ONTAP Autonomous Ransomware Protection のユースケースと考慮事項
変更を提案
PDF
自律型ランサムウェア対策(ARP)は、ONTAP 9.10.1以降のNASワークロードおよびONTAP 9.17.1以降のSANワークロードで利用できます。ARPを導入する前に、推奨される使用方法、サポートされている構成、およびパフォーマンスへの影響について理解しておく必要があります。また、ボリュームのワークロードがARPに適しており、必要なシステム構成を満たしていることを確認してください。
適しているワークロード
ARPは次のタイプのワークロードに適しています:
-
NFSまたはSANストレージ上のデータベース
-
WindowsまたはLinuxのホーム ディレクトリ
ARP/AIが存在しない環境では、学習期間中に検出されない拡張子を持つファイルをユーザーが作成する可能性があります。そのため、このワークロードでは誤検知の可能性が高くなります。
-
画像とビデオ
たとえば、医療記録やEDA(Electronic Design Automation)データなどです。
適していないワークロード:
ARPは次のタイプのワークロードには適していません:
-
ファイルの作成または削除操作の頻度が高いワークロード(数秒で数十万のファイル。たとえば、テスト/開発ワークロード)。
-
ARPの脅威検出は、ファイルの作成、名前変更、または削除操作の異常な急増を認識する能力に依存しています。アプリケーション自体がファイルアクティビティの発生源である場合、ランサムウェアのアクティビティと効果的に区別することはできません。
-
アプリケーションやホストがデータを暗号化するワークロード
ARPは、受信データが暗号化されているか暗号化されていないかを区別することに依存しています。アプリケーション自体がデータを暗号化している場合、この機能の有効性は低下します。ただし、ARPはファイルアクティビティ(削除、上書き、作成、または新しいファイル拡張子による作成や名前変更)とファイルタイプに基づいて機能することができます。
サポートされている構成
ARPは、複数のONTAPバージョンと環境にわたってNASおよびSANワークロードをサポートします。ARPを導入する前に、サポート機能を確認し、ご使用の環境と構成がサポートされていることを確認してください。
ベースラインサポート
ベースラインARPサポートはONTAP 9.10.1から開始され、FlexVolボリュームおよびMetroCluster構成上のNASワークロード(NFSおよびSMB)が含まれます。
ONTAPバージョン別のプロトコルとハイパーバイザーのサポート
基本的なNASサポートに加えて、ONTAPの今回のリリースでは、以下のプロトコルと環境のサポートが追加されました:
-
ONTAP 9.17.1以降:SANブロックデバイスワークロード(LUNまたはNVMeネームスペースを含むボリューム)およびVMwareの仮想ディスクを含むNASボリューム
-
ONTAP 9.17.1P5 以降:Hyper-V、KVM、およびOpenStackハイパーバイザーを含むNASボリューム
機能および構成のサポートマトリックス
その他の構成とボリューム タイプのサポート状況は、ONTAPのバージョン別に次の表に示します。
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|---|
SnapMirror非同期で保護されているボリューム |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SnapMirror Synchronous で保護されたボリューム3 |
✓ |
|||||||||
SnapMirrorアクティブ同期で保護されたボリューム3 |
✓ |
|||||||||
SnapMirror非同期で保護されているSVM(SVMディザスタ リカバリ) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVMデータモビリティ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroupボリューム1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
マルチ管理者認証 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AIと自動更新 |
✓ |
✓ |
✓ |
✓ |
||||||
ARP/AI のデフォルトの有効化2 |
✓ |
✓ |
1 ONTAP 9.16.1および9.17.1では、FlexGroupボリュームのARP/AIサポートは提供されません。これらのバージョンにアップグレードした後も、ARPが有効になっているFlexGroupボリュームは、ARP/AI導入前と同じARPモデルで引き続き動作します。ONTAP 9.18.1以降では、FlexGroupボリュームはARP/AIモデルを使用します。
2 ONTAP 9.18.1以降、AFF AシリーズおよびAFF Cシリーズ、ASA、およびASA r2システムで、ARP/AIのデフォルト有効化動作が利用可能になりました。この動作により、アップグレード後12時間の猶予期間が経過すると、すべての新規ボリュームでARP/AIが自動的に有効化されます。また、新規ONTAP 9.18.1インストールの場合は即時に有効化されます。"既存のボリューム"でARPを手動で有効化する必要があります。
3 ONTAP 9.19.1 RC以降、ARP/AIは、FAS、AFF A-series、AFF C-series、AFXシステムのNASおよびSAN向けSnapMirror同期関係のプライマリボリューム、およびAFF A-series、AFF C-series、ASA r2システムのSnapMirror active sync SAN関係のプライマリボリュームをサポートします。詳細については、[SnapMirror]を参照してください。
相互運用性とVMに関する考慮事項
ARPは、SnapMirrorデータ保護関係および仮想マシン環境と連携して動作しますが、導入前に理解しておく必要があるバージョン固有の動作と制限事項がいくつかあります。
SnapMirrorとARPの互換性
ONTAP 9.12.1以降では、SnapMirror非同期デスティネーション ボリュームでARPがサポートされます。
ONTAP 9.19.1 RCから、ARP/AIは、SnapMirror同期およびSnapMirrorアクティブ同期SAN関係に参加するプライマリボリュームを次の動作でサポートします:
-
ARP/AIは、FAS、AFF Aシリーズ、AFF Cシリーズ、およびAFXシステムのNASおよびSAN向けSnapMirror同期関係における_プライマリ_ボリュームでサポートされています。
-
ARP/AIは、AFF Aシリーズ、AFF Cシリーズ、およびASA r2システム上のSnapMirrorアクティブ同期SAN関係における_プライマリ_ボリュームでサポートされています。
-
ARP/AIは、ONTAP 9.19.1 RCのNAS用SnapMirrorアクティブ同期ではサポートされて_いません_。
-
ARP/AI 分析は、SnapMirror 同期および SnapMirror アクティブ同期 SAN 関係のアクティブな読み書きプライマリ ボリュームでのみ実行されます。ARP はプライマリのみのスナップショットを作成し、機械学習ベースのランサムウェア検出を実行します。
-
ARP構成状態とARPスナップショットは、ONTAP 9.19.1 RCのSnapMirror同期またはSnapMirrorアクティブ同期の一部としてセカンダリ ボリュームにレプリケートされません。
|
同期ミラーリング関係にある両方のボリュームに対してすべての書き込み操作がコミットされるため、プライマリボリュームでのみARPを有効にするだけで異常を検出するのに十分です。プライマリボリューム上のARP分析によって生成された内部メタデータは、セカンダリ ボリュームにもレプリケートされます。このため、フェイルオーバー後にセカンダリ ボリュームでARPが有効になっている場合、必要なメタデータはすでにセカンダリ ボリュームに存在しています。 |
SnapMirror_非同期_ソースボリュームでARPが有効になっている場合、SnapMirrorデスティネーションボリュームは、ソースボリュームのARP設定状態( `dry-run`または `enabled`など)、ARPトレーニングデータ、およびARPで作成されたSnapshotを自動的に取得します。明示的な有効化は必要ありません。
非同期デスティネーション ボリュームは読み取り専用(RO)Snapshotで構成されていますが、そのデータに対してARP処理は行われません。ただし、SnapMirror非同期デスティネーション ボリュームが読み書き可能(RW)に変換されると、RWに変換されたデスティネーション ボリュームでARPが自動的に有効になります。デスティネーション ボリュームでは、ソース ボリュームにすでに記録されている内容以外に、追加の学習手順は必要ありません。
ONTAP 9.10.1および9.11.1では、SnapMirrorはARP設定状態、学習データ、およびスナップショットをソースボリュームからデスティネーションボリュームに転送しません。そのため、SnapMirrorデスティネーションボリュームをRWに変換する場合は、変換後にデスティネーションボリュームのARPを学習モードで明示的に有効化する必要があります。
ARPと仮想マシン
ARPは、VMware、Hyper-V、KVM、OpenStack上の仮想マシン(VM)でサポートされています。VMwareはONTAP 9.17.1以降でサポートされ、Hyper-V、KVM、OpenStackはONTAP 9.17.1P5以降でサポートされます。ARP検出は、VM内部の変更とVM外部の変更で異なる動作をします。ARPは、VM内に多数の高度に圧縮されたファイル(7zやZIPなど)や暗号化されたファイル(パスワードで保護されたPDF、DOC、ZIPなど)が含まれるワークロードには推奨されません。
ARPは、新しい拡張子が暗号化された状態でボリュームに入力された場合、またはファイル拡張子が変更された場合に、VM外部のNFSボリューム上のファイル拡張子の変更を検出できます。
ランサムウェア攻撃によってVM内のファイルが変更され、VM外部には変更が加えられなかった場合、VMのデフォルトのエントロピーが低い場合(.txt、.docx、.mp4ファイルなど)、ARPは脅威を検出します。ONTAP 9.16.1以前では、このシナリオでARPは保護Snapshotを作成しますが、VM外部のファイル拡張子が改ざんされていないため、脅威アラートは生成されません。ONTAP 9.17.1のSANサポート以降では、ARPはVM内部でエントロピー異常を検出した場合にも脅威アラートを生成します。
デフォルトでファイルのエントロピーが高い場合(例:.gzipやパスワード保護されたファイル)、ARPの検出機能は制限されます。この場合でもARPはプロアクティブスナップショットを取得できますが、ファイル拡張子が外部から改ざんされていない場合はアラートはトリガーされません。
SANの場合、ARPはボリュームレベルでエントロピー統計を分析し、エントロピー異常が見つかったときに検出をトリガーします。
|
|
VM内で発生する攻撃の検出はFlexVolボリュームに対してのみ使用でき、ONTAP 9.18.1以降のFlexGroupボリューム上にVMデータストアが設定されている場合は使用できません。 |
サポートされない構成
ARPはONTAP S3環境ではサポートされていません。
ARPでは、次のボリューム構成はサポートされません。
-
FlexGroupボリューム(ONTAP 9.10.1~9.12.1)。
ONTAP 9.13.1からONTAP 9.17.1では、FlexGroupボリュームはサポートされていますが、ARP/AIより前に使用されていたARPモデルに制限されています。FlexGroupボリュームは、ONTAP 9.18.1以降、ARP/AIでサポートされています。 -
FlexCacheボリューム(元のFlexVolではサポートされますが、キャッシュ ボリュームではサポートされません)
-
オフライン ボリューム
-
SnapLockボリューム
-
ONTAP 9.18.1以前のSnapMirrorアクティブ同期
-
ONTAP 9.19.1 RCのSnapMirror Active Sync(NAS)
-
ONTAP 9.18.1以前のSnapMirror同期
-
SnapMirror非同期(ONTAP 9.10.1および9.11.1)。SnapMirror非同期はONTAP 9.12.1以降でサポートされます。詳細については、[SnapMirror]を参照してください。
-
制限付きボリューム
-
Storage VMのルート ボリューム
-
停止したStorage VMのボリューム
-
FlexVolからFlexGroupへの変換(変換前にARPを無効にする必要があります)
ARPのパフォーマンスと分析頻度に関する考慮事項
ARPは、スループットとピークIOPSで測定されるシステムパフォーマンスに最小限の影響しか与えません。ARP機能の影響は、ボリュームのワークロードによって異なります。一般的なワークロードでは、以下の構成制限が推奨されます:
| ワークロードの特性 | ノードあたりの最大ボリューム数(推奨値) | ノードあたりのボリューム制限を超えるとパフォーマンスが低下します1 |
|---|---|---|
読み取り集約型、またはデータを圧縮できる |
150 |
最大IOPSの4% |
書き込み集約型でデータを圧縮できない |
60 |
|
1 推奨制限を超えて追加されたボリュームの数に関係なく、システムパフォーマンスはこれらのパーセンテージを超えて低下しません。
ARP分析は優先順位に従って実行されるため、保護されているボリュームの数が増えると、各ボリュームでの分析の実行頻度は低くなります。
|
|
多数の新規ボリュームでARPをデフォルトで有効にすると、システムリソースの使用量が増える可能性があります。ボリュームでARPを有効にする際は、スナップショットなどの競合プロセスに必要な容量を考慮してください。 |
プラットフォーム別のARPのボリューム制限
ONTAP 9.18.1 以降、ARP はプラットフォーム タイプと CPU コア数に基づいてボリューム制限の増加をサポートします。
| プラットフォームタイプ | ノードあたりの最大 ARP 対応ボリューム数 |
|---|---|
ローエンド(最大20個のCPUコアを搭載したシステム) |
250 |
中規模(最大 64 個の CPU コアを搭載したシステム) |
500 |
ハイエンド(64個以上のCPUコアを搭載したシステム) |
1000 |
|
|
CPU コア数は、2 ノード HA ペアの各ノードに適用されます。 |
ARPで保護されたボリュームでのマルチ管理者認証
ONTAP 9.13.1以降では、ARPのセキュリティを強化するために、マルチ管理者検証(MAV)を有効にできます。MAVでは、保護対象ボリュームでARPをオフにしたり、ARPを一時停止したり、疑わしい攻撃を誤検知としてマークしたりするには、少なくとも2人以上の認証済み管理者が必要になります。"ARP保護されたボリュームに対してMAVを有効にする"方法についてはこちらをご覧ください。
MAVグループの管理者を定義し、保護対象の security anti-ransomware volume disable、 security anti-ransomware volume pause、および security anti-ransomware volume attack clear-suspect ARPコマンドに対するMAVルールを作成する必要があります。MAVグループ内の各管理者は、MAV設定内で新しいルール要求と"MAVルールを再度追加する"を承認する必要があります。
`security anti-ransomware volume disable`、 `security anti-ransomware volume pause`、および `security anti-ransomware volume attack clear-suspect`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+anti-ransomware+volume["ONTAPコマンド リファレンス"^]をご覧ください。
ONTAP 9.14.1以降、ARPはARPスナップショットの作成と新しいファイル拡張子の検出に関するアラートを提供します。これらのイベントのアラートはデフォルトで無効になっています。アラートはボリュームレベルまたはSVMレベルで設定できます。 `security anti-ransomware vserver event-log modify`を使用するか、ボリュームレベルで `security anti-ransomware volume event-log modify`を使用してアラートを有効にできます。
`security anti-ransomware vserver event-log modify`および `security anti-ransomware volume event-log modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+anti-ransomware["ONTAPコマンド リファレンス"^]をご覧ください。