Protégez les charges de travail avec les stratégies de protection NetApp Ransomware Resilience
Suggérer des modifications
PDF
Les stratégies de protection contre les ransomwares sont un élément clé de NetApp Ransomware Resilience : elles permettent la détection, la protection et la réplication. Les stratégies de protection sont un élément essentiel de votre posture de cybersécurité.
Rôle de console requis Pour effectuer cette tâche, vous devez disposer du rôle d'administrateur d'organisation, d'administrateur de dossier ou de projet ou d'administrateur de résilience aux ransomwares. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console" .
Comprendre les stratégies de protection contre les ransomwares
Les stratégies de protection contre les ransomwares englobent détection, protection et réplication.
-
Les politiques de détection permettent d'identifier les menaces de type ransomware.
-
Les politiques de protection incluent les politiques de capture instantanée et de sauvegarde. Les politiques de détection et de capture instantanée sont nécessaires dans une stratégie de protection. Les politiques de sauvegarde sont facultatives.
Si vous utilisez d'autres produits NetApp pour protéger votre charge de travail, Ransomware Resilience les découvre et offre la possibilité de :
-
utiliser une politique de détection de ransomware et continuer à utiliser les politiques de snapshot et de sauvegarde créées par d'autres outils NetApp , ou
-
utilisez Ransomware Resilience pour gérer la détection, les instantanés et les sauvegardes.
-
-
Les stratégies de réplication vous permettent de répliquer les instantanés de Ransomware Resilience vers un site secondaire. Les calendriers de réplication peuvent être définis sur des fréquences horaires, quotidiennes, hebdomadaires ou mensuelles.
Actuellement, vous ne pouvez répliquer les instantanés que vers un stockage ONTAP local.
|
Si vous configurez des stratégies de protection pour Amazon FSxN pour ONTAP et Azure NetApp Files, consultez "les limitations de chaque service". |
|
Pour une gestion et une protection améliorées de votre patrimoine de données, vous pouvez créer "groupes de charges de travail" pour protéger collectivement les volumes sous une seule stratégie. |
Politiques de protection avec d'autres services gérés par NetApp
Au-delà de la résilience aux ransomwares, vous pouvez utiliser NetApp Backup and Recovery pour gérer la protection des partages de fichiers et des partages de fichiers de machines virtuelles.
Les informations de protection des services de Backup & Recovery apparaissent dans Ransomware Resilience. Vous pouvez ajouter des stratégies de détection à ces services avec Ransomware Resilience. L'ajout d'une stratégie de protection avec Ransomware Resilience remplace les stratégies de protection existantes.
Ransomware Resilience détecte également les politiques de protection de SnapCenter pour VMware pour les banques de données de machines virtuelles et de SnapCenter pour Oracle. Vous ne pouvez pas utiliser ces services pour effectuer une restauration avec Ransomware Resilience.
Si une politique de détection de ransomware est gérée par Autonomous Ransomware Protection (ARP ou ARP/AI, selon la version ONTAP ) et FPolicy dans ONTAP, ces charges de travail sont protégées et continueront d'être gérées par ARP et FPolicy.
|
|
Les destinations de sauvegarde ne sont pas disponibles pour les charges de travail dans Amazon FSx for NetApp ONTAP ou Azure NetApp Files. Effectuez les opérations de sauvegarde à l'aide du service de sauvegarde FSx for ONTAP. Vous définissez les stratégies de sauvegarde pour les charges de travail dans FSx for ONTAP dans AWS, et non dans Ransomware Resilience. Les stratégies de sauvegarde apparaissent dans Ransomware Resilience et restent inchangées par rapport à AWS. |
Politiques de protection pour les charges de travail non protégées par les applications NetApp
Si votre charge de travail n'est pas gérée par Backup and Recovery ou Ransomware Resilience, elle peut avoir des instantanés pris dans le cadre d'ONTAP ou d'autres produits. Si la protection FPolicy d'ONTAP est en place, vous pouvez modifier la protection FPolicy à l'aide d'ONTAP.
Politiques de détection prédéfinies
Vous pouvez choisir l’une des politiques prédéfinies de résilience aux ransomwares suivantes, qui sont alignées sur l’importance de la charge de travail.
|
|
La stratégie Extension utilisateur de chiffrement est la seule stratégie prédéfinie qui prend en charge la détection des comportements suspects des utilisateurs. |
+ La stratégie de réplication critique est la seule stratégie prédéfinie qui prend en charge la réplication des instantanés vers ONTAP.
| Niveau politique | Instantané | Fréquence | Rétention (jours) | Nombre de copies d'instantané | Nombre maximal de copies d'instantané |
|---|---|---|---|---|---|
Politique de charge de travail critique |
Quart d'heure |
Toutes les 15 minutes |
3 |
288 |
309 |
Tous les jours |
Tous les 1 jour |
14 |
14 |
309 |
|
Hebdomadaire |
Toutes les 1 semaine |
35 |
5 |
309 |
|
Mensuel |
Tous les 30 jours |
60 |
2 |
309 |
|
Politique importante relative à la charge de travail |
Quart d'heure |
Toutes les 30 minutes |
3 |
144 |
165 |
Tous les jours |
Tous les 1 jour |
14 |
14 |
165 |
|
Hebdomadaire |
Toutes les 1 semaine |
35 |
5 |
165 |
|
Mensuel |
Tous les 30 jours |
60 |
2 |
165 |
|
Politique de charge de travail standard |
Quart d'heure |
Toutes les 30 minutes |
3 |
72 |
93 |
Tous les jours |
Tous les 1 jour |
14 |
14 |
93 |
|
Hebdomadaire |
Toutes les 1 semaine |
35 |
5 |
93 |
|
Mensuel |
Tous les 30 jours |
60 |
2 |
93 |
|
Extension utilisateur de chiffrement |
Quart d'heure |
Toutes les 30 minutes |
3 |
72 |
93 |
Tous les jours |
Tous les 1 jour |
14 |
14 |
93 |
|
Hebdomadaire |
Toutes les 1 semaine |
35 |
5 |
93 |
|
Mensuel |
Tous les 30 jours |
60 |
2 |
93 |
|
Politique de réplication critique |
Quart d'heure |
Toutes les 15 minutes |
3 |
288 |
309 |
Tous les jours |
Tous les 1 jour |
14 |
14 |
309 |
|
Hebdomadaire |
Toutes les 1 semaine |
35 |
5 |
309 |
|
Mensuel |
Tous les 30 jours |
60 |
2 |
309 |
Ajouter une stratégie de protection contre les ransomwares
Il existe trois approches pour ajouter une stratégie de protection contre les ransomwares :
-
Créez une stratégie de protection contre les ransomwares si vous n’avez pas de politiques de snapshot ou de sauvegarde.
La stratégie de protection contre les ransomwares comprend :
-
Politique d'instantané
-
Politique de détection des ransomwares
-
Politique de sauvegarde
-
-
Remplacez les politiques d'instantané ou de sauvegarde existantes de la protection Backup and Recovery par des stratégies de protection gérées par Ransomware Resilience.
La stratégie de protection contre les ransomwares comprend :
-
Politique d'instantané
-
Politique de détection des ransomwares
-
Politique de sauvegarde
-
-
Créez une politique de détection pour les charges de travail avec des politiques de snapshot et de sauvegarde existantes gérées dans d'autres produits ou services NetApp .
La politique de détection ne modifie pas les politiques gérées dans d’autres produits.
La politique de détection active la protection autonome contre les ransomwares et la protection FPolicy si elles sont déjà activées dans d'autres services. En savoir plus sur"Protection autonome contre les ransomwares" ,"Sauvegarde et récupération" , et"Politique ONTAP" .
Créer une stratégie de protection contre les ransomwares (si vous n'avez pas de politiques de capture instantanée ou de sauvegarde)
Si les stratégies de capture instantanée ou de sauvegarde n'existent pas sur la charge de travail, vous pouvez créer une stratégie de protection contre les ransomwares, qui peut inclure les stratégies suivantes que vous créez dans Ransomware Resilience :
-
Politique d'instantané
-
Politique de sauvegarde
-
Politique de détection des ransomwares
-
Réplication secondaire vers ONTAP
-
Dans le menu Résilience aux ransomwares, sélectionnez Protection.
-
Depuis la page Protection, sélectionnez une charge de travail, puis Protéger.
-
Depuis la page Stratégies de protection contre les ransomwares, sélectionnez Ajouter.
-
Saisissez un nouveau nom de stratégie ou saisissez un nom existant pour le copier. Si vous entrez un nom existant, choisissez celui que vous souhaitez copier et sélectionnez Copier.
Si vous choisissez de copier et de modifier une stratégie existante, Ransomware Resilience ajoute « _copy » au nom d'origine. Vous devez modifier le nom et au moins un paramètre pour le rendre unique. -
Pour chaque élément, sélectionnez la flèche vers le bas.
-
Politique de détection:
-
Politique : Choisissez l’une des politiques de détection prédéfinies.
-
Détection primaire : Activez la résilience aux ransomwares pour détecter les attaques potentielles de ransomware.
-
Détection de comportement utilisateur suspect : activez la détection du comportement utilisateur pour transmettre les événements d'activité utilisateur à Ransomware Resilience et détecter les événements suspects, tels que les violations de données.
-
Bloquer les extensions de fichiers : Activez la résistance aux ransomwares pour bloquer les extensions de fichiers suspectes connues. Ransomware Resilience effectue des copies instantanées automatisées lorsque la détection principale est activée.
Si vous souhaitez modifier les extensions de fichiers bloquées, modifiez-les dans le Gestionnaire système.
-
-
Politique d'instantané:
-
Nom de base de la politique d'instantané : sélectionnez une politique ou sélectionnez Créer et saisissez un nom pour la politique d'instantané.
-
Verrouillage des instantanés : activez cette option pour verrouiller les copies d'instantanés sur le stockage principal afin qu'elles ne puissent pas être modifiées ou supprimées pendant une certaine période, même si une attaque de ransomware parvient à atteindre la destination de stockage de sauvegarde. Ceci est également appelé stockage immuable. Cela permet un temps de restauration plus rapide.
Lorsqu'un instantané est verrouillé, le délai d'expiration du volume est défini sur le délai d'expiration de la copie de l'instantané.
-
Le verrouillage de copie d'instantané est disponible avec ONTAP 9.12.1 et versions ultérieures. Pour en savoir plus sur SnapLock, reportez-vous à "SnapLock dans ONTAP" .
-
Planifications d'instantanés : Choisissez les options de planification, le nombre de copies d'instantanés à conserver et sélectionnez pour activer la planification.
-
Politique de réplication :
-
-
Nom de base de la stratégie de réplication : Saisissez un nouveau nom ou choisissez-en un existant. Le nom de base est le préfixe ajouté à tous les instantanés.
-
Planifications de réplication : Activez les fréquences que vous souhaitez (horaire, quotidienne, hebdomadaire ou mensuelle) et définissez la valeur de rétention (le nombre d’instantanés répliqués à conserver) pour chaque planification activée.
-
Politique de sauvegarde:
-
-
Nom de base de la politique de sauvegarde : saisissez un nouveau nom ou choisissez un nom existant.
-
Planifications de sauvegarde : Choisissez les options de planification pour le stockage secondaire et activez la planification.
Pour activer le verrouillage de sauvegarde sur le stockage secondaire, configurez vos destinations de sauvegarde à l'aide de l'option Paramètres. Pour plus de détails, consultez la section "Configurer les paramètres" .
-
-
Sélectionnez Ajouter.
Ajoutez une stratégie de détection aux charges de travail disposant de stratégies de capture instantanée et de sauvegarde existantes gérées par Backup and Recovery
Ransomware Resilience vous permet d'attribuer une stratégie de détection ou une stratégie de protection aux charges de travail bénéficiant déjà d'une protection par instantané et sauvegarde gérée dans d'autres NetApp products or services. Backup and Recovery utilise des stratégies qui régissent les instantanés, la réplication vers un stockage secondaire ou les sauvegardes vers un stockage objet.
Ajouter une politique de détection aux charges de travail avec des politiques de sauvegarde ou de snapshot existantes
Si vous disposez déjà de stratégies d'instantané ou de sauvegarde avec Backup and Recovery, vous pouvez ajouter une stratégie pour détecter les attaques de ransomware. Pour gérer la protection et la détection avec Ransomware Resilience, voir Protégez-vous grâce à la résilience contre les ransomwares.
-
Dans le menu Résilience aux ransomwares, sélectionnez Protection.
-
Depuis la page Protection, sélectionnez une charge de travail, puis sélectionnez Protéger.
-
Ransomware Resilience détecte s'il existe des politiques de Backup and Recovery actives.
-
Pour laisser votre NetApp Backup and Recovery existant en place et appliquer uniquement une politique de détection, laissez la case Remplacer les politiques existantes décochée.
-
Sélectionnez les paramètres de détection que vous souhaitez :
-
Détection du chiffrement
-
Détection des comportements utilisateurs suspects
-
Bloquer les extensions de fichiers suspectes
-
-
Sélectionnez Suivant.
-
Si vous avez sélectionné Détection des comportements suspects des utilisateurs comme paramètre de détection, sélectionnez l’agent d’activité utilisateur ou "ou en créer un".
L'agent d'activité utilisateur héberge les nouveaux collecteurs de données. Ransomware Resilience crée automatiquement le collecteur de données pour transmettre les événements d'activité des utilisateurs à Ransomware Resilience afin de détecter les comportements anormaux des utilisateurs.
-
Sélectionnez Suivant.
-
Revoyez vos choix. Sélectionnez Créer pour activer la détection.
-
Sur la page Protection, vérifiez l'état de détection pour confirmer que la détection est active.
Remplacer les politiques de sauvegarde ou de snapshot existantes par une stratégie de protection contre les ransomwares
Vous pouvez remplacer vos politiques de sauvegarde ou de snapshot existantes par une stratégie de protection contre les ransomwares. Cette approche supprime votre protection gérée en externe et configure la détection et la protection dans Ransomware Resilience.
-
Dans le menu Résilience aux ransomwares, sélectionnez Protection.
-
Depuis la page Protection, sélectionnez une charge de travail, puis sélectionnez Protéger.
-
Ransomware Resilience détecte s'il existe des politiques de Backup and Recovery actives. Pour remplacer les politiques existantes, cochez la case Remplacer les politiques existantes. Lorsque vous cochez la case, Ransomware Resilience remplace la liste des politiques de détection par des politiques de détection.
-
Choisissez une politique de protection. Si aucune politique de protection n’existe, sélectionnez Ajouter pour créer une nouvelle politique. Pour plus d'informations sur la création d'une politique, voirCréer une politique de protection . Sélectionnez Suivant.
-
Si votre stratégie inclut la réplication, sélectionnez le système de destination et la VM de stockage de destination. Sélectionnez Suivant.
-
Sélectionnez une destination de sauvegarde ou créez-en une nouvelle. Sélectionnez Suivant.
-
Si votre stratégie de protection inclut la détection du comportement des utilisateurs, sélectionnez un agent d’activité utilisateur dans votre environnement pour héberger les nouveaux collecteurs de données. Ransomware Resilience crée automatiquement le collecteur de données pour transmettre les événements d'activité des utilisateurs à Ransomware Resilience afin de détecter les comportements anormaux des utilisateurs.
-
-
Passez en revue la nouvelle stratégie de protection, puis sélectionnez Protéger pour l’appliquer.
-
Sur la page Protection, vérifiez l'état de détection pour confirmer que la détection est active.
Attribuer une politique différente
Vous pouvez remplacer la politique existante par une autre.
-
Dans le menu Résilience aux ransomwares, sélectionnez Protection.
-
Depuis la page Protection, sur la ligne de charge de travail, sélectionnez Modifier la protection.
-
Si la charge de travail possède une stratégie de sauvegarde et de restauration existante que vous souhaitez conserver, décochez Remplacer les stratégies existantes. Pour remplacer les stratégies existantes, cochez Remplacer les stratégies existantes.
-
Dans la page Politiques, sélectionnez la flèche vers le bas correspondant à la politique que vous souhaitez attribuer pour consulter les détails.
-
Sélectionnez la politique que vous souhaitez attribuer.
-
Sélectionnez Protéger pour terminer la modification.
Gérer les stratégies de protection contre les ransomwares
Vous pouvez supprimer une stratégie de ransomware.
Afficher les charges de travail protégées par une stratégie de protection contre les ransomwares
Avant de supprimer une stratégie de protection contre les ransomwares, vous souhaiterez peut-être afficher les charges de travail protégées par cette stratégie.
Vous pouvez afficher les charges de travail à partir de la liste des stratégies ou lorsque vous modifiez une stratégie spécifique.
-
Dans le menu Résilience aux ransomwares, sélectionnez Protection.
-
Depuis la page Protection, sélectionnez Gérer les stratégies de protection.
La page Stratégies de protection contre les ransomwares affiche une liste de stratégies.
-
Sur la page Stratégies de protection contre les ransomwares, dans la colonne Charges de travail protégées, sélectionnez la flèche vers le bas à la fin de la ligne.
Supprimer une stratégie de protection contre les ransomwares
Vous pouvez supprimer une stratégie de protection qui n’est actuellement associée à aucune charge de travail.
-
Dans le menu Résilience aux ransomwares, sélectionnez Protection.
-
Depuis la page Protection, sélectionnez Gérer les stratégies de protection.
-
Dans la page Gérer les stratégies, sélectionnez les *Actions*
option pour la stratégie que vous souhaitez supprimer. -
Dans le menu Actions, sélectionnez Supprimer la politique.