Notes de mise à jour
Cas d'utilisation et considérations relatives à la protection autonome contre les ransomwares
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
La protection anti-ransomware autonome (ARP) est disponible pour les charges de travail NAS à partir de ONTAP 9.10.1. Avant de déployer ARP, vous devez connaître les utilisations recommandées et les configurations prises en charge, ainsi que les implications en termes de performances.
Configurations prises en charge et non prises en charge
Lorsque vous décidez d'utiliser ARP, il est important de vous assurer que la charge de travail de votre volume est adaptée à ARP et qu'elle répond aux configurations système requises.
Charges de travail adaptées
ARP est adapté pour :
-
Les bases de données sur le stockage NFS
-
Répertoires locaux Windows ou Linux
Comme les utilisateurs pouvaient créer des fichiers avec des extensions qui n'ont pas été détectées pendant la période d'apprentissage, les risques de faux positifs sont plus élevés dans cette charge de travail.
-
Images et vidéos
Par exemple, les dossiers médicaux et les données EDA
Charges de travail non adaptées
ARP n'est pas adapté pour :
-
Les workloads comportant une fréquence élevée de création ou de suppression de fichiers (des centaines de milliers de fichiers en quelques secondes, par exemple des workloads de test/développement).
-
La détection des menaces par ARP dépend de sa capacité à reconnaître une augmentation inhabituelle de l'activité de création, de renommage ou de suppression de fichiers. Si l'application elle-même est la source de l'activité des fichiers, elle ne peut pas être efficacement distinguée de l'activité des ransomware.
-
Charges de travail où l'application ou l'hôte chiffre les données.
ARP dépend de la distinction des données entrantes comme chiffrées ou non chiffrées. Si l'application elle-même est en train de chiffrer les données, l'efficacité de la fonction est réduite. Toutefois, la fonction peut toujours fonctionner en fonction de l'activité du fichier (supprimer, écraser ou créer, ou créer ou renommer avec une nouvelle extension de fichier) et du type de fichier.
Configurations compatibles
ARP est disponible pour les volumes NFS et SMB dans les systèmes ONTAP sur site à partir de ONTAP 9.10.1.
La prise en charge d'autres configurations et types de volumes est disponible dans les versions ONTAP suivantes :
| ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|
Volumes protégés avec SnapMirror asynchrone |
✓ |
✓ |
✓ |
||
SVM protégé avec SnapMirror asynchrone (reprise après incident SVM) |
✓ |
✓ |
✓ |
||
Mobilité des données des SVM ( |
✓ |
✓ |
✓ |
||
Volumes FlexGroup |
✓ |
✓ |
|||
Vérification multi-administrateurs |
✓ |
✓ |
Interopérabilité SnapMirror et ARP
À partir de ONTAP 9.12.1, ARP est pris en charge sur les volumes de destination SnapMirror asynchrones. ARP est non pris en charge avec SnapMirror Synchronous.
Si un volume source SnapMirror est compatible ARP, le volume de destination SnapMirror acquiert automatiquement l'état de configuration ARP (apprentissage, activation, etc.), les données d'entraînement ARP et le snapshot créé par ARP du volume source. Aucune activation explicite n'est requise.
Alors que le volume de destination se compose de copies Snapshot RO (lecture seule), aucun traitement ARP n'est effectué sur ses données. Toutefois, lorsque le volume de destination SnapMirror est converti en lecture-écriture (RW), ARP est automatiquement activé sur le volume de destination converti en RW. Le volume de destination ne nécessite pas de procédure d'apprentissage supplémentaire en plus de ce qui est déjà enregistré sur le volume source.
Dans ONTAP 9.10.1 et 9.11.1, SnapMirror ne transfère pas l'état de configuration ARP, les données d'entraînement et les copies Snapshot des volumes source vers les volumes de destination. Ainsi, lorsque le volume de destination SnapMirror est converti en RW, ARP sur le volume de destination doit être explicitement activé en mode apprentissage une fois la conversion terminée.
ARP et machines virtuelles
ARP est pris en charge avec les machines virtuelles (VM). La détection ARP se comporte différemment pour les modifications à l'intérieur et à l'extérieur de la machine virtuelle. ARP n'est pas recommandé pour les workloads avec des fichiers fortement entropie dans la machine virtuelle.
ARP peut détecter les modifications d'extension de fichier sur un volume NFS en dehors de la machine virtuelle si une nouvelle extension entre dans le volume chiffré ou si une extension de fichier change. Les modifications d'extension de fichier détectables sont les suivantes :
-
.vmx
-
.vmxf
-
.vmdk
-
-flat.vmdk
-
nvram
-
.vmem
-
.vmsd
-
.vmsn
-
.vswp
-
.vmss
-
.log
-
-\#.log
Si l'attaque par ransomware cible la machine virtuelle et les fichiers à l'intérieur de la machine virtuelle sont modifiés sans effectuer de modifications à l'extérieur de la machine virtuelle, ARP détecte la menace si l'entropie par défaut de la machine virtuelle est faible (par exemple, fichiers .txt, .docx ou .mp4). Bien que ARP crée un instantané de protection dans ce scénario, il ne génère pas d'alerte de menace car les extensions de fichiers en dehors de la machine virtuelle n'ont pas été falsifiées.
Si, par défaut, les fichiers sont à haute entropie (par exemple, les fichiers .gzip ou protégés par mot de passe), les capacités de détection d'ARP sont limitées. ARP peut toujours prendre des snapshots proactifs dans cette instance, cependant aucune alerte ne sera déclenchée si les extensions de fichier n'ont pas été falsifiées en externe.
Configurations non prises en charge
ARP n'est pas pris en charge dans les configurations système suivantes :
-
Les environnements ONTAP S3
-
Environnements SAN
ARP ne prend pas en charge les configurations de volume suivantes :
-
Volumes FlexGroup (dans ONTAP 9.10.1 à 9.12.1. À partir de ONTAP 9.13.1, les volumes FlexGroup sont pris en charge)
-
Volumes FlexCache (ARP est pris en charge sur les volumes FlexVol d'origine, mais pas sur les volumes de cache)
-
Les volumes hors ligne
-
Volumes SAN uniquement
-
Volumes SnapLock
-
SnapMirror synchrone
-
SnapMirror asynchrone (non pris en charge uniquement dans ONTAP 9.10.1 et 9.11.1) SnapMirror asynchrone est pris en charge à partir de ONTAP 9.12.1. Pour plus d'informations, voir [snapmirror].)
-
Volumes restreints
-
Volumes root des VM de stockage
-
Volumes des machines virtuelles de stockage arrêtées
Considérations relatives aux performances ARP et à la fréquence
Le protocole ARP peut avoir un impact minimal sur les performances du système, mesuré en débit et en pic d'IOPS. L'impact de la fonctionnalité ARP dépend des charges de travail de volume spécifiques. Pour les charges de travail courantes, les limites de configuration suivantes sont recommandées :
| Caractéristiques de la charge de travail | Limite de volume recommandée par nœud | Dégradation des performances lorsque la limite de volume par nœud est dépassée :[*] |
|---|---|---|
Ces données intensives en lecture ou compressées peuvent être compressées. |
150 |
4 % des IOPS maximales |
Des opérations d'écriture intensives et des données ne peuvent pas être compressées. |
60 |
10 % des IOPS maximales |
Pass:[*] les performances du système ne sont pas dégradées au-delà de ces pourcentages, quel que soit le nombre de volumes ajoutés au-delà des limites recommandées.
L'analyse ARP étant exécutée selon une séquence prioritaire, à mesure que le nombre de volumes protégés augmente, l'analyse s'exécute moins souvent sur chaque volume.
Vérification multiadministrateur avec volumes protégés par ARP
À partir de ONTAP 9.13.1, vous pouvez activer la vérification multiadministrateur (MAV) pour une sécurité supplémentaire avec ARP. MAV s'assure qu'au moins deux administrateurs authentifiés sont requis pour désactiver ARP, mettre en pause ARP ou marquer une attaque suspecte comme faux positif sur un volume protégé. Découvrez comment "Activez MAV pour les volumes protégés par ARP".
Vous devez définir des administrateurs pour un groupe MAV et créer des règles MAV pour le security anti-ransomware volume disable, security anti-ransomware volume pause, et security anti-ransomware volume attack clear-suspect Commandes ARP à protéger. Chaque administrateur du groupe MAV doit approuver chaque nouvelle demande de règle et "Ajoutez à nouveau la règle MAV" Dans les paramètres MAV.
Depuis ONTAP 9.14.1, ARP propose des alertes pour la création d'un instantané ARP et pour l'observation d'une nouvelle extension de fichier. Les alertes pour ces événements sont désactivées par défaut. Les alertes peuvent être définies au niveau du volume ou des SVM. Vous pouvez créer des règles MAV au niveau du SVM à l'aide de security anti-ransomware vserver event-log modify ou au niveau du volume avec security anti-ransomware volume event-log modify.