Anwendungsfälle und Überlegungen zum autonomen Schutz vor ONTAP Ransomware
Änderungen vorschlagen
PDFs
Der autonome Ransomware-Schutz (ARP) ist für NAS-Workloads ab ONTAP 9.10.1 und für SAN-Workloads ab ONTAP 9.17.1 verfügbar. Vor der Implementierung von ARP sollten Sie sich über die empfohlenen Anwendungsfälle, die unterstützten Konfigurationen sowie die Auswirkungen auf die Systemleistung informieren. Stellen Sie außerdem sicher, dass die Workload Ihres Volumes für ARP geeignet ist und die erforderlichen Systemkonfigurationen erfüllt.
Geeignete Workloads
ARP eignet sich für folgende Arten von Workloads:
-
Datenbanken auf NFS- oder SAN-Speicher
-
Home Directorys für Windows oder Linux
In Umgebungen ohne ARP/AI können Benutzer Dateien mit Erweiterungen erstellen, die in der Lernphase nicht erkannt werden. Daher besteht bei dieser Arbeitslast eine größere Wahrscheinlichkeit für Fehlalarme.
-
Bilder und Video
Beispielsweise Gesundheitsdaten und EDA-Daten (Electronic Design Automation)
Ungeeignete Workloads
ARP ist für diese Arten von Workloads nicht geeignet:
-
Workloads mit einer hohen Frequenz von Dateierstellungs- oder -löschvorgängen (Hunderttausende von Dateien in wenigen Sekunden, beispielsweise Test-/Entwicklungs-Workloads).
-
Die Bedrohungserkennung von ARP basiert auf der Fähigkeit, einen ungewöhnlichen Anstieg von Dateierstellungs-, Umbenennungs- oder Löschvorgängen zu erkennen. Wenn die Anwendung selbst die Ursache der Dateiaktivität ist, lässt sie sich nicht effektiv von Ransomware-Aktivitäten unterscheiden.
-
Workloads, bei denen die Anwendung oder der Host Daten verschlüsselt.
ARP basiert auf der Unterscheidung eingehender Daten als verschlüsselt oder unverschlüsselt. Wenn die Anwendung selbst die Daten verschlüsselt, verringert sich die Wirksamkeit der Funktion. ARP kann jedoch weiterhin basierend auf der Dateiaktivität (Löschen, Überschreiben oder Erstellen bzw. Umbenennen mit einer neuen Dateierweiterung) und dem Dateityp funktionieren.
Unterstützte Konfigurationen
ARP unterstützt NAS- und SAN-Workloads über verschiedene ONTAP Versionen und Umgebungen hinweg. Überprüfen Sie die unterstützten Funktionen, um sicherzustellen, dass Ihre Umgebung und Konfiguration vor der Bereitstellung von ARP unterstützt werden.
Basisunterstützung
Die grundlegende ARP-Unterstützung beginnt in ONTAP 9.10.1 und umfasst NAS-Workloads (NFS und SMB) auf FlexVol Volumes und MetroCluster Konfigurationen.
Protokoll- und Hypervisor-Unterstützung nach ONTAP Version
Zusätzlich zur grundlegenden NAS-Unterstützung bieten spätere ONTAP-Versionen Unterstützung für die folgenden Protokolle und Umgebungen:
-
ONTAP 9.17.1 und höher: SAN-Blockgeräte-Workloads (Volumes mit LUNs oder NVMe-Namespaces) und NAS-Volumes mit virtuellen Festplatten von VMware
-
ONTAP 9.17.1P5 und höher: NAS-Volumes mit Hyper-V, KVM und OpenStack Hypervisoren
Matrix für Funktions- und Konfigurationsunterstützung
Andere Konfigurationen und Volume-Typen werden in den folgenden ONTAP-Versionen unterstützt:
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|---|
Volumes sind mit dem asynchronen Modus von SnapMirror geschützt |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Mit SnapMirror synchron3 geschützte Volumes |
✓ |
|||||||||
Volumes geschützt mit SnapMirror active sync 3 |
✓ |
|||||||||
SVMs gesichert mit asynchronem SnapMirror (SVM Disaster Recovery) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM Datenmobilität ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup Volumina1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
Überprüfung durch mehrere Administratoren |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI mit automatischen Updates |
✓ |
✓ |
✓ |
✓ |
||||||
ARP/AI-Standardaktivierung2 |
✓ |
✓ |
1 ONTAP 9.16.1 und 9.17.1 bieten keine ARP/AI-Unterstützung für FlexGroup -Volumes. Nach einem Upgrade auf diese Versionen funktionieren FlexGroup Volumes, die für ARP aktiviert sind, weiterhin mit dem gleichen ARP-Modell, das vor ARP/AI verwendet wurde. Ab ONTAP 9.18.1 verwenden FlexGroup Volumes das ARP/AI-Modell.
2 Ab ONTAP 9.18.1 ist das standardmäßige Aktivierungsverhalten von ARP/AI für AFF A-Series und AFF C-Series, ASA und ASA r2 Systeme verfügbar. Dieses Verhalten aktiviert ARP/AI automatisch auf allen neuen Volumes nach einer 12-stündigen Übergangsfrist nach einem Upgrade oder sofort bei neuen ONTAP 9.18.1 Installationen. Sie müssen ARP manuell auf "bestehende Volumes" aktivieren.
3 Ab ONTAP 9.19.1 RC unterstützt ARP/AI primäre Volumes in SnapMirror synchronen Beziehungen für NAS und SAN auf FAS, AFF A-Series, AFF C-Series und AFX-Systemen sowie primäre Volumes in SnapMirror active sync SAN-Beziehungen auf AFF A-Series, AFF C-Series und ASA r2-Systemen. Weitere Informationen finden Sie unter [snapmirror].
Interoperabilität und VM-Überlegungen
ARP arbeitet zusammen mit SnapMirror Datenschutzbeziehungen und virtuellen Maschinenumgebungen, mit einigen versionsspezifischen Verhaltensweisen und Einschränkungen, die Sie vor der Bereitstellung beachten sollten.
SnapMirror und ARP-Interoperabilität
Ab ONTAP 9.12.1 wird ARP auf SnapMirror asynchronen Ziel-Volumes unterstützt.
Ab ONTAP 9.19.1 RC unterstützt ARP/AI primäre Volumes, die an SnapMirror synchronen und SnapMirror active sync SAN-Beziehungen teilnehmen, mit folgendem Verhalten:
-
ARP/AI wird auf primären Volumes in SnapMirror synchronen Beziehungen für NAS und SAN auf FAS, AFF A-Series, AFF C-Series und AFX-Systemen unterstützt.
-
ARP/AI wird auf primären Volumes in SnapMirror active sync SAN-Beziehungen auf AFF A-series, AFF C-series und ASA r2-Systemen unterstützt.
-
ARP/AI wird bei SnapMirror active sync für NAS in ONTAP 9.19.1 RC nicht unterstützt.
-
ARP/AI-Analysen werden nur auf dem aktiven, les- und schreibfähigen primären Volume in SnapMirror synchronen und SnapMirror active sync SAN-Beziehungen ausgeführt, wobei ARP ausschließlich primäre Snapshots erstellt und eine auf maschinellem Lernen basierende Ransomware-Erkennung durchführt.
-
Der ARP-Konfigurationsstatus und ARP-Snapshots werden nicht auf das sekundäre Volume repliziert, weder im Rahmen von SnapMirror synchron noch von SnapMirror active sync in ONTAP 9.19.1 RC.
|
Da jeder Schreibvorgang in einer synchronen Spiegelbeziehung auf beiden Volumes durchgeführt wird, genügt es, ARP nur auf dem primären Volume zu aktivieren, um die Anomalien zu erkennen. Interne Metadaten, die von der ARP-Analyse auf dem primären Volume generiert werden, werden ebenfalls auf das sekundäre Volume repliziert. Deshalb sind die benötigten Metadaten bereits auf dem sekundären Volume vorhanden, wenn ARP nach einem Failover auf dem sekundären Volume aktiviert wird. |
Wenn ein SnapMirror asynchrones Quellvolume ARP-fähig ist, übernimmt das SnapMirror Zielvolume automatisch den ARP-Konfigurationsstatus (wie dry-run oder enabled), ARP-Trainingsdaten und den von ARP erstellten Snapshot des Quellvolumes. Eine explizite Aktivierung ist nicht erforderlich.
Obwohl das asynchrone Zielvolume aus schreibgeschützten (RO) Snapshots besteht, findet keine ARP-Verarbeitung der Daten statt. Wenn das SnapMirror asynchrone Zielvolume jedoch in ein Lese-/Schreibvolume (RW) umgewandelt wird, wird ARP automatisch auf dem RW-konvertierten Zielvolume aktiviert. Das Zielvolume benötigt keine zusätzlichen Lernverfahren, abgesehen von dem, was bereits auf dem Quellvolume aufgezeichnet ist.
In ONTAP 9.10.1 und 9.11.1 überträgt SnapMirror den ARP-Konfigurationsstatus, die Trainingsdaten und die Snapshots nicht von den SnapMirror auf die Zielvolumes. Daher muss ARP auf dem Zielvolume nach der Konvertierung in RW explizit im Lernmodus aktiviert werden.
ARP und Virtual Machines
ARP wird für virtuelle Maschinen (VMs) auf VMware, Hyper-V, KVM und OpenStack unterstützt. VMware wird ab ONTAP 9.17.1 unterstützt, und Hyper-V, KVM und OpenStack werden ab ONTAP 9.17.1P5 unterstützt. Die ARP-Erkennung verhält sich unterschiedlich bei Änderungen innerhalb und außerhalb der VM. ARP wird nicht für Workloads empfohlen, die eine große Anzahl stark komprimierter Dateien (wie 7z und ZIP) oder verschlüsselter Dateien (wie passwortgeschützte PDF-, DOC- oder ZIP-Dateien) innerhalb der VM umfassen.
ARP kann Änderungen der Dateierweiterung auf einem NFS-Volume außerhalb der VM erkennen, wenn eine neue Erweiterung in verschlüsseltem Zustand auf das Volume gelangt oder wenn sich eine Dateierweiterung ändert.
Wenn ein Ransomware-Angriff Dateien innerhalb der VM ändert, ohne Änderungen außerhalb der VM vorzunehmen, erkennt ARP die Bedrohung, wenn die Standardentropie der VM niedrig ist (z. B. bei TXT-, DOCX- oder MP4-Dateien). Bei ONTAP 9.16.1 und früheren Versionen erstellt ARP in diesem Szenario einen schützenden Snapshot, generiert jedoch keine Bedrohungswarnung, da die Dateierweiterungen außerhalb der VM nicht manipuliert wurden. Ab der SAN-Unterstützung in ONTAP 9.17.1 generiert ARP zusätzlich eine Bedrohungswarnung, wenn es eine Entropieanomalie innerhalb der VM erkennt.
Wenn die Dateien standardmäßig eine hohe Entropie aufweisen (z. B. .gzip- oder passwortgeschützte Dateien), sind die Erkennungsfunktionen von ARP eingeschränkt. ARP kann in diesem Fall weiterhin proaktive Snapshots erstellen. Es werden jedoch keine Warnungen ausgelöst, wenn die Dateierweiterungen nicht extern manipuliert wurden.
Für SAN analysiert ARP Entropiestatistiken auf Volumeebene und löst Erkennungen aus, wenn eine Entropieanomalie gefunden wird.
|
|
Die Erkennung von Angriffen innerhalb einer VM ist nur für FlexVol -Volumes verfügbar und nicht verfügbar, wenn der VM-Datenspeicher in ONTAP 9.18.1 und höher auf einem FlexGroup -Volume konfiguriert ist. |
Nicht unterstützte Konfigurationen
ARP wird in ONTAP S3-Umgebungen nicht unterstützt.
ARP unterstützt die folgenden Volume-Konfigurationen nicht:
-
FlexGroup -Volumes (in ONTAP 9.10.1 bis 9.12.1).
Ab ONTAP 9.13.1 bis ONTAP 9.17.1 werden FlexGroup -Volumes unterstützt, sind aber auf das vor ARP/AI verwendete ARP-Modell beschränkt. FlexGroup Volumes werden mit ARP/AI ab ONTAP 9.18.1 unterstützt. -
FlexCache Volumes (ARP wird auf Ursprungs-FlexVol Volumes unterstützt, jedoch nicht auf Cache Volumes)
-
Offline-Volumes
-
SnapLock Volumes
-
SnapMirror active sync in ONTAP 9.18.1 und früher
-
SnapMirror active sync (NAS) in ONTAP 9.19.1 RC
-
SnapMirror synchron in ONTAP 9.18.1 und früher
-
SnapMirror asynchron (in ONTAP 9.10.1 und 9.11.1). SnapMirror asynchron wird ab ONTAP 9.12.1 unterstützt. Weitere Informationen finden Sie unter [snapmirror] .
-
Eingeschränkte Volumes
-
Root-Volumes von Storage-VMs
-
Volumes von angestoppten Storage VMs
-
FlexVol zu FlexGroup Konvertierung (ARP muss vor der Konvertierung deaktiviert werden)
ARP-Performance- und Frequenzüberlegungen
ARP kann die Systemleistung, gemessen am Durchsatz und den maximalen IOPS-Werten, nur minimal beeinträchtigen. Die Auswirkungen der ARP-Funktion hängen von der jeweiligen Volume-Workload ab. Für gängige Workloads werden die folgenden Konfigurationsgrenzen empfohlen:
| Workload-Merkmale | Empfohlene Volume-Beschränkung pro Node | Leistungseinbußen bei Überschreitung des Volumenlimits pro Knoten 1 |
|---|---|---|
Leseintensiv oder die Daten können komprimiert werden |
150 |
4 % der maximalen IOPS |
Schreibintensiv und die Daten können nicht komprimiert werden |
60 |
|
1 Die Systemleistung wird über diese Prozentsätze hinaus nicht beeinträchtigt, unabhängig von der Anzahl der hinzugefügten Volumes, die die empfohlenen Grenzwerte überschreiten.
Da die ARP-Analyse in einer priorisierten Reihenfolge ausgeführt wird, wird sie auf jedem Volume seltener ausgeführt, wenn die Anzahl der geschützten Volumes zunimmt.
|
|
Die standardmäßige Aktivierung von ARP auf einer großen Anzahl neuer Volumes kann die Systemressourcennutzung erhöhen. Berücksichtigen Sie den Speicherplatzbedarf konkurrierender Prozesse wie Snapshots, wenn Sie ARP auf Volumes aktivieren. |
Volumenbeschränkungen für ARP nach Plattform
Ab ONTAP 9.18.1 unterstützt ARP erhöhte Volume-Limits basierend auf Plattformtyp und CPU-Kernanzahl.
| Plattformtyp | Maximale Anzahl ARP-fähiger Volumes pro Knoten |
|---|---|
Low-end (Systeme mit bis zu 20 CPU-Kernen) |
250 |
Mittel (Systeme mit bis zu 64 CPU-Kernen) |
500 |
High-end (Systeme mit mehr als 64 CPU-Kernen) |
1000 |
|
|
Die Angabe zur Anzahl der CPU-Kerne bezieht sich auf jeden einzelnen Knoten in einem 2-Node-HA-Paar. |
Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind
Ab ONTAP 9.13.1 können Sie die Multi-Admin-Verifizierung (MAV) aktivieren, um zusätzliche Sicherheit mit ARP zu gewährleisten. MAV stellt sicher, dass mindestens zwei oder mehr authentifizierte Administratoren erforderlich sind, um ARP zu deaktivieren, ARP zu unterbrechen oder einen vermuteten Angriff als falsch positiv auf einem geschützten Volume zu markieren. Erfahren Sie, wie man "Aktivieren Sie MAV für ARP-geschützte Volumes".
Sie müssen Administratoren für eine MAV-Gruppe definieren und MAV-Regeln für die security anti-ransomware volume disable security anti-ransomware volume pause security anti-ransomware volume attack clear-suspect Befehle , und ARP erstellen, die Sie schützen möchten. Jeder Administrator in der MAV-Gruppe muss jede neue Regelanforderung und "Fügen Sie die MAV-Regel erneut hinzu" innerhalb der MAV-Einstellungen genehmigen.
Erfahren Sie mehr über security anti-ransomware volume disable, security anti-ransomware volume pause und security anti-ransomware volume attack clear-suspect in der "ONTAP-Befehlsreferenz".
Ab ONTAP 9.14.1 bietet ARP Warnmeldungen für die Erstellung eines ARP-Snapshots und für die Beobachtung einer neuen Dateierweiterung. Warnmeldungen für diese Ereignisse sind standardmäßig deaktiviert. Warnmeldungen können auf Volume- oder SVM-Ebene festgelegt werden. Sie können die Warnmeldungen aktivieren mit security anti-ransomware vserver event-log modify oder bei der Lautstärke mit security anti-ransomware volume event-log modify .
Erfahren Sie mehr über security anti-ransomware vserver event-log modify und security anti-ransomware volume event-log modify in der "ONTAP-Befehlsreferenz".