ランサムウェアの脅威は急速に進化しており、より高度で破壊的なものになっています。従来のセキュリティ対策では、重要なデータ資産を保護できないことがよくあります。 NetApp ONTAPストレージには、データをプロアクティブに保護する組み込みのセキュリティ機能が備わっています。セキュリティ侵害が発生した場合、 ONTAP はリアルタイムのアラートと迅速なリカバリ オプションを提供し、ダウンタイムを短縮してデータ損失を制限します。 ONTAP を使用すると、データとアプリケーションを保護、回復、移動して、ランサムウェアに対する耐性を強化できます。

VMware 環境でのランサムウェアの早期検出は、ランサムウェアの拡散を阻止し、ダウンタイムを最小限に抑えるために重要です。効果的な戦略では、ESXi ホストとゲスト仮想マシン全体で複数の保護層を使用します。多くのセキュリティ制御が強力な防御の構築に役立ちますが、 NetApp ONTAP は、保護をさらに強化する重要なストレージ レベルの安全対策を追加します。

ONTAP の主な機能には、ポイントインタイムリカバリのためのスナップショットテクノロジー、組み込みの機械学習を活用した自律ランサムウェア保護 (ARP)、マルチ管理者検証、およびデータの整合性を維持する改ざん防止スナップショットなどがあります。これらの機能は連携してランサムウェアに対する耐性を強化し、必要に応じて迅速な回復を可能にします。

vSphere 環境とゲスト仮想マシンを保護するには、包括的なアプローチが必要です。主な対策としては、ネットワークのセグメンテーション、エンドポイント監視用の EDR/XDR/SIEM ソリューションの導入、タイムリーなセキュリティ更新の適用、確立された強化ガイドラインの遵守などが挙げられます。通常、各 VM は標準のオペレーティング システムを実行するため、多層ランサムウェア防御戦略の一環として、エンタープライズ グレードのマルウェア対策ソリューションをインストールし、定期的に更新することが重要になります。

ONTAP は多層防御によりデータ保護を強化します。主な機能には、スナップショット、自律ランサムウェア保護 (ARP)、改ざん防止スナップショット、マルチ管理者検証などがあります。このドキュメントでは、バージョン 9.17.1 で導入された ARP の機能強化に焦点を当てています。

VMware データストアをサポートする NAS または SAN ボリュームで ARP を有効にすることができます。 ARP は ONTAP に組み込まれた機械学習を使用して、ワークロード パターンとデータ エントロピーを監視し、ランサムウェア活動の兆候を自動的に検出し、インテリジェントでプロアクティブなセキュリティ層を提供します。 ONTAP の CLI または System Manager インターフェイスを使用して、ボリュームごとに ARP を設定します。

ONTAPバージョン 9.10.1 以降では、ARP は既存のボリュームまたは新しいボリュームで使用できます。 ONTAPバージョン 9.16.1 では、System Manager または CLI を使用して ARP を有効にできます。 ARP/AI 保護は学習期間を必要とせず、すぐにアクティブになります。バージョン 9.17.1 では、ARP は SAN ボリュームをサポートします。 SAN ボリュームで ARP を有効にすると、ARP/AI は評価期間中にデータを継続的に監視し、ワークロードの適合性を判断して、検出に最適な暗号化しきい値を設定します。

ARP はONTAPに組み込まれており、他のONTAP機能との統合制御および調整を提供します。 ARP はリアルタイムで動作し、データの書き込みまたは読み取り時にデータを処理し、潜在的なランサムウェア攻撃を迅速に検出して対応します。スケジュールされたスナップショットと並行して、定期的にロックされたスナップショットを作成し、異常が検出されない場合はスナップショットをリサイクルすることで、スナップショットの保持をインテリジェントに管理します。 ARP は疑わしいアクティビティを検出すると、攻撃前に取得したスナップショットを長期間保存し、信頼性の高い復旧ポイントを確保します。

詳細については、"ARPの検出対象" 。

VMware データストアに使用される NAS および SAN ボリュームでNetApp ONTAP Autonomous Ransomware Protection (ARP) を有効にする方法と、ランサムウェア攻撃をシミュレートして、ARP がどのように脅威を検出し、迅速なリカバリを促進するかを確認します。

System Manager または CLI を使用して NAS ボリュームで ARP を有効にすると、ARP/AI 保護が有効になり、すぐにアクティブになります。学習期間は必要ありません。

この例では、スクリプトを使用してファイルを変更するか、ファイル拡張子を変更してシミュレーションをトリガーし、vCenter にデータストアとして接続されている NFS ボリューム上にある VM 内での攻撃をシミュレートします。

以下に示すように、ARP は異常なアクティビティを検出しました。

ARP は攻撃を早期に検出し、攻撃時刻に近い時点で取得されたスナップショットからのデータ復旧を可能にします。ロールバックするには、インシデントがトリガーされる前に生成された ARP 定期スナップショットを使用します。以下のスクリーンショットは作成されたスナップショットを示しています。

データストアとして機能するNFSボリュームでARPを有効にし、攻撃を受けた場合に回復するための詳細なガイダンスについては、"NFSストレージのARP" 。

SAN ボリュームで ARP が有効になっている場合、NAS 環境で使用される学習モードに似た評価フェーズが開始され、その後、自動的にアクティブ検出に移行します。

ARP は、暗号化動作のベースラインを確立するために、75% のしきい値で 2 ～ 4 週間の評価期間を開始します。このフェーズの進捗状況は、 security anti-ransomware volume show ブロックデバイスの検出ステータス*を確認してコマンドを実行します。評価が完了すると、*Active_suitable_workload のステータスにより、観測されたエントロピー レベルが継続的な監視に適していることが確認されます。収集されたデータに基づいて、ARP は適応しきい値を自動的に調整し、正確で応答性の高い脅威検出を実現します。要件に応じて、スナップ作成間隔をデフォルトの 4 時間から 1 時間に変更できます。この変更は慎重に実行してください。

ONTAP 9.17.1以降、NASボリュームとSANボリュームの両方でARPスナップショットが定期的に生成されます。ONTAP

詳細については、"SAN環境とモードの種類"

攻撃をシミュレーションする時間です。デモンストレーションの目的で、ファイルは ISCSI ベースのデータストアで実行されている仮想マシン内で暗号化されます。残念ながらランサムウェア攻撃の影響を受けるファイルが約 7000 個生成されます。

10 分以内に、高エントロピー データに基づいてボリューム上で異常なアクティビティが検出され、ARP は VM 内でエントロピーの異常を検出したため脅威アラートを生成します。

上記の手順に基づいて攻撃が確認されたら、ARP スナップショットの 1 つまたはボリュームの別のスナップショットを使用してデータを復元します。

復元すると、ファイルはすべて回復されます。

詳しいガイダンスについては、"ランサムウェア攻撃後のARPスナップショットからデータを復元する"

数回クリックするだけで、企業はデータ保護戦略をシームレスに強化できます。高度な機械学習ベースの検出メカニズムを搭載したONTAP は、VMware 環境に強力な防御層を導入します。このインテリジェントな保護機能は、脅威を早期に特定するだけでなく、被害が拡大する前に潜在的な損害を軽減するのにも役立ちます。

このユースケースは VMware だけに適用されるわけではありません。同じ原則を NAS または SAN ベースのアプリケーションに拡張して、多層セキュリティ アーキテクチャを構築できます。攻撃者は複数の強化された層を通過することを余儀なくされるため、侵入が成功する可能性が大幅に減少します。

ONTAP はデータを保護するだけでなく、進化する脅威に対して組織が回復力を維持できるようにします。