Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Bloquee una copia Snapshot para obtener protección contra ataques de ransomware

Colaboradores
PDF

A partir de ONTAP 9.12.1, puede bloquear una copia Snapshot en un volumen que no sea de SnapLock para proporcionar protección contra ataques de ransomware. El bloqueo de las copias Snapshot garantiza que no se puedan eliminar accidental o con malas intenciones.

La función de reloj de cumplimiento de normativas de SnapLock le permite bloquear las copias Snapshot durante un período determinado para que no se puedan eliminar hasta que llegue el momento de caducidad. Bloquear copias Snapshot las protege a prueba de manipulaciones e impedir las amenazas de ransomware. Puede usar copias Snapshot bloqueadas para recuperar los datos si un volumen se ve afectado por un ataque de ransomware.

A partir de ONTAP 9.14.1, el bloqueo de copias Snapshot admite copias Snapshot de retención a largo plazo en destinos de almacenes SnapLock y en volúmenes de destino que no sean de SnapMirror de SnapLock. El bloqueo de copia de Snapshot se habilita configurando el período de retención mediante las reglas de políticas de SnapMirror asociadas a un etiqueta de política existente. La regla anula el período de retención predeterminado establecido en el volumen. Si no existe un período de retención asociado con la etiqueta de SnapMirror, se utiliza el período de retención predeterminado del volumen.

Requisitos y consideraciones sobre copias Snapshot a prueba de manipulaciones

  • Si utiliza la CLI de ONTAP, todos los nodos del clúster deben ejecutar ONTAP 9.12.1 o una versión posterior. Si utiliza System Manager, todos los nodos deben ejecutar ONTAP 9.13.1 o una versión posterior.

  • "La licencia de SnapLock debe instalarse en el clúster". Esta licencia está incluida en "ONTAP One".

  • "Es necesario inicializar el reloj de cumplimiento de normativas del clúster".

  • Cuando se habilita el bloqueo de snapshots en un volumen, es posible actualizar los clústeres a una versión de ONTAP posterior a ONTAP 9.12.1; Sin embargo, no puede revertir a una versión anterior de ONTAP hasta que todas las copias snapshot bloqueadas hayan alcanzado su fecha de caducidad y se eliminen, y el bloqueo de la copia snapshot se ha deshabilitado.

  • Cuando se bloquea una instantánea, el tiempo de caducidad del volumen se establece en el tiempo de caducidad de la copia snapshot. Si más de una copia Snapshot está bloqueada, el tiempo de caducidad del volumen refleja el mayor tiempo de caducidad de todas las copias Snapshot.

  • El período de retención para las copias Snapshot bloqueadas tiene prioridad sobre el número de copias de Snapshot conservadas; esto significa que no se respeta el límite de conservación de recuento si no ha caducado el período de retención de copia de Snapshot para copias Snapshot bloqueadas.

  • En una relación de SnapMirror, puede establecer un período de retención en una regla de política de reflejo-almacén y el período de retención se aplica a las copias Snapshot replicadas en el destino si el volumen de destino tiene la función de bloqueo de copias Snapshot habilitada. El período de retención tiene prioridad sobre el recuento de retenciones; por ejemplo, las copias Snapshot que no hayan sobrepasado su vencimiento se retendrán aunque se supere el recuento de retenciones.

  • Puede cambiar el nombre de una copia Snapshot en un volumen que no sea de SnapLock. Las operaciones de cambio de nombre de Snapshot en el volumen primario de una relación de SnapMirror se reflejan en el volumen secundario solo si la política es MirrorAllSnapshots. Para otros tipos de políticas, la copia Snapshot cuyo nombre se ha cambiado no se propaga durante las actualizaciones.

  • Si utiliza la CLI de ONTAP, puede restaurar una copia Snapshot bloqueada con el volume snapshot restore Comando solo si la copia snapshot bloqueada es la más reciente. Si hay alguna copia Snapshot sin expirar más adelante que la que se va a restaurar, se produce un error en la operación de restauración de la copia de Snapshot.

Funciones compatibles con copias Snapshot a prueba de manipulaciones

  • Volúmenes de FlexGroup

    Los volúmenes de FlexGroup admiten el bloqueo de copias Snapshot. El bloqueo de instantáneas solo se realiza en la copia snapshot que forma parte del componente raíz. Solo se permite eliminar el volumen FlexGroup si ha transcurrido el tiempo de caducidad del componente raíz.

  • Conversión de FlexVol a FlexGroup

    Puede convertir un volumen FlexVol con copias snapshot bloqueadas en un volumen FlexGroup. Las copias snapshot permanecen bloqueadas después de la conversión.

  • Clon de volumen y clon de archivo

    Es posible crear clones de volúmenes y clones de archivos a partir de una copia Snapshot bloqueada.

Funciones no admitidas

En la actualidad, las siguientes funciones no son compatibles con las copias Snapshot a prueba de manipulaciones:

  • Cloud Volumes ONTAP

  • Grupos de consistencia

  • FabricPool

  • Volúmenes de FlexCache

  • SMTape

  • Continuidad del negocio de SnapMirror (SM-BC)

  • Reglas de política de SnapMirror mediante el -schedule parámetro

  • SnapMirror síncrono

  • Movilidad de datos de SVM (se usa para migrar o reubicar una SVM desde un clúster de origen a un clúster de destino)

Habilite el bloqueo de las copias snapshot al crear un volumen

A partir de ONTAP 9.12.1, se puede habilitar el bloqueo de copias snapshot cuando se crea un volumen nuevo o se modifica un volumen existente mediante el -snapshot-locking-enabled con la volume create y.. volume modify Comandos de la CLI. A partir de ONTAP 9.13.1, puede usar System Manager para habilitar el bloqueo de copias de SnapVault.

System Manager

  1. Navegue hasta Almacenamiento > Volúmenes y seleccione Agregar.

  2. En la ventana Añadir volumen, selecciona Más opciones.

  3. Introduzca el nombre del volumen, el tamaño, la política de exportación y el nombre del recurso compartido.

  4. Selecciona Habilitar Bloqueo de instantáneas. Esta selección no se muestra si la licencia de SnapLock no está instalada.

  5. Si aún no está habilitado, selecciona Inicializar reloj de cumplimiento de SnapLock.

  6. Guarde los cambios.

  7. En la ventana Volúmenes, selecciona el volumen que actualizaste y selecciona Resumen.

  8. Verifique que SnapLock Bloqueo de copia instantánea se muestre como habilitado.

CLI

  1. Para crear un nuevo volumen y habilitar el bloqueo de copias Snapshot, introduzca el siguiente comando:

    volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true

    El siguiente comando habilita el bloqueo de copias Snapshot en un nuevo volumen denominado vol1:

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted.
Do you want to continue: {yes|no}: y
[Job 32] Job succeeded: Successful

Habilite el bloqueo de copias snapshot en un volumen existente

A partir de ONTAP 9.12.1, puede habilitar el bloqueo de copia de snapshot en un volumen existente mediante la interfaz de línea de comandos de ONTAP. A partir de ONTAP 9.13.1, puede usar System Manager para habilitar el bloqueo de copias de Snapshot en un volumen existente.

System Manager

  1. Vaya a almacenamiento > volúmenes.

  2. Seleccione alt=Opciones de menú Y elija Editar > Volumen.

  3. En la ventana Editar volumen, localice la sección Configuración de copias snapshot (locales) y seleccione Habilitar bloqueo de instantáneas.

    Esta selección no se muestra si la licencia de SnapLock no está instalada.

  4. Si aún no está habilitado, selecciona Inicializar reloj de cumplimiento de SnapLock.

  5. Guarde los cambios.

  6. En la ventana Volúmenes, selecciona el volumen que actualizaste y selecciona Resumen.

  7. Verifique que SnapLock Bloqueo de copia instantánea se muestre como habilitado.

CLI

  1. Para modificar un volumen existente para habilitar el bloqueo de copias Snapshot, introduzca el siguiente comando:

    volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true

Cree una política de copia de Snapshot bloqueada y aplique retención

A partir de ONTAP 9.12.1, puede crear políticas de copias de Snapshot para aplicar un período de retención de copias de Snapshot y aplicar la política a un volumen para bloquear las copias de Snapshot durante el período especificado. También puede bloquear una copia Snapshot mediante la configuración manual de un período de retención. A partir de ONTAP 9.13.1, puede usar System Manager para crear políticas de bloqueo de copias de Snapshot y aplicarlas a un volumen.

Cree una política de bloqueo de copias snapshot

System Manager

  1. Vaya a Storage > Storage VMs y seleccione una VM de almacenamiento.

  2. Selecciona Ajustes.

  3. Localice Políticas de instantánea y seleccione alt=flecha.

  4. En la ventana Add Snapshot Policy, introduzca el nombre de la política.

  5. Seleccione alt=Añadir.

  6. Proporcione los detalles de la programación de la copia de Snapshot, incluido el nombre de la programación, el número máximo de copias de Snapshot que se deben conservar y el período de retención de SnapLock.

  7. En la columna SnapLock Retention Period, introduzca el número de horas, días, meses o años que se van a conservar las copias snapshot. Por ejemplo, una política de copia de Snapshot con un período de retención de 5 días bloquea una copia de Snapshot por 5 días desde el momento en que se creó y no puede eliminarse durante ese período. Se admiten los siguientes rangos de períodos de retención:

    • Años: 0 - 100

    • Meses: 0 - 1200

    • Días: 0 - 36500

    • Horario: 0 - 24

  8. Guarde los cambios.

CLI

  1. Para crear una política de copias Snapshot, introduzca el siguiente comando:

    volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period

    El siguiente comando crea una política de bloqueo de copias de Snapshot:

    cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    No se reemplaza una copia Snapshot si se encuentra sujeta a una retención activa; es decir, el número de retención no se respetará si hay copias Snapshot bloqueadas que aún no han caducado.

Aplicar una política de bloqueo a un volumen

System Manager

  1. Vaya a almacenamiento > volúmenes.

  2. Seleccione alt=Opciones de menú Y elija Editar > Volumen.

  3. En la ventana Editar volumen, selecciona Programar copias snapshot.

  4. Seleccione la política de copias de Snapshot bloqueadas de la lista.

  5. Si el bloqueo de copias snapshot no está activado, selecciona Activar bloqueo de instantáneas.

  6. Guarde los cambios.

CLI

  1. Para aplicar una política de bloqueo de copias Snapshot a un volumen existente, introduzca el siguiente comando:

    volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name

Aplicación del período de retención durante la creación manual de las copias de Snapshot

Es posible aplicar un período de retención de copia Snapshot cuando se crea manualmente una copia Snapshot. Debe habilitarse el bloqueo de copia de snapshot en el volumen; de lo contrario, se ignorará la configuración del período de retención.

System Manager

  1. Navegue hasta Almacenamiento > Volúmenes y seleccione un volumen.

  2. En la página de detalles del volumen, seleccione la pestaña Copias de instantánea.

  3. Seleccione alt=icono Agregar.

  4. Introduzca el nombre de la copia Snapshot y la hora de caducidad de SnapLock. Puede seleccionar el calendario para elegir la fecha y la hora de caducidad de la retención.

  5. Guarde los cambios.

  6. En la página Volúmenes > Copias de instantáneas, seleccione Mostrar/Ocultar y elija Tiempo de caducidad de SnapLock para mostrar la columna Tiempo de caducidad de SnapLock y verifique que el tiempo de retención esté establecido.

CLI

  1. Para crear una copia Snapshot manualmente y aplicar un período de retención de bloqueo, introduzca el siguiente comando:

    volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time

    El siguiente comando crea una nueva copia Snapshot y establece el período de retención:

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

Aplique el período de retención a una copia Snapshot existente

System Manager

  1. Navegue hasta Almacenamiento > Volúmenes y seleccione un volumen.

  2. En la página de detalles del volumen, seleccione la pestaña Copias de instantánea.

  3. Seleccione la copia Snapshot y seleccione alt=Opciones de menú, Y elija Modificar tiempo de caducidad de SnapLock. Puede seleccionar el calendario para elegir la fecha y la hora de caducidad de la retención.

  4. Guarde los cambios.

  5. En la página Volúmenes > Copias de instantáneas, seleccione Mostrar/Ocultar y elija Tiempo de caducidad de SnapLock para mostrar la columna Tiempo de caducidad de SnapLock y verifique que el tiempo de retención esté establecido.

CLI

  1. Para aplicar manualmente un período de retención a una copia Snapshot existente, introduzca el siguiente comando:

    volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time

    En el siguiente ejemplo se aplica un período de retención a una copia Snapshot existente:

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"

Modifique una política existente para aplicar la retención a largo plazo

A partir de ONTAP 9.14.1, puede modificar una política de SnapMirror existente añadiendo una regla para establecer una retención a largo plazo de copias Snapshot. La regla se utiliza para anular el período de retención de volúmenes predeterminado en destinos de almacén de SnapLock y en volúmenes de destino que no son de SnapMirror de SnapLock.

  1. Agregue una regla a una política de SnapMirror existente:

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]

    En el siguiente ejemplo se crea una regla que aplica un período de retención de 6 meses a la política existente denominada «lockvault»:

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"