みなさん、データを誤って操作して削除したことありますか?これを書いている人は、その昔、誤って間違ったバックアップデータを削除して、迷惑をかけたことがあります。昔からの方法としてチェックシートやダブルチェック等々がありますが、多くの場合、削除行為を実行するとデータはもとに戻りません。今回はそんな問題を解決しているれる機能について紹介します。
マルチユーザー認証でデータやアカウントを多層防御!
最初に結論
- MUA を利用すると削除処理実行者と承認者を分けることができる
- MUA で指定したすべての承認者が許可しないと削除処理は実行されない
MUA とは?
Wasabi Hot Cloud Storage ではアカウントやバケットの削除処理後、 Multi-User Authentication (MUA) により承認者がその削除の承認、却下の判断することが可能です。つまり、誤ったデータ ( バケット ) やアカウントの削除を防ぐことが MUA により実現できます。
つかってみる
早速設定してみましょう。 Wasabi コンソールにログインすると「設定」がありますので、「設定」を選択します。
「設定」-> 「セキュリティ設定」 -> 「マルチユーザー認証」と進むと以下の画面になります。ここで「セキュリティコンタクトを追加する」を選択します。
MFA を事前に設定してないと以下のメッセージがでて MUA が設定できません
セキュリティコンタクトの追加画面に遷移すると以下のようになります。ここでは、承認者のメールアドレスを入力します。また、バケット、アカウントもしくは両方のアクティビティの承認者になるかを選択します。設定項目に問題がなければ「続ける」を選択します。
なお、メールアドレスはルートアカウントのメールアドレスと同じドメイン名である必要があります
セキュリティコンタクトに追加する連絡先の担当者は最小権限の原則にもとづいて実際の作業者と別するのが望ましいと思います
次に承認者に招待メールを送信するために、ルートアカウントの MFA 認証コードを入力します。
招待メールは以下の内容が承認者へ送信されます。承認者は「 Continue 」を選択します。
選択後、ブラウザへ遷移し、承認者として許諾するか求められます。ここでは「 Accept Invite 」を選択します。
許諾すると以下の画面が表示されます。
許諾が成功すると以下のメールが承認者に送信されます。
Wasabi コンソール側でも以下のように許諾した承認者のメールアドレスにグリーンマークが表示されます。これで設定は完了です。
実際に削除処理してみる
さて、 MUA の設定ができたので実際に削除処理をしてみましょう。
削除を実行すると承認が必要になる旨が表示されます。進めていきます。
バケットの削除を進めます。
削除処理が発生すると、承認者に以下のメールが送付されます。「 Contineu を選択すると先ほどの招待メールと同じく、承認するか却下するかの選択をブラウザで選択することになります。
承認する場合は「 Approve Bucket Delete 」を選択します。却下する場合は「 Deny Bucket Delete 」を選択します。ここでは MUA の力を確認したいので、却下してみます。
却下に成功すると以下が表示されます。
実際に Wasabi コンソールを見てみると削除を実行したバケットが残っています!
もちろん、承認をした場合は削除が実行されてバケットがなくなります。
MUA はどんな場面に良いか?
MFA や SSO によりセキュリティレベルをあげることはもちろん大事ですが、誤操作、悪意のあるインサイダーや MFA や SSO 等が突破された時のことを考えると、Wasabi Hot Cloud Storage においては原則 MUA は有効にしておくのが良さそうですね。
データ保護の観点から多層防御 (MFA, SSO, 最小権限の原則等々) は必須だと思います、その多層防御の一つとして Wasabi Hot Cloud Storage では MUA を有効にしておくがベストプラクティスになりそうです。
まとめ
- Wasabi Hot Cloud Storage の多層防御の一つとして MUA は大事な要素の一つ
- MUA があることで、誤ったもしくは悪意のある操作を防ぐことかできる
- MUAにより、実行者と承認者を分離することで権限分離をすることも可能
本機能や Wasabi Hot Cloud Storage について詳しく知りたい、導入したい場合は株式会社 BitoB までお気軽にお問合せくださいませ。
前提条件