Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Anwendungsfälle und Überlegungen zum autonomen Ransomware-Schutz

11/20/2024 Beitragende

PDFs

Autonomous Ransomware Protection (ARP) ist ab ONTAP 9.10.1 für NAS-Workloads verfügbar. Vor der Bereitstellung von ARP sollten Sie die empfohlenen Verwendungszwecke und unterstützten Konfigurationen sowie die Auswirkungen auf die Performance kennen.

Unterstützte und nicht unterstützte Konfigurationen

Bei der Entscheidung, ARP zu verwenden, ist es wichtig sicherzustellen, dass die Arbeitslast Ihres Volumes für ARP geeignet ist und dass sie die erforderlichen Systemkonfigurationen erfüllt.

Geeignete Workloads

ARP eignet sich für:

Datenbanken auf NFS-Storage
Home Directorys für Windows oder Linux

Da Benutzer Dateien mit Erweiterungen erstellen können, die während des Lernzeitraums nicht erkannt wurden, besteht eine größere Möglichkeit von False-positive-Meldungen in diesem Workload.
Bilder und Video

Beispielsweise Gesundheitsdaten und EDA-Daten (Electronic Design Automation)

Ungeeignete Workloads

ARP ist nicht geeignet für:

Workloads mit hoher Frequenz, die Dateien erstellen oder löschen (Hunderttausende Dateien in wenigen Sekunden, z. B. Test-/Entwicklungs-Workloads).
Die Erkennung von ARP-Bedrohungen hängt von der Fähigkeit ab, einen ungewöhnlichen Anstieg bei der Erstellung, Umbenennung oder Löschung von Dateien zu erkennen. Wenn die Anwendung selbst die Quelle der Dateiaktivität ist, kann sie nicht effektiv von Ransomware-Aktivitäten unterschieden werden.
Workloads, bei denen die Anwendung oder der Host Daten verschlüsselt. ARP hängt davon ab, dass eingehende Daten als verschlüsselt oder unverschlüsselt unterschieden werden. Wenn die Applikation selbst die Daten verschlüsselt, wird die Effektivität der Funktion verringert. Die Funktion kann jedoch immer noch basierend auf den Dateiaktivitäten (Löschen, Überschreiben, Erstellen, Erstellen oder Erstellen von Dateien oder Erstellen oder Umbenennen mit einer neuen Dateierweiterung) und dem Dateityp funktionieren.

Unterstützte Konfigurationen

ARP ist ab ONTAP 9 für NFS und SMB FlexVol Volumes in lokalen ONTAP Systemen verfügbar. 10.1.

Andere Konfigurationen und Volume-Typen werden in den folgenden ONTAP-Versionen unterstützt:

ONTAP 9.16.1 ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

	ONTAP 9.16.1	ONTAP 9.15.1	ONTAP 9.14.1	ONTAP 9.13.1	ONTAP 9.12.1
Volumes sind mit dem asynchronen Modus von SnapMirror geschützt	✓	✓	✓	✓	✓
SVMs gesichert mit asynchronem SnapMirror (SVM Disaster Recovery)	✓	✓	✓	✓	✓
SVM Datenmobilität (`vserver migrate`)	✓	✓	✓	✓	✓
FlexGroup Volumes*	✓	✓	✓	✓
Überprüfung durch mehrere Administratoren	✓	✓	✓	✓
ARP/AI mit automatischen Updates	✓

Volumes sind mit dem asynchronen Modus von SnapMirror geschützt

✓

SVMs gesichert mit asynchronem SnapMirror (SVM Disaster Recovery)

✓

SVM Datenmobilität (vserver migrate)

✓

FlexGroup Volumes*

✓

Überprüfung durch mehrere Administratoren

✓

ARP/AI mit automatischen Updates

✓

*ARP/AI unterstützt keine FlexGroup Volumes. Nach der Aktualisierung auf ONTAP 9.16.1 arbeiten die FlexGroup Volumes, die für ARP aktiviert sind, weiterhin mit dem gleichen ARP-Modell, das auch vor ARP/AI verwendet wurde.

SnapMirror und ARP-Interoperabilität

Ab ONTAP 9.12.1 wird ARP auf asynchronen SnapMirror Ziel-Volumes unterstützt. ARP wird nicht mit SnapMirror Synchronous unterstützt.

Wenn ein SnapMirror Quell-Volume ARP-aktiviert ist, erfasst das SnapMirror Ziel-Volume automatisch den ARP-Konfigurationsstatus (Lernen, aktiviert usw.), ARP-Trainingsdaten und von ARP erstellten Snapshot des Quell-Volume. Es ist keine explizite Aktivierung erforderlich.

Während das Zielvolume aus schreibgeschützten (RO) Snapshots besteht, wird keine ARP-Verarbeitung an seinen Daten durchgeführt. Wenn das SnapMirror Ziel-Volume jedoch in Read-Write (RW) konvertiert wird, wird ARP automatisch auf dem RW-konvertierten Zielvolume aktiviert. Das Zielvolumen erfordert neben dem, was bereits auf dem Quellvolumen aufgezeichnet wurde, keine zusätzlichen Lernverfahren.

In ONTAP 9.10.1 und 9.11.1 überträgt SnapMirror nicht den ARP-Konfigurationsstatus, Trainingsdaten und Snapshots von Quell- zu Ziel-Volumes. Wenn also das SnapMirror Ziel-Volume in RW konvertiert wird, muss ARP auf dem Ziel-Volume nach der Konvertierung explizit in den Learning Mode aktiviert werden.

ARP und Virtual Machines

ARP wird mit Virtual Machines (VMs) unterstützt. Die ARP-Erkennung verhält sich bei Änderungen innerhalb und außerhalb der VM unterschiedlich. ARP wird nicht für Workloads mit entropischen Dateien innerhalb der VM empfohlen.

Änderungen außerhalb der VM

ARP kann Änderungen an Dateierweiterungen auf einem NFS-Volume außerhalb der VM erkennen, wenn eine neue Erweiterung verschlüsselt in das Volume eintritt oder sich eine Dateierweiterung ändert. Nachweisbare Änderungen an Dateierweiterungen:

.Vmx
.vmxf
.Vmdk
-Flat.vmdk
.nvram
.Vmem
.vmsd
.vmsn
.vswp
.vmss
.Log
-\#.log

Änderungen innerhalb der VM

Wenn der Ransomware-Angriff auf die VM zielt und Dateien innerhalb der VM geändert werden, ohne Änderungen außerhalb der VM vorzunehmen, erkennt ARP die Bedrohung, wenn die Standard-Entropie der VM gering ist (z. B. .txt-, .docx- oder .mp4-Dateien). Obwohl ARP in diesem Szenario einen schützenden Snapshot erstellt, erzeugt es keine Bedrohungswarnung, da die Dateierweiterungen außerhalb der VM nicht manipuliert wurden.

Wenn es sich bei den Dateien standardmäßig um Dateien mit hoher Entropie handelt (z. B. .gzip- oder passwortgeschützte Dateien), sind die Erkennungsfunktionen von ARP begrenzt. ARP kann in dieser Instanz immer noch proaktive Schnappschüsse machen; es werden jedoch keine Warnmeldungen ausgelöst, wenn die Dateierweiterungen nicht extern manipuliert wurden.

Nicht unterstützte Konfigurationen

ARP wird in den folgenden Systemkonfigurationen nicht unterstützt:

ONTAP S3-Umgebungen
SAN-Umgebungen

ARP unterstützt die folgenden Volume-Konfigurationen nicht:

FlexGroup Volumes (in ONTAP 9.10.1 bis 9.12.1) Ab ONTAP 9.13.1 werden FlexGroup Volumes unterstützt, allerdings sind sie auf das ARP-Modell beschränkt, das vor ARP/AI verwendet wird.)
FlexCache Volumes (ARP wird auf Ursprungs-FlexVol Volumes unterstützt, jedoch nicht auf Cache Volumes)
Offline-Volumes
REINE SAN-Volumes
SnapLock Volumes
SnapMirror Synchronous
SnapMirror asynchron (nur in ONTAP 9.10.1 und 9.11.1 nicht unterstützt). SnapMirror Asynchronous wird ab ONTAP 9.12.1 unterstützt. Weitere Informationen finden Sie unter [snapmirror].)
Eingeschränkte Volumes
Root-Volumes von Storage-VMs
Volumes von angestoppten Storage VMs

ARP-Performance- und Frequenzüberlegungen

ARP kann die System-Performance im Hinblick auf den Durchsatz und die IOPS-Spitzenwerte minimal beeinträchtigen. Die Auswirkungen der ARP-Funktion hängen von den spezifischen Volume Workloads ab. Für gängige Workloads werden die folgenden Konfigurationsgrenzwerte empfohlen:

Workload-Merkmale	Empfohlene Volume-Beschränkung pro Node	Performance-Verschlechterung bei Überschreitung der Grenze des Volume pro Node:[*]
Leseintensiv oder die Daten komprimiert werden können.	150	4 % der maximalen IOPS
Schreibintensiv und die Daten können nicht komprimiert werden.	60	10 % der maximalen IOPS

Workload-Merkmale

Empfohlene Volume-Beschränkung pro Node

Performance-Verschlechterung bei Überschreitung der Grenze des Volume pro Node:[*]

Leseintensiv oder die Daten komprimiert werden können.

150

4 % der maximalen IOPS

Schreibintensiv und die Daten können nicht komprimiert werden.

10 % der maximalen IOPS

Pass:[*] die Systemleistung wird unabhängig von der Anzahl der hinzugefügten Volumes, die über den empfohlenen Grenzwerten liegen, nicht über diesen Prozentwerten hinaus beeinträchtigt.

Da ARP-Analysen in einer priorisierten Reihenfolge ausgeführt werden und die Anzahl der geschützten Volumes zunimmt, werden die Analysen auf jedem Volume weniger häufig ausgeführt.

Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind

Ab ONTAP 9.13.1 können Sie die Multi-Admin-Verifizierung (MAV) aktivieren, um zusätzliche Sicherheit mit ARP zu gewährleisten. MAV stellt sicher, dass mindestens zwei oder mehr authentifizierte Administratoren erforderlich sind, um ARP zu deaktivieren, ARP zu unterbrechen oder einen vermuteten Angriff als falsch positiv auf einem geschützten Volume zu markieren. Erfahren Sie, wie man "Aktivieren Sie MAV für ARP-geschützte Volumes".

Sie müssen Administratoren für eine MAV-Gruppe definieren und MAV-Regeln für die security anti-ransomware volume disable security anti-ransomware volume pause security anti-ransomware volume attack clear-suspect Befehle , und ARP erstellen, die Sie schützen möchten. Jeder Administrator in der MAV-Gruppe muss jede neue Regelanforderung und "Fügen Sie die MAV-Regel erneut hinzu" innerhalb der MAV-Einstellungen genehmigen.

Ab ONTAP 9.14.1 bietet ARP Warnungen für die Erstellung eines ARP-Snapshot und für die Beobachtung einer neuen Dateierweiterung an. Warnmeldungen für diese Ereignisse sind standardmäßig deaktiviert. Alarme können auf Volume- oder SVM-Ebene festgelegt werden. MAV-Regeln können auf SVM-Ebene security anti-ransomware vserver event-log modify mit oder auf Volume-Ebene mit erstellt security anti-ransomware volume event-log modify werden.

Nächste Schritte