日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自律型ランサムウェア対策のユースケースと考慮事項

11/20/2024 共同作成者

ONTAP 9 10.1以降では、NASワークロードでAutonomous Ransomware Protection（ARP；自律型ランサムウェア対策）を使用できます。ARPを導入する前に、推奨される使用方法とサポートされる設定、およびパフォーマンスへの影響について理解しておく必要があります。

サポートされる構成とされない構成

ARPの使用を決定する際には、ボリュームのワークロードがARPに適していること、および必要なシステム構成を満たしていることを確認することが重要です。

最適なワークロード

ARPは次の用途に適しています。

NFSストレージ上のデータベース
WindowsまたはLinuxのホームディレクトリ

学習期間中に検出されなかった拡張子のファイルが作成される可能性があるため、このワークロードでは誤検出の可能性が高くなります。
画像とビデオ

たとえば、医療記録やEDA（Electronic Design Automation）データなどです。

適していないワークロード：

ARPは、次のワークロードには適していません。

ファイルが頻繁に作成または削除されるワークロード（数秒間に数十万のファイルを削除するテスト / 開発ワークロードなど）
ARPの脅威検出機能は、ファイルの作成、名前変更、または削除アクティビティの異常な急増を認識できるかどうかに依存します。アプリケーション自体がファイルアクティビティのソースである場合、ランサムウェアのアクティビティと効果的に区別することはできません。
アプリケーションやホストがデータを暗号化するワークロードARPでは、受信データが暗号化されているかどうかを区別する機能を使用します。アプリケーション自体がデータを暗号化している場合、機能の有効性が低下します。ただしその場合も、ARP自体は、ファイルアクティビティ（削除、上書き、作成、または新しいファイル拡張子を使用した作成や名前変更）とファイルタイプに基づいて引き続き機能します。

サポートされている構成

オンプレミスのONTAPシステムでは、ONTAP 9 10.1以降のNFSボリュームとSMB FlexVolボリュームでARPを使用できます。

その他の構成とボリュームタイプのサポート状況は、ONTAPのバージョン別に次の表に示します。

ONTAP 9 .16.1 ONTAP 9 .15.1 ONTAP 9 .14.1 ONTAP 9 .13.1 ONTAP 9 12.1 ONTAP 9 .11.1 ONTAP 9 10.1

	ONTAP 9 .16.1	ONTAP 9 .15.1	ONTAP 9 .14.1	ONTAP 9 .13.1	ONTAP 9 12.1
SnapMirror非同期で保護されているボリューム	✓	✓	✓	✓	✓
SnapMirror非同期（SVMディザスタリカバリ）で保護されるSVM	✓	✓	✓	✓	✓
SVMデータ移動(`vserver migrate`）	✓	✓	✓	✓	✓
FlexGroupボリューム*	✓	✓	✓	✓
マルチ管理者認証	✓	✓	✓	✓
自動更新機能を備えたARP / AI	✓

SnapMirror非同期で保護されているボリューム

✓

SnapMirror非同期（SVMディザスタリカバリ）で保護されるSVM

✓

SVMデータ移動(vserver migrate）

✓

FlexGroupボリューム*

✓

マルチ管理者認証

✓

自動更新機能を備えたARP / AI

✓

ARP / AIはFlexGroupボリュームをサポートしていません。ARPが有効になっているFlexGroupボリュームは、ARP/AIの前に使用されていたのと同じARPモデルで動作し続けますONTAP 9。

SnapMirrorとARPの相互運用性

ONTAP 9 .12.1以降では、SnapMirror非同期デスティネーションボリュームでARPがサポートされます。ARPは、SnapMirror同期でサポートされていません**。

SnapMirrorソースボリュームがARP対応の場合、SnapMirrorデスティネーションボリュームでは、ARPの設定状態（ラーニング、有効など）、ARPトレーニングデータ、およびARPで作成されたソースボリュームのSnapshotが自動的に取得されます。明示的な有効化は必要ありません。

デスティネーションボリュームは読み取り専用（RO）Snapshotで構成されていますが、データに対してARP処理は実行されません。ただし、SnapMirrorデスティネーションボリュームが読み書き可能（rw）に変換されると、RWで変換されたデスティネーションボリュームでARPが自動的に有効になります。デスティネーションボリュームでは、ソースボリュームにすでに記録されている情報以外に、追加の学習手順は必要ありません。

ONTAP 9 .10.1および9.11.1ではSnapMirror、ARPの設定状態、トレーニングデータ、およびSnapshotがソースボリュームからデスティネーションボリュームに転送されません。したがって、SnapMirrorデスティネーションボリュームをRWに変換する場合、変換後にデスティネーションボリュームのARPをラーニングモードで明示的に有効にする必要があります。

ARPと仮想マシン

ARPは仮想マシン（VM）でサポートされています。ARPの検出動作は、VMの内部と外部の変更で異なります。ARPは、VM内でエントロピーの高いファイルが存在するワークロードには推奨されません。

VMの外部での変更

ARPでは、暗号化されたボリュームに新しい拡張子のファイルが格納された場合や、ファイル拡張子が変更された場合に、VMの外部にあるNFSボリュームでのファイル拡張子の変更を検出できます。変更を検出可能なファイル拡張子は、次のとおりです。

.vmx
.vmxf
.vmdk
-flat.vmdk
.nvram
.vmem
.vmsd
.vmsn
.vswp
.vmss
.log
-\#.log

VMの内部での変更

ランサムウェア攻撃がVMをターゲットにし、VMの外部で変更を行わずにVM内のファイルが変更された場合、ARPはVMのデフォルトエントロピーが低い場合（.txt、.docx、.mp4ファイルなど）に脅威を検出します。ARPはこのシナリオで保護スナップショットを作成しますが、VMの外部にあるファイル拡張子が改ざんされていないため、脅威アラートは生成されません。

デフォルトでは、ファイルが高エントロピー（.gzipやパスワードで保護されたファイルなど）の場合、ARPの検出機能は制限されます。ARPはこの場合でもプロアクティブなスナップショットを作成できますが、ファイル拡張子が外部で改ざんされていない場合、アラートはトリガーされません。

サポートされない構成

ARPは、次のシステム設定ではサポートされていません。

ONTAP S3環境
SAN環境

ARPでは、次のボリューム構成はサポートされません。

FlexGroupボリューム（ONTAP 9 .10.1~9.12.1の場合）ONTAP 9 .13.1以降では、FlexGroupボリュームもサポートされますが、ARP / AIより前に使用されていたARPモデルに限定されます）
FlexCacheボリューム（元のFlexVolではサポートされますが、キャッシュボリュームではサポートされません）
オフラインボリューム
SANのみのボリューム
SnapLockボリューム
SnapMirror同期
SnapMirror非同期（ONTAP 9 .10.1および9.11.1でのみサポートされません。SnapMirror非同期は、ONTAP 9 12.1以降でサポートされています。詳細については、を参照して[snapmirror]ください）。
制限されたボリューム
Storage VMのルートボリューム
停止しているStorage VMのボリューム

ARPのパフォーマンスと周波数に関する考慮事項

ARPは、スループットとピークIOPSで測定した場合、システムパフォーマンスへの影響を最小限に抑えることができます。ARP機能の影響は、ボリュームのワークロードによって異なります。一般的なワークロードに推奨される構成の制限は次のとおりです。

ワークロードの特性	ノードあたりの最大ボリューム数（推奨値）	ノード単位のボリューム制限を超えたときのパフォーマンスの低下：[*]
読み取り処理が多い場合や、データを圧縮できる場合があります。	150	最大IOPSの4%
書き込み中心でデータを圧縮できない	60	最大IOPSの10%

ワークロードの特性

ノードあたりの最大ボリューム数（推奨値）

ノード単位のボリューム制限を超えたときのパフォーマンスの低下：[*]

読み取り処理が多い場合や、データを圧縮できる場合があります。

150

最大IOPSの4%

書き込み中心でデータを圧縮できない

最大IOPSの10%

合格：[*]推奨制限を超過したボリュームの数に関係なく、システムパフォーマンスはこれらの割合を超えて低下することはありません。

ARP分析は優先順位付けされた順序で実行されるため、保護されたボリュームの数が増えるにつれて、各ボリュームでの分析の実行頻度は低下します。

ARPで保護されたボリュームを使用したマルチ管理者検証

ONTAP 9 .13.1以降では、マルチ管理者検証（MAV）をイネーブルにして、ARPによるセキュリティを強化できます。MAVを使用すると、少なくとも2人以上の認証された管理者が、保護されたボリュームでARPをオフにしたり、ARPを一時停止したり、疑わしい攻撃をfalse positiveとしてマークしたりする必要があります。方法をご確認ください"ARPで保護されたボリュームのMAVを有効にします"。

MAVグループの管理者を定義し、保護する、、 `security anti-ransomware volume pause`および `security anti-ransomware volume attack clear-suspect`ARPコマンドのMAVルールを作成する必要があり `security anti-ransomware volume disable`ます。MAVグループの各管理者は、MAV設定内の新しいルール要求を承認する必要があります"MAVルールを再度追加します"。

ONTAP 9 .14.1以降では、ARPスナップショットの作成および新しいファイル拡張子の監視に関するアラートが提供されます。これらのイベントのアラートは、デフォルトでは無効になっています。アラートはボリュームレベルまたはSVMレベルで設定できます。MAVルールは、またはを使用してSVMレベルで security anti-ransomware volume event-log modify`作成できます `security anti-ransomware vserver event-log modify。

次のステップ