Casos de uso y consideraciones de la protección autónoma frente a ransomware de ONTAP
Sugerir cambios
PDF
La Protección Autónoma contra Ransomware (ARP) está disponible para cargas de trabajo NAS a partir de ONTAP 9.10.1 y SAN a partir de ONTAP 9.17.1. Antes de implementar ARP, debe conocer los usos recomendados y las configuraciones compatibles, así como las implicaciones de rendimiento.
Configuraciones admitidas y no admitidas
Al decidir usar ARP, es importante asegurarse de que la carga de trabajo de su volumen sea adecuada para ARP y que cumpla con las configuraciones del sistema requeridas.
Cargas de trabajo adecuadas
ARP es adecuado para estos tipos de cargas de trabajo:
-
Bases de datos en almacenamiento NFS o SAN
-
Directorios iniciales Windows o Linux
En entornos sin ARP/AI, los usuarios podrían crear archivos con extensiones que no se detectan durante el periodo de aprendizaje. Por ello, existe una mayor probabilidad de falsos positivos en esta carga de trabajo.
-
Imágenes y vídeo
Por ejemplo, historiales médicos y datos de automatización de diseño electrónico (EDA)
Cargas de trabajo poco adecuadas
ARP no es adecuado para estos tipos de cargas de trabajo:
-
Cargas de trabajo con una alta frecuencia de operaciones de creación o eliminación de archivos (cientos de miles de archivos en pocos segundos; por ejemplo, cargas de trabajo de prueba/desarrollo).
-
La detección de amenazas de ARP depende de su capacidad para reconocer un aumento inusual en las operaciones de creación, renombrado o eliminación de archivos. Si la propia aplicación es la fuente de la actividad del archivo, no se puede distinguir con eficacia de la actividad de ransomware.
-
Cargas de trabajo donde la aplicación o el host cifran los datos.
ARP depende de distinguir los datos entrantes como cifrados o no cifrados. Si la propia aplicación cifra los datos, la eficacia de la función se reduce. Sin embargo, ARP puede seguir funcionando según la actividad del archivo (eliminar, sobrescribir, crear, o crear o renombrar con una nueva extensión) y el tipo de archivo.
Configuraciones admitidas
ARP está disponible para volúmenes NAS NFS y SMB FlexVol a partir de ONTAP 9.10.1. A partir de la versión 9.17.1, ARP está disponible para volúmenes SAN FlexVol para iSCSI, FC y NVMe con almacenamiento SAN.
La compatibilidad con otras configuraciones y tipos de volúmenes está disponible en las siguientes versiones de ONTAP:
| ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|
Volúmenes protegidos con SnapMirror asíncrono |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM protegidos con SnapMirror asíncrono (recuperación ante desastres de SVM) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Movilidad de datos de SVM ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volúmenes de FlexGroup 1 |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
Verificación de varios administradores |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI con actualizaciones automáticas |
✓ |
✓ |
1 ARP/AI no es compatible con volúmenes FlexGroup . Tras actualizar a ONTAP 9.16.1, los volúmenes FlexGroup habilitados para ARP siguen funcionando con el mismo modelo de ARP utilizado antes de ARP/AI.
Interoperabilidad de SnapMirror y ARP
A partir de ONTAP 9.12.1, ARP es compatible con volúmenes de destino asíncronos de SnapMirror . ARP no es compatible con SnapMirror síncrono ni con SnapMirror con sincronización activa.
Si un volumen de origen de SnapMirror está habilitado para ARP, el volumen de destino de SnapMirror adquiere automáticamente el estado de configuración de ARP (como dry-run o enabled ), datos de entrenamiento de ARP y una instantánea del volumen de origen creada por ARP. No se requiere habilitación explícita.
Aunque el volumen de destino consta de instantáneas de solo lectura (RO), no se realiza procesamiento ARP en sus datos. Sin embargo, cuando el volumen de destino de SnapMirror se convierte a lectura-escritura (RW), ARP se habilita automáticamente en el volumen de destino convertido a RW. El volumen de destino no requiere ningún procedimiento de aprendizaje adicional aparte del ya registrado en el volumen de origen.
En ONTAP 9.10.1 y 9.11.1, SnapMirror no transfiere el estado de configuración de ARP, los datos de entrenamiento ni las instantáneas de los volúmenes de origen a los de destino. Por ello, cuando el volumen de destino de SnapMirror se convierte a RW, ARP en el volumen de destino debe habilitarse explícitamente en el modo de aprendizaje después de la conversión.
ARP y máquinas virtuales
ARP es compatible con máquinas virtuales (VM). La detección de ARP se comporta de forma diferente para los cambios dentro y fuera de la VM. No se recomienda para cargas de trabajo que impliquen una gran cantidad de archivos muy comprimidos (como 7z y ZIP) o archivos cifrados (como PDF, DOC o ZIP protegidos con contraseña) dentro de la VM.
ARP puede detectar cambios en la extensión de archivo en un volumen NFS fuera de la VM si una nueva extensión ingresa al volumen en un estado cifrado o si cambia una extensión de archivo.
Si un ataque de ransomware modifica archivos dentro de la máquina virtual sin realizar cambios externos, ARP detecta la amenaza si la entropía predeterminada de la máquina virtual es baja (por ejemplo, archivos .txt, .docx o .mp4). Para ONTAP 9.16.1 y versiones anteriores, ARP crea una instantánea de protección en este escenario, pero no genera una alerta de amenaza porque las extensiones de archivo externas a la máquina virtual no se han alterado. A partir de la compatibilidad con SAN en ONTAP 9.17.1, ARP genera una alerta de amenaza adicional si detecta una anomalía de entropía dentro de la máquina virtual.
Si, por defecto, los archivos tienen alta entropía (por ejemplo, archivos .gzip o protegidos con contraseña), la capacidad de detección de ARP es limitada. En este caso, ARP puede tomar instantáneas proactivas; sin embargo, no se activarán alertas si las extensiones de archivo no han sido alteradas externamente.
Para SAN, ARP analiza las estadísticas de entropía a nivel de volumen y activa detecciones cuando se encuentra una anomalía de entropía.
Configuraciones no admitidas
ARP no es compatible con entornos ONTAP S3.
ARP no admite las siguientes configuraciones de volumen:
-
Volúmenes FlexGroup (en ONTAP 9.10.1 a 9.12.1). A partir de ONTAP 9.13.1, se admiten los volúmenes FlexGroup , pero están limitados al modelo ARP utilizado antes de ARP/AI.
-
Volúmenes FlexCache (ARP es compatible con los volúmenes FlexVol de origen, pero no con los volúmenes de caché)
-
Volúmenes sin conexión
-
Volúmenes de SnapLock
-
SnapMirror síncrono activo
-
SnapMirror síncrono
-
SnapMirror asíncrono (en ONTAP 9.10.1 y 9.11.1). SnapMirror asíncrono es compatible a partir de ONTAP 9.12.1. Para más información, consulte [snapmirror] .
-
Volúmenes restringidos
-
Volúmenes raíz de equipos virtuales de almacenamiento
-
Volúmenes de máquinas virtuales de almacenamiento detenidas
Consideraciones de rendimiento y frecuencia de ARP
ARP puede tener un impacto mínimo en el rendimiento del sistema, medido en rendimiento e IOPS máximos. El impacto de la función ARP depende de la carga de trabajo específica del volumen. Para cargas de trabajo comunes, se recomiendan los siguientes límites de configuración:
| Características de las cargas de trabajo | Límite de volúmenes recomendado por nodo | Degradación del rendimiento cuando se excede el límite de volumen por nodo 1 |
|---|---|---|
Lectura intensiva o los datos se pueden comprimir |
150 |
4 % de IOPS máximo |
Escritura intensiva y los datos no se pueden comprimir |
60 |
|
1 El rendimiento del sistema no se degrada más allá de estos porcentajes, independientemente de la cantidad de volúmenes agregados que excedan los límites recomendados.
Debido a que los análisis de ARP se ejecutan en una secuencia priorizada, los análisis se ejecutan en cada volumen con menor frecuencia a medida que aumenta la cantidad de volúmenes protegidos.
Verificación multi-admin con volúmenes protegidos con ARP
A partir de ONTAP 9.13.1, puede habilitar la verificación multiadministrador (MAV) para obtener seguridad adicional con ARP. MAV garantiza que al menos dos o más administradores autenticados deben desactivar ARP, pausar ARP o marcar un ataque sospechoso como falso positivo en un volumen protegido. Aprenda a "Habilite MAV para volúmenes protegidos por ARP".
Debe definir administradores para un grupo MAV y crear reglas MAV para los security anti-ransomware volume disable security anti-ransomware volume pause security anti-ransomware volume attack clear-suspect comandos , y ARP que desee proteger. Cada administrador del grupo MAV debe aprobar cada nueva solicitud de regla y "Vuelva a agregar la regla MAV" dentro de la configuración de MAV.
Obtenga más información acerca de security anti-ransomware volume disable, security anti-ransomware volume pause y security anti-ransomware volume attack clear-suspect en el "Referencia de comandos del ONTAP".
A partir de ONTAP 9.14.1, ARP ofrece alertas para la creación de una instantánea de ARP y para la observación de una nueva extensión de archivo. Las alertas para estos eventos están deshabilitadas de forma predeterminada. Las alertas se pueden configurar a nivel de volumen o de SVM. Puede habilitar las alertas mediante security anti-ransomware vserver event-log modify o al nivel del volumen con security anti-ransomware volume event-log modify .
Obtenga más información sobre security anti-ransomware vserver event-log modify y security anti-ransomware volume event-log modify en el "Referencia de comandos del ONTAP".