NetApp Ransomware Resilience保護戦略でワークロードを保護する
変更を提案
PDF
ランサムウェア対策戦略は、NetApp Ransomware Resilienceの主要な機能です。検出、保護、複製をサポートします。保護戦略は、サイバーセキュリティ体制の重要な要素です。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ" 。
ランサムウェア対策戦略を理解する
ランサムウェア保護戦略には、検出、保護、および_複製_のポリシーが含まれます。
-
検出ポリシー ランサムウェアの脅威を特定
-
保護ポリシー には、スナップショット ポリシーとバックアップ ポリシーが含まれます。保護戦略には検出およびスナップショット ポリシーが必要です。バックアップ ポリシーはオプションです。
ワークロードを保護するために他のNetApp製品を使用している場合、Ransomware Resilience はそれらを検出し、次のいずれかのオプションを提供します。
-
ランサムウェア検出ポリシーを使用し、他のNetAppツールによって作成されたスナップショットおよびバックアップポリシーを引き続き使用するか、
-
Ransomware Resilience を使用して、検出、スナップショット、およびバックアップを管理します。
-
-
レプリケーション ポリシー を使用すると、Ransomware Resilience からセカンダリ サイトにスナップショットをレプリケートできます。レプリケーション スケジュールは、時間ごと、日ごと、週ごと、または月ごとの頻度に設定できます。
現在、スナップショットをレプリケートできるのはオンプレミスのONTAPストレージのみです。
|
Amazon FSx for NetApp ONTAPおよびAzure NetApp Filesの保護戦略を設定する場合は、"各サービスの制限"を参照してください。 |
|
データ資産の管理と保護を強化するために、"グループのワークロード"を作成して、1つの戦略の下でボリュームをまとめて保護できます。 |
他のNetAppマネージド サービスとの保護ポリシー
NetApp Ransomware Resilience以外にも、NetApp Backup and Recoveryを使用して、ファイル共有、VMファイル共有の保護を管理できます。
NetApp Backup and Recoveryサービスからの保護情報は、NetApp Ransomware Resilienceに表示されます。NetApp Ransomware Resilienceを使用して、これらのサービスに検出ポリシーを追加できます。NetApp Ransomware Resilienceで保護ポリシーを追加すると、既存の保護ポリシーが置き換えられます。
Ransomware Resilienceは、VMデータストア用のSnapCenter for VMwareおよびOracle用のSnapCenterから保護ポリシーも検出します。これらのサービスを使用してRansomware Resilienceでリストアすることはできません。
ランサムウェア検出ポリシーがONTAPの Autonomous Ransomware Protection( ONTAP のバージョンに応じて ARP または ARP/AI)と FPolicy によって管理されている場合、それらのワークロードは保護され、引き続き ARP と FPolicy によって管理されます。
|
|
バックアップ先は、Amazon FSx for NetApp ONTAP または Azure NetApp Files のワークロードでは使用できません。FSx for ONTAP バックアップサービスを使用してバックアップ操作を実行します。FSx for ONTAP のワークロードのバックアップポリシーは、Ransomware Resilience ではなく AWS で設定します。バックアップポリシーは Ransomware Resilience に表示され、AWS から変更されません。 |
NetAppアプリケーションによって保護されていないワークロードの保護ポリシー
ワークロードがNetApp Backup and RecoveryまたはNetApp Ransomware Resilienceによって管理されていない場合は、ONTAPまたはその他の製品の一環としてスナップショットが取得される可能性があります。ONTAP FPolicy保護が設定されている場合は、ONTAPを使用してFPolicy保護を変更できます。
定義済みの検出ポリシー
ワークロードの重要度に合わせて、次のランサムウェア耐性定義済みポリシーのいずれかを選択できます。
|
|
暗号化ユーザー拡張 ポリシーは、疑わしいユーザーの動作の検出をサポートする唯一の定義済みポリシーです。 |
+ クリティカル レプリケーション ポリシー は、 ONTAPへのスナップショットのレプリケーションをサポートする唯一の定義済みポリシーです。
| ポリシーレベル | Snapshot | 頻度 | 保持期間(日数) | スナップショットコピーの数 | スナップショットコピーの最大数 |
|---|---|---|---|---|---|
重要なワークロードポリシー |
15分ごと |
15分ごと |
3 |
288 |
309 |
日次 |
1日ごと |
14 |
14 |
309 |
|
週次 |
1週間ごと |
35 |
5 |
309 |
|
毎月 |
30日ごと |
60 |
2 |
309 |
|
重要なワークロードポリシー |
15分ごと |
30分ごと |
3 |
144 |
165 |
日次 |
1日ごと |
14 |
14 |
165 |
|
週次 |
1週間ごと |
35 |
5 |
165 |
|
毎月 |
30日ごと |
60 |
2 |
165 |
|
標準作業負荷ポリシー |
15分ごと |
30分ごと |
3 |
72 |
93 |
日次 |
1日ごと |
14 |
14 |
93 |
|
週次 |
1週間ごと |
35 |
5 |
93 |
|
毎月 |
30日ごと |
60 |
2 |
93 |
|
暗号化ユーザー拡張機能 |
15分ごと |
30分ごと |
3 |
72 |
93 |
日次 |
1日ごと |
14 |
14 |
93 |
|
週次 |
1週間ごと |
35 |
5 |
93 |
|
毎月 |
30日ごと |
60 |
2 |
93 |
|
重要なレプリケーションポリシー |
15分ごと |
15分ごと |
3 |
288 |
309 |
日次 |
1日ごと |
14 |
14 |
309 |
|
週次 |
1週間ごと |
35 |
5 |
309 |
|
毎月 |
30日ごと |
60 |
2 |
309 |
ランサムウェア対策戦略を追加する
ランサムウェア保護戦略を追加するには、次の 3 つのアプローチがあります。
-
スナップショットまたはバックアップ ポリシーがない場合は、ランサムウェア保護戦略を作成します。
ランサムウェア保護戦略には以下が含まれます。
-
スナップショットポリシー
-
ランサムウェア検出ポリシー
-
バックアップ ポリシー
-
-
Backup and Recovery保護の既存のスナップショットまたはバックアップポリシーを、Ransomware Resilienceによって管理される保護戦略に置き換えます。
ランサムウェア保護戦略には以下が含まれます。
-
スナップショットポリシー
-
ランサムウェア検出ポリシー
-
バックアップ ポリシー
-
-
他のNetApp製品またはサービスで管理されている既存のスナップショットおよびバックアップ ポリシーを使用して、ワークロードの検出ポリシーを作成します。
検出ポリシーは、他の製品で管理されているポリシーを変更するものではありません。
検出ポリシーは、他のサービスですでに有効になっている場合、自律ランサムウェア保護と FPolicy 保護を有効にします。詳細はこちら"自律型ランサムウェア対策"、"バックアップとリカバリ" 、 そして"ONTAP FPolicy"。
ランサムウェア対策戦略を作成する(スナップショットやバックアップポリシーがない場合)
ワークロードにスナップショットまたはバックアップ ポリシーが存在しない場合は、ランサムウェア保護戦略を作成できます。これには、Ransomware Resilience で作成する次のポリシーを含めることができます。
-
スナップショットポリシー
-
バックアップ ポリシー
-
ランサムウェア検出ポリシー
-
ONTAPへのセカンダリレプリケーション
-
ランサムウェア耐性メニューから、*保護*を選択します。
-
[保護] ページでワークロードを選択し、[保護] を選択します。
-
ランサムウェア保護戦略ページで、[追加] を選択します。
-
新しい戦略名を入力するか、既存の名前を入力してコピーします。既存の名前を入力する場合は、コピーする名前を選択し、「コピー」を選択します。
既存の戦略をコピーして変更することを選択した場合、Ransomware Resilience は元の名前に「_copy」を追加します。名前と少なくとも 1 つの設定を変更して、一意の名前にする必要があります。 -
各項目について、*下矢印*を選択します。
-
検出ポリシー:
-
ポリシー: 事前に設計された検出ポリシーの 1 つを選択します。
-
一次検出: ランサムウェア耐性を有効にして、潜在的なランサムウェア攻撃を検出します。
-
疑わしいユーザー行動の検出: ユーザー行動の検出を有効にすると、ユーザーアクティビティイベントが Ransomware Resilience に送信され、データ侵害などの疑わしいイベントが検出されます。
-
ファイル拡張子をブロック: ランサムウェア耐性を有効にして、既知の疑わしいファイル拡張子をブロックします。ランサムウェア耐性は、プライマリ検出が有効になっている場合に自動スナップショット コピーを作成します。
ブロックされたファイル拡張子を変更する場合は、System Manager で編集します。
-
-
スナップショットポリシー:
-
スナップショット ポリシー ベース名: ポリシーを選択するか、作成 を選択してスナップショット ポリシーの名前を入力します。
-
スナップショットのロック: これを有効にすると、プライマリ ストレージ上のスナップショット コピーがロックされ、ランサムウェア攻撃がバックアップ ストレージの保存先に侵入した場合でも、一定期間スナップショット コピーを変更または削除できなくなります。これは、_不変ストレージ_とも呼ばれます。これにより、復元時間が短縮されます。
スナップショットがロックされている場合、ボリュームの有効期限はスナップショット コピーの有効期限に設定されます。
-
スナップショット コピー ロックは、 ONTAP 9.12.1 以降で使用できます。 SnapLockの詳細については、以下を参照してください。 "ONTAPのSnapLock" 。
-
スナップショット スケジュール: スケジュール オプション、保持するスナップショット コピーの数を選択し、スケジュールを有効にするかどうかを選択します。
-
レプリケーションポリシー:
-
-
レプリケーション ポリシーのベース名: 新しい名前を入力するか、既存の名前を選択します。ベース名は、すべてのスナップショットに追加されるプレフィックスです。
-
レプリケーション スケジュール: 有効にする頻度 (時間別、日次、週次、月次) を切り替え、有効にするスケジュールごとに保持値 (保持する複製スナップショットの数) を設定します。
-
バックアップポリシー:
-
-
バックアップ ポリシーのベース名: 新しい名前を入力するか、既存の名前を選択します。
-
バックアップ スケジュール: セカンダリ ストレージのスケジュール オプションを選択し、スケジュールを有効にします。
セカンダリ ストレージでバックアップ ロックを有効にするには、[設定] オプションを使用してバックアップの保存先を構成します。詳細については、 "設定を構成する" 。
-
-
*追加*を選択します。
Backup and Recoveryで管理されている既存のSnapshotポリシーとバックアップポリシーを使用しているワークロードに検出ポリシーを追加
Ransomware Resilienceでは、他のNetApp製品またはサービスで管理されている既存のスナップショットおよびバックアップ保護を使用するワークロードに、検出ポリシーまたは保護ポリシーを割り当てることができます。Backup and Recoveryでは、スナップショット、セカンダリストレージへのレプリケーション、またはオブジェクトストレージへのバックアップを管理するポリシーを使用します。
既存のバックアップまたはスナップショット ポリシーを持つワークロードに検出ポリシーを追加する
Backup and Recoveryで既存のSnapshotまたはバックアップポリシーがある場合は、ランサムウェア攻撃を検出するポリシーを追加できます。Ransomware Resilienceによる保護と検出を管理するには、ランサムウェア耐性で保護を参照してください。
-
ランサムウェア耐性メニューから、*保護*を選択します。
-
[保護] ページでワークロードを選択し、[保護] を選択します。
-
Ransomware Resilience は、アクティブな NetApp Backup and Recovery ポリシーが存在しているかどうかを検出します。
-
既存のNetApp Backup and Recoveryをそのままにして、_検出_ポリシーのみを適用するには、[既存のポリシーを置き換える] ボックスのチェックを外しておきます。
-
必要な検出設定を選択します:
-
暗号化検出
-
不審なユーザー行動の検出
-
疑わしいファイル拡張子をブロック
-
-
次へを選択します。
-
検出設定として*不審なユーザー行動の検出*を選択した場合は、ユーザーアクティビティエージェントまたは"または作成する"を選択します。
ユーザー アクティビティ エージェントは新しいデータ コレクターをホストします。Ransomware Resilience は、データ コレクターを自動的に作成し、ユーザー アクティビティ イベントを Ransomware Resilience に送信して、異常なユーザー動作を検出します。
-
次へを選択します。
-
選択内容を確認します。検出を有効にするには、[作成] を選択します。
-
[保護] ページで、検出ステータス を確認して、検出がアクティブであることを確認します。
既存のバックアップまたはスナップショットポリシーをランサムウェア保護戦略に置き換える
既存のバックアップまたはスナップショット ポリシーをランサムウェア保護戦略に置き換えることができます。このアプローチでは、外部で管理されている保護を削除し、Ransomware Resilience で検出と保護を構成します。
-
ランサムウェア耐性メニューから、*保護*を選択します。
-
[保護] ページでワークロードを選択し、[保護] を選択します。
-
NetApp Ransomware Resilience は、アクティブな NetApp Backup and Recovery ポリシーが存在しているかどうかを検出します。既存のポリシーを置き換えるには、既存のポリシーを置き換えるボックスを選択します。ボックスを選択すると、NetApp Ransomware Resilience によって検出ポリシーのリストが検出ポリシーに置き換えられます。
-
保護ポリシーを選択します。保護ポリシーが存在しない場合は、[追加] を選択して新しいポリシーを作成します。ポリシーの作成方法については、以下を参照してください。保護ポリシーを作成する 。次へを選択します。
-
戦略にレプリケーションが含まれている場合は、宛先システム と 宛先ストレージ VM を選択します。次へを選択します。
-
バックアップ先を選択するか、新しいバックアップ先を作成します。次へを選択します。
-
保護戦略にユーザー行動の検出が含まれている場合は、環境内でユーザー アクティビティ エージェントを選択して、新しいデータ コレクターをホストします。Ransomware Resilience は、データ コレクターを自動的に作成し、ユーザー アクティビティ イベントを Ransomware Resilience に送信して、異常なユーザー動作を検出します。
-
-
新しい保護戦略を確認し、[保護] を選択して適用します。
-
[保護] ページで、検出ステータス を確認して、検出がアクティブであることを確認します。
別のポリシーを割り当てる
既存のポリシーを別のポリシーに置き換えることができます。
-
ランサムウェア耐性メニューから、*保護*を選択します。
-
[保護] ページのワークロード行で、[保護の編集] を選択します。
-
ワークロードに、維持する既存のNetApp Backup and Recovery保護ポリシーがある場合は、既存のポリシーを置き換えるのチェックを外します。既存のポリシーを置き換えるには、既存のポリシーを置き換えるをオンにします。
-
「ポリシー」ページで、割り当てるポリシーの下矢印を選択して詳細を確認します。
-
割り当てるポリシーを選択します。
-
変更を完了するには、[保護] を選択します。
ランサムウェア対策戦略の管理
ランサムウェア戦略を削除することができます。
ランサムウェア保護戦略によって保護されているワークロードを表示する
ランサムウェア保護戦略を削除する前に、その戦略によって保護されているワークロードを確認することをお勧めします。
ワークロードは、戦略のリストから、または特定の戦略を編集しているときに表示できます。
-
ランサムウェア耐性メニューから、*保護*を選択します。
-
[保護] ページで、[保護戦略の管理] を選択します。
ランサムウェア保護戦略ページには、戦略のリストが表示されます。
-
「ランサムウェア保護戦略」ページの「保護されたワークロード」列で、行の末尾にある下矢印を選択します。
ランサムウェア対策戦略を削除する
現在どのワークロードにも関連付けられていない保護戦略を削除できます。
-
ランサムウェア耐性メニューから、*保護*を選択します。
-
[保護] ページで、[保護戦略の管理] を選択します。
-
戦略管理ページで*アクション*を選択します
削除する戦略のオプションを選択します。 -
[アクション] メニューから、[ポリシーの削除] を選択します。