Verrouiller une copie Snapshot pour assurer la protection contre les attaques par ransomware
Depuis ONTAP 9.12.1, vous pouvez verrouiller une copie Snapshot sur un volume non SnapLock pour vous protéger des attaques par ransomware. Le verrouillage des copies Snapshot permet de ne pas les supprimer accidentellement ou accidentellement.
La fonction horloge de conformité de SnapLock vous permet de verrouiller les copies Snapshot pendant une période spécifiée, de sorte qu'elles ne puissent pas être supprimées tant que l'heure d'expiration n'est pas atteinte. Le verrouillage des copies Snapshot est inviolable, ce qui les protège contre les menaces de ransomware. Vous pouvez utiliser des copies Snapshot verrouillées pour récupérer des données si un volume est compromis par une attaque par ransomware.
À partir de la version ONTAP 9.14.1, le verrouillage des copies Snapshot prend en charge les copies Snapshot à conservation à long terme sur les destinations des coffres-forts SnapLock et sur les volumes de destination SnapMirror non SnapLock. Le verrouillage des copies Snapshot est activé en définissant la période de conservation à l'aide des règles de règles SnapMirror associées à un libellé de police existant. La règle remplace la période de rétention par défaut définie sur le volume. Si aucune période de conservation n'est associée au label SnapMirror, la période de conservation par défaut du volume est utilisée.
-
Si vous utilisez l'interface de ligne de commandes ONTAP, tous les nœuds du cluster doivent exécuter ONTAP 9.12.1 ou une version ultérieure. Si vous utilisez System Manager, tous les nœuds doivent exécuter ONTAP 9.13.1 ou une version ultérieure.
-
"La licence SnapLock doit être installée sur le cluster". Cette licence est incluse dans "ONTAP One".
-
Lorsque le verrouillage Snapshot est activé sur un volume, vous pouvez mettre à niveau les clusters vers une version d'ONTAP ultérieure à ONTAP 9.12.1 ; Cependant, vous ne pouvez pas revenir à une version antérieure de ONTAP tant que toutes les copies Snapshot verrouillées n'ont pas atteint leur date d'expiration. Elles sont supprimées et le verrouillage des copies Snapshot est désactivé.
-
Lorsqu'un snapshot est verrouillé, la durée d'expiration du volume est définie sur la date d'expiration de la copie Snapshot. Si plusieurs copies Snapshot sont verrouillées, la date d'expiration du volume reflète la date d'expiration la plus élevée parmi toutes les copies Snapshot.
-
La période de conservation des copies Snapshot verrouillées est prioritaire sur le nombre de copies Snapshot conservées. En d'autres termes, la limite de conservation des copies Snapshot n'est pas respectée si la période de conservation des copies Snapshot verrouillées n'a pas expiré.
-
Dans une relation SnapMirror, vous pouvez définir une période de conservation sur une règle de stratégie de copie en miroir et la période de conservation est appliquée aux copies Snapshot répliquées vers la destination si le volume de destination est activé pour le verrouillage des copies Snapshot. La période de conservation est prioritaire sur le nombre de copies. Par exemple, les copies Snapshot qui n'ont pas dépassé leur expiration seront conservées même si le nombre de copies à conserver est dépassé.
-
Vous pouvez renommer une copie Snapshot sur un volume non SnapLock. Les opérations de renommage de snapshot sur le volume principal d'une relation SnapMirror sont reflétées sur le volume secondaire uniquement si la règle est MirrorAllsnapshots. Pour les autres types de règles, la copie Snapshot renommée n'est pas propagée lors des mises à jour.
-
Si vous utilisez l'interface de ligne de commandes de ONTAP, vous pouvez restaurer une copie Snapshot verrouillée avec
volume snapshot restore
Commande uniquement si la copie Snapshot verrouillée est la plus récente. Si des copies Snapshot non expirées sont présentes dans la suite de la restauration, l'opération de restauration de copie Snapshot échoue.
-
Volumes FlexGroup
Le verrouillage des copies Snapshot est pris en charge sur les volumes FlexGroup. Le verrouillage des snapshots n'a lieu que sur la copie Snapshot du composant racine. La suppression du volume FlexGroup n'est autorisée que si la durée d'expiration du composant racine est passée.
-
Conversion FlexVol en FlexGroup
Vous pouvez convertir un volume FlexVol avec des copies Snapshot verrouillées en un volume FlexGroup. Les copies Snapshot restent verrouillées après la conversion.
-
Clone de volume et de fichiers
Vous pouvez créer des clones de volumes et de fichiers à partir d'une copie Snapshot verrouillée.
Les fonctionnalités suivantes ne sont actuellement pas prises en charge par les copies Snapshot inviolables :
-
Groupes de cohérence
-
FabricPool
-
Volumes FlexCache
-
Bande SMtape
-
Synchronisation active SnapMirror
-
Règle SnapMirror utilisant le
-schedule
paramètre -
SnapMirror synchrone
-
Mobilité des données des SVM (utilisé pour la migration ou le déplacement d'un SVM d'un cluster source vers un cluster destination)
Activez le verrouillage des copies Snapshot lors de la création d'un volume
Depuis ONTAP 9.12.1, vous pouvez activer le verrouillage des copies Snapshot lorsque vous créez un nouveau volume ou que vous modifiez un volume existant à l'aide du -snapshot-locking-enabled
avec le volume create
et volume modify
Dans l'interface de ligne de commande. Depuis la version ONTAP 9.13.1, System Manager permet le verrouillage des copies Snapshot.
-
Naviguez jusqu'à stockage > volumes et sélectionnez Ajouter.
-
Dans la fenêtre Ajouter un volume, choisissez plus d'options.
-
Entrez le nom du volume, sa taille, la règle d'export et le nom du partage.
-
Sélectionnez Activer le verrouillage des instantanés. Cette sélection ne s'affiche pas si la licence SnapLock n'est pas installée.
-
S'il n'est pas déjà activé, sélectionnez initialiser horloge de conformité SnapLock.
-
Enregistrez les modifications.
-
Dans la fenêtre volumes, sélectionnez le volume que vous avez mis à jour et choisissez vue d'ensemble.
-
Vérifiez que SnapLock snapshot Copy Locking affiche enabled.
-
Pour créer un nouveau volume et activer le verrouillage des copies Snapshot, entrez la commande suivante :
volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
La commande suivante permet de verrouiller les copies Snapshot sur un nouveau volume nommé vol1 :
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
Activez le verrouillage des copies Snapshot sur un volume existant
Depuis la version ONTAP 9.12.1, vous pouvez activer le verrouillage des copies Snapshot sur un volume existant à l'aide de l'interface de ligne de commande ONTAP. Depuis ONTAP 9.13.1, vous pouvez utiliser System Manager pour activer le verrouillage des copies Snapshot sur un volume existant.
-
Accédez à Storage > volumes.
-
Sélectionnez et choisissez Modifier > Volume.
-
Dans la fenêtre Modifier le volume, localisez la section Paramètres des copies Snapshot (local) et sélectionnez Activer le verrouillage des instantanés.
Cette sélection ne s'affiche pas si la licence SnapLock n'est pas installée.
-
S'il n'est pas déjà activé, sélectionnez initialiser horloge de conformité SnapLock.
-
Enregistrez les modifications.
-
Dans la fenêtre volumes, sélectionnez le volume que vous avez mis à jour et choisissez vue d'ensemble.
-
Vérifiez que SnapLock snapshot Copy Locking affiche enabled.
-
Pour modifier un volume existant afin d'activer le verrouillage des copies Snapshot, entrez la commande suivante :
volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
Créez une règle de copie Snapshot verrouillée et appliquez la conservation
Depuis ONTAP 9.12.1, vous pouvez créer des règles de copie Snapshot pour appliquer une période de conservation de copies Snapshot et appliquer la règle à un volume afin de verrouiller les copies Snapshot pour la période spécifiée. Vous pouvez également verrouiller une copie Snapshot en définissant manuellement une période de conservation. Depuis ONTAP 9.13.1, System Manager permet de créer des règles de verrouillage des copies Snapshot et de les appliquer à un volume.
Créer une règle de verrouillage des copies Snapshot
-
Accédez à Storage > Storage VM et sélectionnez une VM de stockage.
-
Sélectionnez Paramètres.
-
Localisez stratégies d'instantanés et sélectionnez .
-
Dans la fenêtre Ajouter une stratégie d'instantanés, entrez le nom de la stratégie.
-
Sélectionnez .
-
Fournissez les détails de la planification de la copie Snapshot, notamment le nom de la planification, le nombre maximal de copies Snapshot à conserver et la période de conservation SnapLock.
-
Dans la colonne SnapLock Retention Period, entrez le nombre d'heures, de jours, de mois ou d'années pour conserver les copies instantanées. Par exemple, une règle de copie Snapshot avec une période de conservation de 5 jours verrouille une copie Snapshot pendant 5 jours à compter de sa création. Elle ne peut pas être supprimée pendant cette période. Les périodes de conservation suivantes sont prises en charge :
-
Années: 0 - 100
-
Mois: 0 - 1200
-
Jours: 0 - 36500
-
Heures: 0 - 24
-
-
Enregistrez les modifications.
-
Pour créer une règle de copie Snapshot, entrez la commande suivante :
volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period
La commande suivante crée une règle de verrouillage des copies Snapshot :
cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
Une copie Snapshot n'est pas remplacée si la conservation est active ; autrement dit, le nombre de conservation n'est pas respecté si des copies Snapshot verrouillées n'ont pas encore expiré.
Application d'une politique de verrouillage à un volume
-
Accédez à Storage > volumes.
-
Sélectionnez et choisissez Modifier > Volume.
-
Dans la fenêtre Edit Volume, sélectionnez Schedule Snapshot copies.
-
Sélectionnez la règle de verrouillage des copies Snapshot dans la liste.
-
Si le verrouillage des copies Snapshot n'est pas déjà activé, sélectionnez Activer le verrouillage des instantanés.
-
Enregistrez les modifications.
-
Pour appliquer une règle de verrouillage des copies Snapshot à un volume existant, entrez la commande suivante :
volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name
Appliquez une période de conservation à la création manuelle de copies Snapshot
Vous pouvez appliquer une période de conservation des copies Snapshot lorsque vous créez manuellement une copie Snapshot. Le verrouillage des copies Snapshot doit être activé sur le volume ; sinon, le paramètre de période de conservation est ignoré.
-
Accédez à stockage > volumes et sélectionnez un volume.
-
Dans la page de détails du volume, sélectionnez l'onglet copies Snapshot.
-
Sélectionnez .
-
Indiquez le nom de la copie Snapshot et la date d'expiration du SnapLock. Vous pouvez sélectionner le calendrier pour choisir la date et l'heure d'expiration de la conservation.
-
Enregistrez les modifications.
-
Sur la page volumes > copies instantanées, sélectionnez Afficher/Masquer et choisissez SnapLock expiration Time pour afficher la colonne SnapLock expiration Time et vérifier que la durée de conservation est définie.
-
Pour créer une copie Snapshot manuellement et appliquer une période de conservation de verrouillage, entrez la commande suivante :
volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time
La commande suivante crée une nouvelle copie Snapshot et définit la période de conservation :
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
Appliquez une période de conservation à une copie Snapshot existante
-
Accédez à stockage > volumes et sélectionnez un volume.
-
Dans la page de détails du volume, sélectionnez l'onglet copies Snapshot.
-
Sélectionnez la copie snapshot, sélectionnez , puis choisissez Modifier le délai d'expiration SnapLock. Vous pouvez sélectionner le calendrier pour choisir la date et l'heure d'expiration de la conservation.
-
Enregistrez les modifications.
-
Sur la page volumes > copies instantanées, sélectionnez Afficher/Masquer et choisissez SnapLock expiration Time pour afficher la colonne SnapLock expiration Time et vérifier que la durée de conservation est définie.
-
Pour appliquer manuellement une période de conservation à une copie Snapshot existante, entrez la commande suivante :
volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time
L'exemple suivant applique une période de conservation à une copie Snapshot existante :
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"
Modifiez une stratégie existante pour appliquer la conservation à long terme
Dans une relation SnapMirror, vous pouvez définir une période de conservation sur une règle de stratégie de copie en miroir et la période de conservation est appliquée aux copies Snapshot répliquées vers la destination si le volume de destination est activé pour le verrouillage des copies Snapshot. La période de conservation est prioritaire sur le nombre de copies. Par exemple, les copies Snapshot qui n'ont pas dépassé leur expiration seront conservées même si le nombre de copies à conserver est dépassé.
Depuis la version ONTAP 9.14.1, vous pouvez modifier une règle SnapMirror existante en ajoutant une règle afin de définir la conservation à long terme des copies Snapshot. La règle permet de remplacer la période de conservation par défaut du volume sur les destinations du coffre-fort SnapLock et sur les volumes de destination non SnapLock SnapMirror.
-
Ajouter une règle à une règle SnapMirror existante :
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]
L'exemple suivant crée une règle qui applique une période de rétention de 6 mois à la stratégie existante appelée « lockvault » :
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"