Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Bloquear una instantánea de ONTAP para protegerse contra ataques de ransomware

Colaboradores netapp-lenida netapp-aaron-holt netapp-dbagwell netapp-aherbin johnlantz netapp-ahibbard netapp-mwallis
PDF

A partir de ONTAP 9.12.1, puede bloquear una copia Snapshot en un volumen no perteneciente a SnapLock para proporcionar protección contra ataques de ransomware. El bloqueo de instantáneas garantiza que no se puedan eliminar por accidente o de forma malintencionada.

Puede utilizar la función de reloj de SnapLock Compliance para bloquear las instantáneas durante un período especificado, de modo que no se puedan eliminar hasta que se alcance la hora de caducidad. Bloquear snapshots las copias snapshot las protege frente a cualquier manipulación y las protege de las amenazas de ransomware. Puede usar snapshots bloqueados para recuperar datos si un volumen se ve afectado por un ataque de ransomware.

A partir de ONTAP 9.14.1, el bloqueo de copias Snapshot es compatible con instantáneas de retención a largo plazo en destinos de almacenes SnapLock y en volúmenes de destino no SnapLock SnapMirror. El bloqueo de instantáneas se activa mediante la definición del período de retención mediante las reglas de política de SnapMirror asociadas a un etiqueta de política existente. La regla anula el período de retención predeterminado establecido en el volumen. Si no existe un período de retención asociado con la etiqueta de SnapMirror, se utiliza el período de retención predeterminado del volumen.

Requisitos y consideraciones de Snapshot a prueba de manipulación

  • Si utiliza la CLI de ONTAP, todos los nodos del clúster deben ejecutar ONTAP 9.12.1 o una versión posterior. Si utiliza System Manager, todos los nodos deben ejecutar ONTAP 9.13.1 o una versión posterior.

  • "La licencia de SnapLock debe instalarse en el clúster". Esta licencia está incluida en "ONTAP One".

  • "Es necesario inicializar el reloj de cumplimiento de normativas del clúster".

  • Cuando se habilita el bloqueo de snapshots en un volumen, se pueden actualizar los clústeres a una versión de ONTAP posterior a ONTAP 9.12.1. Sin embargo, no se puede revertir a una versión anterior de ONTAP hasta que todas las Snapshot bloqueadas hayan alcanzado su fecha de caducidad, se eliminen y se deshabilite el bloqueo de snapshots.

  • Cuando una copia de Snapshot está bloqueada, la hora de caducidad del volumen se establece en la hora de caducidad de la copia de Snapshot. Si más de una instantánea está bloqueada, el tiempo de caducidad del volumen refleja el mayor tiempo de caducidad de todas las instantáneas.

  • El período de retención para instantáneas bloqueadas tiene prioridad sobre el recuento de instantáneas guardadas, lo que significa que no se respeta el límite de mantenimiento de recuento si el período de retención de instantáneas para instantáneas bloqueadas no ha caducado.

  • En una relación de SnapMirror, se puede establecer un período de retención en una regla de política de reflejo-almacén y el período de retención se aplica a las copias de Snapshot replicadas en el destino si el volumen de destino tiene bloqueo de Snapshot habilitado. El período de retención tiene prioridad sobre el recuento KEEP; por ejemplo, las instantáneas que no hayan superado su caducidad se conservarán incluso si se supera el recuento KEEP.

  • Es posible cambiar el nombre de una copia Snapshot en un volumen que no sea de SnapLock. Las operaciones de cambio de nombre de Snapshot en el volumen primario de una relación de SnapMirror se reflejan en el volumen secundario solo si la política es MirrorAllSnapshots. Para otros tipos de directivas, la instantánea a la que se ha cambiado el nombre no se propaga durante las actualizaciones.

  • Si utiliza la CLI de ONTAP, puede restaurar una instantánea bloqueada con el volume snapshot restore comando solo si la instantánea bloqueada es la más reciente. Si hay alguna instancia de Snapshot sin caducar más tarde que la que se está restaurando, la operación de restauración de Snapshot falla.

Funciones compatibles con instantáneas a prueba de manipulaciones

  • "Cloud Volumes ONTAP"

  • Volúmenes de FlexGroup

    Se admite el bloqueo de snapshots en los volúmenes de FlexGroup. El bloqueo de instantáneas sólo se produce en la instantánea del componente raíz. Solo se permite eliminar el volumen FlexGroup si ha transcurrido el tiempo de caducidad del componente raíz.

  • Conversión de FlexVol a FlexGroup

    Es posible convertir un FlexVol volume con copias Snapshot bloqueadas en un volumen de FlexGroup. Las instantáneas permanecen bloqueadas después de la conversión.

  • SnapMirror asíncrono

    El reloj de cumplimiento debe inicializarse tanto en el origen como en el destino.

  • Movilidad de datos de SVM (se usa para migrar o reubicar una SVM desde un clúster de origen a un clúster de destino)

    Compatible a partir de ONTAP 9.14.1.

  • Reglas de política de SnapMirror con -schedule el parámetro

  • DR DE SVM

    El reloj de cumplimiento debe inicializarse tanto en el origen como en el destino.

  • Clon de volumen y clon de archivo

    Es posible crear clones de volúmenes y archivos a partir de una copia de Snapshot bloqueada.

Funciones no admitidas

Actualmente, las siguientes funciones no se admiten con instantáneas a prueba de manipulaciones:

  • Grupos de consistencia

  • "FabricPool"

    Las instantáneas a prueba de manipulaciones proporcionan protecciones inmutables que no se pueden eliminar. Dado que FabricPool necesita la capacidad para eliminar datos, no se podrán habilitar los bloqueos de instantáneas y FabricPool en el mismo volumen.

  • Volúmenes de FlexCache

  • SMTape

  • SnapMirror síncrono activo

  • SnapMirror síncrono

Active el bloqueo de instantáneas al crear un volumen

A partir de ONTAP 9.12.1, puede habilitar el bloqueo de snapshots al crear un volumen nuevo o cuando se modifica un volumen existente con la opción con volume create los comandos y volume modify de la CLI. -snapshot-locking-enabled A partir de ONTAP 9.13.1, se puede usar System Manager para habilitar el bloqueo de snapshots.

System Manager

  1. Navegue hasta Almacenamiento > Volúmenes y seleccione Agregar.

  2. En la ventana Añadir volumen, selecciona Más opciones.

  3. Introduzca el nombre del volumen, el tamaño, la política de exportación y el nombre del recurso compartido.

  4. Selecciona Habilitar Bloqueo de instantáneas. Esta selección no se muestra si la licencia de SnapLock no está instalada.

  5. Si aún no está habilitado, selecciona Inicializar reloj de cumplimiento de SnapLock.

  6. Guarde los cambios.

  7. En la ventana Volúmenes, selecciona el volumen que actualizaste y selecciona Resumen.

  8. Compruebe que SnapLock Bloqueo de instantáneas se muestra como habilitado.

CLI

  1. Para crear un volumen nuevo y habilitar el bloqueo de instantáneas, escriba el siguiente comando:

    volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

    El siguiente comando habilita el bloqueo Snapshot en un nuevo volumen llamado vol1:

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted.
Do you want to continue: {yes|no}: y
[Job 32] Job succeeded: Successful

Active el bloqueo de instantáneas en un volumen existente

A partir de ONTAP 9.12.1, puede habilitar el bloqueo de snapshots en un volumen existente mediante la interfaz de línea de comandos de ONTAP. A partir de ONTAP 9.13.1, puede usar System Manager para habilitar el bloqueo de instantáneas en un volumen existente.

System Manager

  1. Vaya a almacenamiento > volúmenes.

  2. Selecciona Icono de opciones de menú y selecciona Editar > Volumen.

  3. En la ventana Editar volumen, localice la sección Ajustes de instantáneas (locales) y seleccione Habilitar bloqueo de instantáneas.

    Esta selección no se muestra si la licencia de SnapLock no está instalada.

  4. Si aún no está habilitado, selecciona Inicializar reloj de cumplimiento de SnapLock.

  5. Guarde los cambios.

  6. En la ventana Volúmenes, selecciona el volumen que actualizaste y selecciona Resumen.

  7. Verifique que el bloqueo de instantáneas SnapLock se muestre como habilitado.

CLI

  1. Para modificar un volumen existente y habilitar el bloqueo Snapshot, introduzca el siguiente comando:

    volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

Crear una política de instantáneas bloqueadas y aplicar retención

A partir de ONTAP 9.12.1, puede crear políticas de Snapshot para aplicar un período de retención de Snapshot y aplicar la política a un volumen para bloquear las copias de Snapshot durante el período especificado. También es posible bloquear una copia de Snapshot mediante la configuración manual de un período de retención. A partir de ONTAP 9.13.1, puede usar System Manager para crear políticas de bloqueo de snapshots y aplicarlas a un volumen.

Cree una política de bloqueo de instantáneas

System Manager

  1. Vaya a Storage > Storage VMs y seleccione una VM de almacenamiento.

  2. Selecciona Ajustes.

  3. Localice Políticas de instantánea y seleccione Icono de flecha.

  4. En la ventana Add Snapshot Policy, introduzca el nombre de la política.

  5. Seleccione Icono Agregar.

  6. Proporcione los detalles de la programación de Snapshot, incluido el nombre de la programación, el número máximo de Snapshot que se deben conservar y el período de retención de SnapLock.

  7. En la columna SnapLock Retention Period, introduzca el número de horas, días, meses o años para retener las instantáneas. Por ejemplo, una política de Snapshot con un período de retención de 5 días bloquea una snapshot durante 5 días desde el momento en que se creó y no se puede eliminar durante ese periodo. Se admiten los siguientes rangos de períodos de retención:

    • Años: 0 - 100

    • Meses: 0 - 1200

    • Días: 0 - 36500

    • Horario: 0 - 24

  8. Guarde los cambios.

CLI

  1. Para crear una política de Snapshot, introduzca el siguiente comando:

    volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>

    El siguiente comando crea una política de bloqueo de instantáneas:

    cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    Una instantánea no se sustituye si se encuentra bajo retención activa; es decir, el recuento de retención no se respetará si hay instantáneas bloqueadas que aún no han caducado.

Aplicar una política de bloqueo a un volumen

System Manager

  1. Vaya a almacenamiento > volúmenes.

  2. Selecciona Icono de opciones de menú y selecciona Editar > Volumen.

  3. En la ventana Editar volumen, selecciona Programar instantáneas.

  4. Seleccione la política de instantáneas de bloqueo de la lista.

  5. Si el bloqueo de instantáneas aún no está activado, seleccione Activar bloqueo de instantáneas.

  6. Guarde los cambios.

CLI

  1. Para aplicar una política de bloqueo de Snapshot a un volumen existente, introduzca el siguiente comando:

    volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>

Aplicar período de retención durante la creación manual de instantáneas

Es posible aplicar el período de retención de Snapshot cuando se crea manualmente una copia de Snapshot. Debe estar habilitado el bloqueo de snapshots en el volumen; de lo contrario, se ignorará la configuración del período de retención.

System Manager

  1. Navegue hasta Almacenamiento > Volúmenes y seleccione un volumen.

  2. En la página de detalles del volumen, seleccione la pestaña Snapshots.

  3. Seleccione Icono Agregar.

  4. Introduzca el nombre de la snapshot y la hora de caducidad del SnapLock. Puede seleccionar el calendario para elegir la fecha y la hora de caducidad de la retención.

  5. Guarde los cambios.

  6. En la página Volúmenes > Instantáneas, seleccione Mostrar/Ocultar y elija Tiempo de caducidad de SnapLock para mostrar la columna Tiempo de caducidad de SnapLock y verifique que el tiempo de retención esté establecido.

CLI

  1. Para crear una instantánea manualmente y aplicar un período de retención de bloqueo, introduzca el siguiente comando:

    volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    El siguiente comando crea una nueva copia de Snapshot y configura el período de retención:

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

Aplicar el período de retención a una instantánea existente

System Manager

  1. Navegue hasta Almacenamiento > Volúmenes y seleccione un volumen.

  2. En la página de detalles del volumen, seleccione la pestaña Snapshots.

  3. Seleccione la instantánea, seleccione Icono de opciones de menúy elija Modificar hora de caducidad de SnapLock. Puede seleccionar el calendario para elegir la fecha y la hora de caducidad de la retención.

  4. Guarde los cambios.

  5. En la página Volúmenes > Instantáneas, seleccione Mostrar/Ocultar y elija Tiempo de caducidad de SnapLock para mostrar la columna Tiempo de caducidad de SnapLock y verifique que el tiempo de retención esté establecido.

CLI

  1. Para aplicar manualmente un período de retención a una snapshot existente, introduzca el siguiente comando:

    volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    En el siguiente ejemplo se aplica un período de retención a una copia de Snapshot existente:

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"

Modifique una política existente para aplicar la retención a largo plazo

En una relación de SnapMirror, se puede establecer un período de retención en una regla de política de reflejo-almacén y el período de retención se aplica a las copias de Snapshot replicadas en el destino si el volumen de destino tiene bloqueo de Snapshot habilitado. El período de retención tiene prioridad sobre el recuento KEEP; por ejemplo, las instantáneas que no hayan superado su caducidad se conservarán incluso si se supera el recuento KEEP.

A partir de ONTAP 9.14.1, puede modificar una política de SnapMirror existente añadiendo una regla para establecer la retención a largo plazo de copias Snapshot. La regla se utiliza para anular el período de retención de volúmenes predeterminado en destinos de almacén de SnapLock y en volúmenes de destino que no son de SnapMirror de SnapLock.

  1. Agregue una regla a una política de SnapMirror existente:

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]

    En el siguiente ejemplo se crea una regla que aplica un período de retención de 6 meses a la política existente denominada «lockvault»:

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"

    Obtenga más información sobre snapmirror policy add-rule en el "Referencia de comandos del ONTAP".