Casi d'utilizzo e considerazioni di protezione autonoma da ransomware ONTAP
Suggerisci modifiche
PDF
La protezione autonoma contro i ransomware (ARP) è disponibile per i carichi di lavoro NAS a partire da ONTAP 9.10.1 e per i carichi di lavoro SAN a partire da ONTAP 9.17.1. Prima di implementare ARP, è necessario essere a conoscenza degli utilizzi consigliati, delle configurazioni supportate e delle implicazioni in termini di prestazioni. È inoltre necessario assicurarsi che il carico di lavoro del volume sia adatto ad ARP e che soddisfi i requisiti di configurazione del sistema.
Carichi di lavoro adatti
ARP è adatto per questi tipi di carichi di lavoro:
-
Database su storage NFS o SAN
-
Home directory Windows o Linux
In ambienti senza ARP/AI, gli utenti potrebbero creare file con estensioni non rilevate durante il periodo di apprendimento. Per questo motivo, in questo carico di lavoro il rischio di falsi positivi è maggiore.
-
Immagini e video
Ad esempio, le cartelle cliniche e i dati EDA (Electronic Design Automation)
Carichi di lavoro non adatti
ARP non è adatto per questi tipi di carichi di lavoro:
-
Carichi di lavoro con un'elevata frequenza di operazioni di creazione o eliminazione di file (centinaia di migliaia di file in pochi secondi; ad esempio, carichi di lavoro di test/sviluppo).
-
Il rilevamento delle minacce da parte di ARP dipende dalla sua capacità di riconoscere un aumento anomalo delle operazioni di creazione, ridenominazione o eliminazione di file. Se l'applicazione stessa è la fonte dell'attività sui file, non è possibile distinguerla efficacemente dall'attività ransomware.
-
Carichi di lavoro in cui l'applicazione o l'host crittografano i dati.
ARP si basa sulla distinzione tra dati in ingresso crittografati e non crittografati. Se l'applicazione stessa crittografa i dati, l'efficacia della funzionalità risulta ridotta. Tuttavia, ARP può comunque funzionare in base all'attività del file (eliminazione, sovrascrittura o creazione, oppure creazione o ridenominazione con una nuova estensione) e al tipo di file.
Configurazioni supportate
ARP supporta carichi di lavoro NAS e SAN su diverse versioni di ONTAP e ambienti. Verifica le funzionalità di supporto per confermare che il tuo ambiente e la tua configurazione siano supportati prima di implementare ARP.
Supporto di base
Il supporto ARP di base è disponibile a partire da ONTAP 9.10.1 e include i carichi di lavoro NAS (NFS e SMB) su FlexVol volumi e MetroCluster configurazioni.
Supporto del protocollo e dell'hypervisor per versione di ONTAP
Oltre al supporto NAS di base, le versioni successive di ONTAP aggiungono il supporto per i seguenti protocolli e ambienti:
-
ONTAP 9.17.1 e versioni successive: carichi di lavoro di dispositivi a blocchi SAN (volumi contenenti LUN o namespace NVMe) e volumi NAS contenenti dischi virtuali di VMware
-
ONTAP 9.17.1P5 e versioni successive: volumi NAS contenenti Hyper-V, KVM e OpenStack hypervisor
Matrice di supporto delle funzionalità e delle configurazioni
Il supporto per altre configurazioni e tipi di volume è disponibile nelle seguenti versioni di ONTAP:
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|---|
Volumi protetti con SnapMirror asincrono |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volumi protetti con SnapMirror sincrono 3 |
✓ |
|||||||||
Volumi protetti con SnapMirror active sync 3 |
✓ |
|||||||||
SVM protette con SnapMirror asincrono (disaster recovery SVM) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Mobilità dei dati SVM ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volumi FlexGroup 1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
Verifica multi-admin |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/ai con aggiornamenti automatici |
✓ |
✓ |
✓ |
✓ |
||||||
Abilitazione predefinita ARP/AI2 |
✓ |
✓ |
1 ONTAP 9.16.1 e 9.17.1 non forniscono supporto ARP/AI per i volumi FlexGroup . Dopo un aggiornamento a queste versioni, i volumi FlexGroup abilitati per ARP continuano a funzionare con lo stesso modello ARP utilizzato prima di ARP/AI. A partire da ONTAP 9.18.1, i volumi FlexGroup utilizzano il modello ARP/AI.
2 A partire da ONTAP 9.18.1, il comportamento di abilitazione predefinito di ARP/AI è disponibile per AFF serie A e AFF serie C, ASA e ASA r2. Questo comportamento abilita automaticamente ARP/AI su tutti i nuovi volumi dopo un grace period di 12 ore a seguito di un aggiornamento o immediatamente per le nuove installazioni di ONTAP 9.18.1. Sarà necessario abilitare manualmente ARP su "volumi esistenti".
3 A partire da ONTAP 9.19.1 RC, ARP/AI supporta volumi primari in relazioni SnapMirror sincrone per NAS e SAN su sistemi FAS, AFF serie A, AFF serie C e AFX, e volumi primari in relazioni SnapMirror active sync SAN su sistemi AFF serie A, AFF serie C e ASA r2. Per ulteriori informazioni, vedere [snapmirror].
Interoperabilità e considerazioni sulle macchine virtuali
ARP opera in sinergia con le relazioni di protezione dei dati SnapMirror e gli ambienti delle macchine virtuali, con alcuni comportamenti e limitazioni specifici di versione di cui è opportuno essere a conoscenza prima dell'implementazione.
Interoperabilità di SnapMirror e ARP
A partire da ONTAP 9.12.1, ARP è supportato sui volumi di destinazione asincroni SnapMirror.
A partire da ONTAP 9.19.1 RC, ARP/AI supporta i volumi primari che partecipano a relazioni SAN sincrone SnapMirror e di sincronizzazione attiva SnapMirror, con il seguente comportamento:
-
ARP/AI è supportato sui volumi primari nelle relazioni SnapMirror sincrone per NAS e SAN su sistemi FAS, AFF serie A, AFF serie C e AFX.
-
ARP/AI è supportato sui volumi primari nelle relazioni SAN di sincronizzazione attiva SnapMirror su sistemi AFF serie A, AFF serie C e ASA r2.
-
ARP/AI non è supportato con la sincronizzazione attiva SnapMirror per NAS in ONTAP 9.19.1 RC.
-
Le analisi ARP/AI vengono eseguite solo sul volume primario attivo in lettura e scrittura nelle relazioni SAN SnapMirror sincrone e SnapMirror active sync, dove ARP crea snapshot solo del volume primario ed esegue il rilevamento del ransomware basato sull'apprendimento automatico.
-
Lo stato di configurazione ARP e gli snapshot ARP non vengono replicati sul volume secondario come parte della sincronizzazione sincrona SnapMirror o della sincronizzazione attiva SnapMirror in ONTAP 9.19.1 RC.
|
Poiché ogni operazione di scrittura viene confermata su entrambi i volumi in una relazione di mirroring sincrono, è sufficiente abilitare ARP solo sul volume primario per rilevare le anomalie. I metadati interni generati dall'analisi ARP sul volume primario vengono replicati anche sul volume secondario. Per questo motivo, se ARP viene abilitato sul volume secondario dopo un failover, i metadati necessari saranno già presenti sul volume secondario. |
Se un volume sorgente SnapMirror asincrono è abilitato per ARP, il volume di destinazione SnapMirror acquisisce automaticamente lo stato di configurazione ARP (ad esempio dry-run o enabled), i dati di training ARP e lo snapshot creato da ARP del volume sorgente. Non è richiesta alcuna abilitazione esplicita.
Sebbene il volume di destinazione asincrono sia costituito da snapshot di sola lettura (RO), non viene eseguita alcuna elaborazione ARP sui suoi dati. Tuttavia, quando il volume di destinazione asincrono SnapMirror viene convertito in lettura/scrittura (RW), l'ARP viene automaticamente abilitato sul volume di destinazione convertito in RW. Il volume di destinazione non richiede alcuna procedura di apprendimento aggiuntiva rispetto a quella già registrata sul volume di origine.
In ONTAP 9.10.1 e 9.11.1, SnapMirror non trasferisce lo stato della configurazione ARP, i dati di training e gli snapshot dai volumi di origine a quelli di destinazione. Per questo motivo, quando il volume di destinazione SnapMirror viene convertito in RW, l'ARP sul volume di destinazione deve essere abilitato esplicitamente in modalità di apprendimento dopo la conversione.
ARP e macchine virtuali
ARP è supportato con le macchine virtuali (VM) su VMware, Hyper-V, KVM e OpenStack. VMware è supportato a partire da ONTAP 9.17.1, mentre Hyper-V, KVM e OpenStack sono supportati a partire da ONTAP 9.17.1P5. Il rilevamento ARP si comporta in modo diverso per le modifiche all'interno e all'esterno della VM. ARP non è consigliato per carichi di lavoro che coinvolgono un numero elevato di file altamente compressi (come 7z e ZIP) o file crittografati (come PDF, DOC o ZIP protetti da password) all'interno della VM.
ARP è in grado di rilevare modifiche all'estensione dei file su un volume NFS esterno alla VM se una nuova estensione entra nel volume in stato crittografato o se cambia l'estensione di un file.
Se un attacco ransomware modifica i file all'interno della VM senza apportare modifiche all'esterno, ARP rileva la minaccia se l'entropia predefinita della VM è bassa (ad esempio, file .txt, .docx o .mp4). Per ONTAP 9.16.1 e versioni precedenti, ARP crea uno snapshot di protezione in questo scenario, ma non genera un avviso di minaccia perché le estensioni dei file all'esterno della VM non sono state manomesse. A partire dal supporto SAN in ONTAP 9.17.1, ARP genera un avviso di minaccia anche se rileva un'anomalia di entropia all'interno della VM.
Se, per impostazione predefinita, i file sono ad alta entropia (ad esempio, file .gzip o protetti da password), le capacità di rilevamento di ARP sono limitate. In questo caso, ARP può comunque eseguire snapshot proattivi; tuttavia, non verranno attivati avvisi se le estensioni dei file non sono state manomesse esternamente.
Per SAN, ARP analizza le statistiche dell'entropia a livello di volume e attiva i rilevamenti quando viene rilevata un'anomalia nell'entropia.
|
|
Il rilevamento degli attacchi che si verificano all'interno di una VM è disponibile solo per i volumi FlexVol e non è disponibile se il datastore della VM è configurato su un volume FlexGroup in ONTAP 9.18.1 e versioni successive. |
Configurazioni non supportate
ARP non è supportato negli ambienti ONTAP S3.
ARP non supporta le seguenti configurazioni di volume:
-
Volumi FlexGroup (in ONTAP dalla versione 9.10.1 alla 9.12.1).
A partire da ONTAP 9.13.1 a ONTAP 9.17.1, i volumi FlexGroup sono supportati ma sono limitati al modello ARP utilizzato prima di ARP/AI. I volumi FlexGroup sono supportati con ARP/AI a partire da ONTAP 9.18.1. -
FlexCache Volumes (ARP supportato sui volumi FlexVol di origine ma non sui volumi cache)
-
Volumi offline
-
Volumi SnapLock
-
SnapMirror active sync in ONTAP 9.18.1 e versioni precedenti
-
SnapMirror active sync (NAS) in ONTAP 9.19.1 RC
-
SnapMirror synchronous in ONTAP 9.18.1 e versioni precedenti
-
SnapMirror asincrono (in ONTAP 9.10.1 e 9.11.1). SnapMirror asincrono è supportato a partire da ONTAP 9.12.1. Per ulteriori informazioni, vedere [snapmirror] .
-
Volumi limitati
-
Volumi root di storage VM
-
Volumi di VM storage interrotte
-
FlexVol to FlexGroup conversion (ARP deve essere disabilitato prima della conversione)
Considerazioni sulle performance e sulla frequenza ARP
ARP può avere un impatto minimo sulle prestazioni del sistema, misurate in termini di throughput e IOPS di picco. L'impatto della funzionalità ARP dipende dal volume specifico del carico di lavoro. Per i carichi di lavoro comuni, si consigliano i seguenti limiti di configurazione:
| Caratteristiche del carico di lavoro | Limite di volume consigliato per nodo | Degrado delle prestazioni quando viene superato il limite del volume per nodo 1 |
|---|---|---|
Lettura intensiva o i dati possono essere compressi |
150 |
4% degli IOPS massimi |
Scrittura intensiva e i dati non possono essere compressi |
60 |
|
1 Le prestazioni del sistema non subiscono riduzioni oltre queste percentuali, indipendentemente dal numero di volumi aggiunti oltre i limiti consigliati.
Poiché l'analisi ARP viene eseguita in una sequenza prioritaria, la frequenza di esecuzione su ciascun volume è minore all'aumentare del numero di volumi protetti.
|
|
L'abilitazione di ARP per impostazione predefinita su un gran numero di nuovi volumi potrebbe aumentare l'utilizzo delle risorse di sistema. Considerare le esigenze di spazio per processi concorrenti come gli Snapshot quando si abilita ARP sui volumi. |
Limiti di volume per ARP per piattaforma
A partire da ONTAP 9.18.1, ARP supporta limiti di volume aumentati in base al tipo di piattaforma e al numero di core.
| Tipo di piattaforma | Numero massimo di volumi abilitati ARP per nodo |
|---|---|
Di fascia bassa (sistemi con fino a 20 CPU core) |
250 |
Medio (sistemi con fino a 64 core CPU) |
500 |
Di fascia alta (sistemi con più di 64 CPU core) |
1000 |
|
|
Il numero di core della CPU si applica a ciascun singolo nodo in una coppia HA. |
Verifica multi-admin con volumi protetti con ARP
A partire da ONTAP 9.13.1, è possibile attivare la verifica multi-admin (MAV) per una maggiore sicurezza con ARP. MAV garantisce che almeno due o più amministratori autenticati siano tenuti a disattivare ARP, sospendere ARP o contrassegnare un attacco sospetto come falso positivo su un volume protetto. Informazioni su "Abilitare MAV per volumi protetti da ARP".
È necessario definire amministratori per un gruppo MAV e creare regole MAV per i security anti-ransomware volume disable comandi , , security anti-ransomware volume pause e security anti-ransomware volume attack clear-suspect ARP che si desidera proteggere. Ogni amministratore del gruppo MAV deve approvare ogni nuova richiesta di regola e "Aggiungere nuovamente la regola MAV" nelle impostazioni MAV.
Ulteriori informazioni su security anti-ransomware volume disable, security anti-ransomware volume pause e security anti-ransomware volume attack clear-suspect nella "Riferimento al comando ONTAP".
A partire da ONTAP 9.14.1, ARP offre avvisi per la creazione di uno snapshot ARP e per l'osservazione di una nuova estensione di file. Gli avvisi per questi eventi sono disabilitati per impostazione predefinita. Gli avvisi possono essere impostati a livello di volume o di SVM. È possibile abilitare gli avvisi utilizzando security anti-ransomware vserver event-log modify o al livello del volume con security anti-ransomware volume event-log modify .
Ulteriori informazioni su security anti-ransomware vserver event-log modify e security anti-ransomware volume event-log modify nella "Riferimento al comando ONTAP".