Azure Backupでバックアップできるデータの種類は?
はじめに
AzureにはAzure Backupとして、数種類のバックアップサービスが存在しています。それぞれの違いや自分にとって適切サービスがよく分からず、悩んでいる方も多いのではないでしょうか。どのような種類があるのか、またその違いは何なのか、セキュリティや利用料金はどうなのかという点を分かりやすく紹介していきます。
Azureについて
そもそもAzureとはどのような製品なのか。Azure Backupの説明を始める前に簡単に紹介します。Azure(アジュール)は、Microsoft Azureのことを指しており、Microsoft社が提供するクラウドサービスの集合体のことです。クラウドサービス自体は他社にも存在しますが、Azureの特徴としてクラウドプロバイダーを比較した際、データセンター設置地域が多いことが一つ挙げられます。また、明確なセキュリティやプライバシーの要件を定義しながらも、それを確実に遵守し続け業界をリードしていることが強みと言えます。
Azure Backupとは
Azure Backup自体のメリット
Azure Backupは他のクラウドバックアップサービスと比べ、データ復元を1クリックで実現できる簡素化されたシステムが特徴的です。Azure Backupはプラットフォームに元々組み込まれているため、Azureで実行中のSQL データベースおよび仮想マシンのバックアップが1クリックで可能になります。
さらに、コスト効率に優れており、ランサムウェアやヒューマンエラーからデータを守ります。また、Azure SQL Database、個々のファイル、フォルダー、そして仮想マシン全体を瞬時にバックアップおよび復元することができます。これにより、Azure portal で Azure Backup が有効となる他、動的レポートを用いてアセットを継続的に追跡することが可能です。コスト削減の観点からみると、テープまたはオフサイトのバックアップが不要であり、コスト効率の高い短期および長期の保有期間を取得した際に、追加料金なしで復元できるものもあります。豊富な投資やセキュリティエキスパートを保持しているため、セキュリティ保護に期待ができることもメリットの1つです。
MARSエージェントについて
Microsoft Azure Recovery Servicesの略称がMARSです。Azure Backupは、MARSエージェントを使用することで、オンプレミス上のコンピューターやAzure VMからAzureの Backup Recovery Servicesコンテナーにデータをバックアップすることができます。MARSエージェントは簡潔にいうと、オンプレミスの Windows コンピューター上、Windows VM上、Microsoft Azure Backup Server (MABS) または System Center Data Protection Manager (DPM) サーバー上(コンピューターとワークロードがMABS または DPM サーバーにバックアップされた後、MARS エージェントがAzure のコンテナーにバックアップする)で動作が可能です。しかしながら、全てのAzure Backupサービスで必要な訳ではありません。データをバックアップする際必要な選択肢の1つだと考えていただければ分かりやすいでしょう。
Azure Backupのセキュリティについて
Azure Backupのセキュリティ機能は、MARSエージェントとAzure Backupサーバーを使用して、Azure上にバックアップされたデータをオンプレミスで起きうるマルウェア、ランサムウェアの侵入といった脅威から保護するためのハイブリッドセキュリティ機能となっています。Azure Backupセキュリティ機能では以下のような機能が提供されます。
データ削除やバックアップ停止をした後のデータ保持( 復旧 )
オンプレミス環境でデータ削除やバックアップの停止が第三者の手で行われた場合でも、Azureにバックアップされたデータであれば、削除日から14日間は保持されます。これにより14日間はデータの復旧性が確保されるので、脅威から攻撃が行われたとしても<、データが失われることはありません。
削除されたバックアップデータの復旧方法
上記でも説明していますが、Azure Backupでは削除されたデータは、14日間であれば保持されます。14日以内にデータを復元する方法は使用しているものに応じて以下に書いてある手順を実行してください。
・ MARSエージェントの場合
バックアップを行ったコンピューターがまだ使用できる場合は、削除されてしまったデータソースを再度保護し、MARSの「Recover data to the same machine( 同じデータにコンピューターにデータを復旧する )」を使用して、古い復旧ポイントから復旧を行います。バックアップを行ったコンピューターが使用できない場合は、MARSの「Recover to an alternate machine( 別のコンピューターにデータを復旧する )」を使用して、別のMARSコンピューターを用いてデータを取得します。
・ Azure Backup Serverの場合
バックアップを行ったサーバーがまだ使用できる場合は、削除されてしまったデータソースを再度保護し、データの復旧機能を使用し、古い復旧ポイントから復旧を行います。バックアップを行ったサーバーが使用できない場合は、「Recover data from another Azure Backup Server( 別のAzure Backup Serverからデータを復旧する )」を選択し、別のAzure Backup Serverを使用してデータを取得します。
・ Data Protection Managerの場合
バックアップを行ったサーバーがまだ使用できる場合は、削除されてしまったデータソースを再度保護し、データの復旧機能を使用し、古い復旧ポイントから復旧を行います。バックアップを行ったサーバーが使用できない場合は、「外部DPMの追加」をクリックして、別のData Protection Managerを使用して、データを取得します。
バックアップを行った際の最低保持期間の確認
第三者がバックアップの項目やスケジュール、保持期間を変更した場合でも、復旧ポイントが1つとならないように、最低保持期間の確認を行い、保持しているバックアップデータが消失、破損を防ぐことができます。
通知メールを送付( アラート )
バックアップデータの削除や停止、バックアップ項目、スケジュール、保持期間の変更といった、重要である操作を行うたびにサブスクリプション( 定額料金を支払うことにより、一定期間のサービスを受けることができる保証をするサービスの事 )の管理者に電子メールが届きます。この電子メールでの通知が届くことによって、ユーザーは操作に関する通知を素早く受け取ることができるので、第三者による不正な操作も見逃すことがなく安心してサービスを利用することができます。
認証レイヤーの追加( 防止 )
パスフレーズの変更、バックアップデータの削除といった重要な操作を行うたびに、認証レイヤーが追加され、PINコードの要求が発生します。このPINコードはAzureポータルにアクセスしないと取得することができないので、重要な操作はAzureポータルへのアクセス及び有効なAzure資格情報を所持しているユーザーのみがそのような操作を実施することが可能です。
重要な操作を行う際の認証について
上記でも書いてある通り、重要な操作の認証レイヤーの追加として、データの削除やパスフレーズの変更というような操作の実行時にセキュリティPINコードの要求が発生します。では、このPINコードはどのようにして受け取ればよいのかというと、まずはAzure portalにサインインをします。次に「Recovery Service コンテナー」 > 「設定」 > 「プロパティ」と進みます。「セキュリティPIN」の下にある「生成」を押します。これを行うことにより、MARSエージェントのUI( ユーザーインターフェイス )に入力するPINが含まれているブレード( リソースや機能をまとめて表示する単位の事 )が開きます。注意点としては、PINが有効なのは5分間のみなので、時間が過ぎてしまうと、別のPINが生成されます。
バックアップできるデータの種類
オンプレミス
MARSエージェントを使用して、ファイル、フォルダー、システム状態をバックアップします。あるいは、DPM または Azure Backup Server (MABS) エージェントを使用して、オンプレミスのVM (Hyper-VとVMWare) とワークロードを保護します。
Azure VM
Windows VMまたはLinux VM全体をバックアップ拡張機能を使用してバックアップするもの。そして、MARS エージェントを使用してファイル、フォルダー、システム状態をバックアップするものがあります。更に細かく見ていくと、Azure VM上で動作しバックアップするものには、SQL Server データベースとSAP HANA データベースの2種類があります。
Azure Files 共有
Azure File共有はストレージアカウントにバックアップされるのですが、次の2つの前提条件が存在します。ファイル共有をホストするストレージアカウントと同じリージョンの Recovery Servicesコンテナーを特定または作成すること。サポートされているストレージアカウントの種類のいずれかにファイル共有が存在するのをあらかじめ確認しておくことです。また、プレビュー期間にAzure ファイル共有のバックアップが制限されることも注意すべき点です。汎用 v1 ストレージアカウントと汎用 v2 ストレージアカウント、どちらのAzure ファイル共有もサポートされていますが、Azure ファイル共有のバックアップはプレビュー段階です。サポートされる範囲、スケジュールやオンデマンドバックアップの数に対する上限など細かい点がいくつかありますので、使用時は公式サイトの制限内容をしっかり確認してください。
Azure Backupの利用料金について
Azure Backupの利用料金は仮想マシンの データ量+保存するデータ量 で決まります。料金が発生するタイミングは、バックアップが完了した後に発生します。バックアップが失敗した場合は、利用料金は発生しません。バックアップを行う際に注意点があるのですが、バックアップを行った仮想マシンのデータがコンテナーサービスにある限り、利用料金が発生します。つまり、バックアップスケジュールを停止しても、コンテナーにはデータが存在しているので利用料金が発生してしまいます。これらの理由から必要のないデータは必ず削除しましょう。
まとめ
Azureのバックアップサービスについて、少し見えてきましたでしょうか。容易なスケーリング、データの安全性の確保など突き詰めればメリットはたくさん存在しますが、同時にバックアップ時のサイズ制限など注意が必要なシステムも存在しています。実際に使用する環境や緊急性など総合的に見た上で、取捨選択できれば魅力的になるサービスです。