ONTAP Autonomous Ransomware Protection のユースケースと考慮事項
変更を提案
PDF
自律ランサムウェア保護(ARP)はONTAP 9.10.1以降のNASワークロードと、ONTAP 9.17.1以降のSANワークロードで利用できます。ARPを導入する前に、推奨される使用方法とサポートされる構成、そしてパフォーマンスへの影響について理解しておく必要があります。
サポートされる構成とされない構成
ARPを使用するかどうかを判断する際に重要になるのが、ボリュームのワークロードがARPに適していることと、システム構成要件を満たしていることの確認です。
適しているワークロード
ARPは次のタイプのワークロードに適しています:
-
NFSまたはSANストレージ上のデータベース
-
WindowsまたはLinuxのホーム ディレクトリ
ARP/AIが存在しない環境では、学習期間中に検出されない拡張子を持つファイルをユーザーが作成する可能性があります。そのため、このワークロードでは誤検知の可能性が高くなります。
-
画像とビデオ
たとえば、医療記録やEDA(Electronic Design Automation)データなどです。
適していないワークロード:
ARPは次のタイプのワークロードには適していません:
-
ファイルの作成または削除操作の頻度が高いワークロード(数秒で数十万のファイル。たとえば、テスト/開発ワークロード)。
-
ARPの脅威検出は、ファイルの作成、名前変更、または削除操作の異常な急増を認識する能力に依存しています。アプリケーション自体がファイルアクティビティの発生源である場合、ランサムウェアのアクティビティと効果的に区別することはできません。
-
アプリケーションやホストがデータを暗号化するワークロード
ARPは、受信データが暗号化されているか暗号化されていないかを区別することに依存しています。アプリケーション自体がデータを暗号化している場合、この機能の有効性は低下します。ただし、ARPはファイルアクティビティ(削除、上書き、作成、または新しいファイル拡張子による作成や名前変更)とファイルタイプに基づいて機能することができます。
サポートされている構成
ARPは、ONTAP 9.10.1以降、NAS NFSおよびSMB FlexVolボリュームで利用できます。9.17.1以降、ARPは、SANストレージを使用するiSCSI、FC、およびNVMe対応のSAN FlexVolボリュームで利用できます。
ARPは、ONTAP 9.10.1以降のMetroCluster構成でサポートされています。
その他の構成とボリューム タイプのサポート状況は、ONTAPのバージョン別に次の表に示します。
| ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|
SnapMirror非同期で保護されているボリューム |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SnapMirror非同期で保護されているSVM(SVMディザスタ リカバリ) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVMデータモビリティ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroupボリューム1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
マルチ管理者認証 |
✓ |
✓ |
✓ |
✓ |
✓ |
||||
ARP/AIと自動更新 |
✓ |
✓ |
|||||||
ARP/AI のデフォルトの有効化2 |
✓ |
1 ONTAP 9.16.1および9.17.1では、FlexGroupボリュームのARP/AIサポートは提供されません。これらのバージョンにアップグレードした後も、ARPが有効になっているFlexGroupボリュームは、ARP/AI導入前と同じARPモデルで引き続き動作します。ONTAP 9.18.1以降では、FlexGroupボリュームはARP/AIモデルを使用します。
2 ONTAP 9.18.1以降、AFF AシリーズおよびAFF Cシリーズ、ASA、およびASA r2システムで、ARP/AIのデフォルト有効化動作が利用可能になりました。この動作により、アップグレード後12時間の猶予期間が経過すると、すべての新規ボリュームでARP/AIが自動的に有効化されます。また、新規ONTAP 9.18.1インストールの場合は即時に有効化されます。"既存のボリューム"でARPを手動で有効化する必要があります。
SnapMirrorとARPの互換性
ONTAP 9.12.1以降では、SnapMirror非同期デスティネーションボリュームでARPがサポートされます。ARPはSnapMirror同期またはSnapMirrorアクティブ同期ではサポートされて_いません_。
SnapMirrorソースボリュームでARPが有効になっている場合、SnapMirrorデスティネーションボリュームは、ソースボリュームのARP設定状態( `dry-run`や `enabled`など)、ARPトレーニングデータ、およびARPによって作成されたスナップショットを自動的に取得します。明示的な有効化は必要ありません。
デスティネーションボリュームは読み取り専用(RO)Snapshotで構成されていますが、そのデータに対してARP処理は行われません。ただし、SnapMirrorデスティネーションボリュームが読み取り/書き込み(RW)に変換されると、RWに変換されたデスティネーションボリュームでARPが自動的に有効になります。デスティネーションボリュームでは、ソースボリュームに既に記録されている情報以外に、追加の学習手順は必要ありません。
ONTAP 9.10.1および9.11.1では、SnapMirrorはARP設定状態、学習データ、およびスナップショットをソースボリュームからデスティネーションボリュームに転送しません。そのため、SnapMirrorデスティネーションボリュームをRWに変換する場合は、変換後にデスティネーションボリュームのARPを学習モードで明示的に有効化する必要があります。
ARPと仮想マシン
ARPはVMware上の仮想マシン(VM)でサポートされています。ARP検出は、VM内部と外部の変更に対して異なる動作をします。ARPは、VM内に大量の高度に圧縮されたファイル(7zやZIPなど)や暗号化されたファイル(パスワードで保護されたPDF、DOC、ZIPなど)が含まれるワークロードには推奨されません。
ARPは、新しい拡張子が暗号化された状態でボリュームに入力された場合、またはファイル拡張子が変更された場合に、VM外部のNFSボリューム上のファイル拡張子の変更を検出できます。
ランサムウェア攻撃によってVM内のファイルが変更され、VM外部には変更が加えられなかった場合、VMのデフォルトのエントロピーが低い場合(.txt、.docx、.mp4ファイルなど)、ARPは脅威を検出します。ONTAP 9.16.1以前では、このシナリオでARPは保護Snapshotを作成しますが、VM外部のファイル拡張子が改ざんされていないため、脅威アラートは生成されません。ONTAP 9.17.1のSANサポート以降では、ARPはVM内部でエントロピー異常を検出した場合にも脅威アラートを生成します。
デフォルトでファイルのエントロピーが高い場合(例:.gzipやパスワード保護されたファイル)、ARPの検出機能は制限されます。この場合でもARPはプロアクティブスナップショットを取得できますが、ファイル拡張子が外部から改ざんされていない場合はアラートはトリガーされません。
SANの場合、ARPはボリュームレベルでエントロピー統計を分析し、エントロピー異常が見つかったときに検出をトリガーします。
|
VM内で発生する攻撃の検出はFlexVolボリュームに対してのみ使用でき、ONTAP 9.18.1以降のFlexGroupボリューム上にVMデータストアが設定されている場合は使用できません。 |
サポートされない構成
ARPはONTAP S3環境ではサポートされていません。
ARPでは、次のボリューム構成はサポートされません。
-
FlexGroupボリューム(ONTAP 9.10.1~9.12.1)。
ONTAP 9.13.1からONTAP 9.17.1では、FlexGroupボリュームはサポートされていますが、ARP/AIより前に使用されていたARPモデルに制限されています。FlexGroupボリュームは、ONTAP 9.18.1以降、ARP/AIでサポートされています。 -
FlexCacheボリューム(元のFlexVolではサポートされますが、キャッシュ ボリュームではサポートされません)
-
オフライン ボリューム
-
SnapLockボリューム
-
SnapMirrorアクティブ同期
-
SnapMirror Synchronous
-
SnapMirror非同期(ONTAP 9.10.1および9.11.1)。SnapMirror非同期はONTAP 9.12.1以降でサポートされます。詳細については、[SnapMirror]を参照してください。
-
制限付きボリューム
-
Storage VMのルート ボリューム
-
停止したStorage VMのボリューム
ARPのパフォーマンスと分析頻度に関する考慮事項
ARPは、スループットとピークIOPSで測定されるシステムパフォーマンスに最小限の影響しか与えません。ARP機能の影響は、ボリュームのワークロードによって異なります。一般的なワークロードでは、以下の構成制限が推奨されます:
| ワークロードの特性 | ノードあたりの最大ボリューム数(推奨値) | ノードあたりのボリューム制限を超えるとパフォーマンスが低下します1 |
|---|---|---|
読み取り集約型、またはデータを圧縮できる |
150 |
最大IOPSの4% |
書き込み集約型でデータを圧縮できない |
60 |
|
1 推奨制限を超えて追加されたボリュームの数に関係なく、システムパフォーマンスはこれらのパーセンテージを超えて低下しません。
ARP分析は優先順位に従って実行されるため、保護されているボリュームの数が増えると、各ボリュームでの分析の実行頻度は低くなります。
|
|
多数の新規ボリュームでARPをデフォルトで有効にすると、システムリソースの使用量が増える可能性があります。ボリュームでARPを有効にする際は、スナップショットなどの競合プロセスに必要な容量を考慮してください。 |
プラットフォーム別のARPのボリューム制限
ONTAP 9.18.1 以降、ARP はプラットフォーム タイプと CPU コア数に基づいてボリューム制限の増加をサポートします。
| プラットフォームタイプ | ノードあたりの最大 ARP 対応ボリューム数 |
|---|---|
ローエンド(最大20個のCPUコアを搭載したシステム) |
250 |
中規模(最大 64 個の CPU コアを搭載したシステム) |
500 |
ハイエンド(64個以上のCPUコアを搭載したシステム) |
1000 |
|
|
CPU コア数は、2 ノード HA ペアの各ノードに適用されます。 |
ARPで保護されたボリュームでのマルチ管理者認証
ONTAP 9.13.1以降では、ARPのセキュリティを強化するために、マルチ管理者検証(MAV)を有効にできます。MAVでは、保護対象ボリュームでARPをオフにしたり、ARPを一時停止したり、疑わしい攻撃を誤検知としてマークしたりするには、少なくとも2人以上の認証済み管理者が必要になります。"ARP保護されたボリュームに対してMAVを有効にする"方法についてはこちらをご覧ください。
MAVグループの管理者を定義し、保護対象の security anti-ransomware volume disable、 security anti-ransomware volume pause、および security anti-ransomware volume attack clear-suspect ARPコマンドに対するMAVルールを作成する必要があります。MAVグループ内の各管理者は、MAV設定内で新しいルール要求と"MAVルールを再度追加する"を承認する必要があります。
`security anti-ransomware volume disable`、 `security anti-ransomware volume pause`、および `security anti-ransomware volume attack clear-suspect`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+anti-ransomware+volume["ONTAPコマンド リファレンス"^]をご覧ください。
ONTAP 9.14.1以降、ARPはARPスナップショットの作成と新しいファイル拡張子の検出に関するアラートを提供します。これらのイベントのアラートはデフォルトで無効になっています。アラートはボリュームレベルまたはSVMレベルで設定できます。 `security anti-ransomware vserver event-log modify`を使用するか、ボリュームレベルで `security anti-ransomware volume event-log modify`を使用してアラートを有効にできます。
`security anti-ransomware vserver event-log modify`および `security anti-ransomware volume event-log modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+anti-ransomware["ONTAPコマンド リファレンス"^]をご覧ください。