La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Cas d'utilisation et considérations relatives à la protection autonome contre les ransomwares

11/20/2024 Contributeurs

La protection anti-ransomware autonome (ARP) est disponible pour les workloads NAS à partir de ONTAP 9.10.1. Avant de déployer ARP, vous devez connaître les utilisations recommandées et les configurations prises en charge, ainsi que les implications en termes de performances.

Configurations prises en charge et non prises en charge

Lorsque vous décidez d'utiliser ARP, il est important de vous assurer que la charge de travail de votre volume est adaptée à ARP et qu'elle répond aux configurations système requises.

Charges de travail adaptées

ARP est adapté pour :

Les bases de données sur le stockage NFS
Répertoires locaux Windows ou Linux

Comme les utilisateurs pouvaient créer des fichiers avec des extensions qui n'ont pas été détectées pendant la période d'apprentissage, les risques de faux positifs sont plus élevés dans cette charge de travail.
Images et vidéos

Par exemple, les dossiers médicaux et les données EDA

Charges de travail non adaptées

ARP n'est pas adapté pour :

Les workloads comportant une fréquence élevée de création ou de suppression de fichiers (des centaines de milliers de fichiers en quelques secondes, par exemple des workloads de test/développement).
La détection des menaces par ARP dépend de sa capacité à reconnaître une augmentation inhabituelle de l'activité de création, de renommage ou de suppression de fichiers. Si l'application elle-même est la source de l'activité des fichiers, elle ne peut pas être efficacement distinguée de l'activité des ransomware.
Charges de travail où l'application ou l'hôte chiffre les données.
ARP dépend de la distinction des données entrantes comme chiffrées ou non chiffrées. Si l'application elle-même est en train de chiffrer les données, l'efficacité de la fonction est réduite. Toutefois, la fonction peut toujours fonctionner en fonction de l'activité du fichier (supprimer, écraser ou créer, ou créer ou renommer avec une nouvelle extension de fichier) et du type de fichier.

Configurations compatibles

ARP est disponible pour les volumes FlexVol NFS et SMB dans les systèmes ONTAP sur site à partir de ONTAP 9.10.1.

La prise en charge d'autres configurations et types de volumes est disponible dans les versions ONTAP suivantes :

ONTAP 9.16.1 ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

	ONTAP 9.16.1	ONTAP 9.15.1	ONTAP 9.14.1	ONTAP 9.13.1	ONTAP 9.12.1
Volumes protégés avec réplication asynchrone SnapMirror	✓	✓	✓	✓	✓
SVM protégé avec réplication asynchrone SnapMirror (reprise d'activité SVM)	✓	✓	✓	✓	✓
Mobilité des données des SVM (`vserver migrate`)	✓	✓	✓	✓	✓
Volumes FlexGroup*	✓	✓	✓	✓
Vérification multi-administrateurs	✓	✓	✓	✓
ARP/ai avec mises à jour automatiques	✓

Volumes protégés avec réplication asynchrone SnapMirror

✓

SVM protégé avec réplication asynchrone SnapMirror (reprise d'activité SVM)

✓

Mobilité des données des SVM (vserver migrate)

✓

Volumes FlexGroup*

✓

Vérification multi-administrateurs

✓

ARP/ai avec mises à jour automatiques

✓

*ARP/ai ne prend pas en charge les volumes FlexGroup. Après la mise à niveau vers ONTAP 9.16.1, les volumes FlexGroup activés pour ARP continuent de fonctionner avec le même modèle ARP que celui utilisé avant ARP/ai.

Interopérabilité SnapMirror et ARP

Depuis ONTAP 9.12.1, ARP est pris en charge sur les volumes de destination asynchrones SnapMirror. ARP est non pris en charge avec SnapMirror synchrone.

Si un volume source SnapMirror est compatible ARP, le volume de destination SnapMirror acquiert automatiquement l'état de configuration ARP (apprentissage, activé, etc.), les données d'entraînement ARP et l'instantané créé ARP du volume source. Aucune activation explicite n'est requise.

Bien que le volume de destination se compose de snapshots en lecture seule (RO), aucun traitement ARP n'est effectué sur ses données. Toutefois, lorsque le volume de destination SnapMirror est converti en lecture-écriture (RW), ARP est automatiquement activé sur le volume de destination converti en RW. Le volume de destination ne nécessite pas de procédure d'apprentissage supplémentaire en plus de ce qui est déjà enregistré sur le volume source.

Dans ONTAP 9.10.1 et 9.11.1, SnapMirror ne transfère pas l'état de configuration ARP, les données d'entraînement et les snapshots des volumes source vers les volumes de destination. Ainsi, lorsque le volume de destination SnapMirror est converti en RW, ARP sur le volume de destination doit être explicitement activé en mode apprentissage une fois la conversion terminée.

ARP et machines virtuelles

ARP est pris en charge avec les machines virtuelles (VM). La détection ARP se comporte différemment pour les modifications à l'intérieur et à l'extérieur de la machine virtuelle. ARP n'est pas recommandé pour les workloads avec des fichiers fortement entropie dans la machine virtuelle.

Modifications en dehors de la VM

ARP peut détecter les modifications d'extension de fichier sur un volume NFS en dehors de la machine virtuelle si une nouvelle extension entre dans le volume chiffré ou si une extension de fichier change. Les modifications d'extension de fichier détectables sont les suivantes :

.vmx
.vmxf
.vmdk
-flat.vmdk
nvram
.vmem
.vmsd
.vmsn
.vswp
.vmss
.log
-\#.log

Modifications au sein de la machine virtuelle

Si l'attaque par ransomware cible la machine virtuelle et les fichiers à l'intérieur de la machine virtuelle sont modifiés sans effectuer de modifications à l'extérieur de la machine virtuelle, ARP détecte la menace si l'entropie par défaut de la machine virtuelle est faible (par exemple, fichiers .txt, .docx ou .mp4). Bien que ARP crée un snapshot de protection dans ce scénario, il ne génère pas d'alerte de menace car les extensions de fichier en dehors de la machine virtuelle n'ont pas été falsifiées.

Si, par défaut, les fichiers sont à haute entropie (par exemple, les fichiers .gzip ou protégés par mot de passe), les capacités de détection d'ARP sont limitées. ARP peut toujours prendre des snapshots proactifs dans cette instance ; cependant, aucune alerte ne sera déclenchée si les extensions de fichier n'ont pas été falsifiées en externe.

Configurations non prises en charge

ARP n'est pas pris en charge dans les configurations système suivantes :

Les environnements ONTAP S3
Environnements SAN

ARP ne prend pas en charge les configurations de volume suivantes :

Volumes FlexGroup (dans ONTAP 9.10.1 à 9.12.1. À partir de ONTAP 9.13.1, les volumes FlexGroup sont pris en charge, mais sont limités au modèle ARP utilisé avant ARP/ai)
Volumes FlexCache (ARP est pris en charge sur les volumes FlexVol d'origine, mais pas sur les volumes de cache)
Les volumes hors ligne
Volumes SAN uniquement
Volumes SnapLock
SnapMirror synchrone
SnapMirror asynchrone (non pris en charge uniquement dans ONTAP 9.10.1 et 9.11.1. La réplication asynchrone SnapMirror est prise en charge à partir de ONTAP 9.12.1. Pour plus d'informations, voir [snapmirror].)
Volumes restreints
Volumes root des VM de stockage
Volumes des machines virtuelles de stockage arrêtées

Considérations relatives aux performances ARP et à la fréquence

Le protocole ARP peut avoir un impact minimal sur les performances du système, mesuré en débit et en pic d'IOPS. L'impact de la fonctionnalité ARP dépend des charges de travail de volume spécifiques. Pour les charges de travail courantes, les limites de configuration suivantes sont recommandées :

Caractéristiques de la charge de travail	Limite de volume recommandée par nœud	Dégradation des performances lorsque la limite de volume par nœud est dépassée :[*]
Ces données intensives en lecture ou compressées peuvent être compressées.	150	4 % des IOPS maximales
Des opérations d'écriture intensives et des données ne peuvent pas être compressées.	60	10 % des IOPS maximales

Caractéristiques de la charge de travail

Limite de volume recommandée par nœud

Dégradation des performances lorsque la limite de volume par nœud est dépassée :[*]

Ces données intensives en lecture ou compressées peuvent être compressées.

150

4 % des IOPS maximales

Des opérations d'écriture intensives et des données ne peuvent pas être compressées.

10 % des IOPS maximales

Pass:[*] les performances du système ne sont pas dégradées au-delà de ces pourcentages, quel que soit le nombre de volumes ajoutés au-delà des limites recommandées.

L'analyse ARP étant exécutée selon une séquence prioritaire, à mesure que le nombre de volumes protégés augmente, l'analyse s'exécute moins souvent sur chaque volume.

Vérification multiadministrateur avec volumes protégés par ARP

À partir de ONTAP 9.13.1, vous pouvez activer la vérification multiadministrateur (MAV) pour une sécurité supplémentaire avec ARP. MAV s'assure qu'au moins deux administrateurs authentifiés sont requis pour désactiver ARP, mettre en pause ARP ou marquer une attaque suspecte comme faux positif sur un volume protégé. Découvrez comment "Activez MAV pour les volumes protégés par ARP".

Vous devez définir des administrateurs pour un groupe MAV et créer des règles MAV pour les security anti-ransomware volume disable commandes , security anti-ransomware volume pause et security anti-ransomware volume attack clear-suspect ARP que vous souhaitez protéger. Chaque administrateur du groupe MAV doit approuver chaque nouvelle demande de règle et "Ajoutez à nouveau la règle MAV" dans les paramètres MAV.

Depuis ONTAP 9.14.1, ARP propose des alertes pour la création d'un instantané ARP et pour l'observation d'une nouvelle extension de fichier. Les alertes pour ces événements sont désactivées par défaut. Les alertes peuvent être définies au niveau du volume ou des SVM. Vous pouvez créer des règles MAV au niveau du SVM en utilisant security anti-ransomware vserver event-log modify ou au niveau du volume avec security anti-ransomware volume event-log modify.

Étapes suivantes