Notas de la versión
Casos de uso y consideraciones sobre la protección de Ransomware autónoma
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Protección de datos con la interfaz de línea de comandos
-
-
Recopilación de documentos PDF independientes
Creating your file...
La protección autónoma de Ransomwware (ARP) está disponible para cargas de trabajo NAS que comiencen con ONTAP 9.10.1. Antes de implementar ARP, debe tener en cuenta los usos recomendados y las configuraciones compatibles, así como las implicaciones de rendimiento.
Configuraciones admitidas y no admitidas
Al decidir usar ARP, es importante asegurarse de que la carga de trabajo de su volumen sea adecuada para ARP y que cumpla con las configuraciones del sistema requeridas.
Cargas de trabajo adecuadas
ARP es adecuado para:
-
En almacenamiento NFS
-
Directorios iniciales Windows o Linux
Debido a que los usuarios podían crear archivos con extensiones que no se detectaron en el período de aprendizaje, existe una mayor posibilidad de falsos positivos en esta carga de trabajo.
-
Imágenes y vídeo
Por ejemplo, historiales médicos y datos de automatización de diseño electrónico (EDA)
Cargas de trabajo poco adecuadas
ARP no es adecuado para:
-
Cargas de trabajo con una gran frecuencia de creación o eliminación de archivos (cientos de miles de archivos en pocos segundos, por ejemplo, cargas de trabajo de prueba/desarrollo).
-
La detección de amenazas de ARP depende de su capacidad para reconocer un aumento inusual en la actividad de creación, cambio de nombre o eliminación de archivos. Si la aplicación en sí es el origen de la actividad de archivos, no se puede distinguir eficazmente de la actividad de ransomware.
-
Cargas de trabajo en las que la aplicación o el host cifran datos.
ARP depende de distinguir los datos entrantes como cifrados o no cifrados. Si la propia aplicación está cifrando los datos, se reduce la eficacia de la función. Sin embargo, la característica puede seguir funcionando según la actividad del archivo (eliminar, sobrescribir o crear, o crear o cambiar el nombre con una nueva extensión de archivo) y el tipo de archivo.
Configuraciones admitidas
ARP está disponible para volúmenes NFS y SMB en sistemas ONTAP on-premises que empiezan por ONTAP 9.10.1.
La compatibilidad con otras configuraciones y tipos de volúmenes está disponible en las siguientes versiones de ONTAP:
| ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|
Volúmenes protegidos con SnapMirror asíncrono |
✓ |
✓ |
✓ |
||
SVM protegido con SnapMirror asíncrono (recuperación ante desastres de SVM) |
✓ |
✓ |
✓ |
||
Movilidad de datos de SVM ( |
✓ |
✓ |
✓ |
||
Volúmenes de FlexGroup |
✓ |
✓ |
|||
Verificación de varios administradores |
✓ |
✓ |
Interoperabilidad de SnapMirror y ARP
A partir de ONTAP 9.12.1, ARP es compatible con volúmenes de destino asíncronos de SnapMirror. ARP no es ** compatible con SnapMirror Synchronous.
Si un volumen de origen de SnapMirror tiene la función ARP habilitada, el volumen de destino de SnapMirror adquiere automáticamente el estado de configuración ARP (aprendizaje, habilitado, etc.), datos de entrenamiento ARP y Snapshot creadas con ARP del volumen de origen. No se requiere habilitación explícita.
Mientras que el volumen de destino consta de copias Snapshot de solo lectura (RO), no se realiza el procesamiento ARP en sus datos. Sin embargo, cuando el volumen de destino de SnapMirror se convierte en Read-write (RW), ARP se habilita automáticamente en el volumen de destino que se convierte en RW. El volumen de destino no requiere ningún procedimiento de aprendizaje adicional además de lo que ya se ha registrado en el volumen de origen.
En ONTAP 9.10.1 y 9.11.1, SnapMirror no transfiere el estado de configuración de ARP, los datos de formación y las copias Snapshot de los volúmenes de origen a destino. Por ello, cuando el volumen de destino de SnapMirror se convierte en RW, ARP en el volumen de destino debe habilitarse explícitamente en el modo de aprendizaje después de la conversión.
ARP y máquinas virtuales
ARP es compatible con máquinas virtuales (VM). La detección de ARP se comporta de manera diferente para los cambios dentro y fuera de la VM. No se recomienda ARP para cargas de trabajo con archivos de alta entropía dentro del equipo virtual.
ARP puede detectar cambios de extensión de archivo en un volumen NFS fuera de la VM si una nueva extensión entra en el volumen cifrado o cambia una extensión de archivo. Los cambios detectables en la extensión de archivo son:
-
.vmx
-
.vmxf
-
.vmdk
-
-flat.vmdk
-
.nvram
-
.vmem
-
.vmsd
-
.vmsn
-
.vswp
-
.vmss
-
.log
-
-\#.log
Si el ataque de ransomware se dirige a la máquina virtual y los archivos dentro de la máquina virtual se alteran sin hacer cambios fuera de la máquina virtual, ARP detecta la amenaza si la entropía predeterminada de la máquina virtual es baja (por ejemplo, archivos .txt, .docx o .mp4). Aunque ARP crea una instantánea de protección en este escenario, no genera una alerta de amenaza porque las extensiones de archivo fuera de la VM no se han manipulado.
Si, por defecto, los archivos son de alta entropía (por ejemplo, archivos .gzip o protegidos con contraseña), las capacidades de detección de ARP son limitadas. ARP todavía puede tomar Snapshots proactivos en este caso, sin embargo, no se activarán alertas si las extensiones de archivo no se han manipulado externamente.
Configuraciones no admitidas
ARP no es compatible con las siguientes configuraciones del sistema:
-
Entornos ONTAP S3
-
Entornos SAN
ARP no admite las siguientes configuraciones de volumen:
-
FlexGroup Volumes (en ONTAP 9.10.1 a 9.12.1. A partir de ONTAP 9.13.1, los volúmenes de FlexGroup son compatibles)
-
Volúmenes FlexCache (ARP es compatible con los volúmenes FlexVol de origen, pero no con los volúmenes de caché)
-
Volúmenes sin conexión
-
Volúmenes solo DE SAN
-
Volúmenes de SnapLock
-
SnapMirror síncrono
-
SnapMirror asíncrono (solo no se admite en ONTAP 9.10.1 y 9.11.1). Se admite SnapMirror asíncrono a partir de ONTAP 9.12.1. Para obtener más información, consulte [snapmirror].)
-
Volúmenes restringidos
-
Volúmenes raíz de equipos virtuales de almacenamiento
-
Volúmenes de máquinas virtuales de almacenamiento detenidas
Consideraciones de rendimiento y frecuencia de ARP
ARP puede tener un impacto mínimo en el rendimiento del sistema, ya que se mide el rendimiento y los picos de IOPS. El impacto de la función ARP depende de las cargas de trabajo de volumen específicas. Para cargas de trabajo comunes, se recomiendan los siguientes límites de configuración:
| Características de las cargas de trabajo | Límite de volúmenes recomendado por nodo | Degradación del rendimiento cuando se supera el límite de volumen por nodo pasada:[*] |
|---|---|---|
Con una gran cantidad de lecturas o se pueden comprimir los datos. |
150 |
4 % del valor máximo de IOPS |
Gran cantidad de escrituras y los datos no se pueden comprimir. |
60 |
10 % de IOPS máximo |
Aprobado:[*] el rendimiento del sistema no se degrada más allá de estos porcentajes, independientemente del número de volúmenes añadidos por encima de los límites recomendados.
Dado que la analítica ARP se ejecuta en una secuencia priorizada, a medida que aumenta el número de volúmenes protegidos, la analítica se ejecuta en cada volumen con menos frecuencia.
Verificación multi-admin con volúmenes protegidos con ARP
A partir de ONTAP 9.13.1, puede habilitar la verificación multiadministrador (MAV) para obtener seguridad adicional con ARP. MAV garantiza que al menos dos o más administradores autenticados deben desactivar ARP, pausar ARP o marcar un ataque sospechoso como falso positivo en un volumen protegido. Aprenda cómo "Habilite MAV para volúmenes protegidos por ARP".
Debe definir administradores para un grupo MAV y crear reglas MAV para el security anti-ransomware volume disable, security anti-ransomware volume pause, y. security anti-ransomware volume attack clear-suspect Comandos ARP que desea proteger. Cada administrador del grupo MAV debe aprobar cada nueva solicitud de regla y. "Vuelva a agregar la regla MAV" Dentro de los ajustes de MAV.
A partir de ONTAP 9.14.1, ARP ofrece alertas para la creación de una instantánea ARP y para la observación de una nueva extensión de archivo. De forma predeterminada, las alertas correspondientes a estos eventos están deshabilitadas. Las alertas pueden establecerse en el nivel del volumen o SVM. Puede crear reglas MAV en el nivel de la SVM mediante security anti-ransomware vserver event-log modify o a nivel de volumen con security anti-ransomware volume event-log modify.