Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Cas d'utilisation et considérations de la protection anti-ransomware autonome de ONTAP

Contributeurs netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-lenida netapp-perveilerk netapp-aaron-holt netapp-thomi pixelchrome
PDF

La protection autonome contre les ransomwares (ARP) est disponible pour les charges de travail NAS à partir d'ONTAP 9.10.1 et pour les charges de travail SAN à partir d'ONTAP 9.17.1. Avant de déployer ARP, vous devez connaître les utilisations recommandées et les configurations prises en charge ainsi que les implications sur les performances. Vous devez également vous assurer que la charge de travail de votre volume est adaptée à ARP et qu'elle répond aux configurations système requises.

Charges de travail adaptées

ARP est adapté à ces types de charges de travail :

  • Bases de données sur stockage NFS ou SAN

  • Répertoires locaux Windows ou Linux

    Dans les environnements sans ARP/AI, les utilisateurs peuvent créer des fichiers dont les extensions ne sont pas détectées lors de la période d'apprentissage. De ce fait, le risque de faux positifs est plus élevé dans cette charge de travail.

  • Images et vidéos

    Par exemple, les dossiers médicaux et les données EDA

Charges de travail non adaptées

ARP n'est pas adapté à ces types de charges de travail :

  • Charges de travail avec une fréquence élevée d'opérations de création ou de suppression de fichiers (des centaines de milliers de fichiers en quelques secondes ; par exemple, charges de travail de test/développement).

  • La détection des menaces par ARP repose sur sa capacité à reconnaître une augmentation inhabituelle des opérations de création, de renommage ou de suppression de fichiers. Si l'application elle-même est à l'origine de l'activité du fichier, elle ne peut être distinguée efficacement d'une activité de rançongiciel.

  • Charges de travail où l’application ou l’hôte crypte les données.

    ARP distingue les données entrantes chiffrées ou non chiffrées. Si l'application chiffre les données elle-même, son efficacité est réduite. Cependant, ARP peut toujours fonctionner en fonction de l'activité du fichier (suppression, écrasement, création, ou renommage avec une nouvelle extension) et du type de fichier.

Configurations compatibles

ARP prend en charge les charges de travail NAS et SAN sur plusieurs versions et environnements ONTAP. Examinez les capacités de prise en charge pour confirmer que votre environnement et votre configuration sont pris en charge avant de déployer ARP.

Soutien de base

La prise en charge de base d'ARP commence dans ONTAP 9.10.1 et inclut les charges de travail NAS (NFS et SMB) sur les volumes FlexVol et les configurations MetroCluster.

Prise en charge des protocoles et des hyperviseurs par version ONTAP

En plus de la prise en charge NAS de base, les versions ultérieures d'ONTAP ajoutent la prise en charge des protocoles et environnements suivants :

  • ONTAP 9.17.1 et versions ultérieures : charges de travail SAN sur périphériques de stockage par blocs (volumes contenant des LUN ou des espaces de noms NVMe) et volumes NAS contenant des disques virtuels VMware

  • ONTAP 9.17.1P5 et versions ultérieures : volumes NAS contenant Hyper-V, KVM et OpenStack hyperviseurs

Matrice de prise en charge des fonctionnalités et des configurations

La prise en charge d'autres configurations et types de volumes est disponible dans les versions ONTAP suivantes :

ONTAP 9.19.1 ONTAP 9.18.1 ONTAP 9.17.1 ONTAP 9.16.1 ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

Volumes protégés avec réplication asynchrone SnapMirror

Volumes protégés avec SnapMirror synchrone 3

Volumes protégés avec la synchronisation active SnapMirror 3

SVM protégé avec réplication asynchrone SnapMirror (reprise d'activité SVM)

Mobilité des données des SVM (vserver migrate)

Volumes FlexGroup 1

Vérification multi-administrateurs

ARP/ai avec mises à jour automatiques

Activation par défaut ARP/AI2

1 ONTAP 9.16.1 et 9.17.1 ne fournissent pas de prise en charge ARP/AI pour les volumes FlexGroup . Après une mise à niveau vers ces versions, les volumes FlexGroup activés pour ARP continuent de fonctionner avec le même modèle ARP utilisé avant ARP/AI. À partir d' ONTAP 9.18.1, les volumes FlexGroup utilisent le modèle ARP/AI.

2 À partir d'ONTAP 9.18.1, le comportement d'activation par défaut d'ARP/AI est disponible pour les systèmes AFF A-series et AFF C-series, ASA et ASA r2. Ce comportement active automatiquement ARP/AI sur tous les nouveaux volumes après un délai de grâce de 12 heures suivant une mise à niveau ou immédiatement pour les nouvelles installations d'ONTAP 9.18.1. Vous devrez activer ARP manuellement sur "volumes existants".

3 À partir d'ONTAP 9.19.1 RC, ARP/AI prend en charge les volumes principaux dans les relations SnapMirror synchrones pour NAS et SAN sur les systèmes FAS, AFF série A, AFF série C et AFX, ainsi que les volumes principaux dans les relations SnapMirror active sync SAN sur les systèmes AFF série A, AFF série C et ASA r2. Pour plus d'informations, consultez [snapmirror].

Considérations relatives à l'interopérabilité et aux machines virtuelles

ARP fonctionne en parallèle des relations de protection des données SnapMirror et des environnements de machines virtuelles, avec certains comportements et limitations spécifiques à la version dont vous devez prendre connaissance avant le déploiement.

Interopérabilité SnapMirror et ARP

À partir d'ONTAP 9.12.1, ARP est pris en charge sur les volumes de destination asynchrones SnapMirror.

À partir d'ONTAP 9.19.1 RC, ARP/AI prend en charge les volumes principaux qui participent à SnapMirror synchrones et SnapMirror active sync dans des relations SAN, avec le comportement suivant :

  • ARP/AI est pris en charge sur les volumes primaires dans les relations synchrones SnapMirror pour NAS et SAN sur les systèmes FAS, AFF A-series, AFF C-series et AFX.

  • ARP/AI est pris en charge sur les volumes primaires dans les relations SAN de synchronisation active SnapMirror sur les systèmes AFF série A, AFF série C et ASA r2.

  • ARP/AI n'est pas pris en charge avec la synchronisation active SnapMirror pour NAS dans ONTAP 9.19.1 RC.

  • L'analyse ARP/AI s'exécute uniquement sur le volume principal actif en lecture-écriture dans les relations SAN synchrones SnapMirror et de synchronisation active SnapMirror, où ARP crée des instantanés uniquement primaires et effectue une détection de ransomware basée sur l'apprentissage automatique.

  • L'état de configuration ARP et les instantanés ARP ne sont pas répliqués sur le volume secondaire dans le cadre de la synchronisation synchrone SnapMirror ou de la synchronisation active SnapMirror dans ONTAP 9.19.1 RC.

Remarque Comme chaque opération d'écriture est enregistrée sur les deux volumes dans une relation de miroir synchrone, l'activation d'ARP sur le seul volume principal suffit à détecter les anomalies. Les métadonnées internes générées par l'analyse ARP sur le volume principal sont également répliquées sur le volume secondaire. Par conséquent, si ARP est activé sur le volume secondaire après un basculement, les métadonnées requises seront déjà présentes sur le volume secondaire.

Si un volume source SnapMirror asynchrone est compatible ARP, le volume de destination SnapMirror acquiert automatiquement l'état de configuration ARP (comme dry-run ou enabled), les données d'apprentissage ARP et l'instantané créé par ARP du volume source. Aucune activation explicite n'est requise.

Bien que le volume de destination asynchrone soit constitué d'instantanés en lecture seule (RO), aucun traitement ARP n'est effectué sur ses données. Cependant, lorsque le volume de destination asynchrone SnapMirror est converti en lecture-écriture (RW), ARP est automatiquement activé sur le volume de destination converti en RW. Le volume de destination ne nécessite aucune procédure d'apprentissage supplémentaire en dehors de ce qui est déjà enregistré sur le volume source.

Dans ONTAP 9.10.1 et 9.11.1, SnapMirror ne transfère pas l'état de configuration ARP, les données d'apprentissage et les snapshots des volumes source vers les volumes de destination. Par conséquent, lors de la conversion du volume de destination SnapMirror en RW, ARP doit être explicitement activé en mode d'apprentissage sur ce volume après la conversion.

ARP et machines virtuelles

Le protocole ARP est pris en charge avec les machines virtuelles (VM) sur VMware, Hyper-V, KVM et OpenStack. VMware est pris en charge à partir d'ONTAP 9.17.1, et Hyper-V, KVM et OpenStack sont pris en charge à partir d'ONTAP 9.17.1P5. La détection ARP se comporte différemment selon que les modifications se produisent à l'intérieur ou à l'extérieur de la VM. L'utilisation d'ARP est déconseillée pour les charges de travail impliquant un grand nombre de fichiers fortement compressés (tels que 7z et ZIP) ou chiffrés (tels que des fichiers PDF, DOC ou ZIP protégés par mot de passe) au sein de la VM.

Modifications en dehors de la VM

ARP peut détecter les modifications d'extension de fichier sur un volume NFS en dehors de la machine virtuelle si une nouvelle extension entre dans le volume dans un état chiffré ou si une extension de fichier change.

Modifications au sein de la machine virtuelle

Si une attaque par rançongiciel modifie des fichiers à l'intérieur de la machine virtuelle sans effectuer de modifications à l'extérieur, ARP détecte la menace si l'entropie par défaut de la machine virtuelle est faible (par exemple, fichiers .txt, .docx ou .mp4). Pour ONTAP 9.16.1 et les versions antérieures, ARP crée un instantané de protection dans ce scénario, mais ne génère pas d'alerte de menace, car les extensions de fichier externes à la machine virtuelle n'ont pas été altérées. À compter de la prise en charge SAN dans ONTAP 9.17.1, ARP génère également une alerte de menace s'il détecte une anomalie d'entropie à l'intérieur de la machine virtuelle.

Si, par défaut, les fichiers sont à entropie élevée (par exemple, des fichiers .gzip ou protégés par mot de passe), les capacités de détection d'ARP sont limitées. Dans ce cas, ARP peut néanmoins prendre des instantanés proactifs ; cependant, aucune alerte ne sera déclenchée si les extensions de fichier n'ont pas été altérées de manière externe.

Pour SAN, ARP analyse les statistiques d'entropie au niveau du volume et déclenche des détections lorsqu'une anomalie d'entropie est détectée.

Remarque La détection des attaques se produisant au sein d'une VM est disponible uniquement pour les volumes FlexVol et n'est pas disponible si la banque de données de la VM est configurée sur un volume FlexGroup dans ONTAP 9.18.1 et versions ultérieures.

Configurations non prises en charge

ARP n'est pas pris en charge dans les environnements ONTAP S3.

ARP ne prend pas en charge les configurations de volume suivantes :

  • Volumes FlexGroup (dans ONTAP 9.10.1 à 9.12.1).

    Remarque À partir d' ONTAP 9.13.1 jusqu'à ONTAP 9.17.1, les volumes FlexGroup sont pris en charge mais sont limités au modèle ARP utilisé avant ARP/AI. Les volumes FlexGroup sont pris en charge avec ARP/AI à partir d' ONTAP 9.18.1.

  • Volumes FlexCache (ARP est pris en charge sur les volumes FlexVol d'origine, mais pas sur les volumes de cache)

  • Les volumes hors ligne

  • Volumes SnapLock

  • SnapMirror active sync dans ONTAP 9.18.1 et versions antérieures

  • SnapMirror active sync (NAS) dans ONTAP 9.19.1 RC

  • SnapMirror synchrone dans ONTAP 9.18.1 et versions antérieures

  • SnapMirror asynchrone (dans ONTAP 9.10.1 et 9.11.1). SnapMirror asynchrone est pris en charge à partir d' ONTAP 9.12.1. [snapmirror] .

  • Volumes restreints

  • Volumes root des VM de stockage

  • Volumes des machines virtuelles de stockage arrêtées

  • FlexVol vers FlexGroup conversion (ARP doit être désactivé avant la conversion)

Considérations relatives aux performances ARP et à la fréquence

L'impact d'ARP sur les performances système est minime, mesuré en termes de débit et d'IOPS de pointe. L'impact de la fonctionnalité ARP dépend de la charge de travail du volume concerné. Pour les charges de travail courantes, les limites de configuration suivantes sont recommandées :

Caractéristiques de la charge de travail Limite de volume recommandée par nœud Dégradation des performances lorsque la limite de volume par nœud est dépassée 1

Lecture intensive ou les données peuvent être compressées

150

4 % des IOPS maximales

Écriture intensive et les données ne peuvent pas être compressées

60

  • NAS : 10 % des IOPS maximum pour ONTAP 9.15.1 et versions antérieures

  • NAS : 5 % du maximum d'IOPS pour ONTAP 9.16.1 et versions ultérieures

  • SAN : 5 % des IOPS maximum pour ONTAP 9.17.1 et versions ultérieures

1 Les performances du système ne sont pas dégradées au-delà de ces pourcentages, quel que soit le nombre de volumes ajoutés au-delà des limites recommandées.

Étant donné que les analyses ARP s’exécutent dans une séquence prioritaire, les analyses s’exécutent sur chaque volume moins fréquemment à mesure que le nombre de volumes protégés augmente.

Remarque

L'activation par défaut du protocole ARP sur un grand nombre de nouveaux volumes peut accroître l'utilisation des ressources système. Lors de l'activation d'ARP sur des volumes, tenez compte des besoins en espace des processus concurrents comme les snapshots.

Limites de volume pour ARP par plateforme

À partir de ONTAP 9.18.1, ARP prend en charge des limites de volume accrues en fonction du type de plateforme et du nombre de cœurs.

Type de plateforme Nombre maximal de volumes compatibles ARP par nœud

Entrée de gamme (systèmes avec jusqu'à 20 cœurs de processeur)

250

Moyen (systèmes avec jusqu'à 64 cœurs CPU)

500

Haut de gamme (systèmes avec plus de 64 cœurs CPU)

1000
Remarque Le nombre de cœurs s'applique à chaque nœud individuel d'une paire haute disponibilité à 2 nœuds.

Vérification multiadministrateur avec volumes protégés par ARP

À partir de ONTAP 9.13.1, vous pouvez activer la vérification multiadministrateur (MAV) pour une sécurité supplémentaire avec ARP. MAV s'assure qu'au moins deux administrateurs authentifiés sont requis pour désactiver ARP, mettre en pause ARP ou marquer une attaque suspecte comme faux positif sur un volume protégé. Découvrez comment "Activez MAV pour les volumes protégés par ARP".

Vous devez définir des administrateurs pour un groupe MAV et créer des règles MAV pour les security anti-ransomware volume disable commandes , security anti-ransomware volume pause et security anti-ransomware volume attack clear-suspect ARP que vous souhaitez protéger. Chaque administrateur du groupe MAV doit approuver chaque nouvelle demande de règle et "Ajoutez à nouveau la règle MAV" dans les paramètres MAV.

Pour en savoir plus sur security anti-ransomware volume disable, security anti-ransomware volume pause et security anti-ransomware volume attack clear-suspect dans le "Référence de commande ONTAP".

Depuis ONTAP 9.14.1, ARP propose des alertes pour la création d'un snapshot ARP et l'observation d'une nouvelle extension de fichier. Les alertes pour ces événements sont désactivées par défaut. Elles peuvent être définies au niveau du volume ou de la SVM. Vous pouvez activer les alertes via security anti-ransomware vserver event-log modify ou au niveau du volume avec security anti-ransomware volume event-log modify .

Pour en savoir plus sur security anti-ransomware vserver event-log modify et security anti-ransomware volume event-log modify dans le "Référence de commande ONTAP".

Étapes suivantes