Was ist SnapLock
Änderungen vorschlagen
PDFs
SnapLock ist eine hochperformante Compliance-Lösung für Unternehmen, die WORM-Storage verwenden, um Dateien zu gesetzlichen Vorschriften und zu Governance-Zwecken in unveränderter Form aufzubewahren.
SnapLock hilft, das Löschen, Ändern oder Umbenennen von Daten zu verhindern und so Vorschriften wie SEC 17a-4(f), HIPAA, FINRA, CFTC und DSGVO zu erfüllen. Mit SnapLock können Sie spezielle Volumes erstellen, in denen Dateien gespeichert und nicht löschbar, nicht beschreibbar sind – entweder für einen festgelegten Aufbewahrungszeitraum oder für unbegrenzte Zeit. SnapLock ermöglicht diese Aufbewahrung auf Dateiebene mithilfe von standardmäßigen offenen Dateiprotokollen wie CIFS und NFS. Die unterstützten Open-File-Protokolle für SnapLock sind NFS (Versionen 2, 3 und 4) und CIFS (SMB 1.0, 2.0 und 3.0).
Mithilfe von SnapLock können Sie Dateien und Snapshot-Kopien in WORM-Storage übergeben und Aufbewahrungszeiträume für WORM-gesicherte Daten festlegen. SnapLock WORM Storage nutzt NetApp Snapshot-Technologie und kann SnapMirror Replizierung, und SnapVault Backups als Basistechnologie für Backup Recovery-Sicherung von Daten nutzen. Erfahren Sie mehr über WORM-Speicherung: "Worm-Speicherung gemäß NetApp SnapLock - TR-4526".
Mit einer Applikation LASSEN sich Dateien über NFS oder CIFS in WORM-FORMAT übersenden oder die automatische Verfestungsfunktion von SnapLock verwenden, um Dateien automatisch in DEN WORM-SPEICHER zu übertragen. Sie können eine appendable Datei WORM verwenden, um Daten, die inkrementell geschrieben werden, wie Protokollinformationen, aufzubewahren. Weitere Informationen finden Sie unter "Verwenden Sie den Volume Appendable-Modus, um WORM-Dateien zu erstellen".
SnapLock unterstützt Datensicherungsmethoden, die die meisten Compliance-Anforderungen erfüllen:
-
Mit SnapLock für SnapVault können Snapshot Kopien IM Sekundärspeicher GESICHERT WERDEN. Siehe "Übertragung von Snapshot Kopien an WORM".
-
WORM-Dateien können zur Disaster Recovery an einen anderen geografischen Standort repliziert werden. Siehe "Spiegelung VON WORM-Dateien".
SnapLock ist eine lizenzbasierte Funktion des NetApp ONTAP. Mit einer einzigen Lizenz können Sie SnapLock im strikten Compliance-Modus verwenden, um externe Anforderungen wie SEC Rule 17a-4(f) und einen lockereren Enterprise-Modus zu erfüllen, um intern vorgeschriebene Vorschriften zum Schutz digitaler Assets zu erfüllen. SnapLock Lizenzen sind Teil der "ONTAP One"Software Suite.
SnapLock wird auf allen AFF und FAS Systemen sowie auf ONTAP Select unterstützt. SnapLock ist keine rein softwarebasierte Lösung, sondern eine integrierte Hardware- und Softwarelösung. Diese Unterscheidung ist wichtig für strenge WORM-Regelungen wie SEC 17a-4(f), die eine integrierte Hardware- und Softwarelösung erfordert. Weitere Informationen finden Sie unter "SEC Guidance to Broker-Dealers on the use of Electronic Storage Media".
Ihre Möglichkeiten mit SnapLock
Nachdem Sie SnapLock konfiguriert haben, können Sie die folgenden Aufgaben ausführen:
-
"Versetzen von Snapshot Kopien in WORM für Sekundärspeicher"
-
"BEWAHREN SIE WORM-Dateien bei Rechtsstreitigkeiten mithilfe der gesetzlichen Aufbewahrung auf"
-
"LÖSCHEN SIE WORM-Dateien mit der Funktion „privilegiertes Löschen“"
-
"Sperren einer Snapshot Kopie zum Schutz vor Ransomware-Angriffen"
-
"Prüfen der Verwendung von SnapLock mit dem Überwachungsprotokoll"
SnapLock Compliance und Enterprise Modi
Die SnapLock Compliance- und Enterprise-Modi unterscheiden sich hauptsächlich dadurch, wie der jeweilige Modus WORM-Dateien schützt:
SnapLock-Modus |
Sicherungsstufe |
WORM-Datei wird während der Aufbewahrung gelöscht |
Compliance-Modus |
Auf Festplattenebene |
Kann nicht gelöscht werden |
Enterprise-Modus |
Auf Dateiebene |
Kann vom Compliance-Administrator mit einem geprüften „privilegierten Löschen“ Verfahren gelöscht werden |
Nach Ablauf des Aufbewahrungszeitraums sind Sie für das Löschen aller Dateien verantwortlich, die Sie nicht mehr benötigen. Sobald eine Datei im WORM-Modus oder im Enterprise-Modus versetzt wurde, kann sie auch nach dem Ablauf des Aufbewahrungszeitraums nicht mehr verändert werden.
SIE können EINE WORM-Datei nicht während oder nach dem Aufbewahrungszeitraum verschieben. Sie können eine WORM-Datei kopieren, die Kopie behält jedoch ihre WORM-Merkmale nicht bei.
Die folgende Tabelle zeigt die Unterschiede in den von SnapLock Compliance und Enterprise-Modi unterstützten Funktionen:
Dar |
SnapLock-Compliance |
SnapLock Enterprise |
Aktivieren und löschen Sie Dateien mit privilegierter Löschung |
Nein |
Ja. |
Festplatten neu initialisieren |
Nein |
Ja. |
Zerstören Sie SnapLock Aggregate und Volumes während der Aufbewahrungsdauer |
Nein |
Ja, mit Ausnahme des SnapLock Revisionsprotokoll-Volumes |
Benennen Sie Aggregate oder Volumes um |
Nein |
Ja. |
Verwenden Sie nicht NetApp Festplatten |
Nein |
Ja (mit "FlexArray Virtualisierung") |
Verwenden Sie das SnapLock Volume zur Audit-Protokollierung |
Ja. |
Ja, ab ONTAP 9.5 |
Unterstützte und nicht unterstützte Funktionen in SnapLock
Die folgende Tabelle zeigt die Funktionen, die von SnapLock Compliance-Modus, SnapLock Enterprise-Modus oder beiden unterstützt werden:
Funktion |
Unterstützt durch SnapLock Compliance |
Unterstützt durch SnapLock Enterprise |
Konsistenzgruppen |
Nein |
Nein |
Verschlüsselte Volumes |
Ja, ab ONTAP 9.2. Erfahren Sie mehr über Verschlüsselung und SnapLock. |
Ja, ab ONTAP 9.2. Erfahren Sie mehr über Verschlüsselung und SnapLock. |
FabricPool auf SnapLock Aggregaten |
Nein |
Ja, ab ONTAP 9.8. Erfahren Sie mehr über FabricPool auf SnapLock Enterprise-Aggregaten. |
Flash Pool-Aggregate |
Ja, ab ONTAP 9.1. |
Ja, ab ONTAP 9.1. |
FlexClone |
Sie können SnapLock Volumes klonen, aber Sie können keine Dateien auf einem SnapLock Volume klonen. |
Sie können SnapLock Volumes klonen, aber Sie können keine Dateien auf einem SnapLock Volume klonen. |
FlexGroup Volumes |
Ja, ab ONTAP 9.11.1. Erfahren Sie mehr über [flexgroup]. |
Ja, ab ONTAP 9.11.1. Erfahren Sie mehr über [flexgroup]. |
LUNs |
Nein. Erfahren Sie mehr über LUN SupportSnapLock. |
Nein. Erfahren Sie mehr über LUN SupportSnapLock. |
MetroCluster Konfigurationen |
Ja, ab ONTAP 9.3. Erfahren Sie mehr über MetroCluster Support. |
Ja, ab ONTAP 9.3. Erfahren Sie mehr über MetroCluster Support. |
Verifizierung durch mehrere Administratoren (Multi-Admin Verification, MAV) |
Ja, ab ONTAP 9.13.1. Erfahren Sie mehr über MAV Support. |
Ja, ab ONTAP 9.13.1. Erfahren Sie mehr über MAV Support. |
San |
Nein |
Nein |
SnapRestore mit einer Datei |
Nein |
Ja. |
SnapMirror Active Sync |
Nein |
Nein |
SnapRestore |
Nein |
Ja. |
SMTape |
Nein |
Nein |
SnapMirror Synchronous |
Nein |
Nein |
SSDs |
Ja, ab ONTAP 9.1. |
Ja, ab ONTAP 9.1. |
Funktionen für effizienteren Storage |
Ja, ab ONTAP 9.9.1. Erfahren Sie mehr über Support für Storage-Effizienz. |
Ja, ab ONTAP 9.9.1. Erfahren Sie mehr über Support für Storage-Effizienz. |
FabricPool auf SnapLock Enterprise-Aggregaten
FabricPool werden ab ONTAP 9.8 auf SnapLock Enterprise Aggregaten unterstützt. Ihr Account-Team muss jedoch eine Anfrage zu Produktabweichungen stellen, die Ihnen dokumentieren, dass FabricPool Daten zu einer Public oder Private Cloud nicht mehr durch SnapLock geschützt sind, da ein Cloud-Administrator diese Daten löschen kann.
|
Daten, die FabricPool-Tiers in eine Public oder Private Cloud übertragen, werden von SnapLock nicht mehr geschützt, da diese Daten von einem Cloud-Administrator gelöscht werden können. |
FlexGroup Volumes
SnapLock unterstützt FlexGroup Volumes ab ONTAP 9.11.1. Die folgenden Funktionen werden jedoch nicht unterstützt:
-
Gesetzliche Aufbewahrungspflichten
-
Ereignisbasierte Aufbewahrung
-
SnapLock for SnapVault (unterstützt ab ONTAP 9.12.1)
Sie sollten auch die folgenden Verhaltensweisen beachten:
-
Die Volume Compliance-Uhr (VCC) eines FlexGroup-Volumes wird durch den VCC der Root-Komponente bestimmt. Alle nicht-Root-Bestandteile werden ihren VCC eng mit dem Root-VCC synchronisiert.
-
Die SnapLock-Konfigurationseigenschaften werden nur auf der gesamten FlexGroup festgelegt. Einzelne Komponenten können nicht über unterschiedliche Konfigurationseigenschaften verfügen, z. B. Standardaufbewahrungszeit und automatische Verschiebungszeit.
LUN Support
LUNs werden in SnapLock Volumes nur in Szenarien unterstützt, in denen auf einem nicht-SnapLock Volume erstellte Snapshot Kopien zur Sicherung im Rahmen der SnapLock Vault-Beziehung auf ein SnapLock Volume übertragen werden. LUNs werden in SnapLock-Volumes mit Lese-/Schreibzugriff nicht unterstützt. Manipulationssichere Snapshot Kopien werden jedoch auf SnapMirror Quell-Volumes und Ziel-Volumes unterstützt, die LUNs enthalten.
MetroCluster Support
Die SnapLock-Unterstützung in MetroCluster Konfigurationen unterscheidet sich zwischen dem SnapLock-Compliance-Modus und dem SnapLock Enterprise-Modus.
-
Ab ONTAP 9.3 wird SnapLock Compliance auf nicht gespiegelten MetroCluster-Aggregaten unterstützt.
-
Ab ONTAP 9.3 wird SnapLock Compliance auf gespiegelten Aggregaten unterstützt, allerdings nur, wenn das Aggregat SnapLock-Audit-Protokoll-Volumes hostet.
-
SVM-spezifische SnapLock-Konfigurationen können mit MetroCluster auf primäre und sekundäre Standorte repliziert werden.
-
Ab ONTAP 9 werden SnapLock Enterprise Aggregate unterstützt.
-
Ab ONTAP 9.3 werden SnapLock Enterprise-Aggregate mit privilegierten Lösch unterstützt.
-
SVM-spezifische SnapLock-Konfigurationen können mithilfe von MetroCluster zu beiden Standorten repliziert werden.
Bei MetroCluster-Konfigurationen werden zwei Compliance-Takt-Mechanismen zum Einsatz kommen, Volume Compliance Clock (VCC) und System Compliance Clock (SCC). Das VCC und das SCC sind für alle SnapLock-Konfigurationen verfügbar. Wenn Sie ein neues Volume auf einem Node erstellen, wird sein VCC mit dem aktuellen Wert des SCC auf diesem Node initialisiert. Nach der Erstellung des Volumes wird die Aufbewahrungszeit für Volumes und Dateien immer mit dem VCC verfolgt.
Wenn ein Volume an einen anderen Standort repliziert wird, wird auch dessen VCC repliziert. Wenn eine Volume-Umschaltung stattfindet, wird z. B. von Standort A nach Standort B der VCC weiterhin an Standort B aktualisiert, während der SCC an Standort A stoppt, wenn Standort A offline geht.
Wenn Standort A wieder online geschaltet wird und das Volume zurückgeschaltet wird, startet die SCC-Uhr des Standorts A neu, während der VCC des Volumes weiterhin aktualisiert wird. Da der VCC kontinuierlich aktualisiert wird, unabhängig von Umschalttakten und Switchback-Vorgängen, hängen die Aufbewahrungszeiten der Dateien nicht von SCC-Uhren ab und dehnen sich nicht aus.
Unterstützung für die Verifizierung durch mehrere Administratoren (Multi-Admin Verification, MAV)
Ab ONTAP 9.13.1 kann ein Cluster-Administrator die Verifizierung mehrerer Administratoren auf einem Cluster explizit aktivieren, sodass vor der Ausführung einiger SnapLock-Vorgänge eine Quorumgenehmigung erforderlich ist. Wenn die MAV aktiviert ist, müssen SnapLock Volume-Eigenschaften wie Default-Retention-Time, Minimum-Retention-Time, Maximum-Retention-Time, Volume-Append-Mode, Autocommit-Period und Privileged-delete genehmigt werden. Erfahren Sie mehr über "MAV".
Storage-Effizienz
Ab ONTAP 9.9 unterstützt SnapLock Storage-Effizienzfunktionen wie Data-Compaction, Volume-übergreifende Deduplizierung und die anpassungsfähige Komprimierung für SnapLock Volumes und Aggregate. Weitere Informationen zur Storage-Effizienz finden Sie unter "Überblick über die ONTAP Storage-Effizienz".
Verschlüsselung
ONTAP bietet sowohl Software- als auch hardwarebasierte Verschlüsselungstechnologien, um sicherzustellen, dass Daten im Ruhezustand nicht gelesen werden können, wenn das Storage-Medium neu verwendet, zurückgegeben, verloren gegangen oder gestohlen wird.
Haftungsausschluss: NetApp kann nicht garantieren, dass SnapLock-geschützte WORM-Dateien auf selbstverschlüsselnden Laufwerken oder Volumes abgerufen werden können, wenn der Authentifizierungsschlüssel verloren geht oder die Anzahl fehlgeschlagener Authentifizierungsversuche das festgelegte Limit überschreitet und eine dauerhafte Sperrung des Laufwerks zur Folge hat. Sie sind für die Gewährleistung gegen Authentifizierungsfehler verantwortlich.
|
|
Ab ONTAP 9.2 werden verschlüsselte Volumes von SnapLock Aggregaten unterstützt. |
Umstieg Von 7-Mode
Sie können SnapLock Volumes von 7-Mode auf ONTAP migrieren, indem Sie die Copy-Based Transition (CBT)-Funktion des 7-Mode Transition Tools verwenden. Der SnapLock-Modus des Ziel-Volume, Compliance oder Enterprise, muss dem SnapLock-Modus des Quell-Volume entsprechen. Sie können SnapLock Volumes nicht mit Copy-Free Transition (CFT) migrieren.