Casi di utilizzo e considerazioni sulla protezione ransomware autonoma
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
La protezione autonoma ransomwware (ARP) è disponibile per i carichi di lavoro NAS a partire da ONTAP 9.10.1. Prima di distribuire ARP, è necessario conoscere gli utilizzi consigliati e le configurazioni supportate, nonché le implicazioni in termini di prestazioni.
Configurazioni supportate e non supportate
Quando si decide di utilizzare l'ARP, è importante assicurarsi che il carico di lavoro del volume sia adatto all'ARP e che soddisfi le configurazioni di sistema richieste.
Carichi di lavoro adatti
ARP è adatto per:
-
Database sullo storage NFS
-
Home directory Windows o Linux
Poiché gli utenti potrebbero creare file con estensioni che non sono state rilevate durante il periodo di apprendimento, esiste una maggiore possibilità di falsi positivi in questo carico di lavoro.
-
Immagini e video
Ad esempio, le cartelle cliniche e i dati EDA (Electronic Design Automation)
Carichi di lavoro non adatti
ARP non è adatto per:
-
Carichi di lavoro con un'elevata frequenza di creazione o eliminazione di file (centinaia di migliaia di file in pochi secondi, ad esempio workload di test/sviluppo).
-
Il rilevamento delle minacce di ARP dipende dalla sua capacità di riconoscere un aumento insolito delle attività di creazione, ridenominazione o eliminazione dei file. Se l'applicazione stessa è l'origine dell'attività del file, non è possibile distinguerla in modo efficace dall'attività ransomware.
-
Carichi di lavoro in cui l'applicazione o l'host crittografa i dati.
ARP dipende dalla distinzione dei dati in entrata come crittografati o non crittografati. Se l'applicazione stessa sta crittografando i dati, l'efficacia della funzione viene ridotta. Tuttavia, la funzionalità può ancora funzionare in base all'attività del file (eliminazione, sovrascrittura o creazione, creazione o ridenominazione con una nuova estensione del file) e al tipo di file.
Configurazioni supportate
ARP è disponibile per i volumi NFS e SMB nei sistemi ONTAP on-premise a partire da ONTAP 9.10.1.
Il supporto per altre configurazioni e tipi di volume è disponibile nelle seguenti versioni di ONTAP:
ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
---|---|---|---|---|---|
Volumi protetti con SnapMirror asincrono |
✓ |
✓ |
✓ |
||
SVM protette con SnapMirror asincrono (disaster recovery SVM) |
✓ |
✓ |
✓ |
||
Mobilità dei dati SVM ( |
✓ |
✓ |
✓ |
||
Volumi FlexGroup |
✓ |
✓ |
|||
Verifica multi-admin |
✓ |
✓ |
Interoperabilità di SnapMirror e ARP
A partire da ONTAP 9.12.1, ARP è supportato sui volumi di destinazione asincroni di SnapMirror. ARP è non supportato con SnapMirror Synchronous.
Se un volume di origine SnapMirror è abilitato per ARP, il volume di destinazione SnapMirror acquisisce automaticamente lo stato di configurazione ARP (apprendimento, abilitato, ecc.), i dati di training ARP e l'istantanea creata da ARP del volume di origine. Non è richiesta alcuna abilitazione esplicita.
Mentre il volume di destinazione è costituito da copie Snapshot di sola lettura (RO), non viene eseguita alcuna elaborazione ARP sui dati. Tuttavia, quando il volume di destinazione di SnapMirror viene convertito in lettura/scrittura (RW), ARP viene attivato automaticamente sul volume di destinazione convertito in RW. Il volume di destinazione non richiede ulteriori procedure di apprendimento oltre a quelle già registrate nel volume di origine.
In ONTAP 9.10.1 e 9.11.1, SnapMirror non trasferisce lo stato di configurazione ARP, i dati di training e le copie Snapshot dai volumi di origine a quelli di destinazione. Quindi, quando il volume di destinazione SnapMirror viene convertito in RW, ARP sul volume di destinazione deve essere esplicitamente abilitato in modalità di apprendimento dopo la conversione.
ARP e macchine virtuali
ARP è supportato con macchine virtuali (VM). Il rilevamento ARP si comporta in modo diverso per le modifiche all'interno e all'esterno della VM. L'ARP non è consigliato per i carichi di lavoro con file ad entropia elevata all'interno della VM.
ARP può rilevare le modifiche all'estensione di un file su un volume NFS esterno alla VM se una nuova estensione entra nel volume crittografato o se cambia l'estensione di un file. Le modifiche all'estensione dei file rilevabili sono:
-
vmx
-
.vmxf
-
.vmdk
-
-flat.vmdk
-
.nvram
-
.vmem
-
.vmsd
-
.vmsn
-
.vswp
-
.vmss
-
log
-
-\#.log
Se l'attacco ransomware riguarda la macchina virtuale e i file all'interno della macchina virtuale vengono alterati senza apportare modifiche all'esterno della macchina virtuale, ARP rileva la minaccia se l'entropia predefinita della macchina virtuale è bassa (ad esempio file .txt, .docx o .mp4). Anche se ARP crea un'istantanea di protezione in questo scenario, non genera un avviso di minaccia perché le estensioni di file esterne alla VM non sono state manomesse.
Se, per impostazione predefinita, i file sono ad entropia elevata (ad esempio file .gzip o protetti da password), le funzionalità di rilevamento di ARP sono limitate. In questo caso, ARP può ancora acquisire istantanee proattive, tuttavia non verrà attivato alcun avviso se le estensioni dei file non sono state manomesse esternamente.
Configurazioni non supportate
ARP non è supportato nelle seguenti configurazioni di sistema:
-
Ambienti ONTAP S3
-
Ambienti SAN
ARP non supporta le seguenti configurazioni di volume:
-
Volumi FlexGroup (in ONTAP da 9.10.1 a 9.12.1. A partire da ONTAP 9.13.1, sono supportati i volumi FlexGroup)
-
FlexCache Volumes (ARP supportato sui volumi FlexVol di origine ma non sui volumi cache)
-
Volumi offline
-
Volumi solo SAN
-
Volumi SnapLock
-
SnapMirror sincrono
-
SnapMirror asincrono (non supportato solo in ONTAP 9.10.1 e 9.11.1. SnapMirror asincrono è supportato a partire da ONTAP 9.12.1. Per ulteriori informazioni, vedere [snapmirror].)
-
Volumi limitati
-
Volumi root di storage VM
-
Volumi di VM storage interrotte
Considerazioni sulle performance e sulla frequenza ARP
ARP può avere un impatto minimo sulle prestazioni del sistema, misurato in termini di throughput e IOPS di picco. L'impatto della funzionalità ARP dipende dai carichi di lavoro dei volumi specifici. Per i carichi di lavoro comuni, si consigliano i seguenti limiti di configurazione:
Caratteristiche del carico di lavoro | Limite di volume consigliato per nodo | Peggioramento delle performance con superamento del limite di volume per nodo:[*] |
---|---|---|
I dati possono essere compressi o a uso intensivo di lettura. |
150 |
4% degli IOPS massimi |
I dati non possono essere compressi con un utilizzo intensivo di scrittura. |
60 |
10% degli IOPS massimi |
Superato:[*] le performance di sistema non vengono degradate oltre queste percentuali, indipendentemente dal numero di volumi aggiunti in eccesso rispetto ai limiti raccomandati.
Poiché gli analytics ARP vengono eseguiti in una sequenza con priorità, con l'aumentare del numero di volumi protetti, gli analytics vengono eseguiti su ciascun volume con minore frequenza.
Verifica multi-admin con volumi protetti con ARP
A partire da ONTAP 9.13.1, è possibile attivare la verifica multi-admin (MAV) per una maggiore sicurezza con ARP. MAV garantisce che almeno due o più amministratori autenticati siano tenuti a disattivare ARP, sospendere ARP o contrassegnare un attacco sospetto come falso positivo su un volume protetto. Scopri come "Abilitare MAV per volumi protetti da ARP".
È necessario definire gli amministratori per un gruppo MAV e creare regole MAV per security anti-ransomware volume disable
, security anti-ransomware volume pause
, e. security anti-ransomware volume attack clear-suspect
Comandi ARP che si desidera proteggere. Ogni amministratore del gruppo MAV deve approvare ogni nuova richiesta di regola e. "Aggiungere nuovamente la regola MAV" Nelle impostazioni MAV.
A partire da ONTAP 9.14.1, ARP offre avvisi per la creazione di un'istantanea ARP e per l'osservazione di una nuova estensione di file. Gli avvisi per questi eventi sono disattivati per impostazione predefinita. Gli avvisi possono essere impostati a livello di volume o SVM. È possibile creare regole MAV a livello SVM utilizzando security anti-ransomware vserver event-log modify
o al livello del volume con security anti-ransomware volume event-log modify
.