랜섬웨어와 같은 사이버 위협이 만연한 시대에, 기업의 데이터를 안전하게 보호하기 위해서는 변경 불가능한 백업을 생성하는 것이 매우 중요합니다.
HYCU와 Zadara Object Storage의 조합은 이를 실현할 수 있는 강력한 솔루션을 제공합니다. 이번 블로그 포스트에서는 불변성 백업 및 복구 플랫폼을 전달하는 방법을 살펴보겠습니다

Zadara(자다라) 와 HYCU가 우수한 복구 능력을 갖추는 이유는 무엇일까요?

• HYCU  는 유연성, 고급 기능 및 다양한 스토리지 플랫폼 지원으로 잘 알려진 선도적인 엔터프라이즈급 백업 및 복구 솔루션입니다.
• Zadara Object Storage는 고성능, 확장성, 보안성을 갖춘 스토리지 플랫폼으로, 불변성 백업을 지원하는 오브젝트 락(Object Lock) 기능을 제공합니다. 불변성 스토리지는 지정된 보존 기간 내에 데이터가 수정되거나 삭제되는 것을 방지하여 컴플라이언스 준수 및 랜섬웨어 차단 효과를 보장합니다.

두 솔루션을 결합하면 기업은 안전하고 신뢰할 수 있으며 규정을 준수하는 데이터 보호 환경을 구축할 수 있습니다.

모범 사례 (Best Practices)

• 다요소 인증(MFA) 사용: 권한이 없는 변경을 방지하기 위해 HYCU와 Zadara 접근 모두에 MFA를 설정하세요.

• 보존 정책의 신중한 정의: 설정된 보존 기간은 소급 수정이 불가능하므로, 불필요하게 너무 긴 보존 기간을 설정하지 않도록 주의하세요.

• 정기적인 감사 로그 검토: HYCU와 Zadara 모두 백업 및 스토리지 활동을 추적할 수 있는 로깅 기능을 제공합니다.

• 컴플라이언스 표준 연계: 불변성 백업이 GDPR, HIPAA, CCPA 등 법적 및 산업별 규정을 충족하는지 확인하세요.

지속적인 관리: 백업 모니터링 및 관리

• 백업 무결성 검증: HYCU의 내장 검증 도구를 사용하여 백업이 완전하고 복구 가능한지 확인하세요.

• 불변성 모니터링: HYCU의 보존 정책을 정기적으로 점검하여 데이터 보호 전략과 일치하는지 확인하세요.

• 복구 훈련 수행: 재해 복구 상황에 대비할 수 있도록 불변성 백업에서 데이터를 복구하는 테스트를 주기적으로 실시하세요.

단계별 가이드 (Step-by-Step Guide)

1단계: Zadara Object Storage 구성

오브젝트 락(Object Lock)이 활성화된 컨테이너 생성

1. Zadara Object Storage 관리 UI에 로그인합니다.

2. Console 섹션으로 이동하여 새 컨테이너(Add a new container)를 추가합니다.

3. 버킷 생성 프로세스 중에 Object Lock 기능을 활성화합니다. 이 기능은 컨테이너가 WORM(Write Once, Read Many) 정책을 지원하도록 합니다.

   • 본 예시에서는 백업용과 아카이빙용으로 총 2개의 컨테이너를 생성합니다.

액세스 자격 증명 찾기

• 객체 저장소에 대한 액세스  키, 비밀 키  및 API 엔드포인트는 UI 오른쪽 상단의 사용자 이름을 클릭하면 “사용자 정보”에서 확인할 수 있습니다. HYCU는 이러한 자격 증명을 사용하여 Zadara 컨테이너를 인증하고 상호 작용합니다. 
• 참고: 내부/비공개 액세스의 경우 프런트엔드 API 엔드포인트를 선택하십시오. 공용 IP 주소 및 URL을 사용하는 경우 공용 API 엔드포인트를 선택하세요.

2단계: Zadara(자다라) 객체 스토리지를 HYCU와 통합합니다.

참고: 아카이빙 기능을 사용하려면 HYCU 백업 어플라이언스에서 태깅 기능을 비활성화해야 합니다. 비활성화 방법은 다음과 같습니다.

• HYCU 백업 어플라이언스에 SSH로 접속합니다.
• /opt/grizzly 에 있는 config.properties 파일을 편집하세요 .

[hycu@hycu-appliance ~]$ sudo vi /opt/grizzly/config.properties

다음 줄을 추가하세요:

target.cloud.skip.tagging.endpoint.suffixes=.zadarazios.com

참고: NGO가 다른 도메인 접미사를 사용하는 경우 위의 줄에서 ‘zadarazios.com’을 해당 접미사로 바꿔 수정하세요.

vi를 저장하고 종료한 다음 Grizzly 서비스를 다시 시작하세요.

[hycu@hycu-appliance ~]$ sudo systemctl restart grizzly

1. HYCU에 Zadara 컨테이너를 대상으로 추가하세요
   • 먼저 HYCU 버전 5.2.1 이상을 사용하고 있는지 확인하세요
   • HYCU 웹 콘솔을 열고  왼쪽 메뉴에서 ‘대상’ 으로 이동합니다 .
   • + 추가 버튼 을 클릭하세요  .
   •  저장 유형으로 Amazon S3 / S3 호환을 선택하세요  .
   • 이 저장 구성 요소의 이름을 입력하세요
   • 필요한 경우 설명을 입력하세요
   • 원하는 동시 백업 수량을 설정하세요
   • 참고: ‘보관용으로 사용’ 옵션은 추가 컨테이너 에만 활성화하십시오 . 백업 작업에 사용할 컨테이너에는 이 옵션을 활성화하지 마세요.
   • 필요한 경우 압축을 활성화하세요 .
   • 다음.
   • 저장소의 크기를 지정하십시오 (필요에 따라 나중에 변경할 수 있습니다).
   • 서비스 엔드포인트 에는 Zadara의 API 엔드포인트 URL을 입력하십시오(예:  https://vsa- <여기에 Zadara 객체 스토리지 URL을 입력하십시오> .zadarazios.com ).
   • 저장 클래스는 기본값으로 두세요.
   • 버킷 이름 아래에 1단계에서 생성한 객체 잠금 컨테이너의 이름을 입력합니다.
   • 액세스 키 ID 와 비밀 액세스 키 정보를 입력하세요.
   • 중요: 경로 스타일 접근을 활성화하십시오 .
   • 미터링 대상은 필요하지 않으므로 비활성화하세요.

• 새로운 타겟 매장을 저장하세요 .
• 필요한 경우, 이 단계를 반복하여 두 번째 대상/컨테이너를 생성 하고 아카이빙을 활성화하세요.

잠시 후 대상이 생성됩니다. 컨테이너에 객체 잠금이 활성화되었음을 나타내는 방패 아이콘을 확인하세요.

3단계: 불변성을 활용하는 백업 정책을 생성합니다.

1. 아카이빙을 구성하십시오 (필요한 경우).
   • HYCU에서  왼쪽 메뉴의 정책 을 선택하세요.
   • 클릭 아카이빙
   • 클릭 + 새 글
   • 보험 계약 이름을 입력하세요 .
   • 필요한 경우 설명을 추가하세요.
   • 옵션: 필요에 따라 설정
   • 시작 시간: 시간을 지정하세요
   • 시간대: 시간대를 지정하세요
   • 반복 주기: 값 지정
   • 보존 기간: 값을 지정하세요
   • 아카이빙 항목이 있다면 드롭다운 목록에서 관련 데이터 아카이브를 선택합니다.
   • Save를 클릭합니다.
2. 백업 정책을 정의하세요
   • • HYCU에서  왼쪽 메뉴의 정책 을 선택하세요.
     • 클릭 + 새로 만들기 .
     • 보험 계약 이름을 입력하세요 .
     • 필요한 경우 설명을 추가하세요.
     • 옵션: 아카이빙을 선택하세요.
     • RPO, RTO 및 보존(Retention) 설정을 요구사항에 맞게 구성합니다.
     • Backup Target Type으로 Target을 선택합니다.
     • 필요에 따라 백업 임계값 및 백업 체인 길이를 구성하십시오 .
     • 아카이빙: 드롭다운 목록에서 관련 데이터 아카이브를 선택하세요.
     • 저장 버튼 을 클릭하세요 .
3. vCenter 서버에 연결하여 가상 머신을 백업합니다.
   • HYCU에서  관리 > 소스 > 하이퍼바이저 로 이동합니다 .
   • 클릭 + 새 글
   • 접속에 필요한 정보(URL/사용자 이름/비밀번호)를 입력하세요. 다음을 클릭하세요.
   • vSphere 세부 정보가 올바른지 확인하십시오. 다음으로 진행하십시오.
   • 유효성 검사가 성공하면 저장하세요.
   • vSphere 클라우드의 가상 머신 목록이 표시되어야 합니다.
4. 가상 머신 몇 개를 백업하세요

• • • HYCU에서  가상 머신으로 이동합니다.
    • 새로 생성된 정책에 따라 백업할 VM을 선택하세요.
    • 정책 설정을 클릭하세요 .
    • 관련 정책을 선택하고 할당을 클릭합니다 .
    • 작업 에서 백업 진행 상황을 모니터링하세요 .

• 해당 객체는 Zadara(자다라) 객체 스토리지 사용자 인터페이스 또는 S3 브라우저와 같은 타사 소프트웨어 애플리케이션을 사용 하여 볼 수 있습니다.
• Object-Lock-Retain-Until-Date(즉, 변경 불가능한 보존 날짜)는 각 객체의 남쪽 창에 있는 HTTP 헤더 탭에서 확인할 수 있습니다.

이제 변경 불가능한 백업이 구성되었습니다.

4단계: 불변성 테스트 및 영향받은 데이터 복구

1.4단계에서 자세히 설명했듯이, 객체에 미래 날짜 및 시간이 설정된 경우 해당 객체는 삭제할 수 없습니다. 악의적인 공격이 발생한 경우, 공격자를 속이기 위해 객체가 삭제된 것처럼 보일 수 있습니다. 하지만 실제로는 삭제 표시로 객체가 대체되어 객체가 가려진 것일 뿐입니다. 다음 섹션에서는 이러한 시나리오와 “삭제된” 객체를 복구하는 방법을 설명합니다.

버전 관리 및 객체 잠금에 대한 자세한 정보는 여기에서 확인할 수 있습니다.

• 버전 관리(객체 삭제) – https://guides.zadarastorage.com/ngos-guide/latest/ngos-console.html#deleting-an-object
• 객체 잠금 – https://guides.zadarastorage.com/ngos-guide/latest/ngos-console.html#object-lock-containers

API 명령어를 사용하여 CLI에서 잠긴 객체를 삭제하려고 하면 작업이 차단됩니다.

하지만 GUI에서는 삭제 요청이 처리되고 성공적으로 완료된 것처럼 보입니다.

나중에 참고할 수 있도록 버전 ID(끝자리 59337)를 기록해 두세요.

X-Object-Lock-Retain-Until-Date가 미래 날짜입니다.

UI에서 객체를 삭제했는데 성공적으로 삭제된 것 같습니다.

해당 객체가 더 이상 GUI에 나타나지 않습니다.

하지만 해당 객체는 여전히 존재하며 CLI(버전 ID 끝자리 59337)에서 확인할 수 있습니다.

해당 객체는 삭제 표시로 가려져 있습니다. 삭제 표시는 공격자나 소프트웨어가 삭제가 성공했다고 착각하게 만듭니다.
현재 상태에서는 HYCU도 해당 객체를 더 이상 인식하지 못하므로 객체를 복원할 수 없습니다.
숨겨진 개체를 “복구”하려면 삭제 표시를 삭제해야 합니다.
필요한 정보는 AWS 웹사이트에서 확인할 수 있습니다 .

삭제 표시가 있는지 확인하려면 다음 명령을 사용하여 특정 개체를 나열하고 “DeleteMarkers”가 존재하며 해당 개체의 최신 버전인지 확인하십시오.
aws s3api –endpoint-url=<URL> list-object-versions –bucket <bucket-name> –prefix “<Folder>/<sub-folder>/<object_name>”

예를 들어:

삭제 표시의 존재가 확인되면 다음 스크립트는 지정된 위치(예: 최상위 폴더)에 있는 모든 삭제 표시를 나열한 다음 삭제합니다.
aws s3api –endpoint-url=<URL> list-object-versions –bucket <bucket-name> –prefix “<Folder>/<sub-folder>/“ –output json –query ‘DeleteMarkers[?IsLatest==`true`].[Key, VersionId]’ | jq -r ‘.[] | “–key ‘\”” + .[0] + “’\” –version-id ” + .[1]’ | xargs -L1 aws s3api –endpoint-url= <URL> delete-object –bucket <bucket-name>
(참고: 이 기능을 사용하려면 “jq”가 설치되어 있어야 합니다.)

위 스크립트가 실행되는 동안 예상되는 출력은 다음과 같습니다.

결론

HYCU를 Zadara Object Storage  와  통합하면  랜섬웨어와 같은 위협 및 악의적 또는 우발적 삭제로부터 데이터를 보호하는 강력하고 확장 가능하며 변경 불가능한 백업 솔루션을 구축할 수 있습니다. 이러한 조합은 데이터 보안을 보장할 뿐만 아니라 규정 준수 요건을 충족하는 데에도 도움이 됩니다.

변경 불가능한 백업에 투자하는 것은 최신 데이터 보호 전략에서 필수적인 단계입니다. 이 가이드를 따르면 회사의 중요 데이터를 안전하게 보호할 수 있는 완벽한 준비를 갖추게 될 것입니다.