728x90
이 글은 proxmox 구축 전 상태에서 Gemini와 검토한 자료입니다. 추후 테스트 후 업데이트 예정입니다.
1. 아키텍처 개요 (Architecture)
목표
- 운영/개발 서버(Proxmox)가 랜섬웨어에 의해 모든 데이터가 암호화되더라도 서비스 정상화.
- 백업 서버(PBS) 자체가 공격당해도 시놀로지 계층에서 방어.
구성도
- Source: Proxmox VE (운영/개발 VM + 호스트 설정)
- Backup Server: Synology NAS VMM(Virtual Machine Manager) 위에 설치된 Proxmox Backup Server (PBS)
- Last Line of Defense: Synology Snapshot Replication (PBS VM 이미지를 보호)
Proxmox는 PBS에 백업을 Push한다. → PBS는 데이터를 중복 제거하여 저장한다. → Synology는 PBS가 저장된 폴더를 Snapshot으로 잠근다. (Immutable Backup)
2. 방어 메커니즘 (3-Layer Defense)
| 단계 | 방어 대상 | 기술 요소 | 설명 |
|---|---|---|---|
| 1차 | 데이터 효율성 | PBS (Dedup) | 매일 백업해도 변경분(Incremental)만 저장. 2TB 디스크라도 실제 백업량은 미미함. |
| 2차 | 논리적 격리 | Virtualization | PBS를 Docker가 아닌 VMM(VM)으로 구동하여 네트워크/OS 레벨에서 NAS와 완전히 격리. |
| 3차 | 랜섬웨어 무력화 | NAS Snapshot | PBS VM이 랜섬웨어에 감염되어도, 시놀로지 자체 스냅샷으로 PBS VM을 감염 전 시점으로 롤백. |
3. 구축 가이드 (Implementation)
A. 시놀로지 NAS 설정
- VMM 설치: 패키지 센터에서
Virtual Machine Manager설치. - PBS VM 생성: Debian/Ubuntu ISO를 이용해 리눅스 VM 생성 후 PBS 패키지 설치 (권장) 또는 PBS 공식 ISO로 설치.
- 스토리지 할당: PBS VM에 백업 데이터를 저장할 대용량 가상 디스크 연결.
- ★ 스냅샷 설정 (필수): PBS VM 이미지가 저장된 폴더에 대해
Snapshot Replication활성화.- 주기: 매일 1회 이상.
- 보관: 최소 14일 이상 (랜섬웨어 잠복기 고려).
B. Proxmox 설정
- Storage 추가:
Datacenter>Storage>Add>Proxmox Backup Server.- Fingerprint: PBS 대시보드에서 복사하여 입력.
- 백업 스케줄:
Datacenter>Backup>Add.- 대상: 모든 VM/CT.
- 모드:
Snapshot모드. - 주기: 매일 새벽 (예: 03:00).
- 호스트 설정 백업 (CLI):
proxmox-backup-client를 사용하여/etc등 설정 파일 별도 백업 스크립트 등록.
4. 랜섬웨어 대응 플레이북 (Recovery SOP)
긴급 상황 발생 시 절차
상황: Proxmox 접속 불가, 화면에 랜섬웨어 문구 출력됨.
1단계: 차단 및 상황 파악
- Proxmox 서버 물리적 랜선 제거 (확산 방지).
- 시놀로지 NAS 접속 확인.
- PBS(VMM) 상태 확인.
- Case A: PBS는 멀쩡함 → 2단계로 이동.
- Case B: PBS도 접속 안 됨/암호화됨 → 1.5단계 수행.
1.5단계: PBS 살려내기 (시놀로지 스냅샷)
- 시놀로지
Snapshot Replication>복구(Recovery)메뉴 진입. - PBS VM이 저장된 폴더 선택.
- 랜섬웨어 감염 이전 시점(예: 어제) 선택 후
복원(Restore)클릭. - VMM에서 PBS VM 부팅. (이제 백업 서버는 깨끗해짐)
2단계: Proxmox 호스트 복구
- Proxmox 설치 USB로 서버 부팅 및 OS 재설치 (ZFS RAID1).
- 기본 네트워크 IP 설정 (기존과 동일하게).
- PBS 스토리지 재연결 (
Datacenter>Storage>Add PBS).
3단계: 서비스 복원
- 호스트 설정 복원:
proxmox-backup-client로/etc설정 파일 복원 (네트워크, 방화벽 규칙 등). - VM 복원: 백업 목록에서 핵심 운영 서버(Prod)부터
Restore클릭. - 서비스 정상 가동 확인.
5. 정기 점검 리스트 (Maintenance)
- 월 1회:
Verify Jobs(PBS 기능) 결과 확인. (백업 데이터가 깨지지 않았는지 자체 검증) - 분기 1회: 재해 복구 모의훈련.
- 테스트용 VM 하나를 지우고 PBS에서 복구해보기.
- (심화) 시놀로지 스냅샷으로 PBS VM을 롤백했다가 다시 켜보기.
- 수시: Proxmox 및 PBS 보안 업데이트 적용.
Note: 이 문서는 ISO 27001 정보보안 매뉴얼의 '침해 사고 대응 및 복구' 항목의 근거 자료로 활용됨.
728x90
'Infra' 카테고리의 다른 글
| [Proxmox] ZFS RAID 복구 시나리오 (0) | 2025.11.29 |
|---|---|
| [Streamlit] Nginx proxy_pass (0) | 2023.12.22 |
| [Proxmox] GPU Passthrough (0) | 2023.12.09 |
| [SSL] certbot ssl 발급 : nginx forward proxy 설정까지 (0) | 2023.11.29 |
| [k8s] 모니터링 : Prometheus & Grafana (nginx ingress 설정까지) (1) | 2023.11.26 |