメーターを説明します。
パラメーター
説明
保護ディレクトリ:
バックアップするディレクトリ。 有効な値:
ディレクトリの指定: Security Centerは、指定されたサーバーの指定されたディレクトリのみをバックアップします。 保護ディレクトリのアドレス:の例に指定したディレクトリのアドレスを入力する必要があります。
Windowsサーバー:
C:\Program Files (x86)\
Linuxサーバー:
/usr/bin/
最大20のアドレスを入力できます。 Security Centerは、保護されたディレクトリアドレスに基づいてバックアップタスクを順番に実行します。 保護されたディレクトリアドレスに多数のファイルが格納されている場合、CPUおよびメモリリソースなどの大量のサーバリソースが、そのアドレスのデータをバックアップするために消費される可能性がある。 この場合、ディレクトリを複数のアドレスに分割できます。 次に、バックアップタスクがアドレスに基づいて順番に実行されます。 これにより、各バックアップタスクで消費されるサーバーリソースを削減できます。
すべてのディレクトリ: Security Centerは、指定されたサーバーのすべてのディレクトリをバックアップします。
指定したディレクトリの除外:
バックアップしたくないディレクトリ。 セキュリティセンターには、バックアップする必要のないデフォルトのディレクトリが表示されます。 ディレクトリを追加したり、特定のディレクトリを削除したりできます。
非ローカルマウントパス
OSSオブジェクトまたはNASファイルシステムがアタッチされているディレクトリなど、非ローカルマウントパスを除外するかどうかを選択します。
保護ファイルのタイプ:
保護するファイルのタイプ。 有効な値:
すべてのファイルタイプ: Security Centerはすべてのファイルを保護します。
指定したファイルタイプ: セキュリティセンターは、選択したファイルタイプのファイルのみを保護します。 ドキュメントや画像などのファイルタイプを選択できます。
重要複数のファイルタイプを選択できます。 Security Centerは、指定したアセットに対して選択したファイルタイプのファイルのみをバックアップします。
データバックアップ開始時間:
データバックアップタスクを開始する時刻。
重要ランサムウェア対策ポリシーに基づいて保護されたディレクトリ内のすべてのデータをバックアップするのが初めての場合、大量のCPUおよびメモリリソースが消費されます。 サービスへの悪影響を避けるため、オフピーク時にデータをバックアップすることを推奨します。
バックアップポリシーの実行間隔:
2つのデータバックアップタスク間の時間間隔。 デフォルト値: 1日。
バックアップデータの保持期間:
バックアップデータの保存期間。 デフォルト値: 7日。
重要バックアップデータは、指定された保存期間内にのみ保存されます。 ビジネス要件に基づいて保持期間を指定することを推奨します。
有効な値:
永久: セキュリティセンターの有効期限が切れるか、アンチランサムウェアポリシーを削除するか、指定されたサーバーをアンチランサムウェアポリシーから削除するまで、バックアップデータは保持されます。
カスタム: 保存期間を指定できます。 有効な値: -1 から 65535 単位:日
バックアップネットワーク帯域幅の制限:
データバックアップタスクで消費できる最大帯域幅。 有効な値: 0〜unlimited。 単位: MByte/秒
ECSインスタンスのランサムウェア対策ポリシーを作成すると、内部ネットワーク帯域幅のみが消費されます。 Alibaba Cloudにデプロイされていないサーバーのランサムウェア対策ポリシーを作成すると、パブリックまたは内部ネットワーク帯域幅が消費されます。 このパラメーターを設定して、バックアップタスクが過剰な帯域幅を消費するのを防ぎ、サービスの安定性を確保できます。
Alibaba Cloudサーバー: 0 MByte/s
説明値0は、帯域幅に制限が課されないことを示す。
Alibaba Cloudにデプロイされていないサーバー: 5 MByte/s
アンチランサムウェアポリシーが作成されると、ポリシーはデフォルトで有効になり、Security Centerはサーバーにアンチランサムウェアエージェントをインストールします。 次に、Security Centerは、ランサムウェア対策ポリシーで構成したバックアップ設定に基づいて、サーバーの保護されたディレクトリにデータをバックアップします。 ランサムウェア対策ポリシーを作成した後、ランサムウェア対策エージェントのステータスを監視し、エージェントの例外をできるだけ早く処理することをお勧めします。 これにより、データのバックアップタスクと復元タスクが期待どおりに実行されます。 詳細については、「アンチランサムウェアエージェントのステータスの表示」をご参照ください。
サーバーのオペレーティングシステムを交換した後のランサムウェア対策ポリシーの構成
サーバーのオペレーティングシステムが置き換えられた後、サーバー上の保護されたディレクトリは変更されません。 この場合、サーバーは、すべてのディレクトリのバックアップによるリソース使用率の高さやバックアップの失敗などの問題に遭遇する可能性があります。
サーバーのオペレーティングシステムを置き換える場合は、既存のランサムウェア対策ポリシーが新しいオペレーティングシステムのディレクトリを保護できるかどうかを確認する必要があります。
既存のアンチランサムウェアポリシーが置換後に保護要件を満たしている場合は、アンチランサムウェアポリシーからサーバーを削除し、再度アンチランサムウェアポリシーにサーバーを追加できます。
置換後に既存のアンチランサムウェアポリシーが保護要件を満たしていない場合は、アンチランサムウェアポリシーを変更するか、アンチランサムウェアポリシーからサーバーを削除して別のアンチランサムウェアポリシーを作成できます。
ランサムウェア対策エージェントの管理
ランサムウェア対策エージェントのステータスの表示
アンチランサムウェアポリシーを作成したら、アンチランサムウェアポリシーで保護されているサーバーにインストールされているアンチランサムウェアエージェントのステータスを確認し、アンチランサムウェアエージェントのステータスがオンラインであることを確認します。 ステータスを確認するには、[Anti-ransomware] ページの [サーバーのランサムウェア対策] タブに移動し、アンチランサムウェアポリシーを見つけて、ポリシー名の横にあるアイコンをクリックします。 ランサムウェア対策ポリシーで保護されているサーバーの一覧で、[エージェントの状態] 列にある各サーバーのエージェントの状態を表示します。 セキュリティセンターは、サーバーのランサムウェア対策エージェントのステータスがオンラインの場合にのみ、サーバーのデータをバックアップできます。 サーバーを見つけて、復元可能なバージョン数 列の番号をクリックして、回復可能なデータバージョン パネルに移動します。 復元可能なバージョンパネルの バージョン名 列にバージョンが表示されている場合、サーバー上のデータがバックアップされます。 [バージョン] 列の値は、バックアップの開始時刻を指定します。
ランサムウェア対策エージェントのステータスが例外の場合、データのバックアップは失敗します。 例外の原因をアンチランサムウェアエージェントに特定し、例外を処理する必要があります。 詳細については、「ランサムウェア対策エージェントおよびバックアップタスクの異常状態を引き起こす問題のトラブルシューティング」をご参照ください。
ランサムウェア対策エージェントのステータスが例外の場合、データのバックアップまたは復元中にエラーが発生する可能性があります。 データの復元中にエラーが発生した場合、データのバックアップタスクは影響を受けません。 プロンプトに従って例外を処理できます。
アンチランサムウェアエージェントの手動インストール
サーバーのランサムウェア対策ポリシーを作成すると、Security Centerはサーバーにランサムウェア対策エージェントを自動的にインストールします。 サーバーが起動されていない場合、または特定のファイアウォールポリシーで構成されている場合、Security Centerはサーバーへのランサムウェア対策エージェントのインストールに失敗する可能性があります。 ランサムウェア対策エージェントのインストールに失敗した場合は、原因を特定して問題を解決する必要があります。 次に、サーバーにランサムウェア対策エージェントをインストールします。 アンチランサムウェアエージェントを手動でインストールする方法の詳細については、「アンチランサムウェアポリシーに追加されたサーバーの管理」をご参照ください。
anti-ransomwareエージェントのアンインストール
ランサムウェア対策ポリシーで保護されているサーバーにインストールされているランサムウェア対策エージェントに異常がある場合は、サーバーの 操作する 列の アンインストール をクリックして、ランサムウェア対策エージェントをアンインストールします。 次に、サーバーにランサムウェア対策エージェントを再インストールします。
指定されたデータ保持期間内にランサムウェア対策エージェントをアンインストールした場合、セキュリティセンターはランサムウェア対策エージェントがバックアップしているデータを削除しません。 指定されたデータ保持期間内でない時点でアンチランサムウェアエージェントをアンインストールした場合、Security Centerはサーバーのバックアップデータを削除します。
アンチランサムウェアエージェントの削除
サーバーがランサムウェア対策ポリシーを必要としない場合は、サーバーからランサムウェア対策エージェントを削除できます。 サーバーからアンチランサムウェアエージェントを削除すると、アンチランサムウェアポリシーで保護されているサーバーのリストからサーバーが削除され、サーバーのバックアップデータも削除されます。 サーバー上のバックアップデータが削除されると、Security Centerはランサムウェア対策容量を解放します。 アンチランサムウェアの容量は、リリース後24〜72時間以内に更新されます。 ランサムウェア対策の容量を使い果たしないことをお勧めします。 ランサムウェア対策の容量が使い果たされると、データのバックアップタスクが停止し、完全バックアップが実行されます。 これにより、サーバーのリソース使用量が大幅に増加します。
ランサムウェア対策エージェントがサーバーから削除されると、サーバー上のバックアップデータも削除されます。 削除したバックアップデータは復元できません。 作業は慎重に行ってください。