Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Proteja las cargas de trabajo con las estrategias de protección NetApp Ransomware Resilience

Colaboradores amgrissino netapp-ahibbard
PDF

Las estrategias de protección contra el ransomware son una característica clave de NetApp Ransomware Resilience: apoyan la detección, protección y replicación. Las estrategias de protección son una pieza esencial de tu postura de ciberseguridad.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console" .

Comprender las estrategias de protección contra ransomware

Las estrategias de protección contra ransomware abarcan detección, protección y replicación.

  • Políticas de detección identifican amenazas de ransomware

  • Las políticas de protección incluyen políticas de instantáneas y de copia de seguridad. Se requieren políticas de detección y captura de instantáneas en una estrategia de protección. Las políticas de respaldo son opcionales.

    Si utiliza otros productos de NetApp para proteger su carga de trabajo, Ransomware Resilience los detecta y ofrece la opción de:

    • utilizar una política de detección de ransomware y continuar utilizando las políticas de instantáneas y copias de seguridad creadas por otras herramientas de NetApp , o

    • Utilice Ransomware Resilience para gestionar la detección, las instantáneas y las copias de seguridad.

  • Las políticas de replicación le permiten replicar instantáneas de Ransomware Resilience a un sitio secundario. Los programas de replicación se pueden configurar con frecuencias horarias, diarias, semanales o mensuales.

    Actualmente, solo puedes replicar instantáneas en el almacenamiento ONTAP local.

Nota Si estás configurando estrategias de protección para Amazon FSxN para ONTAP y Azure NetApp Files, consulta "las limitaciones de cada servicio".
Consejo Para mejorar la gestión y la protección de tu parque de datos, puedes crear "cargas de trabajo de grupo" para proteger colectivamente los volúmenes bajo una misma estrategia.

Políticas de protección con otros servicios administrados por NetApp

Además de Ransomware Resilience, puedes usar NetApp Backup and Recovery para gestionar la protección de archivos compartidos y archivos compartidos de VM.

La información de protección de los servicios de Backup & Recovery aparece en Ransomware Resilience. Puedes añadir políticas de detección a estos servicios con Ransomware Resilience. Añadir una política de protección con Ransomware Resilience reemplaza las políticas de protección existentes.

Ransomware Resilience también descubre políticas de protección de SnapCenter para VMware para almacenes de datos de VM y SnapCenter para Oracle. No puedes usar estos servicios para restaurar con Ransomware Resilience.

Si una política de detección de ransomware está siendo administrada por Autonomous Ransomware Protection (ARP o ARP/AI, según la versión de ONTAP ) y FPolicy en ONTAP, esas cargas de trabajo están protegidas y continuarán siendo administradas por ARP y FPolicy.

Nota Los destinos de backup no están disponibles para cargas de trabajo en Amazon FSx for NetApp ONTAP o Azure NetApp Files. Realiza operaciones de backup usando el servicio de backup de FSx for ONTAP. Configuras las políticas de backup para cargas de trabajo en FSx for ONTAP en AWS, no en Ransomware Resilience. Las políticas de backup aparecen en Ransomware Resilience y permanecen sin cambios desde AWS.

Políticas de protección para cargas de trabajo no protegidas por aplicaciones de NetApp

Si tu carga de trabajo no está gestionada por Backup and Recovery o Ransomware Resilience, es posible que tenga instantáneas tomadas como parte de ONTAP u otros productos. Si la protección de ONTAP FPolicy está implementada, puedes cambiar la protección de FPolicy usando ONTAP.

Políticas de detección predefinidas

Puede elegir una de las siguientes políticas predefinidas de resiliencia ante ransomware, que están alineadas con la importancia de la carga de trabajo.

Nota La política Extensión de usuario de cifrado es la única política predefinida que admite la detección de comportamiento sospechoso de usuarios.

+ La política de replicación crítica es la única política predefinida que admite la replicación de instantáneas en ONTAP.

Nivel de política Snapshot Frecuencia Retención (días) Número de copias de instantáneas Número máximo de copias de instantáneas

Política de carga de trabajo crítica

Cada cuarto de hora

Cada 15 minutos

3

288

309

Diario

Cada 1 día

14

14

309

Semanalmente

Cada 1 semana

35

5

309

Mensual

Cada 30 días

60

2

309

Política de carga de trabajo importante

Cada cuarto de hora

Cada 30 minutos

3

144

165

Diario

Cada 1 día

14

14

165

Semanalmente

Cada 1 semana

35

5

165

Mensual

Cada 30 días

60

2

165

Política de carga de trabajo estándar

Cada cuarto de hora

Cada 30 min

3

72

93

Diario

Cada 1 día

14

14

93

Semanalmente

Cada 1 semana

35

5

93

Mensual

Cada 30 días

60

2

93

Extensión de usuario de cifrado

Cada cuarto de hora

Cada 30 min

3

72

93

Diario

Cada 1 día

14

14

93

Semanalmente

Cada 1 semana

35

5

93

Mensual

Cada 30 días

60

2

93

Política de replicación crítica

Cada cuarto de hora

Cada 15 minutos

3

288

309

Diario

Cada 1 día

14

14

309

Semanalmente

Cada 1 semana

35

5

309

Mensual

Cada 30 días

60

2

309

Agregar una estrategia de protección contra ransomware

Hay tres enfoques para agregar una estrategia de protección contra ransomware:

  • Cree una estrategia de protección contra ransomware si no tiene políticas de instantáneas o copias de seguridad.

    La estrategia de protección contra ransomware incluye:

    • Política de instantáneas

    • Política de detección de ransomware

    • Política de respaldo

  • Sustituye las políticas de instantáneas o copias de seguridad existentes de Backup and Recovery protection por estrategias de protección gestionadas por Ransomware Resilience.

    La estrategia de protección contra ransomware incluye:

    • Política de instantáneas

    • Política de detección de ransomware

    • Política de respaldo

  • Cree una política de detección para cargas de trabajo con políticas de backup e instantáneas existentes administradas en otros productos o servicios de NetApp .

    La política de detección no cambia las políticas administradas en otros productos.

    La política de detección habilita la protección autónoma contra ransomware y la protección FPolicy si ya están activadas en otros servicios. Obtenga más información sobre"Protección autónoma contra ransomware" ,"Copia de seguridad y recuperación" , y"Política de ONTAP" .

Cree una estrategia de protección contra ransomware (si no tiene políticas de instantáneas o copias de seguridad)

Si no existen políticas de instantáneas o de respaldo en la carga de trabajo, puede crear una estrategia de protección contra ransomware, que puede incluir las siguientes políticas que cree en Ransomware Resilience:

  • Política de instantáneas

  • Política de respaldo

  • Política de detección de ransomware

  • Replicación secundaria a ONTAP

Pasos para crear una estrategia de protección contra ransomware

  1. En el menú Resiliencia ante ransomware, seleccione Protección.

    Página de gestión de estrategia

  2. Desde la página Protección, seleccione una carga de trabajo y luego Proteger.

  3. Desde la página de estrategias de protección contra ransomware, seleccione Agregar.

    Agregar página de estrategia que muestra la sección de instantáneas

  4. Ingrese un nuevo nombre de estrategia o ingrese un nombre existente para copiarlo. Si ingresa un nombre existente, elija cuál desea copiar y seleccione Copiar.

    Nota Si elige copiar y modificar una estrategia existente, Ransomware Resilience agrega "_copy" al nombre original. Debes cambiar el nombre y al menos una configuración para que sea único.

  5. Para cada elemento, seleccione la flecha hacia abajo.

    • Política de detección:

      • Política: Elija una de las políticas de detección prediseñadas.

      • Detección primaria: habilite Ransomware Resilience para detectar posibles ataques de ransomware.

      • Detección de comportamiento sospechoso del usuario: habilite la detección del comportamiento del usuario para transmitir eventos de actividad del usuario a Ransomware Resilience y detectar eventos sospechosos, como violaciones de datos.

      • Bloquear extensiones de archivos: habilite Ransomware Resilience para bloquear extensiones de archivos sospechosas conocidas. Ransomware Resilience toma copias instantáneas automáticas cuando la detección primaria está habilitada.

        Si desea cambiar las extensiones de archivos bloqueadas, edítelas en el Administrador del sistema.

    • Política de instantáneas:

      • Nombre base de la política de instantánea: seleccione una política o seleccione Crear e ingrese un nombre para la política de instantánea.

      • Bloqueo de instantáneas: habilite esta opción para bloquear las copias de instantáneas en el almacenamiento principal de modo que no se puedan modificar ni eliminar durante un período de tiempo determinado, incluso si un ataque de ransomware logra llegar al destino de almacenamiento de respaldo. Esto también se llama almacenamiento inmutable. Esto permite un tiempo de restauración más rápido.

        Cuando se bloquea una instantánea, el tiempo de expiración del volumen se establece en el tiempo de expiración de la copia de la instantánea.

    El bloqueo de copias instantáneas está disponible con ONTAP 9.12.1 y versiones posteriores. Para obtener más información sobre SnapLock, consulte "SnapLock en ONTAP" .

    • Programaciones de instantáneas: elija las opciones de programación, la cantidad de copias de instantáneas que desea conservar y seleccione para habilitar la programación.

      • Política de replicación:

    • Nombre base de la política de replicación: ingrese un nombre nuevo o elija uno existente. El nombre base es el prefijo que se añade a todas las instantáneas.

    • Programaciones de replicación: alterne las frecuencias que desea habilitar (por hora, por día, por semana o por mes) y configure el valor de retención (la cantidad de instantáneas replicadas que se conservarán) para cada programación que habilite.

      • Política de respaldo:

    • Nombre base de la política de respaldo: ingrese un nombre nuevo o elija uno existente.

    • Programaciones de respaldo: elija las opciones de programación para el almacenamiento secundario y habilite la programación.

      Consejo Para habilitar el bloqueo de copias de seguridad en el almacenamiento secundario, configure los destinos de copia de seguridad utilizando la opción Configuración. Para obtener más información, consulte "Configurar ajustes" .

  6. Seleccione Agregar.

Agrega una política de detección a las cargas de trabajo que ya tienen políticas de snapshot y backup gestionadas por Backup and Recovery

Ransomware Resilience te permite asignar una política de detección o una política de protección a cargas de trabajo con protección de instantáneas y copias de seguridad existente gestionada en otros productos o servicios de NetApp. Backup and Recovery usa políticas que rigen las instantáneas, la replicación a almacenamiento secundario o las copias de seguridad a almacenamiento de objetos.

Agregue una política de detección a las cargas de trabajo con políticas de copia de seguridad o instantáneas existentes

Si ya tienes políticas de instantáneas o copias de seguridad con Backup and Recovery, puedes añadir una política para detectar ataques de ransomware. Para gestionar la protección y la detección con Ransomware Resilience, consulta Protéjase con resiliencia contra ransomware.

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Protección.

    Página de gestión de estrategia

  2. Desde la página Protección, seleccione una carga de trabajo y luego seleccione Proteger.

  3. Ransomware Resilience detecta si hay políticas activas de Backup and Recovery.

  4. Para dejar tu Backup and Recovery existente en su lugar y solo aplicar una política de detección, deja la casilla Replace existing policies sin marcar.

  5. Selecciona la configuración de detección que quieras:

    • Detección de cifrado

    • Detección de comportamiento sospechoso de usuario

    • Bloquea extensiones de archivo sospechosas

  6. Seleccione Siguiente.

  7. Si seleccionaste Detección de comportamiento sospechoso del usuario como configuración de detección, selecciona el User activity agent o "o crea uno".

    El agente de actividad del usuario aloja los nuevos recopiladores de datos. Ransomware Resilience crea automáticamente el recopilador de datos para transmitir eventos de actividad del usuario a Ransomware Resilience para detectar un comportamiento anómalo del usuario.

  8. Seleccione Siguiente.

  9. Revise sus opciones Seleccione Crear para activar la detección.

  10. En la página Protección, revise el Estado de detección para confirmar que la detección esté Activa.

Reemplace las políticas de copia de seguridad o instantáneas existentes con una estrategia de protección contra ransomware

Puede reemplazar sus políticas de copia de seguridad o instantáneas existentes con una estrategia de protección contra ransomware. Este enfoque elimina la protección administrada externamente y configura la detección y protección en Ransomware Resilience.

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Protección.

    Página de gestión de estrategia

  2. Desde la página Protección, seleccione una carga de trabajo y luego seleccione Proteger.

  3. Ransomware Resilience detecta si existen políticas activas de Backup and Recovery. Para reemplazar las políticas existentes, selecciona la casilla Replace existing policies. Cuando seleccionas la casilla, Ransomware Resilience reemplaza la lista de políticas de detección por políticas de detección.

  4. Elija una política de protección. Si no existe ninguna política de protección, seleccione Agregar para crear una nueva política. Para obtener información sobre cómo crear una política, consulteCrear una política de protección . Seleccione Siguiente.

  5. Si su estrategia incluye replicación, seleccione el Sistema de destino y la VM de almacenamiento de destino. Seleccione Siguiente.

  6. Seleccione un destino de copia de seguridad o cree uno nuevo. Seleccione Siguiente.

    1. Si su estrategia de protección incluye la detección del comportamiento del usuario, seleccione un agente de actividad del usuario en su entorno para alojar los nuevos recopiladores de datos. Ransomware Resilience crea automáticamente el recopilador de datos para transmitir eventos de actividad del usuario a Ransomware Resilience para detectar un comportamiento anómalo del usuario.

  7. Revise la nueva estrategia de protección y luego seleccione Proteger para aplicarla.

  8. En la página Protección, revise el Estado de detección para confirmar que la detección esté Activa.

Asignar una política diferente

Puede reemplazar la política existente por una diferente.

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Protección.

  2. Desde la página Protección, en la fila de carga de trabajo, seleccione Editar protección.

  3. Si la carga de trabajo tiene una política de Backup and Recovery existente que quieres mantener, desmarca Replace existing policies. Para reemplazar las políticas existentes, marca Replace existing policies.

  4. En la página Políticas, seleccione la flecha hacia abajo de la política que desea asignar para revisar los detalles.

  5. Seleccione la política que desea asignar.

  6. Seleccione Proteger para completar el cambio.

Gestionar estrategias de protección contra ransomware

Puedes eliminar una estrategia de ransomware.

Ver cargas de trabajo protegidas por una estrategia de protección contra ransomware

Antes de eliminar una estrategia de protección contra ransomware, es posible que desee ver qué cargas de trabajo están protegidas por esa estrategia.

Puede ver las cargas de trabajo desde la lista de estrategias o cuando está editando una estrategia específica.

Pasos para visualizar estrategias

  1. En el menú Resiliencia ante ransomware, seleccione Protección.

  2. Desde la página Protección, seleccione Administrar estrategias de protección.

    La página de estrategias de protección contra ransomware muestra una lista de estrategias.

    Pantalla de estrategias de protección contra ransomware que muestra una lista de estrategias

  3. En la página Estrategias de protección contra ransomware, en la columna Cargas de trabajo protegidas, seleccione la flecha hacia abajo al final de la fila.

Eliminar una estrategia de protección contra ransomware

Puede eliminar una estrategia de protección que actualmente no esté asociada con ninguna carga de trabajo.

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Protección.

  2. Desde la página Protección, seleccione Administrar estrategias de protección.

  3. En la página Administrar estrategias, seleccione *Acciones*Botón de acciones Opción para la estrategia que desea eliminar.

  4. En el menú Acciones, seleccione Eliminar política.