Casos de uso y consideraciones de la protección autónoma frente a ransomware de ONTAP
Sugerir cambios
PDF
Autonomous Ransomware Protection (ARP) está disponible para cargas de trabajo NAS a partir de ONTAP 9.10.1 y para cargas de trabajo SAN a partir de ONTAP 9.17.1. Antes de implementar ARP, debes conocer los usos recomendados y las configuraciones admitidas, así como las implicaciones de rendimiento. También debes asegurarte de que la carga de trabajo de tu volumen es adecuada para ARP y de que cumple las configuraciones de sistema necesarias.
Cargas de trabajo adecuadas
ARP es adecuado para estos tipos de cargas de trabajo:
-
Bases de datos en almacenamiento NFS o SAN
-
Directorios iniciales Windows o Linux
En entornos sin ARP/AI, los usuarios podrían crear archivos con extensiones que no se detectan durante el periodo de aprendizaje. Por ello, existe una mayor probabilidad de falsos positivos en esta carga de trabajo.
-
Imágenes y vídeo
Por ejemplo, historiales médicos y datos de automatización de diseño electrónico (EDA)
Cargas de trabajo poco adecuadas
ARP no es adecuado para estos tipos de cargas de trabajo:
-
Cargas de trabajo con una alta frecuencia de operaciones de creación o eliminación de archivos (cientos de miles de archivos en pocos segundos; por ejemplo, cargas de trabajo de prueba/desarrollo).
-
La detección de amenazas de ARP depende de su capacidad para reconocer un aumento inusual en las operaciones de creación, renombrado o eliminación de archivos. Si la propia aplicación es la fuente de la actividad del archivo, no se puede distinguir con eficacia de la actividad de ransomware.
-
Cargas de trabajo donde la aplicación o el host cifran los datos.
ARP depende de distinguir los datos entrantes como cifrados o no cifrados. Si la propia aplicación cifra los datos, la eficacia de la función se reduce. Sin embargo, ARP puede seguir funcionando según la actividad del archivo (eliminar, sobrescribir, crear, o crear o renombrar con una nueva extensión) y el tipo de archivo.
Configuraciones admitidas
ARP soporta cargas de trabajo NAS y SAN en múltiples versiones y entornos ONTAP. Revisa las capacidades de soporte para confirmar que tu entorno y configuración son compatibles antes de desplegar ARP.
Soporte básico
La compatibilidad básica con ARP comienza en ONTAP 9.10.1 e incluye cargas de trabajo NAS (NFS y SMB) en volúmenes FlexVol y configuraciones MetroCluster.
Soporte de protocolo e hipervisor por versión de ONTAP
Además de la compatibilidad básica con NAS, las versiones posteriores de ONTAP añaden compatibilidad con los siguientes protocolos y entornos:
-
ONTAP 9.17.1 y posteriores: cargas de trabajo de dispositivos de bloques SAN (volúmenes que contienen LUN o espacios de nombres NVMe) y volúmenes NAS que contienen discos virtuales de VMware
-
ONTAP 9.17.1P5 y posteriores: volúmenes NAS que contienen hipervisores Hyper-V, KVM y OpenStack
Matriz de soporte de características y configuración
La compatibilidad con otras configuraciones y tipos de volúmenes está disponible en las siguientes versiones de ONTAP:
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|---|
Volúmenes protegidos con SnapMirror asíncrono |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volúmenes protegidos con SnapMirror síncrono 3 |
✓ |
|||||||||
Volúmenes protegidos con SnapMirror active sync 3 |
✓ |
|||||||||
SVM protegidos con SnapMirror asíncrono (recuperación ante desastres de SVM) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Movilidad de datos de SVM ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volúmenes de FlexGroup 1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
Verificación de varios administradores |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI con actualizaciones automáticas |
✓ |
✓ |
✓ |
✓ |
||||||
Habilitación predeterminada de ARP/AI2 |
✓ |
✓ |
1 ONTAP 9.16.1 y 9.17.1 no proporcionan soporte ARP/AI para volúmenes FlexGroup . Tras una actualización a estas versiones, los volúmenes FlexGroup habilitados para ARP continúan funcionando con el mismo modelo ARP utilizado antes de ARP/AI. A partir de ONTAP 9.18.1, los volúmenes FlexGroup utilizan el modelo ARP/AI.
2 A partir de ONTAP 9.18.1, el comportamiento de habilitación predeterminada de ARP/AI está disponible para los sistemas AFF A-series y AFF C-series, ASA y ASA r2. Este comportamiento habilita automáticamente ARP/AI en todos los volúmenes nuevos después de un periodo de gracia de 12 horas tras una actualización o de inmediato para las nuevas instalaciones de ONTAP 9.18.1. Tendrás que habilitar ARP manualmente en "volúmenes existentes".
3 A partir de ONTAP 9.19.1 RC, ARP/AI admite volúmenes primarios en relaciones síncronas de SnapMirror para NAS y SAN en sistemas FAS, AFF A-series, AFF C-series y AFX, y volúmenes primarios en relaciones SAN de sincronización activa de SnapMirror en sistemas AFF A-series, AFF C-series y ASA r2. Para más información, consulta [snapmirror].
Consideraciones sobre interoperabilidad y VM
ARP funciona junto con las relaciones de protección de datos de SnapMirror y los entornos de máquinas virtuales, con algunos comportamientos y limitaciones específicos de la versión que debes conocer antes de la implementación.
Interoperabilidad de SnapMirror y ARP
A partir de ONTAP 9.12.1, ARP es compatible con los volúmenes de destino asíncronos de SnapMirror.
A partir de ONTAP 9.19.1 RC, ARP/AI admite volúmenes primarios que participan en SnapMirror síncrono y en relaciones SAN de sincronización activa SnapMirror, con el siguiente comportamiento:
-
ARP/AI es compatible con volúmenes primary en relaciones síncronas de SnapMirror para NAS y SAN en sistemas FAS, AFF A-series, AFF C-series y AFX.
-
ARP/AI es compatible con volúmenes primary en relaciones SAN de sincronización activa de SnapMirror en sistemas AFF A-series, AFF C-series y ASA r2.
-
Los análisis de ARP/AI solo se ejecutan en el volumen primario activo de lectura y escritura en las relaciones SnapMirror síncronas y de sincronización activa SnapMirror SAN, donde ARP crea instantáneas solo primarias y realiza la detección de ransomware basada en aprendizaje automático.
-
El estado de configuración de ARP y las instantáneas de ARP no se replican en el volumen secundario como parte de SnapMirror synchronous o SnapMirror active sync en ONTAP 9.19.1 RC.
-
Después de actualizar a ONTAP 9.19.1 RC y activar ARP en volúmenes que forman parte de SnapMirror synchronous o SnapMirror active sync, la relación puede experimentar un breve estado Out‑of‑Sync. Esta condición es temporal y la relación debería resincronizarse automáticamente sin ninguna intervención.
|
Dado que cada operación de escritura se consigna en ambos volúmenes en una relación de réplica síncrona, habilitar ARP solo en el volumen primario es suficiente para detectar las anomalías. Los metadatos internos generados por el análisis de ARP en el volumen primario también se replican en el volumen secundario. Debido a esto, si se habilita ARP en el volumen secundario después de una conmutación por error, los metadatos necesarios ya existirán en el volumen secundario. |
Si un volumen de origen SnapMirror asíncrono está habilitado para ARP, el volumen de destino SnapMirror adquiere automáticamente el estado de configuración ARP (como dry-run o enabled), los datos de entrenamiento ARP y la instantánea creada por ARP del volumen de origen. No se requiere habilitación explícita.
Aunque el volumen de destino asíncrono consiste en snapshots de solo lectura (RO), no se realiza ningún procesamiento de ARP en sus datos. Sin embargo, cuando el volumen de destino asíncrono SnapMirror se convierte a lectura/escritura (RW), ARP se habilita automáticamente en el volumen de destino convertido a RW. El volumen de destino no requiere ningún procedimiento de aprendizaje adicional aparte de lo que ya está registrado en el volumen de origen.
En ONTAP 9.10.1 y 9.11.1, SnapMirror no transfiere el estado de configuración de ARP, los datos de entrenamiento ni las instantáneas de los volúmenes de origen a los de destino. Por ello, cuando el volumen de destino de SnapMirror se convierte a RW, ARP en el volumen de destino debe habilitarse explícitamente en el modo de aprendizaje después de la conversión.
ARP y máquinas virtuales
ARP es compatible con máquinas virtuales (VM) en VMware, Hyper-V, KVM y OpenStack. VMware es compatible a partir de ONTAP 9.17.1, e Hyper-V, KVM y OpenStack son compatibles a partir de ONTAP 9.17.1P5. La detección de ARP se comporta de forma diferente para los cambios dentro y fuera de la VM. ARP no se recomienda para cargas de trabajo que impliquen un gran número de archivos muy comprimidos (como 7z y ZIP) o cifrados (como PDF, DOC o ZIP protegidos con contraseña) dentro de la VM.
ARP puede detectar cambios en la extensión de archivo en un volumen NFS fuera de la VM si una nueva extensión ingresa al volumen en un estado cifrado o si cambia una extensión de archivo.
Si un ataque de ransomware modifica archivos dentro de la máquina virtual sin realizar cambios externos, ARP detecta la amenaza si la entropía predeterminada de la máquina virtual es baja (por ejemplo, archivos .txt, .docx o .mp4). Para ONTAP 9.16.1 y versiones anteriores, ARP crea una instantánea de protección en este escenario, pero no genera una alerta de amenaza porque las extensiones de archivo externas a la máquina virtual no se han alterado. A partir de la compatibilidad con SAN en ONTAP 9.17.1, ARP genera una alerta de amenaza adicional si detecta una anomalía de entropía dentro de la máquina virtual.
Si, por defecto, los archivos tienen alta entropía (por ejemplo, archivos .gzip o protegidos con contraseña), la capacidad de detección de ARP es limitada. En este caso, ARP puede tomar instantáneas proactivas; sin embargo, no se activarán alertas si las extensiones de archivo no han sido alteradas externamente.
Para SAN, ARP analiza las estadísticas de entropía a nivel de volumen y activa detecciones cuando se encuentra una anomalía de entropía.
|
|
La detección de ataques que ocurren dentro de una máquina virtual solo está disponible para volúmenes FlexVol y no está disponible si el almacén de datos de la máquina virtual está configurado en un volumen FlexGroup en ONTAP 9.18.1 y versiones posteriores. |
Configuraciones no admitidas
ARP no es compatible con entornos ONTAP S3.
ARP no admite las siguientes configuraciones de volumen:
-
Volúmenes FlexGroup (en ONTAP 9.10.1 a 9.12.1).
Desde ONTAP 9.13.1 hasta ONTAP 9.17.1, se admiten volúmenes FlexGroup , pero están limitados al modelo ARP utilizado antes de ARP/AI. Los volúmenes FlexGroup son compatibles con ARP/AI a partir de ONTAP 9.18.1. -
Volúmenes FlexCache (ARP es compatible con los volúmenes FlexVol de origen, pero no con los volúmenes de caché)
-
Volúmenes sin conexión
-
Volúmenes de SnapLock
-
SnapMirror active sync en ONTAP 9.18.1 y versiones anteriores
-
SnapMirror sincronización activa (NAS) en ONTAP 9.19.1 RC
-
SnapMirror síncrono en ONTAP 9.18.1 y anteriores
-
SnapMirror asíncrono (en ONTAP 9.10.1 y 9.11.1). SnapMirror asíncrono es compatible a partir de ONTAP 9.12.1. Para más información, consulte [snapmirror] .
-
Volúmenes restringidos
-
Volúmenes raíz de equipos virtuales de almacenamiento
-
Volúmenes de máquinas virtuales de almacenamiento detenidas
-
FlexVol a FlexGroup conversión (ARP debe estar desactivado antes de la conversión)
Consideraciones de rendimiento y frecuencia de ARP
ARP puede tener un impacto mínimo en el rendimiento del sistema, medido en rendimiento e IOPS máximos. El impacto de la función ARP depende de la carga de trabajo específica del volumen. Para cargas de trabajo comunes, se recomiendan los siguientes límites de configuración:
| Características de las cargas de trabajo | Límite de volúmenes recomendado por nodo | Degradación del rendimiento cuando se excede el límite de volumen por nodo 1 |
|---|---|---|
Lectura intensiva o los datos se pueden comprimir |
150 |
4 % de IOPS máximo |
Escritura intensiva y los datos no se pueden comprimir |
60 |
|
1 El rendimiento del sistema no se degrada más allá de estos porcentajes, independientemente de la cantidad de volúmenes agregados que excedan los límites recomendados.
Debido a que los análisis de ARP se ejecutan en una secuencia priorizada, los análisis se ejecutan en cada volumen con menor frecuencia a medida que aumenta la cantidad de volúmenes protegidos.
|
|
Habilitar ARP por defecto en un gran número de nuevos volúmenes puede incrementar el uso de recursos del sistema. Considera las demandas de espacio para procesos competidores como las instantáneas cuando habilites ARP en volúmenes. |
Límites de volumen para ARP por plataforma
A partir de ONTAP 9.18.1, ARP admite límites de volumen aumentados según el tipo de plataforma y la cantidad de núcleos de CPU.
| Tipo de plataforma | Máximo de volúmenes con ARP habilitado por nodo |
|---|---|
Gama baja (sistemas con hasta 20 CPU cores) |
250 |
Mediana (sistemas con hasta 64 núcleos de CPU) |
500 |
Gama alta (sistemas con más de 64 núcleos de CPU) |
1000 |
|
|
El recuento de núcleos de CPU se aplica a cada nodo individual en un par de HA de 2 nodos. |
Verificación multi-admin con volúmenes protegidos con ARP
A partir de ONTAP 9.13.1, puede habilitar la verificación multiadministrador (MAV) para obtener seguridad adicional con ARP. MAV garantiza que al menos dos o más administradores autenticados deben desactivar ARP, pausar ARP o marcar un ataque sospechoso como falso positivo en un volumen protegido. Aprenda a "Habilite MAV para volúmenes protegidos por ARP".
Debe definir administradores para un grupo MAV y crear reglas MAV para los security anti-ransomware volume disable security anti-ransomware volume pause security anti-ransomware volume attack clear-suspect comandos , y ARP que desee proteger. Cada administrador del grupo MAV debe aprobar cada nueva solicitud de regla y "Vuelva a agregar la regla MAV" dentro de la configuración de MAV.
Obtenga más información acerca de security anti-ransomware volume disable, security anti-ransomware volume pause y security anti-ransomware volume attack clear-suspect en el "Referencia de comandos del ONTAP".
A partir de ONTAP 9.14.1, ARP ofrece alertas para la creación de una instantánea de ARP y para la observación de una nueva extensión de archivo. Las alertas para estos eventos están deshabilitadas de forma predeterminada. Las alertas se pueden configurar a nivel de volumen o de SVM. Puede habilitar las alertas mediante security anti-ransomware vserver event-log modify o al nivel del volumen con security anti-ransomware volume event-log modify .
Obtenga más información sobre security anti-ransomware vserver event-log modify y security anti-ransomware volume event-log modify en el "Referencia de comandos del ONTAP".