ランサムウェアが資産に侵入した後、資産内のビジネスデータは暗号化され、身代金として使用されます。 これにより、サービスの中断、データリーク、データ損失などの重大なリスクが発生する可能性があります。 ランサムウェアを防御するために、Security Centerには、サーバー用のランサムウェア対策とデータベース用のランサムウェア対策の機能が用意されています。 この機能を使用して、サーバーとデータベースをランサムウェアから保護できます。
ランサムウェアに対する保護システム
既知のランサムウェアをリアルタイムでブロックする
Security Centerは、Alibaba Cloudの脅威インテリジェンスライブラリを使用して、大量の既知のランサムウェアをブロックします。 Security Centerは潜在的な損失を避けるためにransomwareをブロックします。 悪意のあるホストの動作防止を有効にすると、Security Centerは既知のランサムウェアをブロックします。 詳細については、「ホスト保護の設定」タブの機能の有効化をご参照ください。
重要Security Center以降のAnti-virusエディションは、悪意のあるホストの動作防止をサポートしています。
Security Centerエージェントをサーバーにインストールした後、Security Centerの防御プロセスをサーバーで有効にするには、特定の期間が必要です。 この期間中、セキュリティセンターはランサムウェアやDDoSトロイの木馬などの脅威をブロックすることはできません。
未知のランサムウェアをキャプチャしてブロックする
セキュリティセンターは、潜在的なランサムウェア攻撃をキャプチャするためにサーバー上にトラップディレクトリを設定します。 未知のランサムウェアから保護するために、Security Centerは異常な暗号化操作を実行するウイルスを直ちにブロックし、さらなる処理のために操作を通知します。 Advanced、Enterprise、またはUltimateエディションのSecurity Centerを使用している場合は、Security CenterコンソールでAnti-ransomware (Bait Capture) をオンにして、ランサムウェア対策機能を有効にすることができます。 詳細については、「ホスト保護の設定」タブの機能の有効化をご参照ください。
説明アンチランサムウェア機能を有効にした後、サーバーで疑わしいディレクトリを見つけた場合は、
ticket を使用して、Alibaba Cloudテクニカルサポートに連絡し、そのディレクトリがSecurity Centerによって設定されたトラップディレクトリであるかどうかを確認します。 トラップディレクトリはワークロードに影響を与えず、悪意もありません。 トラップディレクトリは手動で削除できません。データのバックアップ
コアデータをバックアップするためのランサムウェア対策ポリシーを作成し、バックアップデータを保存するためのランサムウェア対策容量を購入することができます。 ビジネスがランサムウェアに感染している場合は、バックアップデータをタイムリーに使用してコアデータを復元できます。
データバックアップに基づくアンチランサムウェアの実装
Security CenterとCloud Backupは共同で、データのバックアップと復元を可能にするアンチランサムウェア機能を起動します。 サーバーまたはデータベースがランサムウェアに侵入した場合、バックアップデータを使用してデータを復元できます。 次のプロセスでは、ランサムウェア対策機能の仕組みについて説明します。
Cloud Backupが有効になっていない場合、Security Centerコンソールでアンチランサムウェア機能を有効にすると、システムは自動的にCloud Backupを有効にします。
説明クラウドバックアップの有効化に対して課金されません。 Cloud backupでのバックアップボールトのストレージ使用料は、ランサムウェア対策容量の料金に含まれています。 バックアップデータの保存に対して個別に課金されることはありません。
サーバーのランサムウェア対策ポリシーを作成すると、システムはサーバーにランサムウェア対策エージェントをインストールします。 このエージェントはCloud Backupクライアントです。
ランサムウェア対策エージェントは、ランサムウェア対策ポリシーで指定した時点で、保護されたデータを読み取り、そのデータをCloud Backupに転送します。
データをバックアップすると、サーバーリソースが消費されます。
データがランサムウェアによって暗号化されている場合、バックアップデータを使用してデータを復元できます。
データが復元されると、バックアップデータはクラウドバックアップから指定したサーバーディレクトリに転送されます。
使用上の注意
特徴の違い
サーバー用のアンチランサムウェアとデータベース用のアンチランサムウェアは、さまざまな種類のデータを保護します。 データベースファイルを保護する場合は、データベースにアンチランサムウェアを使用します。 サーバーの指定されたディレクトリ内の他のファイルを保護する場合は、サーバーにアンチランサムウェアを使用します。 サーバーの指定されたディレクトリにあるデータベースファイルとその他のファイルの両方を保護する場合は、データベース用のアンチランサムウェアとサーバー用のアンチランサムウェアを一緒に使用します。 ランサムウェア対策ポリシーの作成方法の詳細については、次のトピックを参照してください。
非ローカルパスからファイルをバックアップする場合は、ランサムウェア対策ポリシーを作成するときに、そのパスを保護ディレクトリとして指定しないことをお勧めします。 これにより、システムがパスからデータにアクセスするときに追加料金が発生するのを防ぎます。 非ローカルパスとは、Object Storage Service (OSS) オブジェクトまたはFile Storage NAS (NAS) ファイルシステムがアタッチされているElastic Compute Service (ECS) インスタンス内のディレクトリなどのマウントパスを指します。 このシナリオでは、Cloud Backupを使用してマウントパスからファイルをバックアップすることを推奨します。 詳細については、「OSSバックアップを開始」および「オンプレミスNASバックアップを開始」をご参照ください。
サーバー上のデータベースファイルを保護するには、データベースにアンチランサムウェアを使用します。
手順
ランサムウェア対策機能を使用して、サーバーまたはデータベース上のデータをバックアップできます。 業務データがランサムウェアによって暗号化されている場合、バックアップデータに基づいて暗号化されたファイルを復元できます。 これにより、ワークロードへの悪影響が軽減されます。
特定のランサムウェア対策容量を購入し、必要な承認を完了します。 詳細については、「アンチランサムウェアの有効化」をご参照ください。
保護するデータの種類に基づいて、サーバー用のanti-ransomwareまたはデータベース用のanti-ransomwareを選択します。 詳細については、「機能の違い」をご参照ください。
サーバーまたはデータベースのランサムウェア対策ポリシーを作成して、データをバックアップします。 詳細については、「サーバーのランサムウェア対策ポリシーの作成」および「データベースのランサムウェア対策ポリシーの作成」をご参照ください。
ランサムウェアによって暗号化されたデータを復元する復元タスクを作成します。 詳細については、「サーバーの復元タスクの作成」および「データベースの復元タスクの作成」をご参照ください。
制限事項
コンテナ内のデータベースの保護
アンチランサムウェア機能を使用して、コンテナーにデプロイされたデータベースのデータをバックアップすることはできません。
ランサムウェア対策機能は、サーバーまたはデータベース上のディレクトリを保護します。 コンテナ内のディレクトリを保護するには、コンテナディレクトリをサーバーにマップします。
コンテナーの実行開始時に、-v
パラメーターを使用して、Dockerコンテナー内のディレクトリをホスト内のディレクトリにマップできます。 以下のコマンドを実行します。
docker run -v <host directory>:<container directory> <image_name>
たとえば、コンテナー内の /app/data
をホスト内の /home/user/data
にマップする場合は、次のコマンドを実行します。
docker run -v /home/user/data:/app/data your-image-name
バックアップ機能のCPUおよびメモリ要件
異なるボリュームのデータをバックアップするためのCPUとメモリの要件を次の表に示します。
バックアップデータ量 | CPU | メモリサイズ |
100,000 ファイル | デュアルコア | 4 GB |
100万ファイル (最大8テラバイト) | デュアルコア | 8 GB |
1,000 万ファイル | クアッドコア | 16 GB |
データベース用のアンチランサムウェアは、データをバックアップするために少数のリソースを消費します。 サーバー用のアンチランサムウェアは、データをバックアップするために大量のリソースを消費します。 anti-ransomware for serversがデータをバックアップするために実行するプロセスは、サーバーリソースを消費します。 使用されるサーバーリソースは、ファイルのサイズと数によって異なります。 ほとんどの場合、ビジネスは影響を受けません。 データのバックアップに使用されるサーバーリソースを管理する場合は、バックアップ速度を評価し、サーバーメモリの最大使用量を制限できます。 詳細については、「バックアップ速度とリカバリ速度」および「Cloud BackupクライアントでのOOMの問題を解決する方法」をご参照ください。
サポートされるリージョン
Alibaba Cloudにデプロイされていないサーバーのランサムウェア対策ポリシーを作成する場合は、サーバーがデプロイされているリージョンを選択します。 ランサムウェア対策ポリシーを作成するECSインスタンスが、ランサムウェア対策機能を使用できないリージョンにある場合、インスタンスはアセットリストに表示されません。
データベースのアンチランサムウェアは、クラシックネットワークのECSインスタンスでは使用できません。
機能 | 地域 | サポート対象リージョン |
サーバーのアンチランサムウェア | 中国本土 |
|
アジア太平洋 | インドネシア (ジャカルタ) 、日本 (東京) 、マレーシア (クアラルンプール) 、中国 (香港) 、シンガポール、フィリピン (マニラ) | |
ヨーロッパおよびアメリカ | 米国 (シリコンバレー)、米国 (バージニア)、ドイツ (フランクフルト)、イギリス (ロンドン) | |
中東 | リヤドSAU (リヤド) | |
データベースのアンチランサムウェア | 中国本土 |
|
アジア太平洋 | 中国 (香港), シンガポール |
オペレーティングシステムとバージョンがサポートされているanti-ransomware for servers
データベースのバージョンとオペレーティングシステムのバージョンが対応しています
ランサムウェア対策エンドポイント
ECSインスタンス
Alibaba Cloudにデプロイされていないサーバー
リージョン | 目的 | エンドポイント |
中国 (杭州) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.103.8.175 |
post-cn-mp90rcien05-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-hangzhou-internal.aliyuncs.com | |
中国 (上海) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.103.83.79 |
post-cn-4590rcihm02-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-shanghai-internal.aliyuncs.com | |
中国 (青島) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.100.0.111 |
post-cn-n6w1oj5j506-internal-vpc.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-qingdao-internal.aliyuncs.com | |
中国 (北京) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.103.83.105 |
post-cn-mp90rcibd04-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-beijing-internal.aliyuncs.com | |
中国 (張家口) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.100.1.236 |
post-cn-45917akja09-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-zhangjiakou-internal.aliyuncs.com | |
中国 (フフホト) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.100.0.123 |
post-cn-0pp1epkb50h-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-huhehaote.aliyuncs.com | |
中国 (深セン) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.103.31.50 |
post-cn-v0h0rcijv04-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-shenzhen-internal.aliyuncs.com | |
中国 (成都) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.100.0.12 |
post-cn-st21piid30e-internal-vpc.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-chengdu-internal.aliyuncs.com | |
中国 (香港) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.103.30.213 |
mqtt-cn-v0h1cmss401-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-cn-hongkong-internal.aliyuncs.com | |
シンガポール | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.103.10.114 |
post-cn-4590unarx01-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-ap-southeast-1-internal.aliyuncs.com | |
マレーシア (クアラルンプール) | 管理のため。 エンドポイントは、ランサムウェア対策エージェントとクラウドバックアップ間で制御信号を転送するために使用されます。 | 100.100.0.225 |
mqtt-cn-v0h1k5d7707-internal.mqtt.aliyuncs.com | ||
データ伝送のため。 エンドポイントは、バックアップデータの転送に使用されます。 | * .oss-ap-southeast-3-internal.aliyuncs.com |