Pure 5//S の原則による運用上のサイバー・レジリエンスの構築

サイバー・レジリエンス（事業継続性、ディザスタ・リカバリとも呼ばれます）は、過去5～10年で大きく変化しました。  以前は、ハリケーン、竜巻、高速道路での危険な流出などの自然災害や運用災害に重点を置いていました。 

現在、ランサムウェア、フィッシング、エネルギーコストの上昇、AI による自動化、その他多くの複合要因により、攻撃の実行可能性と頻度が高まっており、攻撃の実行の複雑さと時間が軽減されています。これらの悪意のある攻撃には、リカバリプロセスにおいて、サイバー・リカバリと定義する追加のステップが必要です。インシデント対応プロトコルは、攻撃がどのように発生したかを把握し、データが悪用された脅威や脆弱性から解放または除去されるようにします。  

このような進化し続ける脅威に対処するには、高速フラッシュをベースに、5つの柱に基づいて構築された次世代のデータプラットフォームが必要です。スピード、セキュリティ、シンプルさ、拡張性、サステナビリティ。

これらの原則により、重要なアプリケーション・データの可用性が確保されるため、組織は自然または悪意のあるインシデントから迅速に運用を再開できます。  これらは、安全で耐障害性に優れたデータ基盤を提供し、信頼性の高いアプリケーションやサービス、、サイバーセキュリティ、さらにはコンプライアンスの成果までも提供します。

それぞれがどのように当てはまるか見てみましょう。

原則1：Speed (スピード)

攻撃者は、あなたがどれほど迅速かつ完全に対応できるかを準備していますか？ スピードの原則は、アプリケーション・スタックをリカバリし、ユーザーへのサービスをリストアする時間です。

アプリケーションや環境を、既知の適切な時点から、数分から数時間で測定される時間で、オンラインで迅速にリストアできる場合、身代金を支払う必要があるのはなぜですか？ このニーズは、財務的なものだけでなく、規制上のものが多く、DORA のような要件がこれらのスケジュールを左右します。運用上の決済システムには 2 時間を要しますが、適切なテクノロジーとオーケストレーションの選択が可能です。  

ピュア・ストレージの顧客のアプリケーションとデータはランサムウェアによって暗号化され、バックアップからのリストアが唯一の選択肢でした。現時点では、ピュア・ストレージの耐障害性機能は導入されていませんでした。彼らは、広く展開されているディスクベースの専用バックアップアプライアンス（PBBA）からデータを復元し始め、機械的なコンポーネントが壊れたり、燃え尽きたりしないことを望んでいました。10 日後、環境の約 10% がリカバリされ、重要なアプリケーションはありませんでした。彼らにとっては、ゼロからの再構築は、実際にリストアを続けるよりも高速でした。 

お客様は、5S 上に構築されたアーキテクチャを実装し、ピュア・ストレージ つの主要なイノベーションを実現しました。すなわち、SafeMode−(* スナップショットを使用したアプリケーション・リカバリへの階層化されたアプローチと、データ保護パートナーによる迅速なリカバリです。これにより、データセンターの完全なリカバリを、約3時間で四半期ごとにテストおよび検証できます。2 度目の攻撃を受けたとき、Tier-0 アプリケーションを約 15 分でオンラインに戻すことができました。15 分で、ピュア・ストレージが提供するデータの「良いコピー」に復旧することができました。

原則2：Security (セキュリティ)

優れた防御策は、攻撃にうまく対応するための最良の位置を確保します。攻撃者は、攻撃のコストを増大させることで攻撃の動機を失い、攻撃による金銭的、政治的、社会的利益を飛躍的に減らしたいと考えています。攻撃の早い段階であきらめ、先に進む必要があります。  

セキュリティ・アプリケーションや XDR/EDR システムとの連携により、迅速な対応が可能です。重要なのは、データやアプリケーションを意図的に使用するためのセキュリティとリカバリ性です。防御的なセキュリティフットプリントは、次の 3 つの主要領域に関わります。

1. 周辺検出： ネットワーク・エッジで発生する最初の防御障壁。ファイアウォール、侵入検知、VPN、多要素認証などのアクセス制御は、すべてベストプラクティスです。これにより、ネットワーク上のアプリケーションをプロトコル・レベルに分離することで攻撃の爆発的な半径を低減し、ネットワークやアプリケーションへの侵入を困難にします。
2. 検出処理： この第 2 の防御層により、アプリケーション・コンシューマーの現状を把握できます。「このプロセスは正しく機能していますか？」 「このユーザーの行動やインタラクションプロファイルは変更されましたか？」 これらの質問は、SIEMクラス・システムによって、攻撃が進行中かどうかを判断するために尋ねられます。
3. 永続性検出：これにより、ストレージ・システムのデータをアクティブまたは潜在的な脅威として評価し、データの既知のコピーをほぼ瞬時にリストアする機能を提供します。

永続化レイヤーでは、インフラストラクチャ・システムは、2 つの機能定義を満たす必要があります。すなわち、非可逆性と不変性です。これらのプロパティにより、特権攻撃者は、事前に定義された保持期間を完了し、手動で帯域外承認プロセスを完了することなく、システムのセキュリティ体制を変更したり、システム内のデータを消去したりすることができなくなります。ピュア・ストレージでは、この消去不能強制レイヤー SafeMode と呼んでいます。これは、不変のレイヤー、ボリュームスナップショットの上に構築され、データに変化のないポイントインタイム表現を提供します。 

原則3：Simplicity (シンプル)

このマントラは、Appleの「iDevices」を成功に導いたものです。残念ながら、シンプルさはとても難しいものです。シンプルさを中核に据えることで、ビジネスにとって革新的で重要なことに集中できます。チームはアラートや誤検知に圧倒され、異種のシステムを保護し、近代的なセキュリティ・ツール、従来のアーキテクチャの技術的負債、または十分に構築されていないシステムの日常的な反復的なタスクを適用するのに苦労しました。

もしシステムの導入がシンプルだったら？ 操作は簡単ですか？ 自己修復 LUN の低レベル管理は必要なかったか？ 既知のデータのコピーを特定できますか、あるいは、どのデータが侵害されたかを特定できますか？ 攻撃が検知されたときにアプリケーションやサービスを保護するために自動化ワークフローをトリガーしますか？

これにより、アプリケーションの利用が増え、重大なインシデントも少なくなります。この考え方と技術の変化によって、何が構築できるかを想像してみてください。

原則4：拡張性

最も困難なエンジニアリングの課題の 1 つは、拡張性です。環境が一定量のリソースに制限されている場合、最適化は比較的簡単です。ワークロード、消費、使用率が縛られ、サービス・レベルが確保されます。今日のインターネット・スケール・システムは、新たなパラダイムを生み出しました。新しい技術を学び、古い答えを超えて成長し、これまで検討したことのない方法で革新する必要があります。

アプリケーションやデータのスケールに影響を与えるのは、プロトコル・レイヤー、ネットワーク・レイヤー、メタデータ・レイヤー、ストレージ永続性レイヤーにおけるイノベーションの組み合わせです。従来の「ファイルシステム」の用語や概念は、もはやスケーラブルで高性能なシステムを構築していないため、「ストレージ永続化層」を使用しています。この分野における新しいイノベーションは、このような概念をプロトコル・レイヤーから抽出し、キー・バリュー・ストアなどの新しい技術を使用して、拡張性と耐久性を確保します。

ネットワーク規模は、データセンターにとって大きな問題です。プロビジョニングされた各ポートには、電力、冷却、ラックスペースなどの資本、運用、生のデータセンターのコストが伴います。これを改善する方法の 1 つは、データ・ストレージとネットワーク・ポートを個別に拡張することです。これらのコンポーネントを分離することで、ストレージの成長は、インフラストラクチャコストの増加ではなく、容量、トランザクション、スループットの増加に集中できます。

米国の大手銀行は、バックアップからのリストアに関するSLAを満たしていませんでした。現在のシステムでは、700 以上の 10Gb ネットワーク・ポートが消費され、タイムリーなリカバリ・スループットを提供できませんでした。ピュア・ストレージは、サイバー・レジリエンス・パートナーとして、ネットワーク・ポートの数を100 10Gb ネットワーク・ポート以下に減らし、リカバリのSLAを大幅に上回るソリューションを提供しました。銀行は、床面積、インフラストラクチャコスト、データセンターコストを節約し、その後、システムを複数回拡張しました。

今日のネットワーク帯域幅は、それに対応できるプラットフォームの新機能を可能にします。これには、ストレージ、コンピューティング、ネットワーク・リソースなど、システムの任意のスケールを考慮したアーキテクチャ・モデルが必要です。

プロトコルと API は、この分離アーキテクチャにおいても重要です。耐障害性アプリケーションは、エンドポイント（S3プロトコルクラウドストレージの消費者のためのURLなど）に接続するだけで、利用可能なすべてのコンピューティング、ネットワーク、ストレージリソースの接続を自動的にバランスします。特別な構成や技術は必要ありません。Evergreen は、データの移行や停止が不要で、スケールとサービスの可用性の限界が高まります。

原則 5：サステナビリティ

サステナビリティとは、システムの実行と保守に必要なリソースの総計を指します。電力と冷却のコスト、運用作業、または特定のタスクに必要なコンポーネントです。リソースを削減することで、システムやソリューションの持続可能性が直接向上します。エネルギー・コストの増加に伴い、耐障害性は次世代の効率性でリソースの限界に先んじ続けることを意味します。

この記事では、「データセンターにおける近代的なストレージの電力利用を相殺する方法」について解説します。当社の専用 DirectFlash® モジュールが、膨大なエネルギー、床面積、および関連する冷却コストをどのように削減するかについて解説します。影響を受けるのはストレージのコストと性能だけではありません。インフラストラクチャに関連する運用コストはすべてです。

新しい重要なプロジェクトのデータセンターの経済性を実現するために、お客様がこれを使用しているのを見てきました。34 ラックを 4 ラックに統合し、ラック、インフラストラクチャ、および関連するユーティリティを 88% 削減しました。あるマルチエクサバイト規模のビデオ・プロバイダは、電力の節約を予測しています。ネットワーク・ポートの要件とインフラストラクチャを桁違いに削減しながら、すべてのデータセンターでメガワットに達する可能性があります。コストとリソースを解放し、優れたカスタマーエクスペリエンスを提供し、重要な次世代イノベーションのためのリソースを確実に利用できます。

ピュア・ストレージのプラットフォームは、従業員のサステナビリティにも影響を与えます。5S 上に構築されたサイバー・レジリエンス・アーキテクチャを展開した後、同社の従業員は、原則 1 で前述したように、アプリケーションのリカバリ能力のレベルがなければ、どこにも動作しないだろうと述べました。Evergreen では、フォークリフト・アップグレードやデータ移行によってもたらされるリスクは過去の課題であり、変更管理会議、移行計画、予定されたアプリケーションの停止、部品の交換、その他の運用作業もそうです。

まとめ

5S は、サイバー・レジリエンス・アーキテクチャに適用することで、より優れたサービスとエクスペリエンスを顧客に提供できる重要な特性です。SLAを大幅に改善し、コストと複雑さを軽減し、リソースを解放して次の大規模なプロジェクトに取り組むことができます。

ピュア・ストレージのチームに連絡して、サイバー・レジリエンスの専門家に、5Sの原則がどのように役立つかについてお問い合わせください。