Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自動ランサムウェア対策による保護のユースケースと考慮事項

共同作成者

ONTAP 9.10.1以降では、自律型ランサムウェア対策(ARP)をNASワークロードで使用できます。ARPを導入する前に、推奨される使用方法とサポートされる設定、およびパフォーマンスへの影響について理解しておく必要があります。

サポートされる構成とサポートされない構成

ARPの使用を決定する際には、ボリュームのワークロードがARPに適していること、および必要なシステム構成を満たしていることを確認することが重要です。

最適なワークロード

ARPは次の用途に適しています。

  • NFS ストレージ上のデータベース

  • Windows または Linux のホームディレクトリ

    学習期間中に検出されなかった拡張子のファイルが作成される可能性があるため、このワークロードでは誤検出の可能性が高くなります。

  • 画像とビデオ

    たとえば、医療記録やElectronic Design Automation(EDA)データなどです。

不適切なワークロード

ARPは次の用途には適していません。

  • ファイルの作成や削除が頻繁に発生するワークロード(テスト/開発ワークロードなど、数秒で数十万個のファイルを処理)

  • ARPの脅威検出機能は、ファイルの作成、名前変更、または削除アクティビティの異常な急増を認識できるかどうかに依存します。アプリケーション自体がファイルアクティビティのソースである場合、ランサムウェアのアクティビティと効果的に区別することはできません。

  • アプリケーションまたはホストがデータを暗号化するワークロード
    ARPは、着信データを暗号化されたものと暗号化されていないものと区別します。アプリケーション自体がデータを暗号化している場合は、機能の有効性が低下します。ただし、この機能は、ファイルアクティビティ(削除、上書き、作成、または新しいファイル拡張子を使用した作成または名前変更)およびファイルタイプに基づいて動作します。

サポートされている構成

ONTAP 9.10.1以降では、オンプレミスのONTAPシステムのNFSボリュームとSMBボリュームにARPを使用できます。

次のONTAPバージョンでは、その他の構成とボリュームタイプがサポートされます。

ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

非同期SnapMirrorで保護されているボリューム

非同期SnapMirror(SVMディザスタリカバリ)で保護されるSVM

SVM のデータ移動 (vserver migrate)

FlexGroup ボリューム

管理者による検証が複数必要です

SnapMirrorとARPの相互運用性

ONTAP 9.12.1以降では、非同期SnapMirrorデスティネーションボリュームでARPがサポートされます。ARPはSnapMirror Synchronousでサポートされていません**。

SnapMirrorソースボリュームがARP対応の場合、SnapMirrorデスティネーションボリュームには、ARP設定状態(ラーニング、有効化など)、ARPトレーニングデータ、およびARPで作成されたソースボリュームのSnapshotが自動的に取得されます。明示的な有効化は必要ありません。

デスティネーションボリュームは読み取り専用(RO)Snapshotコピーで構成されていますが、データに対してARP処理は実行されません。ただし、SnapMirrorデスティネーションボリュームが読み書き可能(rw)に変換されると、ARPはRW変換されたデスティネーションボリュームで自動的に有効になります。デスティネーションボリュームでは、ソースボリュームにすでに記録されている情報に加えて、ラーニング手順 を追加する必要はありません。

ONTAP 9.10.1および9.11.1では、ARP設定の状態、トレーニングデータ、およびSnapshotコピーがソースボリュームからデスティネーションボリュームに転送されません。したがって、SnapMirrorデスティネーションボリュームがRWに変換されると、変換後にデスティネーションボリュームのARPがラーニングモードで明示的に有効になる必要があります。

ARPと仮想マシン

ARPは仮想マシン(VM)でサポートされます。ARP検出の動作は、VMの内部と外部の変更で異なります。ARPは、エントロピーの高いファイルがVM内にあるワークロードには推奨されません。

VM以外での変更

ARPは、新しい拡張子が暗号化されたボリュームに入った場合やファイル拡張子が変更された場合に、VMの外部にあるNFSボリュームでのファイル拡張子の変更を検出できます。検出可能なファイル拡張子の変更は次のとおりです。

  • .vmx

  • .vmxf

  • .vmdk

  • -flat.vmdk

  • .nvram

  • .vMem

  • .vmsd

  • .vmsn

  • .vswp

  • .vmss

  • .log

  • -\#.log

VM内での変更

ランサムウェア攻撃がVMをターゲットにし、VMの外部で変更を行わずにVM内のファイルが変更された場合、ARPはVMのデフォルトエントロピーが低い場合(.txt、.docx、.mp4ファイルなど)に脅威を検出します。このシナリオではARPは保護スナップショットを作成しますが、VMの外部にあるファイル拡張子が改ざんされていないため、脅威アラートは生成されません。

デフォルトでは、ファイルが高エントロピー(.gzipやパスワードで保護されたファイルなど)の場合、ARPの検出機能は制限されます。ARPはこの場合でもプロアクティブなSnapshotを取得できますが、ファイル拡張子が外部から改ざんされていない場合、アラートはトリガーされません。

サポートされない構成です

ARPは、次のシステム設定ではサポートされていません。

  • ONTAP S3 環境

  • SAN 環境

ARPでは、次のボリューム構成はサポートされません。

  • FlexGroupボリューム(ONTAP 9.10.1~9.12.1の場合)ONTAP 9.13.1以降では、FlexGroupボリュームがサポートされます)。

  • FlexCacheボリューム(ARPは元のFlexVolボリュームではサポートされますが、キャッシュボリュームではサポートされません)

  • ボリュームをオフラインにします

  • SAN-only ボリューム

  • SnapLock ボリューム

  • SnapMirror Synchronous

  • 非同期SnapMirror(ONTAP 9.10.1および9.11.1でのみサポートされません。非同期SnapMirrorは、ONTAP 9.12.1以降でサポートされます。詳細については、を参照してください [snapmirror]. )

  • 制限されたボリューム

  • Storage VMのルートボリューム

  • 停止しているStorage VMのボリューム

ARPのパフォーマンスと周波数に関する考慮事項

ARPは、スループットとピークIOPSで測定した場合、システムパフォーマンスへの影響を最小限に抑えることができます。ARP機能の影響は、ボリュームのワークロードによって異なります。一般的なワークロードに推奨される構成の制限は次のとおりです。

ワークロードの特性 ノードあたりの推奨されるボリューム数の上限 ノード単位のボリューム制限を超えたときのパフォーマンスの低下:[*]

大量の読み取り処理や、データの圧縮が可能です。

一五 〇

最大IOPSの4%

大量の書き込みが発生し、データを圧縮することはできません。

60ドルだ

最大IOPSの10%

合格:[*]推奨制限を超過したボリュームの数に関係なく、システムパフォーマンスはこれらの割合を超えて低下することはありません。

ARP分析は優先順位付けされた順序で実行されるため、保護されたボリュームの数が増えるにつれて、各ボリュームでの分析の実行頻度は低下します。

ARPで保護されたボリュームを使用したマルチ管理者検証

ONTAP 9.13.1以降では、マルチ管理者検証(MAV)をイネーブルにしてARPによるセキュリティを強化できます。MAVを使用すると、少なくとも2人以上の認証された管理者が、保護されたボリュームでARPをオフにしたり、ARPを一時停止したり、疑わしい攻撃をfalse positiveとしてマークしたりする必要があります。方法をご確認ください "ARPで保護されたボリュームのMAVを有効にします"

MAVグループの管理者を定義し、のMAVルールを作成する必要があります security anti-ransomware volume disablesecurity anti-ransomware volume pause`および `security anti-ransomware volume attack clear-suspect 保護するARPコマンド。MAVグループの各管理者は、新しいルール要求とを承認する必要があります "MAVルールを再度追加します" MAV設定内。

ONTAP 9.14.1以降では、ARPスナップショットの作成および新しいファイル拡張子の監視に関するアラートが提供されます。これらのイベントのアラートは、デフォルトでは無効になっています。アラートはボリュームレベルまたはSVMレベルで設定できます。MAVルールは、次のコマンドを使用してSVMレベルで作成できます。 security anti-ransomware vserver event-log modify またはボリュームレベルで、 security anti-ransomware volume event-log modify