Qué es SnapLock
SnapLock es una solución de cumplimiento de normativas de alto rendimiento para organizaciones que utilizan almacenamiento WORM para conservar archivos de forma no modificada a efectos de regulación y gobernanza.
SnapLock ayuda a evitar la eliminación, el cambio o el cambio de nombre de los datos para cumplir normativas como SEC 17a-4(f), HIPAA, FINRA, CFTC y RGPD. Gracias a SnapLock, puede crear volúmenes con fines especiales en los que los archivos se pueden almacenar y comprometidos a mantener su estado no borrable y no modificable durante un período de retención determinado o de forma indefinida. SnapLock permite llevar a cabo esta retención en el nivel de archivo mediante protocolos de archivos abiertos estándar como CIFS y NFS. Los protocolos de archivos abiertos compatibles con SnapLock son NFS (versiones 2, 3 y 4) y CIFS (SMB 1.0, 2.0 y 3.0).
Con SnapLock, se conservan archivos y copias Snapshot en almacenamiento WORM y se establecen períodos de retención para datos protegidos WORM. El almacenamiento WORM de SnapLock utiliza la tecnología Snapshot de NetApp y puede aprovechar la replicación de SnapMirror y los backups de SnapVault como tecnología base para ofrecer protección de recuperación de datos mediante backup. Más información sobre el almacenamiento WORM: "Almacenamiento WORM conforme a la normativa con SnapLock de NetApp: TR-4526".
Puede usar una aplicación para comprometer archivos a WORM mediante NFS o CIFS, o utilizar la función de compromiso automático de SnapLock para comprometer archivos automáticamente a WORM. Puede utilizar un WORM appable file para conservar datos que se escriben de forma incremental, como la información de registro. Para obtener más información, consulte "Use el modo de adición de volúmenes para crear archivos WORM flexibles".
SnapLock admite métodos de protección de datos que deberían satisfacer la mayoría de los requisitos de cumplimiento de normativas:
-
Puede usar SnapLock para SnapVault para proteger CON WORM las copias Snapshot en el almacenamiento secundario. Consulte "Copias Snapshot a WORM".
-
Puede usar SnapMirror para replicar archivos WORM a otra ubicación geográfica a fin de realizar la recuperación ante desastres. Consulte "Refleje los archivos WORM".
SnapLock es una función basada en licencia de NetApp ONTAP. Una sola licencia le da derecho a usar SnapLock en modo de cumplimiento estricto, para cumplir con mandatos externos como la norma SEC 17a-4(f) y un modo empresarial más flexible, para cumplir con las normativas internas de protección de activos digitales. Las licencias de SnapLock forman parte "ONTAP One"de la suite de software.
SnapLock es compatible con todos los sistemas AFF y FAS, así como con ONTAP Select. SnapLock no es una solución exclusivamente de software, es una solución integrada de hardware y software. Esta distinción es importante para regulaciones WORM estrictas como SEC 17a-4(f), que requiere una solución de hardware y software integrada. Para obtener más información, consulte "Guía de LA SEC para los intermediarios comerciales sobre el uso de medios de almacenamiento electrónico".
Puede hacer con SnapLock
Después de configurar SnapLock, es posible completar las siguientes tareas:
-
"Conservar copias Snapshot a WORM para su almacenamiento secundario"
-
"Refleje los archivos WORM para la recuperación ante desastres"
-
"Conserve los archivos WORM durante su litigio gracias a su conservación legal"
-
"Elimine los archivos WORM utilizando la función de eliminación privilegiada"
-
"Bloquee una copia Snapshot para obtener protección contra ataques de ransomware"
Modos SnapLock Compliance y Enterprise
Los modos SnapLock Compliance y Enterprise difieren principalmente en el nivel en el que cada modo protege los archivos WORM:
Modo SnapLock |
Nivel de protección |
Archivo WORM eliminado durante la retención |
Modo de cumplimiento |
En el nivel de disco |
No se puede eliminar |
Modo empresarial |
A nivel de archivo |
El administrador de cumplimiento puede eliminar mediante un procedimiento auditado de “eliminación privilegiada” |
Una vez transcurrido el período de retención, es responsable de eliminar los archivos que ya no se necesiten. Una vez que un archivo se ha comprometido con WORM, ya sea en modo Compliance o Enterprise, no se podrá modificar, ni siquiera después de que haya caducado el período de retención.
No se puede mover un archivo WORM durante el período de retención o después del mismo. Puede copiar un archivo WORM, pero la copia no conservará sus características WORM.
En la siguiente tabla se muestran las diferencias en las capacidades que admiten los modos SnapLock Compliance y Enterprise:
Capacidad |
Cumplimiento de normativas SnapLock |
Empresa SnapLock |
Activar y eliminar archivos mediante la eliminación con privilegios |
No |
Sí |
Reinicie los discos |
No |
Sí |
Destrucción de agregados y volúmenes de SnapLock durante el período de retención |
No |
Sí, con la excepción del volumen de registro de auditoría de SnapLock |
Cambie el nombre de los agregados o volúmenes |
No |
Sí |
Utilice discos que no sean de NetApp |
No |
Sí (con "Virtualización FlexArray") |
Use el volumen SnapLock para el registro de auditoría |
Sí |
Sí, a partir de ONTAP 9,5 |
Funciones compatibles y no compatibles con SnapLock
En la siguiente tabla se muestran las funciones compatibles con el modo de cumplimiento de normativas SnapLock, el modo SnapLock Enterprise o ambos:
Función |
Compatible con SnapLock Compliance |
Compatible con SnapLock Enterprise |
Grupos de consistencia |
No |
No |
Volúmenes cifrados |
Sí, a partir de ONTAP 9,2. Más información acerca de Cifrado y SnapLock. |
Sí, a partir de ONTAP 9,2. Más información acerca de Cifrado y SnapLock. |
FabricPool en agregados de SnapLock |
No |
Sí, a partir de ONTAP 9.8. Más información acerca de FabricPool en agregados de SnapLock Enterprise. |
Agregados de Flash Pool |
Sí, a partir de ONTAP 9,1. |
Sí, a partir de ONTAP 9,1. |
FlexClone |
Es posible clonar volúmenes de SnapLock, pero no es posible clonar archivos en un volumen de SnapLock. |
Es posible clonar volúmenes de SnapLock, pero no es posible clonar archivos en un volumen de SnapLock. |
Volúmenes de FlexGroup |
Sí, a partir de ONTAP 9.11.1. Más información acerca de [flexgroup]. |
Sí, a partir de ONTAP 9.11.1. Más información acerca de [flexgroup]. |
LUN |
No Más información acerca de Compatibilidad con LUN Con SnapLock. |
No Más información acerca de Compatibilidad con LUN Con SnapLock. |
Configuraciones de MetroCluster |
Sí, a partir de ONTAP 9,3. Más información acerca de Soporte de MetroCluster. |
Sí, a partir de ONTAP 9,3. Más información acerca de Soporte de MetroCluster. |
Verificación multi-admin (MAV) |
Sí, a partir de ONTAP 9.13.1. Más información acerca de Compatibilidad con MAV. |
Sí, a partir de ONTAP 9.13.1. Más información acerca de Compatibilidad con MAV. |
SAN |
No |
No |
SnapRestore de archivo único |
No |
Sí |
SnapMirror síncrono activo |
No |
No |
SnapRestore |
No |
Sí |
SMTape |
No |
No |
SnapMirror síncrono |
No |
No |
SSD |
Sí, a partir de ONTAP 9,1. |
Sí, a partir de ONTAP 9,1. |
Funcionalidades de eficiencia del almacenamiento |
Sí, a partir de ONTAP 9,9.1. Más información acerca de soporte de eficiencia del almacenamiento. |
Sí, a partir de ONTAP 9,9.1. Más información acerca de soporte de eficiencia del almacenamiento. |
FabricPool en agregados de SnapLock Enterprise
Las instancias de FabricPool son compatibles con los agregados empresariales de SnapLock, a partir de ONTAP 9.8. Sin embargo, su equipo de cuenta tiene que abrir una solicitud de variación de productos que documente que SnapLock ya no protege los datos de FabricPool organizados en niveles en un cloud público o privado porque un administrador de cloud puede eliminar dichos datos.
Cualquier dato que FabricPool proporcione en niveles en un cloud público o privado ya no está protegido por SnapLock, ya que un administrador de cloud puede eliminar estos datos. |
Volúmenes de FlexGroup
SnapLock admite volúmenes FlexGroup que comiencen con ONTAP 9.11.1; sin embargo, no se admiten las siguientes funciones:
-
Conservación legal
-
Retención basada en eventos
-
SnapLock para SnapVault (compatible a partir de ONTAP 9.12.1)
También debe ser consciente de los siguientes comportamientos:
-
El reloj de cumplimiento de volumen (VCC) de un volumen FlexGroup está determinado por el VCC del componente raíz. Todos los componentes que no son de raíz tendrán su VCC estrechamente sincronizado con la VCC raíz.
-
Las propiedades de configuración de SnapLock se establecen únicamente en la FlexGroup en su conjunto. Los componentes individuales no pueden tener diferentes propiedades de configuración, como el tiempo de retención predeterminado y el período de compromiso automático.
Compatibilidad con LUN
Los LUN se admiten en volúmenes de SnapLock solo en casos en los que las copias de Snapshot creadas en un volumen distinto de SnapLock se transfieren a un volumen de SnapLock para la protección como parte de la relación de almacén de SnapLock. Los LUN no son compatibles con los volúmenes de SnapLock de lectura/escritura. Las copias Snapshot a prueba de manipulaciones son compatibles tanto con los volúmenes de origen como con los volúmenes de destino de SnapMirror que contienen LUN.
Soporte de MetroCluster
La compatibilidad con SnapLock en configuraciones MetroCluster es diferente del modo de cumplimiento de normativas SnapLock al modo empresarial de SnapLock.
-
A partir de ONTAP 9.3, SnapLock Compliance se admite en los agregados de MetroCluster no reflejados.
-
A partir de ONTAP 9.3, SnapLock Compliance se admite en agregados reflejados, pero solo si el agregado se utiliza para alojar los volúmenes de registros de auditoría de SnapLock.
-
Las configuraciones de SnapLock específicas para SVM se pueden replicar en sitios principales y secundarios mediante MetroCluster.
-
A partir de la versión 9 de ONTAP, se admiten los agregados de SnapLock Enterprise.
-
A partir de ONTAP 9.3, se admiten los agregados de SnapLock Enterprise con eliminación privilegiada.
-
Las configuraciones de SnapLock específicas para SVM se pueden replicar en ambos sitios mediante MetroCluster.
Las configuraciones de MetroCluster utilizan dos mecanismos de reloj de conformidad, el reloj de cumplimiento de volumen (VCC) y el reloj de cumplimiento del sistema (SCC). El VCC y el SCC están disponibles para todas las configuraciones SnapLock. Cuando se crea un nuevo volumen en un nodo, su VCC se inicializa con el valor actual del SCC en ese nodo. Una vez creado el volumen, el VCC siempre se realiza un seguimiento del volumen y del tiempo de retención de archivos.
Cuando un volumen se replica en otro sitio, su VCC también se replica. Cuando se produce una conmutación de volumen, del sitio A al sitio B, por ejemplo, el VCC continúa siendo actualizado en el sitio B mientras que el SCC en el sitio A se detiene cuando el sitio A se desconecta.
Cuando el sitio A se vuelve a poner en línea y se realiza la vuelta de volumen, el reloj SCC del sitio se reinicia mientras el VCC del volumen continúa siendo actualizado. Como el VCC se actualiza continuamente, independientemente de las operaciones de conmutación de sitios y conmutación de estado, los tiempos de retención de archivos no dependen de los relojes SCC y no se amplían.
Compatibilidad con verificación multiadministrador (MAV)
A partir de la versión ONTAP 9.13.1, un administrador de clúster puede habilitar de forma explícita la verificación multiadministrador en un clúster para requerir la aprobación de quórum antes de ejecutar algunas operaciones de SnapLock. Cuando MAV está activado, las propiedades del volumen SnapLock como default-retention-time, minimum-retention-time, maximum-retention-time, volume-append-mode, autocommit-period y privileged-delete requerirán aprobación del quórum. Más información acerca de "MAV".
Eficiencia del almacenamiento
A partir de ONTAP 9.9.1, SnapLock admite funciones de eficiencia del almacenamiento, como la compactación de datos, la deduplicación entre volúmenes y la compresión adaptativa para volúmenes y agregados de SnapLock. Para obtener más información sobre la eficiencia del almacenamiento, consulte "Información general de la eficiencia del almacenamiento de ONTAP".
Cifrado
ONTAP ofrece tecnologías de cifrado basadas en software y hardware para garantizar que los datos en reposo no se puedan leer en caso de reasignación, devolución, pérdida o robo del medio de almacenamiento.
Exención de responsabilidad: NetApp no puede garantizar que los archivos WORM protegidos SnapLock en unidades o volúmenes de autocifrado se puedan recuperar si se pierde la clave de autenticación o si el número de intentos de autenticación con errores supera el límite especificado y hace que la unidad se bloquee de forma permanente. Usted es responsable de garantizar el cumplimiento de los fallos de autenticación.
A partir de ONTAP 9.2, los volúmenes cifrados se admiten en agregados de SnapLock. |
Transición de 7-Mode
Puede migrar volúmenes SnapLock de 7-Mode a ONTAP usando la función de transición basada en copias (CBT) de la herramienta de transición de 7-Mode. El modo SnapLock del volumen de destino, Compliance o Enterprise, debe coincidir con el modo SnapLock del volumen de origen. No se puede usar la transición sin copia (CFT) para migrar volúmenes de SnapLock.