Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Assurez la protection anti-ransomware autonome de ONTAP

Contributeurs netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

Depuis la version ONTAP 9.10.1, vous pouvez activer la protection anti-ransomware autonome (ARP) sur un volume existant ou créer un volume et activer ARP dès le début.

Si vous souhaitez configurer votre cluster ONTAP de sorte que tous les nouveaux volumes soient activés par défaut pour la protection anti-ransomware autonome (ARP), consultez cette "Procédure ARP associée".

Description de la tâche

  • *(Environnements NAS uniquement) Pour ONTAP 9.10.1 à 9.15.1 ou ARP avec volumes FlexGroup * Pour ces versions d' ONTAP, vous devez toujours activer ARP initialement dans "mode d'apprentissage" (ou état « d'exécution à blanc »). Lorsque vous activez ARP pour la première fois en mode d'apprentissage, le système analyse la charge de travail pour caractériser un comportement normal. Démarrer en mode actif peut entraîner un nombre excessif de faux positifs.

    Il est recommandé de laisser ARP s'exécuter en mode d'apprentissage pendant au moins 30 jours. À partir d' ONTAP 9.13.1, ARP détermine automatiquement l'intervalle optimal de la période d'apprentissage et automatise le basculement, qui peut intervenir avant 30 jours.

  • *(Environnements NAS uniquement) Pour ONTAP 9.16.1 et versions ultérieures avec volumes FlexVol * Lorsque vous activez ARP via System Manager ou l'interface de ligne de commande, la protection ARP/AI est activée et active immédiatement. Aucune période d'apprentissage n'est requise.

  • *(Environnements SAN uniquement) Pour ONTAP 9.17.1 et versions ultérieures avec volumes FlexVol * Lorsque vous activez ARP via System Manager ou l'interface de ligne de commande, la fonctionnalité ARP/AI est automatiquement activée. Une fois activée sur un volume SAN, "ARP/AI surveille les données en continu pendant une période d'évaluation" pour déterminer si les charges de travail sont adaptées à ARP et définit un seuil de cryptage optimal pour la détection.

Avant de commencer

  • Vous devez disposer d'une machine virtuelle de stockage (SVM) avec les protocoles activés :

    • NAS : NFS ou SMB (ou les deux)

    • SAN : iSCSI, FC ou NVMe

  • Le "licence correcte" doit être installé pour votre version ONTAP .

  • Vous devez disposer d'une charge de travail NAS ou SAN avec des clients configurés.

  • (Environnements NAS uniquement) Le volume sur lequel vous souhaitez définir ARP doit avoir un "chemin de jonction" .

  • Le volume doit être rempli à moins de 100 %.

  • Il est recommandé de configurer le système EMS pour envoyer des notifications par e-mail, qui incluront des notifications d'activité ARP. Pour plus d'informations, voir "Configurez les événements EMS pour envoyer des notifications par e-mail".

  • Depuis la version ONTAP 9.13.1, il est recommandé d'activer la vérification multiadministrateur afin que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour la configuration ARP (Autonomous ransomware protection). Pour plus d'informations, voir "Activez la vérification multiadministrateur".

Activez ARP sur un volume nouveau ou existant

Vous pouvez activer le protocole ARP à l'aide de System Manager ou de l'interface de ligne de commande ONTAP.

System Manager
Étapes

  1. Sélectionnez stockage > volumes, puis sélectionnez le volume à protéger.

  2. Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.

    • (Environnements NAS uniquement) Si vous utilisez ARP avec ONTAP 9.15.1 ou une version antérieure ou ONTAP 9.16.1 avec des volumes FlexGroup , sélectionnez Activé en mode d'apprentissage dans la case Anti-ransomware.

      Remarque À partir de ONTAP 9.13.1, ARP détermine automatiquement la période d'apprentissage optimale et automatise le commutateur. Vous pouvez "Désactivez ce paramètre sur la machine virtuelle de stockage associée"contrôler manuellement la transition du mode d'apprentissage au mode actif.
    Remarque Dans les volumes existants, les modes d'apprentissage et actif s'appliquent uniquement aux données nouvellement écrites, et non aux données existantes du volume. Les données existantes ne sont pas analysées et analysées, car les caractéristiques du trafic de données normal antérieur sont présumées basées sur les nouvelles données une fois que le volume est activé pour ARP.

  3. Vous pouvez vérifier l'état ARP du volume dans la zone anti-ransomware.

    Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.

CLI

Le processus d’activation d’ARP avec la CLI diffère si vous l’activez sur un volume existant ou sur un nouveau volume.

Activez ARP sur un volume existant

  1. Modifiez un volume pour activer la protection contre les ransomware :

    • Pour les environnements NAS sans ARP/AI ou pour les volumes FlexGroup , utilisez dry-run état afin que les nouveaux volumes démarrent en mode apprentissage.

    • Pour les environnements NAS exécutant ONTAP 9.16.1 ou version ultérieure ou les environnements SAN avec ONTAP 9.17.1, utilisez enabled État.

      security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>

      Pour en savoir plus, security anti-ransomware volume dry-run consultez le "Référence de commande ONTAP".

  2. Si vous avez mis à niveau un environnement NAS vers ONTAP 9.13.1 via ONTAP 9.15.1 et que l'état par défaut est dry-run (mode d'apprentissage), l'apprentissage adaptatif est activé afin que le changement de enabled L'état (mode actif) est automatique. Si vous ne souhaitez pas que ce comportement soit activé automatiquement, modifiez le paramètre au niveau de la SVM sur tous les volumes associés :

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Vérifiez l'état ARP du volume.

    security anti-ransomware volume show
Activez ARP sur un nouveau volume

  1. Créez un nouveau volume avec ARP activé avant le provisionnement des données :

    • Pour les environnements NAS sans ARP/AI ou pour les volumes FlexGroup , utilisez dry-run état afin que les nouveaux volumes démarrent en mode apprentissage.

    • Pour les environnements NAS exécutant ONTAP 9.16.1 ou version ultérieure ou les environnements SAN avec ONTAP 9.17.1, utilisez enabled État.

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>

  2. Si vous avez mis à niveau un environnement NAS vers ONTAP 9.13.1 via ONTAP 9.15.1 et que l'état par défaut est dry-run (mode d'apprentissage), l'apprentissage adaptatif est activé afin que le changement de enabled L'état (mode actif) est automatique. Si vous ne souhaitez pas que ce comportement soit activé automatiquement, modifiez le paramètre au niveau de la SVM sur tous les volumes associés :

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Vérifiez que le volume est défini sur enabled l'état.

    security anti-ransomware volume show

    Pour en savoir plus, security anti-ransomware volume show consultez le "Référence de commande ONTAP".

Informations associées