Sperren einer Snapshot Kopie zum Schutz vor Ransomware-Angriffen
Ab ONTAP 9.12.1 können Sie eine Snapshot-Kopie auf einem nicht-SnapLock-Volume sperren, um vor Ransomware-Angriffen zu schützen. Das Sperren von Snapshot-Kopien sorgt dafür, dass sie nicht versehentlich oder versehentlich gelöscht werden können.
Mithilfe der SnapLock-Funktion für Compliance-Uhren können Sie Snapshot-Kopien für einen bestimmten Zeitraum sperren, damit sie bis zum Erreichen der Verfallszeit nicht gelöscht werden können. Durch das Sperren von Snapshot-Kopien sind sie vor Ransomware-Bedrohungen geschützt. Mit gesperrten Snapshot-Kopien können Daten wiederhergestellt werden, falls ein Volume durch einen Ransomware-Angriff kompromittiert wird.
Ab ONTAP 9.14.1 unterstützt die Sperrung von Snapshot Kopien zur langfristigen Aufbewahrung von Snapshot Kopien auf SnapLock Vault-Zielen und auf nicht-SnapLock SnapMirror Ziel-Volumes. Die Sperrung von Snapshot Kopien wird aktiviert, indem die Aufbewahrungsfrist mithilfe von SnapMirror-Richtlinienregeln festgelegt wirdVorhandene Richtlinienbezeichnung, die mit einem verknüpft sind. Die Regel überschreibt den auf dem Volume festgelegten Standardaufbewahrungszeitraum. Wenn dem SnapMirror-Label keine Aufbewahrungsfrist zugeordnet ist, wird die Standardaufbewahrungsdauer des Volume verwendet.
-
Wenn Sie die ONTAP-CLI verwenden, muss auf allen Nodes im Cluster ONTAP 9.12.1 oder höher ausgeführt werden. Wenn Sie System Manager verwenden, muss auf allen Nodes ONTAP 9.13.1 oder höher ausgeführt werden.
-
"Die SnapLock-Lizenz muss auf dem Cluster installiert sein". Diese Lizenz ist in enthalten"ONTAP One".
-
"Die Compliance-Uhr auf dem Cluster muss initialisiert werden".
-
Wenn die Snapshot-Sperrung auf einem Volume aktiviert ist, können Sie die Cluster auf eine ONTAP Version später als ONTAP 9.12.1 aktualisieren. Sie können jedoch nicht auf eine frühere Version von ONTAP zurücksetzen, bis alle gesperrten Snapshot Kopien ihr Ablaufdatum erreicht haben und gelöscht werden und das Sperren von Snapshot Kopien deaktiviert ist.
-
Wenn ein Snapshot gesperrt ist, wird die Ablaufzeit des Volumes auf die Ablaufzeit der Snapshot Kopie festgelegt. Wenn mehr als eine Snapshot Kopie gesperrt ist, gibt die Ablaufzeit des Volumes unter allen Snapshot Kopien die höchste Ablaufzeit wieder.
-
Der Aufbewahrungszeitraum für gesperrte Snapshot Kopien hat Vorrang vor der Anzahl der Snapshots. Dies bedeutet, dass die zulässige Anzahl von Kopien nicht beachtet wird, wenn der Aufbewahrungszeitraum für gesperrte Snapshot Kopien nicht abgelaufen ist.
-
In einer SnapMirror Beziehung können Sie einen Aufbewahrungszeitraum für eine Richtlinie mit Spiegelungs-Vault festlegen. Der Aufbewahrungszeitraum wird für Snapshot Kopien, die auf dem Ziel-Volume repliziert werden, angewendet, wenn die Sperrung der Snapshot Kopien aktiviert ist. Der Aufbewahrungszeitraum hat Vorrang vor der Datenanzahl. Beispielsweise werden Snapshot Kopien, die ihren Ablaufdatum nicht bestanden haben, auch dann beibehalten, wenn die behalten wird.
-
Sie können eine Snapshot-Kopie auf einem nicht-SnapLock-Volume umbenennen. Umbenennungsvorgänge für Snapshots auf dem primären Volume einer SnapMirror-Beziehung werden nur auf dem sekundären Volume wiedergegeben, wenn die Richtlinie MirrorAllSnapshots ist. Bei anderen Richtlinientypen wird die umbenannte Snapshot Kopie während Updates nicht propagiert.
-
Wenn Sie die ONTAP CLI verwenden, können Sie eine gesperrte Snapshot Kopie mit dem
volume snapshot restore
Befehl nur dann wiederherstellen, wenn es sich bei der gesperrten Snapshot Kopie um die aktuellste handelt. Wenn später noch nicht abgelaufene Snapshot Kopien als der wiederherzustellende Snapshot Kopie vorhanden sind, schlägt der Wiederherstellungsvorgang für die Snapshot Kopie fehl.
-
FlexGroup Volumes
Die Sperrung von Snapshot Kopien wird auf FlexGroup Volumes unterstützt. Das Sperren von Snapshots erfolgt nur auf der Snapshot-Kopie der Root-Komponente. Das Löschen des FlexGroup-Volume ist nur zulässig, wenn die Ablaufzeit der Root-Komponente abgelaufen ist.
-
Konvertierung von FlexVol zu FlexGroup
Sie können ein FlexVol Volume mit gesperrten Snapshot Kopien in ein FlexGroup Volume konvertieren. Snapshot-Kopien bleiben nach der Konvertierung gesperrt.
-
Volume-Klon und Dateiklon
Sie können Volume-Klone und Dateiklone aus einer gesperrten Snapshot Kopie erstellen.
Die folgenden Funktionen werden derzeit nicht durch manipulationssichere Snapshot Kopien unterstützt:
-
Konsistenzgruppen
-
FabricPool
-
FlexCache Volumes
-
SMTape
-
SnapMirror Active Sync
-
SnapMirror-Richtlinie, die den
-schedule
Parameter verwendet -
SnapMirror Synchronous
-
SVM-Datenmobilität (verwendet für die Migration oder Verschiebung einer SVM von einem Quell-Cluster zu einem Ziel-Cluster)
Aktivieren Sie die Sperrung von Snapshot Kopien bei der Erstellung eines Volume
Ab ONTAP 9.12.1 können Sie die Sperrung von Snapshot Kopien aktivieren, wenn Sie ein neues Volume erstellen oder ein vorhandenes Volume ändern. Dazu verwenden Sie die -snapshot-locking-enabled
Option mit den volume create
volume modify
Befehlen und in der CLI. Ab ONTAP 9.13.1 können Sie System Manager verwenden, um die Sperrung von Snapshot Kopien zu aktivieren.
-
Navigieren Sie zu Storage > Volumes und wählen Sie Add.
-
Wählen Sie im Fenster Volume hinzufügen Weitere Optionen.
-
Geben Sie den Namen, die Größe, die Exportrichtlinie und den Freigabenamen des Volumes ein.
-
Wählen Sie Snapshot sperren aktivieren. Diese Auswahl wird nicht angezeigt, wenn die SnapLock-Lizenz nicht installiert ist.
-
Wenn sie noch nicht aktiviert ist, wählen Sie SnapLock-Compliance-Uhr initialisieren aus.
-
Speichern Sie die Änderungen.
-
Wählen Sie im Fenster Volumes das Volume aus, das Sie aktualisiert haben, und wählen Sie Übersicht.
-
Vergewissern Sie sich, dass SnapLock Snapshot Copy Locking als aktiviert angezeigt wird.
-
Geben Sie den folgenden Befehl ein, um ein neues Volume zu erstellen und das Sperren von Snapshot Kopien zu aktivieren:
volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
Mit dem folgenden Befehl wird das Sperren von Snapshot Kopien auf einem neuen Volume namens vol1 aktiviert:
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
Aktivieren Sie die Sperrung von Snapshot Kopien auf einem vorhandenen Volume
Ab ONTAP 9.12.1 können Sie die Sperre von Snapshot Kopien auf einem vorhandenen Volume mithilfe der ONTAP CLI aktivieren. Ab ONTAP 9.13.1 können Sie System Manager verwenden, um die Sperrung von Snapshot Kopien für ein vorhandenes Volume zu aktivieren.
-
Navigieren Sie zu Storage > Volumes.
-
Wählen Sie und dann Bearbeiten > Lautstärke.
-
Suchen Sie im Fenster Volume bearbeiten den Abschnitt Snapshot-Kopien (Lokal) Einstellungen und wählen Sie Snapshot-Sperrung aktivieren aus.
Diese Auswahl wird nicht angezeigt, wenn die SnapLock-Lizenz nicht installiert ist.
-
Wenn sie noch nicht aktiviert ist, wählen Sie SnapLock-Compliance-Uhr initialisieren aus.
-
Speichern Sie die Änderungen.
-
Wählen Sie im Fenster Volumes das Volume aus, das Sie aktualisiert haben, und wählen Sie Übersicht.
-
Vergewissern Sie sich, dass SnapLock Snapshot Copy Locking als aktiviert angezeigt wird.
-
Geben Sie den folgenden Befehl ein, um ein vorhandenes Volume zu ändern, um das Sperren von Snapshot Kopien zu aktivieren:
volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
Erstellen Sie eine Richtlinie für gesperrte Snapshot Kopien und wenden Sie die Aufbewahrung an
Ab ONTAP 9.12.1 können Sie Richtlinien für Snapshot Kopien erstellen, um eine Aufbewahrungsdauer für Snapshot Kopien anzuwenden und die Richtlinie auf ein Volume anzuwenden, um Snapshot Kopien für den angegebenen Zeitraum zu sperren. Sie können eine Snapshot-Kopie auch sperren, indem Sie manuell einen Aufbewahrungszeitraum festlegen. Ab ONTAP 9.13.1 können Sie mit System Manager Sperrrichtlinien für Snapshot Kopien erstellen und diese auf ein Volume anwenden.
Erstellen Sie eine Sperrrichtlinie für Snapshot Kopien
-
Navigieren Sie zu Storage > Storage VMs und wählen Sie eine Storage VM aus.
-
Wählen Sie Einstellungen.
-
Suchen Sie Snapshot Policies und wählen Sie .
-
Geben Sie im Fenster Add Snapshot Policy den Richtliniennamen ein.
-
Wählen Sie .
-
Geben Sie die Planungsdetails für Snapshot Kopien an, einschließlich des Planungsnamens, der maximalen Anzahl der zu haltenden Snapshot-Kopien und der Aufbewahrungsdauer von SnapLock.
-
Geben Sie in der Spalte SnapLock Aufbewahrungsfrist die Anzahl der Stunden, Tage, Monate oder Jahre ein, die die Snapshot Kopien behalten sollen. Eine Richtlinie für Snapshot Kopien beispielsweise mit einer Aufbewahrungsfrist von 5 Tagen sperrt eine Snapshot Kopie 5 Tage nach dem Erstellen und kann in dieser Zeit nicht gelöscht werden. Folgende Aufbewahrungszeiträume werden unterstützt:
-
Jahre: 0 - 100
-
Monate: 0 - 1200
-
Tage: 0 - 36500
-
Öffnungszeiten: 0 - 24
-
-
Speichern Sie die Änderungen.
-
Geben Sie den folgenden Befehl ein, um eine Snapshot Kopie-Richtlinie zu erstellen:
volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period
Mit dem folgenden Befehl wird eine Sperrrichtlinie für Snapshot-Kopien erstellt:
cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
Eine Snapshot-Kopie wird nicht ersetzt, wenn sie unter aktiver Aufbewahrung liegt. Das heißt, die Aufbewahrungszahl wird nicht gewürdigt, wenn gesperrte Snapshot-Kopien noch nicht abgelaufen sind.
Wenden Sie eine Sperrrichtlinie auf ein Volume an
-
Navigieren Sie zu Storage > Volumes.
-
Wählen Sie und dann Bearbeiten > Lautstärke.
-
Wählen Sie im Fenster Volume bearbeiten die Option Snapshot-Kopien planen aus.
-
Wählen Sie in der Liste die Richtlinie zum Sperren von Snapshot Kopien aus.
-
Falls die Snapshot Kopie-Sperrung noch nicht aktiviert ist, wählen Sie Snapshot-Sperrung aktivieren aus.
-
Speichern Sie die Änderungen.
-
Geben Sie den folgenden Befehl ein, um eine Sperrrichtlinie für Snapshot Kopien auf ein vorhandenes Volume anzuwenden:
volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name
Wenden Sie den Aufbewahrungszeitraum während der Erstellung manueller Snapshot Kopien an
Sie können einen Aufbewahrungszeitraum für Snapshot Kopien anwenden, wenn Sie manuell eine Snapshot Kopie erstellen. Die Sperre von Snapshot Kopien muss auf dem Volume aktiviert werden, andernfalls wird die Einstellung für den Aufbewahrungszeitraum ignoriert.
-
Navigieren Sie zu Speicher > Volumes und wählen Sie ein Volume aus.
-
Wählen Sie auf der Seite Volume Details die Registerkarte Snapshot Copies aus.
-
Wählen Sie .
-
Geben Sie den Namen der Snapshot Kopie und die SnapLock Ablaufzeit ein. Sie können den Kalender auswählen, um das Ablaufdatum und die Uhrzeit für die Aufbewahrung auszuwählen.
-
Speichern Sie die Änderungen.
-
Wählen Sie auf der Seite Volumes > Snapshot-Kopien ein-/Ausblenden und wählen Sie SnapLock-Ablaufzeit, um die Spalte SnapLock-Ablaufzeit anzuzeigen und zu überprüfen, ob die Aufbewahrungszeit eingestellt ist.
-
Geben Sie den folgenden Befehl ein, um eine Snapshot Kopie manuell zu erstellen und einen Aufbewahrungszeitraum für Sperrungen anzuwenden:
volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time
Mit dem folgenden Befehl wird eine neue Snapshot Kopie erstellt und der Aufbewahrungszeitraum festgelegt:
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
Wenden Sie den Aufbewahrungszeitraum auf eine vorhandene Snapshot Kopie an
-
Navigieren Sie zu Speicher > Volumes und wählen Sie ein Volume aus.
-
Wählen Sie auf der Seite Volume Details die Registerkarte Snapshot Copies aus.
-
Wählen Sie die Snapshot-Kopie aus, wählen Sie , und wählen Sie SnapLock-Ablaufzeit ändern. Sie können den Kalender auswählen, um das Ablaufdatum und die Uhrzeit für die Aufbewahrung auszuwählen.
-
Speichern Sie die Änderungen.
-
Wählen Sie auf der Seite Volumes > Snapshot-Kopien ein-/Ausblenden und wählen Sie SnapLock-Ablaufzeit, um die Spalte SnapLock-Ablaufzeit anzuzeigen und zu überprüfen, ob die Aufbewahrungszeit eingestellt ist.
-
Geben Sie den folgenden Befehl ein, um einen Aufbewahrungszeitraum manuell auf eine vorhandene Snapshot Kopie anzuwenden:
volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time
Im folgenden Beispiel wird ein Aufbewahrungszeitraum für eine vorhandene Snapshot Kopie angewendet:
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"
Ändern Sie eine vorhandene Richtlinie, um die langfristige Aufbewahrung anzuwenden
In einer SnapMirror Beziehung können Sie einen Aufbewahrungszeitraum für eine Richtlinie mit Spiegelungs-Vault festlegen. Der Aufbewahrungszeitraum wird für Snapshot Kopien, die auf dem Ziel-Volume repliziert werden, angewendet, wenn die Sperrung der Snapshot Kopien aktiviert ist. Der Aufbewahrungszeitraum hat Vorrang vor der Datenanzahl. Beispielsweise werden Snapshot Kopien, die ihren Ablaufdatum nicht bestanden haben, auch dann beibehalten, wenn die behalten wird.
Ab ONTAP 9.14.1 können Sie eine vorhandene SnapMirror Richtlinie ändern, indem Sie eine Regel hinzufügen, um die langfristige Aufbewahrung von Snapshot-Kopien festzulegen. Die Regel wird verwendet, um den Standardaufbewahrungszeitraum des Volumes auf SnapLock Vault-Zielen und auf nicht-SnapLock SnapMirror Ziel-Volumes außer Kraft zu setzen.
-
Fügen Sie einer vorhandenen SnapMirror-Richtlinie eine Regel hinzu:
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]
Im folgenden Beispiel wird eine Regel erstellt, die eine Aufbewahrungsfrist von 6 Monaten auf die vorhandene Richtlinie namens „lockvault“ anwendet:
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"