Synology NASのDSM7.2からスナップショットに「イミュータブル」という設定が追加されました。イミュータブルを有効にすると管理者権限を持っていても対象のスナップショットを削除、変更できなくなるため、ランサムウェア対策としても注目をしております。
また、スナップショットを作成する「Snapshot Replication」には「複製」という機能があります。
「複製」はもう一台のSynologyNASに共有フォルダを複製し、スナップショットを作成することで世代管理もできます。主に遠隔地へのバックアップやスタンバイ機の作成に用います。
この「複製」のほうにもイミュータブルの設定が追加されています。
今回はイミュータブルの設定について検証していきます。
※本文章ではスナップショットという言葉が2種類の意味で利用されます。
一般的なファイル、言葉としてはスナップショット、Synologyの機能のほうは
「」をつけて「スナップショット」と表記します。
1.イミュータブルの設定
設定はスナップショットを取得するアプリケーション「Snapshot Replication」で行います。
普段の「スナップショット」の設定にイミュータブルスナップショットの設定項目が追加されているのでチェックを付けることで有効にできます。
保護期間はイミュータブルを解除するまでの期間です。1~30日を指定できます。
既にある「スナップショット」の設定も変更することでイミュータブルスナップショットを有効にすることができます。
2.イミュータブルスナップショットの削除
イミュータブルスナップショットは保護期間が過ぎるまでは削除できません。
スナップショットファイル、「スナップショット」のリストからも削除できません。
また、イミュータブルスナップショットを取得している共有フォルダを削除することもできません。
3.イミュータブルスナップショットのローテーション
スナップショットは保持ポリシーによってローテーションが行われます。
イミュータブルのスナップショットはローテーションでも削除されることなく残り続けます。
【例】保持ポリシー:最新の5つの場合
本来ならばスナップショットは5つとなりますが、イミュータブルのスナップショットを削除できずに5つ以上となっております。
その場合、削除できないイミュータブルのスナップショットは保持ポリシーの計算から外れます。そのためイミュータブルでないスナップショットが先に削除されます。
有効期限が切れてイミュータブルが解除されたスナップショットに関しては次回のスナップショット作成時に削除されます。
4.複製
Snapshot Replicationには「スナップショット」以外に「複製」という機能があります。
複製は他のSynology NASに共有フォルダをその名の通り複製する機能です。
共有フォルダの複製とともに保持ポリシーによりスナップショットも取得します。
こちらの機能にもイミュータブルスナップショットが設定できます。既に設定済みでもあとから設定変更で有効にすることができます。
複製先のNASでは複製したフォルダ、ファイルは削除することができません。
複製時に複製先では共有フォルダが作成されます。権限は読み書きの権限となっておりますが複製先の管理者アカウントでは削除することができませんでした。
「複製」のスケジュールが動作した時、複製元と複製先にスナップショットが作成されます。
「複製」の設定でイミュータブルの設定を有効にすると複製先のスナップショットのみがイミュータブルスナップショットとなります。
複製元にて同じ共有フォルダのイミュータブルスナップショットを取得したい場合は「スナップショット」の設定をすることもできるのでそちらで設定します。保持ポリシーに関しては「複製」で作成されたものと「スナップショット」で作成されたもので共有の設定となっているため保持ポリシーは二つの設定を加味した設定をする必要があります。
保持ポリシーが最新の5つの場合、「スナップショット」と「複製」の二つのタスクで作成されたスナップショットの合計が最新の5つになるようにローテーションされます。
5.終わりに
イミュータブルにすることで変更、削除ができなくなるのでランサムウェア対策に有効です。
また、複製を利用することで取得したバックアップの保護と遠隔地への保管を同時に満たすことができます。
この機能がNASのOSをアップデートするだけでこれだけの機能を追加することができるのは素晴らしいと思います。
SynologyNASをご利用していない方、DSM7.2に対応していない機種をお持ちの方はこれを機に入れ替えを検討してみてはいかがでしょうか。
導入のご相談・お問い合わせはこちらからどうぞ!⇒お問い合わせフォーム