Versionshinweise
Anwendungsfälle und Überlegungen zum autonomen Ransomware-Schutz
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Autonomous Ransomware Protection (ARP) ist ab ONTAP 9.10.1 für NAS-Workloads verfügbar. Vor der Bereitstellung von ARP sollten Sie die empfohlenen Verwendungszwecke und unterstützten Konfigurationen sowie die Auswirkungen auf die Performance kennen.
Unterstützte und nicht unterstützte Konfigurationen
Bei der Entscheidung, ARP zu verwenden, ist es wichtig sicherzustellen, dass die Arbeitslast Ihres Volumes für ARP geeignet ist und dass sie die erforderlichen Systemkonfigurationen erfüllt.
Geeignete Workloads
ARP eignet sich für:
-
Datenbanken auf NFS-Storage
-
Home Directorys für Windows oder Linux
Da Benutzer Dateien mit Erweiterungen erstellen können, die während des Lernzeitraums nicht erkannt wurden, besteht eine größere Möglichkeit von False-positive-Meldungen in diesem Workload.
-
Bilder und Video
Beispielsweise Gesundheitsdaten und EDA-Daten (Electronic Design Automation)
Ungeeignete Workloads
ARP ist nicht geeignet für:
-
Workloads mit hoher Frequenz, die Dateien erstellen oder löschen (Hunderttausende Dateien in wenigen Sekunden, z. B. Test-/Entwicklungs-Workloads).
-
Die Erkennung von ARP-Bedrohungen hängt von der Fähigkeit ab, einen ungewöhnlichen Anstieg bei der Erstellung, Umbenennung oder Löschung von Dateien zu erkennen. Wenn die Anwendung selbst die Quelle der Dateiaktivität ist, kann sie nicht effektiv von Ransomware-Aktivitäten unterschieden werden.
-
Workloads, bei denen die Anwendung oder der Host Daten verschlüsselt.
ARP hängt davon ab, dass eingehende Daten als verschlüsselt oder unverschlüsselt unterschieden werden. Wenn die Applikation selbst die Daten verschlüsselt, wird die Effektivität der Funktion verringert. Die Funktion kann jedoch immer noch basierend auf den Dateiaktivitäten (Löschen, Überschreiben, Erstellen, Erstellen oder Erstellen von Dateien oder Erstellen oder Umbenennen mit einer neuen Dateierweiterung) und dem Dateityp funktionieren.
Unterstützte Konfigurationen
ARP ist ab ONTAP 9.10.1 für NFS und SMB Volumes in lokalen ONTAP Systemen verfügbar.
Andere Konfigurationen und Volume-Typen werden in den folgenden ONTAP-Versionen unterstützt:
| ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|
Volumes sind mit asynchronem SnapMirror geschützt |
✓ |
✓ |
✓ |
||
SVMs gesichert mit asynchronem SnapMirror (SVM Disaster Recovery) |
✓ |
✓ |
✓ |
||
SVM-Datenmobilität ( |
✓ |
✓ |
✓ |
||
FlexGroup Volumes |
✓ |
✓ |
|||
Überprüfung durch mehrere Administratoren |
✓ |
✓ |
SnapMirror und ARP-Interoperabilität
Ab ONTAP 9.12.1 wird ARP auf asynchronen SnapMirror Ziel-Volumes unterstützt. ARP ist nicht mit SnapMirror Synchronous unterstützt.
Wenn ein SnapMirror Quell-Volume ARP-aktiviert ist, übernimmt das SnapMirror Ziel-Volume automatisch den ARP-Konfigurationsstatus (Learning, Enabled usw.), ARP-Trainingsdaten und ARP-erstellte Snapshots des Quell-Volume. Es ist keine explizite Aktivierung erforderlich.
Während das Zielvolume aus schreibgeschützten (RO) Snapshot Kopien besteht, wird auf seinen Daten keine ARP Verarbeitung durchgeführt. Wenn das SnapMirror Ziel-Volume jedoch in Read-Write (RW) konvertiert wird, wird ARP automatisch auf dem RW-konvertierten Zielvolume aktiviert. Das Zielvolumen erfordert neben dem, was bereits auf dem Quellvolumen aufgezeichnet wurde, keine zusätzlichen Lernverfahren.
In ONTAP 9.10.1 und 9.11.1 überträgt SnapMirror nicht den ARP-Konfigurationsstatus, die Trainingsdaten und Snapshot-Kopien von den Quell- auf Ziel-Volumes. Wenn also das SnapMirror Ziel-Volume in RW konvertiert wird, muss ARP auf dem Ziel-Volume nach der Konvertierung explizit in den Learning Mode aktiviert werden.
ARP und Virtual Machines
ARP wird mit Virtual Machines (VMs) unterstützt. Die ARP-Erkennung verhält sich bei Änderungen innerhalb und außerhalb der VM unterschiedlich. ARP wird nicht für Workloads mit entropischen Dateien innerhalb der VM empfohlen.
ARP kann Änderungen an Dateierweiterungen auf einem NFS-Volume außerhalb der VM erkennen, wenn eine neue Erweiterung verschlüsselt in das Volume eintritt oder sich eine Dateierweiterung ändert. Nachweisbare Änderungen an Dateierweiterungen:
-
.Vmx
-
.vmxf
-
.Vmdk
-
-Flat.vmdk
-
.nvram
-
.Vmem
-
.vmsd
-
.vmsn
-
.vswp
-
.vmss
-
.Log
-
-\#.log
Wenn der Ransomware-Angriff auf die VM zielt und Dateien innerhalb der VM geändert werden, ohne Änderungen außerhalb der VM vorzunehmen, erkennt ARP die Bedrohung, wenn die Standard-Entropie der VM gering ist (z. B. .txt-, .docx- oder .mp4-Dateien). Obwohl ARP in diesem Szenario einen Schutz-Snapshot erstellt, generiert es keine Bedrohungswarnung, da die Dateierweiterungen außerhalb der VM nicht manipuliert wurden.
Wenn es sich bei den Dateien standardmäßig um Dateien mit hoher Entropie handelt (z. B. .gzip- oder passwortgeschützte Dateien), sind die Erkennungsfunktionen von ARP begrenzt. ARP kann in dieser Instanz immer noch proaktive Snapshots machen, es werden jedoch keine Warnmeldungen ausgelöst, wenn die Dateierweiterungen nicht extern manipuliert wurden.
Nicht unterstützte Konfigurationen
ARP wird in den folgenden Systemkonfigurationen nicht unterstützt:
-
ONTAP S3-Umgebungen
-
SAN-Umgebungen
ARP unterstützt die folgenden Volume-Konfigurationen nicht:
-
FlexGroup Volumes (in ONTAP 9.10.1 bis 9.12.1) Ab ONTAP 9.13.1 werden FlexGroup Volumes unterstützt)
-
FlexCache Volumes (ARP wird auf Ursprungs-FlexVol Volumes unterstützt, jedoch nicht auf Cache Volumes)
-
Offline-Volumes
-
REINE SAN-Volumes
-
SnapLock Volumes
-
SnapMirror Synchronous
-
Asynchronous SnapMirror (nur in ONTAP 9.10.1 und 9.11.1 unterstützt Asynchrones SnapMirror wird ab ONTAP 9.12.1 unterstützt. Weitere Informationen finden Sie unter [snapmirror].)
-
Eingeschränkte Volumes
-
Root-Volumes von Storage-VMs
-
Volumes von angestoppten Storage VMs
ARP-Performance- und Frequenzüberlegungen
ARP kann die System-Performance im Hinblick auf den Durchsatz und die IOPS-Spitzenwerte minimal beeinträchtigen. Die Auswirkungen der ARP-Funktion hängen von den spezifischen Volume Workloads ab. Für gängige Workloads werden die folgenden Konfigurationsgrenzwerte empfohlen:
| Workload-Merkmale | Empfohlene Volume-Beschränkung pro Node | Performance-Verschlechterung bei Überschreitung der Grenze des Volume pro Node:[*] |
|---|---|---|
Leseintensiv oder die Daten komprimiert werden können. |
150 |
4 % der maximalen IOPS |
Schreibintensiv und die Daten können nicht komprimiert werden. |
60 |
10 % der maximalen IOPS |
Pass:[*] die Systemleistung wird unabhängig von der Anzahl der hinzugefügten Volumes, die über den empfohlenen Grenzwerten liegen, nicht über diesen Prozentwerten hinaus beeinträchtigt.
Da ARP-Analysen in einer priorisierten Reihenfolge ausgeführt werden und die Anzahl der geschützten Volumes zunimmt, werden die Analysen auf jedem Volume weniger häufig ausgeführt.
Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind
Ab ONTAP 9.13.1 können Sie die Multi-Admin-Verifizierung (MAV) aktivieren, um zusätzliche Sicherheit mit ARP zu gewährleisten. MAV stellt sicher, dass mindestens zwei oder mehr authentifizierte Administratoren erforderlich sind, um ARP zu deaktivieren, ARP zu unterbrechen oder einen vermuteten Angriff als falsch positiv auf einem geschützten Volume zu markieren. Erfahren Sie, wie Sie "Aktivieren Sie MAV für ARP-geschützte Volumes".
Sie müssen Administratoren für eine MAV-Gruppe definieren und MAV-Regeln für das erstellen security anti-ransomware volume disable, security anti-ransomware volume pause, und security anti-ransomware volume attack clear-suspect ARP-Befehle, die Sie schützen möchten. Jeder Administrator in der MAV-Gruppe muss jede neue Regelanforderung und genehmigen "Fügen Sie die MAV-Regel erneut hinzu" Innerhalb der MAV-Einstellungen.
Ab ONTAP 9.14.1 bietet ARP Warnungen für die Erstellung eines ARP-Snapshot und für die Beobachtung einer neuen Dateierweiterung an. Warnmeldungen für diese Ereignisse sind standardmäßig deaktiviert. Alarme können auf Volume- oder SVM-Ebene festgelegt werden. Mit können Sie MAV-Regeln auf SVM-Ebene erstellen security anti-ransomware vserver event-log modify Oder auf Lautstärkeregelung mit security anti-ransomware volume event-log modify.