Cas d'utilisation et considérations de la protection anti-ransomware autonome de ONTAP
Suggérer des modifications
PDF
La protection autonome contre les ransomwares (ARP) est disponible pour les charges de travail NAS à partir d' ONTAP 9.10.1 et SAN à partir d' ONTAP 9.17.1. Avant de déployer ARP, vous devez connaître les utilisations recommandées et les configurations prises en charge, ainsi que les implications en termes de performances.
Configurations prises en charge et non prises en charge
Lorsque vous décidez d'utiliser ARP, il est important de vous assurer que la charge de travail de votre volume est adaptée à ARP et qu'elle répond aux configurations système requises.
Charges de travail adaptées
ARP est adapté à ces types de charges de travail :
-
Bases de données sur stockage NFS ou SAN
-
Répertoires locaux Windows ou Linux
Dans les environnements sans ARP/AI, les utilisateurs peuvent créer des fichiers dont les extensions ne sont pas détectées lors de la période d'apprentissage. De ce fait, le risque de faux positifs est plus élevé dans cette charge de travail.
-
Images et vidéos
Par exemple, les dossiers médicaux et les données EDA
Charges de travail non adaptées
ARP n'est pas adapté à ces types de charges de travail :
-
Charges de travail avec une fréquence élevée d'opérations de création ou de suppression de fichiers (des centaines de milliers de fichiers en quelques secondes ; par exemple, charges de travail de test/développement).
-
La détection des menaces par ARP repose sur sa capacité à reconnaître une augmentation inhabituelle des opérations de création, de renommage ou de suppression de fichiers. Si l'application elle-même est à l'origine de l'activité du fichier, elle ne peut être distinguée efficacement d'une activité de rançongiciel.
-
Charges de travail où l’application ou l’hôte crypte les données.
ARP distingue les données entrantes chiffrées ou non chiffrées. Si l'application chiffre les données elle-même, son efficacité est réduite. Cependant, ARP peut toujours fonctionner en fonction de l'activité du fichier (suppression, écrasement, création, ou renommage avec une nouvelle extension) et du type de fichier.
Configurations compatibles
ARP est disponible pour les volumes NAS NFS et SMB FlexVol à partir d' ONTAP 9.10.1. À partir de la version 9.17.1, ARP est disponible pour les volumes SAN FlexVol pour iSCSI, FC et NVMe avec stockage SAN.
La prise en charge d'autres configurations et types de volumes est disponible dans les versions ONTAP suivantes :
| ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|
Volumes protégés avec réplication asynchrone SnapMirror |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM protégé avec réplication asynchrone SnapMirror (reprise d'activité SVM) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Mobilité des données des SVM ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volumes FlexGroup 1 |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
Vérification multi-administrateurs |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/ai avec mises à jour automatiques |
✓ |
✓ |
1 ARP/AI ne prend pas en charge les volumes FlexGroup . Après une mise à niveau vers ONTAP 9.16.1, les volumes FlexGroup compatibles ARP continuent de fonctionner avec le même modèle ARP qu'avant ARP/AI.
Interopérabilité SnapMirror et ARP
À partir d' ONTAP 9.12.1, ARP est pris en charge sur les volumes de destination asynchrones SnapMirror . ARP n'est pas pris en charge avec SnapMirror synchrone ou SnapMirror Active Sync.
Si un volume source SnapMirror est compatible ARP, le volume de destination SnapMirror acquiert automatiquement l'état de configuration ARP (tel que dry-run ou enabled ), données d'entraînement ARP et instantané du volume source créé par ARP. Aucune activation explicite n'est requise.
Bien que le volume de destination soit constitué d'instantanés en lecture seule (RO), aucun traitement ARP n'est appliqué à ses données. Cependant, lorsque le volume de destination SnapMirror est converti en lecture-écriture (RW), ARP est automatiquement activé sur le volume de destination converti en RW. Le volume de destination ne nécessite aucune procédure d'apprentissage supplémentaire, outre celles déjà enregistrées sur le volume source.
Dans ONTAP 9.10.1 et 9.11.1, SnapMirror ne transfère pas l'état de configuration ARP, les données d'apprentissage et les snapshots des volumes source vers les volumes de destination. Par conséquent, lors de la conversion du volume de destination SnapMirror en RW, ARP doit être explicitement activé en mode d'apprentissage sur ce volume après la conversion.
ARP et machines virtuelles
ARP est pris en charge par les machines virtuelles (VM). La détection ARP se comporte différemment selon qu'il s'agit de modifications internes ou externes à la VM. ARP n'est pas recommandé pour les charges de travail impliquant un grand nombre de fichiers hautement compressés (tels que 7z et ZIP) ou chiffrés (tels que des fichiers PDF, DOC ou ZIP protégés par mot de passe) au sein de la VM.
ARP peut détecter les modifications d'extension de fichier sur un volume NFS en dehors de la machine virtuelle si une nouvelle extension entre dans le volume dans un état chiffré ou si une extension de fichier change.
Si une attaque par rançongiciel modifie des fichiers à l'intérieur de la machine virtuelle sans effectuer de modifications à l'extérieur, ARP détecte la menace si l'entropie par défaut de la machine virtuelle est faible (par exemple, fichiers .txt, .docx ou .mp4). Pour ONTAP 9.16.1 et les versions antérieures, ARP crée un instantané de protection dans ce scénario, mais ne génère pas d'alerte de menace, car les extensions de fichier externes à la machine virtuelle n'ont pas été altérées. À compter de la prise en charge SAN dans ONTAP 9.17.1, ARP génère également une alerte de menace s'il détecte une anomalie d'entropie à l'intérieur de la machine virtuelle.
Si, par défaut, les fichiers sont à entropie élevée (par exemple, des fichiers .gzip ou protégés par mot de passe), les capacités de détection d'ARP sont limitées. Dans ce cas, ARP peut néanmoins prendre des instantanés proactifs ; cependant, aucune alerte ne sera déclenchée si les extensions de fichier n'ont pas été altérées de manière externe.
Pour SAN, ARP analyse les statistiques d'entropie au niveau du volume et déclenche des détections lorsqu'une anomalie d'entropie est détectée.
Configurations non prises en charge
ARP n'est pas pris en charge dans les environnements ONTAP S3.
ARP ne prend pas en charge les configurations de volume suivantes :
-
Volumes FlexGroup (dans ONTAP 9.10.1 à 9.12.1). À partir d' ONTAP 9.13.1, les volumes FlexGroup sont pris en charge, mais limités au modèle ARP utilisé avant ARP/AI.
-
Volumes FlexCache (ARP est pris en charge sur les volumes FlexVol d'origine, mais pas sur les volumes de cache)
-
Les volumes hors ligne
-
Volumes SnapLock
-
Synchronisation active SnapMirror
-
SnapMirror synchrone
-
SnapMirror asynchrone (dans ONTAP 9.10.1 et 9.11.1). SnapMirror asynchrone est pris en charge à partir d' ONTAP 9.12.1. [snapmirror] .
-
Volumes restreints
-
Volumes root des VM de stockage
-
Volumes des machines virtuelles de stockage arrêtées
Considérations relatives aux performances ARP et à la fréquence
L'impact d'ARP sur les performances système est minime, mesuré en termes de débit et d'IOPS de pointe. L'impact de la fonctionnalité ARP dépend de la charge de travail du volume concerné. Pour les charges de travail courantes, les limites de configuration suivantes sont recommandées :
| Caractéristiques de la charge de travail | Limite de volume recommandée par nœud | Dégradation des performances lorsque la limite de volume par nœud est dépassée 1 |
|---|---|---|
Lecture intensive ou les données peuvent être compressées |
150 |
4 % des IOPS maximales |
Écriture intensive et les données ne peuvent pas être compressées |
60 |
|
1 Les performances du système ne sont pas dégradées au-delà de ces pourcentages, quel que soit le nombre de volumes ajoutés au-delà des limites recommandées.
Étant donné que les analyses ARP s’exécutent dans une séquence prioritaire, les analyses s’exécutent sur chaque volume moins fréquemment à mesure que le nombre de volumes protégés augmente.
Vérification multiadministrateur avec volumes protégés par ARP
À partir de ONTAP 9.13.1, vous pouvez activer la vérification multiadministrateur (MAV) pour une sécurité supplémentaire avec ARP. MAV s'assure qu'au moins deux administrateurs authentifiés sont requis pour désactiver ARP, mettre en pause ARP ou marquer une attaque suspecte comme faux positif sur un volume protégé. Découvrez comment "Activez MAV pour les volumes protégés par ARP".
Vous devez définir des administrateurs pour un groupe MAV et créer des règles MAV pour les security anti-ransomware volume disable commandes , security anti-ransomware volume pause et security anti-ransomware volume attack clear-suspect ARP que vous souhaitez protéger. Chaque administrateur du groupe MAV doit approuver chaque nouvelle demande de règle et "Ajoutez à nouveau la règle MAV" dans les paramètres MAV.
Pour en savoir plus sur security anti-ransomware volume disable, security anti-ransomware volume pause et security anti-ransomware volume attack clear-suspect dans le "Référence de commande ONTAP".
Depuis ONTAP 9.14.1, ARP propose des alertes pour la création d'un snapshot ARP et l'observation d'une nouvelle extension de fichier. Les alertes pour ces événements sont désactivées par défaut. Elles peuvent être définies au niveau du volume ou de la SVM. Vous pouvez activer les alertes via security anti-ransomware vserver event-log modify ou au niveau du volume avec security anti-ransomware volume event-log modify .
Pour en savoir plus sur security anti-ransomware vserver event-log modify et security anti-ransomware volume event-log modify dans le "Référence de commande ONTAP".