Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Casos de uso y consideraciones sobre la protección de Ransomware autónoma

11/20/2024 Colaboradores

PDF

La protección autónoma frente a ransomware (ARP) está disponible para cargas de trabajo NAS que comiencen con ONTAP 9.10,1. Antes de implementar ARP, debe tener en cuenta los usos recomendados y las configuraciones compatibles, así como las implicaciones de rendimiento.

Configuraciones admitidas y no admitidas

Al decidir usar ARP, es importante asegurarse de que la carga de trabajo de su volumen sea adecuada para ARP y que cumpla con las configuraciones del sistema requeridas.

Cargas de trabajo adecuadas

ARP es adecuado para:

En almacenamiento NFS
Directorios iniciales Windows o Linux

Debido a que los usuarios podían crear archivos con extensiones que no se detectaron en el período de aprendizaje, existe una mayor posibilidad de falsos positivos en esta carga de trabajo.
Imágenes y vídeo

Por ejemplo, historiales médicos y datos de automatización de diseño electrónico (EDA)

Cargas de trabajo poco adecuadas

ARP no es adecuado para:

Cargas de trabajo con una gran frecuencia de creación o eliminación de archivos (cientos de miles de archivos en pocos segundos, por ejemplo, cargas de trabajo de prueba/desarrollo).
La detección de amenazas de ARP depende de su capacidad para reconocer un aumento inusual en la actividad de creación, cambio de nombre o eliminación de archivos. Si la aplicación en sí es el origen de la actividad de archivos, no se puede distinguir eficazmente de la actividad de ransomware.
Cargas de trabajo en las que la aplicación o el host cifran datos.
ARP depende de distinguir los datos entrantes como cifrados o no cifrados. Si la propia aplicación está cifrando los datos, se reduce la eficacia de la función. Sin embargo, la característica puede seguir funcionando según la actividad del archivo (eliminar, sobrescribir o crear, o crear o cambiar el nombre con una nueva extensión de archivo) y el tipo de archivo.

Configuraciones admitidas

ARP está disponible para volúmenes FlexVol SMB y NFS en sistemas ONTAP on-premises que empiezan por ONTAP 9.10,1.

La compatibilidad con otras configuraciones y tipos de volúmenes está disponible en las siguientes versiones de ONTAP:

ONTAP 9.16.1 ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

	ONTAP 9.16.1	ONTAP 9.15.1	ONTAP 9.14.1	ONTAP 9.13.1	ONTAP 9.12.1
Volúmenes protegidos con SnapMirror asíncrono	✓	✓	✓	✓	✓
SVM protegidos con SnapMirror asíncrono (recuperación ante desastres de SVM)	✓	✓	✓	✓	✓
Movilidad de datos de SVM (`vserver migrate`)	✓	✓	✓	✓	✓
Volúmenes de FlexGroup*	✓	✓	✓	✓
Verificación de varios administradores	✓	✓	✓	✓
ARP/AI con actualizaciones automáticas	✓

Volúmenes protegidos con SnapMirror asíncrono

✓

SVM protegidos con SnapMirror asíncrono (recuperación ante desastres de SVM)

✓

Movilidad de datos de SVM (vserver migrate)

✓

Volúmenes de FlexGroup*

✓

Verificación de varios administradores

✓

ARP/AI con actualizaciones automáticas

✓

*ARP/AI no admite volúmenes FlexGroup. Después de actualizar a ONTAP 9.16,1, los volúmenes FlexGroup habilitados para ARP siguen operando con el mismo modelo ARP usado antes de ARP/AI.

Interoperabilidad de SnapMirror y ARP

A partir de ONTAP 9.12,1, ARP es compatible con los volúmenes de destino asíncronos SnapMirror. ARP no es** compatible con SnapMirror síncrono.

Si un volumen de origen de SnapMirror tiene habilitada ARP, el volumen de destino de SnapMirror adquiere automáticamente el estado de configuración de ARP (aprendizaje, habilitado, etc.), datos de entrenamiento de ARP e Snapshot creada por ARP del volumen de origen. No se requiere habilitación explícita.

Mientras que el volumen de destino consta de instantáneas de solo lectura (RO), no se realiza ningún procesamiento ARP en sus datos. Sin embargo, cuando el volumen de destino de SnapMirror se convierte en Read-write (RW), ARP se habilita automáticamente en el volumen de destino que se convierte en RW. El volumen de destino no requiere ningún procedimiento de aprendizaje adicional además de lo que ya se ha registrado en el volumen de origen.

En ONTAP 9.10,1 y 9.11.1, SnapMirror no transfiere el estado de configuración ARP, los datos de entrenamiento y las snapshots de los volúmenes de origen a los de destino. Por ello, cuando el volumen de destino de SnapMirror se convierte en RW, ARP en el volumen de destino debe habilitarse explícitamente en el modo de aprendizaje después de la conversión.

ARP y máquinas virtuales

ARP es compatible con máquinas virtuales (VM). La detección de ARP se comporta de manera diferente para los cambios dentro y fuera de la VM. No se recomienda ARP para cargas de trabajo con archivos de alta entropía dentro del equipo virtual.

Realizar cambios fuera de la máquina virtual

ARP puede detectar cambios de extensión de archivo en un volumen NFS fuera de la VM si una nueva extensión entra en el volumen cifrado o cambia una extensión de archivo. Los cambios detectables en la extensión de archivo son:

.vmx
.vmxf
.vmdk
-flat.vmdk
.nvram
.vmem
.vmsd
.vmsn
.vswp
.vmss
.log
-\#.log

Cambios dentro de la VM

Si el ataque de ransomware se dirige a la máquina virtual y los archivos dentro de la máquina virtual se alteran sin hacer cambios fuera de la máquina virtual, ARP detecta la amenaza si la entropía predeterminada de la máquina virtual es baja (por ejemplo, archivos .txt, .docx o .mp4). Aunque ARP crea una instantánea de protección en este escenario, no genera una alerta de amenaza porque las extensiones de archivo fuera de la VM no se han manipulado.

Si, por defecto, los archivos son de alta entropía (por ejemplo, archivos .gzip o protegidos con contraseña), las capacidades de detección de ARP son limitadas. ARP todavía puede tomar instantáneas proactivas en este caso; sin embargo, no se activará ninguna alerta si las extensiones de archivo no se han manipulado externamente.

Configuraciones no admitidas

ARP no es compatible con las siguientes configuraciones del sistema:

Entornos ONTAP S3
Entornos SAN

ARP no admite las siguientes configuraciones de volumen:

FlexGroup Volumes (en ONTAP 9.10.1 a 9.12.1. A partir de ONTAP 9.13,1, los volúmenes FlexGroup son compatibles, pero se limitan al modelo ARP usado antes de ARP/AI)
Volúmenes FlexCache (ARP es compatible con los volúmenes FlexVol de origen, pero no con los volúmenes de caché)
Volúmenes sin conexión
Volúmenes solo DE SAN
Volúmenes de SnapLock
SnapMirror síncrono
SnapMirror asíncrono (No se admite solo en ONTAP 9.10,1 y 9.11.1. SnapMirror asíncrono es compatible a partir de ONTAP 9.12,1. Para obtener más información, consulte [snapmirror].)
Volúmenes restringidos
Volúmenes raíz de equipos virtuales de almacenamiento
Volúmenes de máquinas virtuales de almacenamiento detenidas

Consideraciones de rendimiento y frecuencia de ARP

ARP puede tener un impacto mínimo en el rendimiento del sistema, ya que se mide el rendimiento y los picos de IOPS. El impacto de la función ARP depende de las cargas de trabajo de volumen específicas. Para cargas de trabajo comunes, se recomiendan los siguientes límites de configuración:

Características de las cargas de trabajo	Límite de volúmenes recomendado por nodo	Degradación del rendimiento cuando se supera el límite de volumen por nodo pasada:[*]
Con una gran cantidad de lecturas o se pueden comprimir los datos.	150	4 % del valor máximo de IOPS
Gran cantidad de escrituras y los datos no se pueden comprimir.	60	10 % de IOPS máximo

Características de las cargas de trabajo

Límite de volúmenes recomendado por nodo

Degradación del rendimiento cuando se supera el límite de volumen por nodo pasada:[*]

Con una gran cantidad de lecturas o se pueden comprimir los datos.

150

4 % del valor máximo de IOPS

Gran cantidad de escrituras y los datos no se pueden comprimir.

10 % de IOPS máximo

Aprobado:[*] el rendimiento del sistema no se degrada más allá de estos porcentajes, independientemente del número de volúmenes añadidos por encima de los límites recomendados.

Dado que la analítica ARP se ejecuta en una secuencia priorizada, a medida que aumenta el número de volúmenes protegidos, la analítica se ejecuta en cada volumen con menos frecuencia.

Verificación multi-admin con volúmenes protegidos con ARP

A partir de ONTAP 9.13.1, puede habilitar la verificación multiadministrador (MAV) para obtener seguridad adicional con ARP. MAV garantiza que al menos dos o más administradores autenticados deben desactivar ARP, pausar ARP o marcar un ataque sospechoso como falso positivo en un volumen protegido. Aprenda a "Habilite MAV para volúmenes protegidos por ARP".

Debe definir administradores para un grupo MAV y crear reglas MAV para los security anti-ransomware volume disable security anti-ransomware volume pause security anti-ransomware volume attack clear-suspect comandos , y ARP que desee proteger. Cada administrador del grupo MAV debe aprobar cada nueva solicitud de regla y "Vuelva a agregar la regla MAV" dentro de la configuración de MAV.

A partir de ONTAP 9.14,1, ARP ofrece alertas para la creación de una instantánea ARP y para la observación de una nueva extensión de archivo. De forma predeterminada, las alertas correspondientes a estos eventos están deshabilitadas. Las alertas pueden establecerse en el nivel del volumen o SVM. Puede crear reglas de MAV a nivel de SVM mediante security anti-ransomware vserver event-log modify o a nivel de volumen con security anti-ransomware volume event-log modify.

Siguientes pasos