NFSストレージ向けの自律型ランサムウェア防御
変更を提案
PDF
ランサムウェアをできるだけ早く検出することは、その拡散を防ぎ、コストのかかるダウンタイムを回避するために重要です。効果的なランサムウェア検出戦略には、ESXi ホストおよびゲスト VM レベルで複数の層の保護を組み込む必要があります。ランサムウェア攻撃に対する包括的な防御を実現するために複数のセキュリティ対策が実装されていますが、 ONTAP を使用すると、全体的な防御アプローチにさらに多くの保護層を追加できます。いくつかの機能を挙げると、スナップショット、自律ランサムウェア保護、改ざん防止スナップショットなどがあります。
上記の機能が VMware と連携して、ランサムウェアからデータを保護し、回復する方法を見てみましょう。 vSphere とゲスト VM を攻撃から保護するには、セグメント化、エンドポイントでの EDR/XDR/SIEM の利用、セキュリティ アップデートのインストール、適切な強化ガイドラインの遵守など、いくつかの対策を講じることが不可欠です。データストアに存在する各仮想マシンは、標準のオペレーティング システムもホストします。多層ランサムウェア保護戦略の重要な要素である、エンタープライズ サーバー マルウェア対策製品スイートがインストールされ、定期的に更新されていることを確認します。これに加えて、データストアに電力を供給する NFS ボリューム上で Autonomous Ransomware Protection (ARP) を有効にします。 ARP は、ボリューム ワークロード アクティビティとデータ エントロピーを調べる組み込みオンボックス ML を活用して、ランサムウェアを自動的に検出します。 ARP は、 ONTAPの組み込み管理インターフェイスまたはシステム マネージャを通じて設定でき、ボリュームごとに有効化されます。
|
現在テクニカル プレビュー段階にある新しいNetApp ARP/AI では、学習モードは必要ありません。代わりに、AI を活用したランサムウェア検出機能により、すぐにアクティブ モードに移行できます。 |
|
|
ONTAP One では、これらすべての機能セットが完全に無料です。ライセンスの障壁を気にすることなく、NetApp の強力なデータ保護、セキュリティ、およびONTAP が提供するすべての機能にアクセスできます。 |
アクティブ モードになると、ランサムウェアである可能性のある異常なボリューム アクティビティの検索を開始します。異常なアクティビティが検出されると、自動スナップショット コピーが直ちに作成され、ファイル感染にできるだけ近い復元ポイントが提供されます。 ARP は、暗号化されたボリュームに新しい拡張子が追加されたり、ファイルの拡張子が変更されたりしたときに、VM の外部にある NFS ボリューム上の VM 固有のファイル拡張子の変更を検出できます。
ランサムウェア攻撃が仮想マシン (VM) をターゲットとし、VM 外部に変更を加えずに VM 内部のファイルを変更する場合、たとえば .txt、.docx、.mp4 ファイルなどのファイル タイプの場合、VM のデフォルトのエントロピーが低いと、Advanced Ransomware Protection (ARP) は依然として脅威を検出します。このシナリオでは ARP が保護スナップショットを作成しますが、VM 外部のファイル拡張子が改ざんされていないため、脅威アラートは生成されません。このようなシナリオでは、防御の初期層で異常が特定されますが、ARP はエントロピーに基づいてスナップショットを作成するのに役立ちます。
詳細については、「ARPと仮想マシン」セクションを参照してください。"ARPの使用例と考慮事項" 。
ランサムウェア攻撃は、ファイルからバックアップ データに移行し、ファイルの暗号化を開始する前にバックアップやスナップショットのリカバリ ポイントを削除しようとすることで、これらをターゲットとするケースが増えています。しかし、 ONTAPでは、プライマリシステムまたはセカンダリシステムに改ざん防止スナップショットを作成することでこれを防ぐことができます。"NetAppスナップショットコピーのロック" 。
これらのスナップショット コピーは、ランサムウェア攻撃者や不正な管理者によって削除または変更できないため、攻撃後でも利用できます。データストアまたは特定の仮想マシンが影響を受ける場合、 SnapCenter は数秒で仮想マシンのデータを回復し、組織のダウンタイムを最小限に抑えることができます。
上記は、 ONTAPストレージが既存の技術にレイヤーを追加し、環境の将来性を強化する方法を示しています。
詳細については、以下のガイダンスをご覧ください。"ランサムウェアに対するNetAppソリューション" 。
これらすべてを SIEM ツールと調整して統合する必要がある場合は、 BlueXP ransomware protectionなどのオフタップ サービスを使用できます。ランサムウェアからデータを保護するように設計されたサービスです。このサービスは、Oracle、MySQL、VM データストア、オンプレミスの NFS ストレージ上のファイル共有などのアプリケーションベースのワークロードを保護します。
この例では、NFS データストア「Src_NFS_DS04」はBlueXP ransomware protectionを使用して保護されています。
BlueXP ransomware protectionの設定の詳細については、以下を参照してください。"BlueXP ransomware protectionを設定する"そして"BlueXP ransomware protection設定を構成する"。
例を挙げてこれを詳しく説明してみましょう。このチュートリアルでは、データストア「Src_NFS_DS04」が影響を受けます。
ARP は検出するとすぐにボリュームのスナップショットをトリガーしました。
フォレンジック分析が完了すると、 SnapCenterまたはBlueXP ransomware protectionを使用して、復元を迅速かつシームレスに実行できます。 SnapCenterを使用して、影響を受ける仮想マシンに移動し、復元する適切なスナップショットを選択します。
このセクションでは、 BlueXP ransomware protectionが、 VM ファイルが暗号化されたランサムウェア インシデントからの回復をどのように調整するかについて説明します。
|
|
VM がSnapCenterによって管理されている場合、 BlueXP ransomware protectionはVM 整合性プロセスを使用して VM を以前の状態に復元します。 |
-
BlueXP ransomware protectionにアクセスすると、 BlueXP ransomware protectionダッシュボードにアラートが表示されます。
-
アラートをクリックすると、生成されたアラートの特定のボリューム上のインシデントを確認できます。
-
「復元が必要」を選択して、ランサムウェア インシデントを復旧準備完了としてマークします(インシデントが中和された後)。
インシデントが誤検知であることが判明した場合、アラートは無視できます。 -
[リカバリ] タブに移動し、[リカバリ] ページのワークロード情報を確認して、「復元が必要」状態のデータストア ボリュームを選択し、[復元] を選択します。
-
この場合、復元範囲は「VM ごと」です( SnapCenter for VMs の場合、復元範囲は「VM ごと」です)。
-
データの復元に使用する復元ポイントを選択し、「宛先」を選択して「復元」をクリックします。
-
上部のメニューから [回復] を選択し、[回復] ページでワークロードを確認します。ここで、操作のステータスがさまざまな状態を遷移します。復元が完了すると、VM ファイルは以下のように復元されます。
|
|
リカバリは、アプリケーションに応じてSnapCenter for VMware またはSnapCenterプラグインから実行できます。 |
NetAppソリューションは、可視性、検出、修復のためのさまざまな効果的なツールを提供し、ランサムウェアを早期に発見して拡散を防ぎ、必要に応じて迅速に回復してコストのかかるダウンタイムを回避するのに役立ちます。可視化と検出のためのサードパーティ ソリューションやパートナー ソリューションと同様に、従来の階層型防御ソリューションは依然として普及しています。効果的な修復は、あらゆる脅威への対応において依然として重要です。