Che cos'è SnapLock
Suggerisci modifiche
PDF
SnapLock è una soluzione per la compliance dalle performance elevate per le organizzazioni che utilizzano lo storage WORM per conservare i file in forma non modificata a scopo normativo e di governance.
SnapLock aiuta a impedire la cancellazione, la modifica o la ridenominazione dei dati per soddisfare normative come SEC 17a-4(f), HIPAA, FINRA, CFTC e GDPR. Con SnapLock, è possibile creare volumi speciali in cui i file possono essere memorizzati e impegnati in uno stato non cancellabile e non scrivibile per un determinato periodo di conservazione o a tempo indeterminato. SnapLock consente di eseguire questa conservazione a livello di file attraverso protocolli di file aperti standard come CIFS e NFS. I protocolli di file aperti supportati per SnapLock sono NFS (versioni 2, 3 e 4) e CIFS (SMB 1.0, 2.0 e 3.0).
Utilizzando SnapLock, è possibile assegnare file e copie Snapshot allo storage WORM e impostare periodi di conservazione per i dati protetti DA WORM. Lo storage WORM di SnapLock utilizza la tecnologia Snapshot di NetApp e può sfruttare la replica SnapMirror e i backup SnapVault come tecnologia di base per fornire la protezione del backup recovery per i dati. Scopri di più sullo storage WORM: "Storage WORM conforme con NetApp SnapLock - TR-4526".
È possibile utilizzare un'applicazione per il commit dei file in WORM su NFS o CIFS oppure utilizzare la funzione di autocommit di SnapLock per il commit automatico dei file IN WORM. È possibile utilizzare un file .WORM_appendibile per conservare i dati scritti in modo incrementale, ad esempio le informazioni di log. Per ulteriori informazioni, vedere "Utilizzare la modalità di aggiunta del volume per creare file .WORM appendibili".
SnapLock supporta metodi di protezione dei dati che devono soddisfare la maggior parte dei requisiti di conformità:
-
È possibile utilizzare SnapLock per SnapVault per proteggere WORM le copie Snapshot sullo storage secondario. Vedere "Assegnare le copie Snapshot a WORM".
-
È possibile utilizzare SnapMirror per replicare i file WORM in un'altra posizione geografica per il disaster recovery. Vedere "Mirrorare i file WORM".
SnapLock è una funzionalità basata su licenza di NetApp ONTAP. Un'unica licenza dà diritto all'utilizzo di SnapLock in modalità di conformità rigorosa, per soddisfare requisiti esterni come la norma SEC 17a-4(f) e una modalità aziendale più flessibile, per rispettare le normative interne per la protezione delle risorse digitali. Le licenze SnapLock fanno parte della "ONTAP uno"suite software.
SnapLock è supportato su tutti i sistemi AFF e FAS e su ONTAP Select. SnapLock non è una soluzione solo software, ma è una soluzione hardware e software integrata. Questa distinzione è importante per le severe normative WORM come SEC 17a-4(f), che richiede una soluzione hardware e software integrata. Per ulteriori informazioni, fare riferimento a "SEC Guida ai Broker-Dealer sull'uso dei supporti di memorizzazione elettronici".
Cosa puoi fare con SnapLock
Dopo aver configurato SnapLock, è possibile completare le seguenti attività:
-
"Conservare i file WORM durante i contenziosi utilizzando la conservazione a fini legali"
-
"Eliminare i file WORM utilizzando la funzione di eliminazione con privilegi"
-
"Bloccare una copia Snapshot per la protezione dagli attacchi ransomware"
-
"Esaminare l'utilizzo di SnapLock con il registro di controllo"
Conformità SnapLock e modalità aziendali
La conformità SnapLock e le modalità aziendali differiscono principalmente per il livello di protezione dei file WORM in ciascuna modalità:
Modalità SnapLock |
Livello di protezione |
Eliminazione del file WORM durante la conservazione |
Modalità compliance |
A livello di disco |
Impossibile eliminare |
Modalità Enterprise |
A livello di file |
Può essere eliminato dall'amministratore della compliance utilizzando una procedura controllata di "eliminazione con privilegi" |
Una volta trascorso il periodo di conservazione, l'utente è responsabile dell'eliminazione dei file non più necessari. Una volta che un file è stato salvato in WORM, sia in modalità Compliance che Enterprise, non può essere modificato, anche dopo che il periodo di conservazione è scaduto.
Non è possibile spostare un file WORM durante o dopo il periodo di conservazione. È possibile copiare un file WORM, ma la copia non conserverà le sue caratteristiche WORM.
La seguente tabella mostra le differenze nelle funzionalità supportate dalle modalità di conformità SnapLock e Enterprise:
Funzionalità |
Conformità SnapLock |
Azienda SnapLock |
Abilitare ed eliminare i file utilizzando l'opzione di eliminazione con privilegi |
No |
Sì |
Reinizializzare i dischi |
No |
Sì |
Distruggere gli aggregati e i volumi SnapLock durante il periodo di conservazione |
No |
Sì, ad eccezione del volume del registro di controllo di SnapLock |
Rinominare aggregati o volumi |
No |
Sì |
Utilizzare dischi non NetApp |
No |
Sì (con "Virtualizzazione FlexArray") |
Utilizzare il volume SnapLock per la registrazione dell'audit |
Sì |
Sì, a partire da ONTAP 9.5 |
Funzioni supportate e non supportate con SnapLock
La seguente tabella mostra le funzionalità supportate dalla modalità di conformità SnapLock, dalla modalità aziendale SnapLock o da entrambe:
Funzione |
Supportato con conformità SnapLock |
Supportato con SnapLock Enterprise |
Gruppi di coerenza |
No |
No |
Volumi crittografati |
Sì, a partire da ONTAP 9.2. Scopri di più Encryption e SnapLock. |
Sì, a partire da ONTAP 9.2. Scopri di più Encryption e SnapLock. |
FabricPools su aggregati SnapLock |
No |
Sì, a partire da ONTAP 9.8. Scopri di più FabricPool su aggregati aziendali SnapLock. |
Aggregati di Flash Pool |
Sì, a partire da ONTAP 9.1. |
Sì, a partire da ONTAP 9.1. |
FlexClone |
È possibile clonare i volumi SnapLock, ma non i file su un volume SnapLock. |
È possibile clonare i volumi SnapLock, ma non i file su un volume SnapLock. |
Volumi FlexGroup |
Sì, a partire da ONTAP 9.11.1. Scopri di più [flexgroup]. |
Sì, a partire da ONTAP 9.11.1. Scopri di più [flexgroup]. |
LUN |
No Scopri di più Supporto del LUN Con SnapLock. |
No Scopri di più Supporto del LUN Con SnapLock. |
Configurazioni MetroCluster |
Sì, a partire da ONTAP 9.3. Scopri di più Supporto MetroCluster. |
Sì, a partire da ONTAP 9.3. Scopri di più Supporto MetroCluster. |
Verifica multi-admin (MAV) |
Sì, a partire da ONTAP 9.13.1. Scopri di più Supporto MAV. |
Sì, a partire da ONTAP 9.13.1. Scopri di più Supporto MAV. |
SAN |
No |
No |
SnapRestore a file singolo |
No |
Sì |
Sincronizzazione attiva di SnapMirror |
No |
No |
SnapRestore |
No |
Sì |
SMTape |
No |
No |
SnapMirror sincrono |
No |
No |
SSD |
Sì, a partire da ONTAP 9.1. |
Sì, a partire da ONTAP 9.1. |
Funzionalità per l'efficienza dello storage |
Sì, a partire da ONTAP 9.9.1. Scopri di più supporto per l'efficienza dello storage. |
Sì, a partire da ONTAP 9.9.1. Scopri di più supporto per l'efficienza dello storage. |
FabricPool su aggregati aziendali SnapLock
FabricPool sono supportati negli aggregati aziendali di SnapLock a partire da ONTAP 9.8. Tuttavia, il tuo account team deve aprire una richiesta di variazione del prodotto che documenta che sei consapevole del fatto che i dati FabricPool su più livelli di un cloud pubblico o privato non sono più protetti da SnapLock perché un amministratore del cloud può eliminare tali dati.
|
Tutti i dati che FabricPool esegue il Tier in un cloud pubblico o privato non sono più protetti da SnapLock perché tali dati possono essere cancellati da un amministratore del cloud. |
Volumi FlexGroup
SnapLock supporta i volumi FlexGroup a partire da ONTAP 9.11.1; tuttavia, le seguenti funzionalità non sono supportate:
-
Conservazione a fini giudiziari
-
Conservazione basata sugli eventi
-
SnapLock per SnapVault (supportato a partire da ONTAP 9.12.1)
È inoltre necessario conoscere i seguenti comportamenti:
-
Il clock di compliance del volume (VCC) di un volume FlexGroup è determinato dal VCC del costituente root. Tutti i componenti non root avranno il proprio VCC strettamente sincronizzato con il VCC root.
-
Le proprietà di configurazione di SnapLock sono impostate solo su FlexGroup nel suo complesso. I singoli componenti non possono avere proprietà di configurazione diverse, come il tempo di conservazione predefinito e il periodo di autocommit.
Supporto del LUN
Le LUN sono supportate nei volumi SnapLock solo in scenari in cui le copie Snapshot create su un volume non SnapLock vengono trasferite a un volume SnapLock per la protezione come parte della relazione del vault di SnapLock. I LUN non sono supportati nei volumi SnapLock in lettura/scrittura. Tuttavia, le copie Snapshot a prova di manomissione sono supportate sia sui volumi di origine di SnapMirror che sui volumi di destinazione che contengono LUN.
Supporto MetroCluster
Il supporto SnapLock nelle configurazioni MetroCluster varia tra la modalità di conformità SnapLock e la modalità aziendale SnapLock.
-
A partire da ONTAP 9.3, la conformità SnapLock è supportata su aggregati MetroCluster senza mirror.
-
A partire da ONTAP 9.3, la conformità SnapLock è supportata sugli aggregati mirrorati, ma solo se l'aggregato viene utilizzato per ospitare i volumi del registro di controllo SnapLock.
-
Le configurazioni SnapLock specifiche di SVM possono essere replicate su siti primari e secondari utilizzando MetroCluster.
-
A partire da ONTAP 9, sono supportati gli aggregati aziendali di SnapLock.
-
A partire da ONTAP 9.3, sono supportati gli aggregati aziendali SnapLock con eliminazione con privilegi.
-
Le configurazioni SnapLock specifiche di SVM possono essere replicate in entrambi i siti utilizzando MetroCluster.
Le configurazioni MetroCluster utilizzano due meccanismi di clock di compliance, il clock di compliance del volume (VCC) e il clock di compliance del sistema (SCC). VCC e SCC sono disponibili per tutte le configurazioni SnapLock. Quando si crea un nuovo volume su un nodo, il relativo VCC viene inizializzato con il valore corrente di SCC su quel nodo. Una volta creato il volume, il tempo di conservazione del volume e del file viene sempre monitorato con il VCC.
Quando un volume viene replicato in un altro sito, viene replicato anche il relativo VCC. Quando si verifica uno switchover del volume, ad esempio dal sito A al sito B, il VCC continua ad essere aggiornato sul sito B mentre il SCC sul sito A si arresta quando il sito A passa alla modalità offline.
Quando il sito A viene riportato in linea e viene eseguito il switchback del volume, il clock SCC del sito A viene riavviato mentre il VCC del volume continua ad essere aggiornato. Poiché il VCC viene costantemente aggiornato, indipendentemente dalle operazioni di switchover e switchback, i tempi di conservazione dei file non dipendono dai clock SCC e non si allungano.
Supporto MAV (Multi-admin Ververifica)
A partire da ONTAP 9.13.1, un amministratore del cluster può abilitare esplicitamente la verifica multi-admin su un cluster per richiedere l'approvazione del quorum prima che vengano eseguite alcune operazioni SnapLock. Quando MAV è attivato, le proprietà del volume SnapLock come default-retention-time, minimum-retention-time, maximum-retention-time, volume-append-mode, autocommit-period e Privileged-delete richiedono l'approvazione del quorum. Scopri di più "MAV".
Efficienza dello storage
A partire da ONTAP 9.9.1, SnapLock supporta funzionalità di efficienza dello storage, come la compattazione dei dati, la deduplica tra volumi e la compressione adattiva per volumi e aggregati SnapLock. Per ulteriori informazioni sull'efficienza dello storage, vedere "Panoramica dell'efficienza dello storage di ONTAP".
Crittografia
ONTAP offre tecnologie di crittografia basate su software e hardware per garantire che i dati inattivi non possano essere letti in caso di riposizionamento, restituzione, smarrimento o furto del supporto di storage.
Disclaimer: NetApp non può garantire che i file WORM protetti da SnapLock su dischi o volumi con crittografia automatica possano essere recuperati se la chiave di autenticazione viene persa o se il numero di tentativi di autenticazione non riusciti supera il limite specificato e il disco viene bloccato in modo permanente. È responsabilità dell'utente garantire la protezione dagli errori di autenticazione.
|
|
A partire da ONTAP 9.2, i volumi crittografati sono supportati negli aggregati SnapLock. |
Transizione 7-Mode
È possibile migrare i volumi SnapLock da 7-Mode a ONTAP utilizzando la funzione CBT (Copy-Based Transition) dello strumento di transizione 7-Mode. La modalità SnapLock del volume di destinazione, Compliance o Enterprise, deve corrispondere alla modalità SnapLock del volume di origine. Non è possibile utilizzare la transizione senza copia (CFT) per migrare i volumi SnapLock.