Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Anwendungsfälle und Überlegungen zum autonomen Schutz vor ONTAP Ransomware

Beitragende netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-lenida netapp-aaron-holt netapp-thomi pixelchrome
PDFs

Autonomous Ransomware Protection (ARP) ist für NAS-Workloads ab ONTAP 9.10.1 und SAN-Workloads ab ONTAP 9.17.1 verfügbar. Bevor Sie ARP bereitstellen, sollten Sie sich über die empfohlenen Verwendungszwecke und unterstützten Konfigurationen sowie die Leistungsauswirkungen informieren.

Unterstützte und nicht unterstützte Konfigurationen

Bei der Entscheidung, ARP zu verwenden, ist es wichtig sicherzustellen, dass die Arbeitslast Ihres Volumes für ARP geeignet ist und dass sie die erforderlichen Systemkonfigurationen erfüllt.

Geeignete Workloads

ARP eignet sich für folgende Arten von Workloads:

  • Datenbanken auf NFS- oder SAN-Speicher

  • Home Directorys für Windows oder Linux

    In Umgebungen ohne ARP/AI können Benutzer Dateien mit Erweiterungen erstellen, die in der Lernphase nicht erkannt werden. Daher besteht bei dieser Arbeitslast eine größere Wahrscheinlichkeit für Fehlalarme.

  • Bilder und Video

    Beispielsweise Gesundheitsdaten und EDA-Daten (Electronic Design Automation)

Ungeeignete Workloads

ARP ist für diese Arten von Workloads nicht geeignet:

  • Workloads mit einer hohen Frequenz von Dateierstellungs- oder -löschvorgängen (Hunderttausende von Dateien in wenigen Sekunden, beispielsweise Test-/Entwicklungs-Workloads).

  • Die Bedrohungserkennung von ARP basiert auf der Fähigkeit, einen ungewöhnlichen Anstieg von Dateierstellungs-, Umbenennungs- oder Löschvorgängen zu erkennen. Wenn die Anwendung selbst die Ursache der Dateiaktivität ist, lässt sie sich nicht effektiv von Ransomware-Aktivitäten unterscheiden.

  • Workloads, bei denen die Anwendung oder der Host Daten verschlüsselt.

    ARP basiert auf der Unterscheidung eingehender Daten als verschlüsselt oder unverschlüsselt. Wenn die Anwendung selbst die Daten verschlüsselt, verringert sich die Wirksamkeit der Funktion. ARP kann jedoch weiterhin basierend auf der Dateiaktivität (Löschen, Überschreiben oder Erstellen bzw. Umbenennen mit einer neuen Dateierweiterung) und dem Dateityp funktionieren.

Unterstützte Konfigurationen

ARP ist für NAS NFS- und SMB FlexVol Volumes ab ONTAP 9.10.1 verfügbar. Ab 9.17.1 ist ARP für SAN FlexVol Volumes für iSCSI, FC und NVMe mit SAN-Speicher verfügbar.

Andere Konfigurationen und Volume-Typen werden in den folgenden ONTAP-Versionen unterstützt:

ONTAP 9.17.1 ONTAP 9.16.1 ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

Volumes sind mit dem asynchronen Modus von SnapMirror geschützt

SVMs gesichert mit asynchronem SnapMirror (SVM Disaster Recovery)

SVM Datenmobilität (vserver migrate)

FlexGroup Volumina1

Überprüfung durch mehrere Administratoren

ARP/AI mit automatischen Updates

1 ARP/AI unterstützt keine FlexGroup -Volumes. Nach einem Upgrade auf ONTAP 9.16.1 arbeiten für ARP aktivierte FlexGroup -Volumes weiterhin mit demselben ARP-Modell wie vor ARP/AI.

SnapMirror und ARP-Interoperabilität

Ab ONTAP 9.12.1 wird ARP auf asynchronen SnapMirror Zielvolumes unterstützt. ARP wird bei SnapMirror Synchronous oder SnapMirror Active Sync nicht unterstützt.

Wenn ein SnapMirror -Quellvolume ARP-fähig ist, erhält das SnapMirror Zielvolume automatisch den ARP-Konfigurationsstatus (z. B. dry-run oder enabled ), ARP-Trainingsdaten und ein von ARP erstellter Snapshot des Quellvolumes. Es ist keine explizite Aktivierung erforderlich.

Obwohl das Zielvolume aus schreibgeschützten (RO) Snapshots besteht, erfolgt keine ARP-Verarbeitung seiner Daten. Wenn das SnapMirror Zielvolume jedoch in einen schreibgeschützten (RW) Speicher konvertiert wird, wird ARP auf dem RW-konvertierten Zielvolume automatisch aktiviert. Das Zielvolume benötigt keine zusätzlichen Lernvorgänge außer den bereits auf dem Quellvolume aufgezeichneten.

In ONTAP 9.10.1 und 9.11.1 überträgt SnapMirror den ARP-Konfigurationsstatus, die Trainingsdaten und die Snapshots nicht von den SnapMirror auf die Zielvolumes. Daher muss ARP auf dem Zielvolume nach der Konvertierung in RW explizit im Lernmodus aktiviert werden.

ARP und Virtual Machines

ARP wird von virtuellen Maschinen (VMs) unterstützt. Die ARP-Erkennung verhält sich bei Änderungen innerhalb und außerhalb der VM unterschiedlich. ARP wird nicht für Workloads empfohlen, die eine große Anzahl stark komprimierter Dateien (z. B. 7z und ZIP) oder verschlüsselter Dateien (z. B. kennwortgeschützte PDF-, DOC- oder ZIP-Dateien) innerhalb der VM umfassen.

Änderungen außerhalb der VM

ARP kann Änderungen der Dateierweiterung auf einem NFS-Volume außerhalb der VM erkennen, wenn eine neue Erweiterung in verschlüsseltem Zustand auf das Volume gelangt oder wenn sich eine Dateierweiterung ändert.

Änderungen innerhalb der VM

Wenn ein Ransomware-Angriff Dateien innerhalb der VM ändert, ohne Änderungen außerhalb der VM vorzunehmen, erkennt ARP die Bedrohung, wenn die Standardentropie der VM niedrig ist (z. B. bei TXT-, DOCX- oder MP4-Dateien). Bei ONTAP 9.16.1 und früheren Versionen erstellt ARP in diesem Szenario einen schützenden Snapshot, generiert jedoch keine Bedrohungswarnung, da die Dateierweiterungen außerhalb der VM nicht manipuliert wurden. Ab der SAN-Unterstützung in ONTAP 9.17.1 generiert ARP zusätzlich eine Bedrohungswarnung, wenn es eine Entropieanomalie innerhalb der VM erkennt.

Wenn die Dateien standardmäßig eine hohe Entropie aufweisen (z. B. .gzip- oder passwortgeschützte Dateien), sind die Erkennungsfunktionen von ARP eingeschränkt. ARP kann in diesem Fall weiterhin proaktive Snapshots erstellen. Es werden jedoch keine Warnungen ausgelöst, wenn die Dateierweiterungen nicht extern manipuliert wurden.

Für SAN analysiert ARP Entropiestatistiken auf Volumeebene und löst Erkennungen aus, wenn eine Entropieanomalie gefunden wird.

Nicht unterstützte Konfigurationen

ARP wird in ONTAP S3-Umgebungen nicht unterstützt.

ARP unterstützt die folgenden Volume-Konfigurationen nicht:

  • FlexGroup -Volumes (in ONTAP 9.10.1 bis 9.12.1). Ab ONTAP 9.13.1 werden FlexGroup -Volumes unterstützt, sind jedoch auf das vor ARP/AI verwendete ARP-Modell beschränkt.

  • FlexCache Volumes (ARP wird auf Ursprungs-FlexVol Volumes unterstützt, jedoch nicht auf Cache Volumes)

  • Offline-Volumes

  • SnapLock Volumes

  • SnapMirror Active Sync

  • SnapMirror Synchronous

  • SnapMirror asynchron (in ONTAP 9.10.1 und 9.11.1). SnapMirror asynchron wird ab ONTAP 9.12.1 unterstützt. Weitere Informationen finden Sie unter [snapmirror] .

  • Eingeschränkte Volumes

  • Root-Volumes von Storage-VMs

  • Volumes von angestoppten Storage VMs

ARP-Performance- und Frequenzüberlegungen

ARP kann die Systemleistung, gemessen am Durchsatz und den maximalen IOPS-Werten, nur minimal beeinträchtigen. Die Auswirkungen der ARP-Funktion hängen von der jeweiligen Volume-Workload ab. Für gängige Workloads werden die folgenden Konfigurationsgrenzen empfohlen:

Workload-Merkmale Empfohlene Volume-Beschränkung pro Node Leistungseinbußen bei Überschreitung des Volumenlimits pro Knoten 1

Leseintensiv oder die Daten können komprimiert werden

150

4 % der maximalen IOPS

Schreibintensiv und die Daten können nicht komprimiert werden

60

  • NAS: 10 % der maximalen IOPS für ONTAP 9.15.1 und früher

  • NAS: 4 % der maximalen IOPS für ONTAP 9.16.1 und höher

  • SAN: 5 % der maximalen IOPS für ONTAP 9.17.1 und höher

1 Die Systemleistung wird über diese Prozentsätze hinaus nicht beeinträchtigt, unabhängig von der Anzahl der hinzugefügten Volumes, die die empfohlenen Grenzwerte überschreiten.

Da die ARP-Analyse in einer priorisierten Reihenfolge ausgeführt wird, wird sie auf jedem Volume seltener ausgeführt, wenn die Anzahl der geschützten Volumes zunimmt.

Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind

Ab ONTAP 9.13.1 können Sie die Multi-Admin-Verifizierung (MAV) aktivieren, um zusätzliche Sicherheit mit ARP zu gewährleisten. MAV stellt sicher, dass mindestens zwei oder mehr authentifizierte Administratoren erforderlich sind, um ARP zu deaktivieren, ARP zu unterbrechen oder einen vermuteten Angriff als falsch positiv auf einem geschützten Volume zu markieren. Erfahren Sie, wie man "Aktivieren Sie MAV für ARP-geschützte Volumes".

Sie müssen Administratoren für eine MAV-Gruppe definieren und MAV-Regeln für die security anti-ransomware volume disable security anti-ransomware volume pause security anti-ransomware volume attack clear-suspect Befehle , und ARP erstellen, die Sie schützen möchten. Jeder Administrator in der MAV-Gruppe muss jede neue Regelanforderung und "Fügen Sie die MAV-Regel erneut hinzu" innerhalb der MAV-Einstellungen genehmigen.

Erfahren Sie mehr über security anti-ransomware volume disable, security anti-ransomware volume pause und security anti-ransomware volume attack clear-suspect in der "ONTAP-Befehlsreferenz".

Ab ONTAP 9.14.1 bietet ARP Warnmeldungen für die Erstellung eines ARP-Snapshots und für die Beobachtung einer neuen Dateierweiterung. Warnmeldungen für diese Ereignisse sind standardmäßig deaktiviert. Warnmeldungen können auf Volume- oder SVM-Ebene festgelegt werden. Sie können die Warnmeldungen aktivieren mit security anti-ransomware vserver event-log modify oder bei der Lautstärke mit security anti-ransomware volume event-log modify .

Erfahren Sie mehr über security anti-ransomware vserver event-log modify und security anti-ransomware volume event-log modify in der "ONTAP-Befehlsreferenz".

Nächste Schritte