Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Blocca uno snapshot ONTAP per proteggerti dagli attacchi ransomware

Collaboratori netapp-lenida netapp-aaron-holt netapp-dbagwell netapp-aherbin johnlantz netapp-ahibbard netapp-mwallis
PDF

A partire da ONTAP 9.12.1, puoi bloccare uno snapshot su un volume non SnapLock per fornire protezione contro gli attacchi ransomware. Il blocco delle istantanee garantisce che non possano essere eliminate accidentalmente o in modo pericoloso.

La funzione orologio SnapLock Compliance consente di bloccare le istantanee per un periodo specificato, in modo che non possano essere eliminate fino al raggiungimento dell'ora di scadenza. Il blocco degli snapshot li rende a prova di manomissione, proteggendoli dalle minacce ransomware. Puoi utilizzare snapshot bloccate per ripristinare i dati se un volume viene compromesso da un attacco ransomware.

A partire da ONTAP 9.14.1, il blocco degli snapshot supporta la conservazione degli snapshot a lungo termine nelle destinazioni del vault SnapLock e nei volumi di destinazione non SnapLock SnapMirror. Il blocco degli snapshot viene attivato impostando il periodo di conservazione utilizzando le regole dei criteri SnapMirror associate a un etichetta criterio esistente. La regola ha la priorità sul periodo di conservazione predefinito impostato sul volume. Se non esiste un periodo di conservazione associato all'etichetta SnapMirror, viene utilizzato il periodo di conservazione predefinito del volume.

Requisiti e considerazioni di snapshot a prova di manomissione

  • Se si utilizza l'interfaccia utente di ONTAP, tutti i nodi del cluster devono eseguire ONTAP 9.12.1 o versione successiva. Se si utilizza Gestore di sistema, tutti i nodi devono eseguire ONTAP 9.13.1 o versione successiva.

  • "La licenza SnapLock deve essere installata sul cluster". Questa licenza è inclusa in "ONTAP uno".

  • "È necessario inizializzare il clock di conformità sul cluster".

  • Quando su un volume è abilitato il blocco degli snapshot, è possibile aggiornare i cluster a una versione di ONTAP successiva a ONTAP 9.12.1; tuttavia, non è possibile ripristinare una versione precedente di ONTAP finché tutti gli snapshot bloccati non hanno raggiunto la data di scadenza e non vengono eliminati e il blocco degli snapshot non è disattivato.

  • Quando uno snapshot è bloccato, il tempo di scadenza del volume è impostato sul tempo di scadenza dello snapshot. Se sono bloccati più snapshot, il tempo di scadenza del volume riflette il tempo di scadenza più grande tra tutti gli snapshot.

  • Il periodo di conservazione per gli snapshot bloccati ha la precedenza sul conteggio di conservazione degli snapshot, il che significa che il limite di mantenimento degli snapshot non viene rispettato se il periodo di conservazione degli snapshot per gli snapshot bloccati non è scaduto.

  • In una relazione SnapMirror, è possibile impostare un periodo di conservazione su una regola dei criteri del vault dei mirror e il periodo di conservazione viene applicato per gli snapshot replicati nella destinazione se il volume di destinazione ha attivato il blocco degli snapshot. Il periodo di conservazione ha la precedenza sul conteggio dei valori di mantenimento; ad esempio, gli snapshot che non hanno superato la scadenza verranno conservati anche se viene superato il conteggio dei valori di mantenimento.

  • È possibile rinominare uno snapshot su un volume non SnapLock. Le operazioni di ridenominazione di Snapshot sul volume primario di una relazione SnapMirror si riflettono sul volume secondario solo se il criterio è MirrorAllSnapshots. Per gli altri tipi di criteri, l'istantanea rinominata non viene propagata durante gli aggiornamenti.

  • Se si utilizza la CLI di ONTAP, è possibile ripristinare uno snapshot bloccato con il volume snapshot restore comando solo se lo snapshot bloccato è l'ultimo. Se sono presenti snapshot non scadute in seguito a quella da ripristinare, l'operazione di ripristino non riesce.

Funzionalità supportate con istantanee antimanomissione

  • "Cloud Volumes ONTAP"

  • Volumi FlexGroup

    Il blocco degli Snapshot è supportato sui volumi FlexGroup. Il blocco degli snapshot si verifica solo sullo snapshot costituente la radice. L'eliminazione del volume FlexGroup è consentita solo se è trascorso il tempo di scadenza del costituente root.

  • Conversione da FlexVol a FlexGroup

    È possibile convertire un FlexVol volume con snapshot bloccate in un volume FlexGroup. Gli snapshot rimangono bloccati dopo la conversione.

  • SnapMirror asincrono

    L'orologio di conformità deve essere inizializzato sia sull'origine che sulla destinazione.

  • Mobilità dei dati delle SVM (utilizzata per la migrazione o il trasferimento di una SVM da un cluster di origine a un cluster di destinazione)

    Supportato a partire da ONTAP 9.14.1.

  • Regole di policy di SnapMirror che utilizzano -schedule parametro

  • DR. SVM

    L'orologio di conformità deve essere inizializzato sia sull'origine che sulla destinazione.

  • Clone del volume e clone del file

    È possibile creare cloni dei volumi e cloni dei file da uno snapshot bloccato.

Funzionalità non supportate

Le seguenti funzioni attualmente non sono supportate con gli snapshot antimanomissione:

  • Gruppi di coerenza

  • "FabricPool"

    Gli snapshot antimanomissione offrono protezioni immutabili che non possono essere eliminate. Poiché FabricPool richiede la possibilità di eliminare i dati, i blocchi FabricPool e Snapshot non possono essere abilitati sullo stesso volume.

  • Volumi FlexCache

  • SMtape

  • Sincronizzazione attiva di SnapMirror

  • SnapMirror sincrono

Attivare il blocco degli snapshot durante la creazione di un volume

A partire da ONTAP 9.12.1, è possibile attivare il blocco degli snapshot quando si crea un nuovo volume o quando si modifica un volume esistente utilizzando -snapshot-locking-enabled l'opzione con i volume create comandi e volume modify nella CLI. A partire da ONTAP 9.13.1, è possibile utilizzare Gestione sistema per attivare il blocco delle istantanee.

System Manager

  1. Selezionare Storage > Volumes (archiviazione > volumi) e selezionare Add (Aggiungi).

  2. Nella finestra Add Volume (Aggiungi volume), selezionare More Options (altre opzioni).

  3. Immettere il nome del volume, le dimensioni, la policy di esportazione e il nome della condivisione.

  4. Selezionare Enable Snapshot Locking (attiva blocco snapshot). Questa selezione non viene visualizzata se la licenza SnapLock non è installata.

  5. Se non è già abilitato, selezionare Inizializza orologio conformità SnapLock.

  6. Salvare le modifiche.

  7. Nella finestra Volumes (volumi), selezionare il volume aggiornato e scegliere Overview (Panoramica).

  8. Verificare che SnapLock Snapshot locking sia visualizzato come Enabled.

CLI

  1. Per creare un nuovo volume e attivare il blocco delle snapshot, immettere il seguente comando:

    volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

    Questo comando consente il blocco delle snapshot in un nuovo volume denominato vol1:

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted.
Do you want to continue: {yes|no}: y
[Job 32] Job succeeded: Successful

Attivare il blocco delle snapshot su un volume esistente

A partire da ONTAP 9.12.1, è possibile attivare il blocco degli snapshot su un volume esistente utilizzando l'interfaccia a riga di comando di ONTAP. A partire da ONTAP 9.13.1, è possibile utilizzare Gestione sistema per attivare il blocco delle snapshot su un volume esistente.

System Manager

  1. Selezionare Storage > Volumes (Storage > volumi).

  2. Selezionare Icona delle opzioni di menu e scegliere Modifica > Volume.

  3. Nella finestra Modifica volume, individuare la sezione Impostazioni istantanee (locali) e selezionare attiva blocco istantanee.

    Questa selezione non viene visualizzata se la licenza SnapLock non è installata.

  4. Se non è già abilitato, selezionare Inizializza orologio conformità SnapLock.

  5. Salvare le modifiche.

  6. Nella finestra Volumes (volumi), selezionare il volume aggiornato e scegliere Overview (Panoramica).

  7. Verificare che SnapLock snapshot locking sia visualizzato come enabled.

CLI

  1. Per modificare un volume esistente e attivare il blocco delle snapshot, immettere il seguente comando:

    volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

Creare un criterio snapshot bloccato e applicare la conservazione

A partire da ONTAP 9.12.1, è possibile creare policy di snapshot per applicare un periodo di conservazione dello snapshot e applicare il criterio a un volume per bloccare gli snapshot per il periodo specificato. È inoltre possibile bloccare uno snapshot impostando manualmente un periodo di conservazione. A partire da ONTAP 9.13.1, è possibile utilizzare Gestione sistema per creare criteri di blocco degli snapshot e applicarli a un volume.

Creare un criterio di blocco delle istantanee

System Manager

  1. Accedere a Storage > Storage VM e selezionare una storage VM.

  2. Selezionare Impostazioni.

  3. Individuare Snapshot Policies e selezionare Icona a forma di freccia.

  4. Nella finestra Add Snapshot Policy, inserire il nome del criterio.

  5. Selezionare Icona Add (Aggiungi).

  6. Fornire i dettagli della pianificazione delle snapshot, inclusi il nome della pianificazione, il numero massimo di snapshot da conservare e il periodo di conservazione SnapLock.

  7. Nella colonna periodo di conservazione SnapLock, immettere il numero di ore, giorni, mesi o anni per conservare le istantanee. Ad esempio, un criterio snapshot con un periodo di conservazione di 5 giorni blocca uno snapshot per 5 giorni a partire dal momento in cui viene creato e non può essere eliminato durante tale periodo. Sono supportati i seguenti intervalli di periodi di conservazione:

    • Anni: 0 - 100

    • Mesi: 0 - 1200

    • Giorni: 0 - 36500

    • Orario: 0 - 24

  8. Salvare le modifiche.

CLI

  1. Per creare una policy di snapshot, immettere il seguente comando:

    volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>

    Il seguente comando crea un criterio di blocco delle snapshot:

    cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    Uno snapshot non viene sostituito se è in conservazione attiva; vale a dire, il conteggio di conservazione non verrà rispettato se ci sono snapshot bloccati che non sono ancora scaduti.

Applicare un criterio di blocco a un volume

System Manager

  1. Selezionare Storage > Volumes (Storage > volumi).

  2. Selezionare Icona delle opzioni di menu e scegliere Modifica > Volume.

  3. Nella finestra Modifica volume, selezionare Pianifica istantanee.

  4. Selezionare il criterio di blocco delle istantanee dall'elenco.

  5. Se il blocco delle istantanee non è già abilitato, selezionare attiva blocco delle istantanee.

  6. Salvare le modifiche.

CLI

  1. Per applicare un criterio di blocco degli snapshot a un volume esistente, immettere il seguente comando:

    volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>

Applicare il periodo di conservazione durante la creazione manuale dello snapshot

È possibile applicare un periodo di conservazione dello snapshot quando si crea manualmente uno snapshot. Il blocco degli snapshot deve essere attivato sul volume; in caso contrario, l'impostazione del periodo di conservazione viene ignorata.

System Manager

  1. Selezionare Storage > Volumes (archiviazione > volumi) e selezionare un volume.

  2. Nella pagina Dettagli volume, selezionare la scheda istantanee.

  3. Selezionare Icona Add (Aggiungi).

  4. Immettere il nome dello snapshot e l'ora di scadenza SnapLock. È possibile selezionare il calendario per scegliere la data e l'ora di scadenza della conservazione.

  5. Salvare le modifiche.

  6. Nella pagina volumi > istantanee, selezionare Mostra/Nascondi e scegliere ora di scadenza SnapLock per visualizzare la colonna ora di scadenza SnapLock e verificare che il tempo di conservazione sia impostato.

CLI

  1. Per creare manualmente uno snapshot e applicare un periodo di conservazione del blocco, immettere il seguente comando:

    volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    Il seguente comando crea un nuovo snapshot e imposta il periodo di conservazione:

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

Applicare il periodo di conservazione a uno snapshot esistente

System Manager

  1. Selezionare Storage > Volumes (archiviazione > volumi) e selezionare un volume.

  2. Nella pagina Dettagli volume, selezionare la scheda istantanee.

  3. Selezionare l'istantanea, selezionare Icona delle opzioni di menu, quindi scegliere Modifica ora di scadenza SnapLock. È possibile selezionare il calendario per scegliere la data e l'ora di scadenza della conservazione.

  4. Salvare le modifiche.

  5. Nella pagina volumi > istantanee, selezionare Mostra/Nascondi e scegliere ora di scadenza SnapLock per visualizzare la colonna ora di scadenza SnapLock e verificare che il tempo di conservazione sia impostato.

CLI

  1. Per applicare manualmente un periodo di conservazione a uno snapshot esistente, immettere il seguente comando:

    volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    L'esempio seguente applica un periodo di conservazione a uno snapshot esistente:

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"

Modifica di un criterio esistente per applicare la conservazione a lungo termine

In una relazione SnapMirror, è possibile impostare un periodo di conservazione su una regola dei criteri del vault dei mirror e il periodo di conservazione viene applicato per gli snapshot replicati nella destinazione se il volume di destinazione ha attivato il blocco degli snapshot. Il periodo di conservazione ha la precedenza sul conteggio dei valori di mantenimento; ad esempio, gli snapshot che non hanno superato la scadenza verranno conservati anche se viene superato il conteggio dei valori di mantenimento.

A partire da ONTAP 9.14.1, è possibile modificare un criterio SnapMirror esistente aggiungendo una regola per impostare la conservazione a lungo termine degli snapshot. La regola viene utilizzata per ignorare il periodo di conservazione dei volumi predefinito sulle destinazioni del vault SnapLock e sui volumi di destinazione non SnapLock SnapMirror.

  1. Aggiunta di una regola a una policy SnapMirror esistente:

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]

    Nell'esempio seguente viene creata una regola che applica un periodo di conservazione di 6 mesi al criterio esistente denominato "lockvault":

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"

    Ulteriori informazioni su snapmirror policy add-rule nella "Riferimento al comando ONTAP".