Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Verrouillez un instantané ONTAP pour vous protéger contre les attaques de ransomware

Contributeurs netapp-lenida netapp-aaron-holt netapp-dbagwell netapp-aherbin johnlantz netapp-ahibbard netapp-mwallis

À partir de la version ONTAP 9.12.1, vous pouvez verrouiller une copie Snapshot sur un volume non SnapLock afin de protéger les données contre les attaques par ransomware. Le verrouillage des snapshots empêche leur suppression accidentelle ou malveillante.

Vous utilisez la fonction horloge SnapLock Compliance pour verrouiller les instantanés pendant une période donnée afin qu'ils ne puissent pas être supprimés tant que l'heure d'expiration n'est pas atteinte. Le verrouillage des snapshots les rend inviolables et les protège contre les menaces de ransomware. Vous pouvez utiliser des snapshots verrouillés pour restaurer des données si un volume est compromis par une attaque par ransomware.

À partir de ONTAP 9.14.1, le verrouillage des snapshots prend en charge la conservation à long terme des snapshots sur les destinations des coffres-forts SnapLock et sur les volumes de destination non SnapLock SnapMirror. Le verrouillage des snapshots est activé en définissant la période de rétention à l'aide des règles de stratégie SnapMirror associées à un libellé de police existant. La règle remplace la période de rétention par défaut définie sur le volume. Si aucune période de conservation n'est associée au label SnapMirror, la période de conservation par défaut du volume est utilisée.

Exigences et considérations relatives aux copies Snapshot inviolables
  • Si vous utilisez l'interface de ligne de commandes ONTAP, tous les nœuds du cluster doivent exécuter ONTAP 9.12.1 ou une version ultérieure. Si vous utilisez System Manager, tous les nœuds doivent exécuter ONTAP 9.13.1 ou une version ultérieure.

  • "La licence SnapLock doit être installée sur le cluster". Cette licence est incluse dans "ONTAP One".

  • "L'horloge de conformité du cluster doit être initialisée".

  • Lorsque le verrouillage des snapshots est activé sur un volume, vous pouvez mettre à niveau les clusters vers une version de ONTAP ultérieure à ONTAP 9.12.1. Cependant, vous ne pouvez pas revenir à une version antérieure de ONTAP tant que tous les snapshots verrouillés n'ont pas atteint leur date d'expiration et qu'ils sont supprimés et que le verrouillage des snapshots est désactivé.

  • Lorsqu'un instantané est verrouillé, le temps d'expiration du volume est défini sur le temps d'expiration de l'instantané. Si plusieurs snapshots sont verrouillés, l'heure d'expiration du volume reflète l'heure d'expiration la plus élevée parmi tous les snapshots.

  • La période de conservation des snapshots verrouillés prévaut sur le nombre de conservation des snapshots, ce qui signifie que la limite de conservation du nombre n'est pas respectée si la période de conservation des snapshots verrouillés n'a pas expiré.

  • Dans une relation SnapMirror, vous pouvez définir une période de conservation sur une règle de règle de copie miroir et la période de conservation est appliquée pour les snapshots répliqués sur la destination si le verrouillage des snapshots est activé sur le volume de destination. La période de conservation est prioritaire sur le nombre de conservation ; par exemple, les snapshots qui n'ont pas dépassé leur expiration seront conservés même si le nombre de conservation est dépassé.

  • Vous pouvez renommer un snapshot sur un volume non SnapLock. Les opérations de renommage de snapshot sur le volume principal d'une relation SnapMirror sont reflétées sur le volume secondaire uniquement si la règle est MirrorAllsnapshots. Pour les autres types de stratégie, l'instantané renommé n'est pas propagé pendant les mises à jour.

  • Si vous utilisez l'interface de ligne de commandes de ONTAP, vous pouvez restaurer un snapshot verrouillé avec la volume snapshot restore commande uniquement si le snapshot verrouillé est le plus récent. Si des snapshots non expirés sont créés plus tard que ceux en cours de restauration, l'opération de restauration de snapshot échoue.

Fonctionnalités prises en charge avec des copies Snapshot inviolables
  • "Cloud Volumes ONTAP"

  • Volumes FlexGroup

    Le verrouillage des copies Snapshot est pris en charge sur les volumes FlexGroup. Le verrouillage des snapshots s'effectue uniquement sur l'instantané de composant racine. La suppression du volume FlexGroup n'est autorisée que si la durée d'expiration du composant racine est passée.

  • Conversion FlexVol en FlexGroup

    Vous pouvez convertir une FlexVol volume avec des snapshots verrouillés en volume FlexGroup. Les snapshots restent verrouillés après la conversion.

  • Réplication asynchrone SnapMirror

    L'horloge de conformité doit être initialisée sur la source et la destination.

  • Mobilité des données des SVM (utilisé pour la migration ou le déplacement d'un SVM d'un cluster source vers un cluster destination)

    Pris en charge à partir de ONTAP 9.14.1.

  • Règle SnapMirror utilisant le -schedule paramètre

  • REPRISE APRÈS INCIDENT DES SVM

    L'horloge de conformité doit être initialisée sur la source et la destination.

  • Clone de volume et de fichiers

    Vous pouvez créer des clones de volume et de fichier à partir d'un snapshot verrouillé.

Fonctions non prises en charge

Les fonctionnalités suivantes ne sont actuellement pas prises en charge avec les snapshots inviolables :

  • Groupes de cohérence

  • "FabricPool"

    Les snapshots inviolables offrent une protection immuable qui ne peut pas être supprimée. Étant donné que FabricPool requiert la suppression de données, les verrous FabricPool et Snapshot ne peuvent pas être activés sur le même volume.

  • Volumes FlexCache

  • Bande SMtape

  • Synchronisation active SnapMirror

  • SnapMirror synchrone

Activer le verrouillage des snapshots lors de la création d'un volume

Depuis ONTAP 9.12.1, vous pouvez activer le verrouillage des snapshots lorsque vous créez un nouveau volume ou que vous modifiez un volume existant en utilisant l'option associée aux volume create commandes et de volume modify l' `-snapshot-locking-enabled`interface de ligne de commandes. Depuis ONTAP 9.13.1, vous pouvez utiliser System Manager pour activer le verrouillage des snapshots.

System Manager
  1. Naviguez jusqu'à stockage > volumes et sélectionnez Ajouter.

  2. Dans la fenêtre Ajouter un volume, choisissez plus d'options.

  3. Entrez le nom du volume, sa taille, la règle d'export et le nom du partage.

  4. Sélectionnez Activer le verrouillage des instantanés. Cette sélection ne s'affiche pas si la licence SnapLock n'est pas installée.

  5. S'il n'est pas déjà activé, sélectionnez initialiser horloge de conformité SnapLock.

  6. Enregistrez les modifications.

  7. Dans la fenêtre volumes, sélectionnez le volume que vous avez mis à jour et choisissez vue d'ensemble.

  8. Vérifiez que SnapLock snapshot Locking affiche enabled.

CLI
  1. Pour créer un volume et activer le verrouillage des snapshots, entrez la commande suivante :

    volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

    La commande suivante active le verrouillage des snapshots sur un nouveau volume nommé vol1 :

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
    Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted.
    Do you want to continue: {yes|no}: y
    [Job 32] Job succeeded: Successful

Activer le verrouillage des copies Snapshot sur un volume existant

Depuis la version ONTAP 9.12.1, vous pouvez activer le verrouillage des snapshots sur un volume existant à l'aide de l'interface de ligne de commande ONTAP. Depuis ONTAP 9.13.1, vous pouvez utiliser System Manager pour activer le verrouillage des snapshots sur un volume existant.

System Manager
  1. Accédez à Storage > volumes.

  2. Sélectionnez Icône des options de menu et choisissez Modifier > Volume.

  3. Dans la fenêtre Edit Volume (Modifier le volume), localisez la section snapshots (local) Settings (Paramètres instantanés (locaux)) et sélectionnez Enable snapshot Locking (Activer le verrouillage des instantanés).

    Cette sélection ne s'affiche pas si la licence SnapLock n'est pas installée.

  4. S'il n'est pas déjà activé, sélectionnez initialiser horloge de conformité SnapLock.

  5. Enregistrez les modifications.

  6. Dans la fenêtre volumes, sélectionnez le volume que vous avez mis à jour et choisissez vue d'ensemble.

  7. Vérifiez que * Verrouillage SnapLock Snapshot* s'affiche comme Activé.

CLI
  1. Pour modifier un volume existant afin d'activer le verrouillage des snapshots, entrez la commande suivante :

    volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

Créez une règle Snapshot verrouillée et appliquez la conservation

À partir de ONTAP 9.12.1, vous pouvez créer des règles de snapshot pour appliquer une période de conservation de snapshots et appliquer la règle à un volume pour verrouiller des snapshots pendant la période spécifiée. Vous pouvez également verrouiller un instantané en définissant manuellement une période de conservation. Depuis ONTAP 9.13.1, vous pouvez utiliser System Manager pour créer des règles de verrouillage de snapshots et les appliquer à un volume.

Créez une règle de verrouillage de snapshot

System Manager
  1. Accédez à Storage > Storage VM et sélectionnez une VM de stockage.

  2. Sélectionnez Paramètres.

  3. Localisez stratégies d'instantanés et sélectionnez Icône de flèche.

  4. Dans la fenêtre Ajouter une stratégie d'instantanés, entrez le nom de la stratégie.

  5. Sélectionnez Ajouter une icône.

  6. Fournissez les détails de la planification des snapshots, y compris le nom de la planification, le nombre maximal de snapshots à conserver et la période de conservation SnapLock.

  7. Dans la colonne SnapLock Retention Period, entrez le nombre d'heures, de jours, de mois ou d'années pour conserver les instantanés. Par exemple, une règle de snapshot avec une période de conservation de 5 jours verrouille un snapshot pendant 5 jours à compter de sa création et ne peut pas être supprimée pendant cette période. Les périodes de conservation suivantes sont prises en charge :

    • Années: 0 - 100

    • Mois: 0 - 1200

    • Jours: 0 - 36500

    • Heures: 0 - 24

  8. Enregistrez les modifications.

CLI
  1. Pour créer une snapshot policy, entrez la commande suivante :

    volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>

    La commande suivante crée une règle de verrouillage de snapshot :

    cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    Un snapshot n'est pas remplacé s'il est en cours de conservation active ; autrement dit, le nombre de rétention ne sera pas respecté si des snapshots verrouillés n'ont pas encore expiré.

Application d'une politique de verrouillage à un volume

System Manager
  1. Accédez à Storage > volumes.

  2. Sélectionnez Icône des options de menu et choisissez Modifier > Volume.

  3. Dans la fenêtre Edit Volume, sélectionnez Schedule snapshots.

  4. Sélectionnez la stratégie de verrouillage des snapshots dans la liste.

  5. Si le verrouillage des instantanés n'est pas déjà activé, sélectionnez Activer le verrouillage des instantanés.

  6. Enregistrez les modifications.

CLI
  1. Pour appliquer une politique de verrouillage de snapshot à un volume existant, entrez la commande suivante :

    volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>

Appliquez la période de conservation lors de la création manuelle de snapshots

Vous pouvez appliquer une période de conservation de snapshot lorsque vous créez un snapshot manuellement. Le verrouillage de snapshot doit être activé sur le volume ; sinon, le paramètre de période de rétention est ignoré.

System Manager
  1. Accédez à stockage > volumes et sélectionnez un volume.

  2. Dans la page de détails du volume, sélectionnez l'onglet instantanés.

  3. Sélectionnez Ajouter une icône.

  4. Entrez le nom du snapshot et la date d'expiration du SnapLock. Vous pouvez sélectionner le calendrier pour choisir la date et l'heure d'expiration de la conservation.

  5. Enregistrez les modifications.

  6. Sur la page volumes > instantanés, sélectionnez Afficher/Masquer et choisissez SnapLock expiration Time pour afficher la colonne SnapLock expiration Time et vérifier que la durée de conservation est définie.

CLI
  1. Pour créer un snapshot manuellement et appliquer une période de conservation de verrouillage, entrez la commande suivante :

    volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    La commande suivante crée un nouvel instantané et définit la période de conservation :

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

Appliquer la période de conservation à un instantané existant

System Manager
  1. Accédez à stockage > volumes et sélectionnez un volume.

  2. Dans la page de détails du volume, sélectionnez l'onglet instantanés.

  3. Sélectionnez l'instantané, sélectionnez Icône des options de menu, puis choisissez Modifier le temps d'expiration SnapLock. Vous pouvez sélectionner le calendrier pour choisir la date et l'heure d'expiration de la conservation.

  4. Enregistrez les modifications.

  5. Sur la page volumes > instantanés, sélectionnez Afficher/Masquer et choisissez SnapLock expiration Time pour afficher la colonne SnapLock expiration Time et vérifier que la durée de conservation est définie.

CLI
  1. Pour appliquer manuellement une période de conservation à un snapshot existant, entrez la commande suivante :

    volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    L'exemple suivant applique une période de conservation à un snapshot existant :

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"

Modifiez une stratégie existante pour appliquer la conservation à long terme

Dans une relation SnapMirror, vous pouvez définir une période de conservation sur une règle de règle de copie miroir et la période de conservation est appliquée pour les snapshots répliqués sur la destination si le verrouillage des snapshots est activé sur le volume de destination. La période de conservation est prioritaire sur le nombre de conservation ; par exemple, les snapshots qui n'ont pas dépassé leur expiration seront conservés même si le nombre de conservation est dépassé.

Depuis ONTAP 9.14.1, vous pouvez modifier une règle SnapMirror existante en ajoutant une règle afin de définir la conservation à long terme des snapshots. La règle permet de remplacer la période de conservation par défaut du volume sur les destinations du coffre-fort SnapLock et sur les volumes de destination non SnapLock SnapMirror.

  1. Ajouter une règle à une règle SnapMirror existante :

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]

    L'exemple suivant crée une règle qui applique une période de rétention de 6 mois à la stratégie existante appelée « lockvault » :

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"

    Pour en savoir plus, snapmirror policy add-rule consultez le "Référence de commande ONTAP".