ONTAP SnapLockについて学ぶ
変更を提案
PDF
SnapLockは、規制やガバナンスに準拠するためにWORMストレージを使用して変更不可能な状態でファイルを保管する組織向けの、ハイパフォーマンスなコンプライアンス ソリューションです。
データの削除、変更、名前変更を防止でき、SEC 17a-4(f)、HIPAA、FINRA、CFTC、GDPRなどの規制に準拠することができます。専用のボリュームを作成して、指定した保持期間または永久にファイルを消去および書き換え不可能な状態で保存およびコミットできます。SnapLockでは、CIFSやNFSなどの標準オープン ファイル プロトコルにより、ファイル レベルでこのようなデータ保持を実行できます。サポートされるオープン ファイル プロトコルは、NFS(バージョン2、3、4)とCIFS(SMB 1.0、2.0、3.0)です。
SnapLockを使用すると、ファイルとスナップショットをWORMストレージにコミットし、WORM保護されたデータの保持期間を設定できます。SnapLock WORMストレージはNetAppスナップショット技術を使用し、SnapMirrorレプリケーションとSnapVaultバックアップを基盤技術として活用することで、データのバックアップ・リカバリ保護を実現します。WORMストレージの詳細については、こちらをご覧ください:"NetApp SnapLockを使用した準拠のWORMストレージ - TR-4526"
アプリケーションを使用してNFSまたはCIFS経由でファイルをWORM状態にコミットするか、SnapLock自動コミット機能を使用してファイルを自動的にWORM状態にコミットすることができます。ログ情報のように増分的に書き込まれるデータを保持するには、_WORM追記可能ファイル_を使用できます。詳細については、"ボリューム アペンド モードを使用した追記可能WORMファイルの作成"を参照してください。
SnapLockでサポートされるデータ保護方法は、ほとんどのコンプライアンス要件に対応します。
-
セカンダリストレージ上のスナップショットをWORM保護するために、SnapLock for SnapVault を使用できます。"スナップショットをWORMにコミットする" を参照してください。
-
SnapMirrorを使用して、災害復旧のためにWORMファイルを別の地理的な場所に複製できます。"WORMファイルのミラーリング"を参照してください。
SnapLockは、ONTAPのライセンスベースの機能です。1つのライセンスで、SnapLockを、SEC Rule 17a-4(f)などの外部規制を満たす厳格なコンプライアンスモードと、デジタル資産の保護に関する社内規制を満たすより緩やかなエンタープライズモードで使用できます。SnapLockライセンスは、"ONTAP One"ソフトウェアスイートの一部です。
SnapLockは、すべてのAFFおよびFASシステム、さらにONTAP Selectでサポートされています。SnapLockはソフトウェアのみのソリューションではなく、ハードウェアとソフトウェアが統合されたソリューションです。この違いは、SEC 17a-4(f)のような統合されたハードウェアとソフトウェアのソリューションを要求する厳格なWORM規制にとって重要です。詳細については、"SECによる電子記憶媒体の使用に関するブローカー・ディーラー向けガイダンス"を参照してください。
SnapLockの機能
SnapLockの設定が完了したら、次のタスクを実行できます。
SnapLockのComplianceモードとEnterpriseモード
SnapLockのComplianceモードとEnterpriseモードの最も大きな違いは、WORMファイルの保護レベルです。
SnapLockモード |
保護レベル |
保持中のWORMファイルの削除 |
Complianceモード |
ディスク レベル |
削除できません |
Enterpriseモード |
ファイル レベル |
コンプライアンス管理者が監査済みの「特権削除」手順を使用して削除できる |
保持期間が経過したあとに不要となったファイルは手動で削除する必要があります。一度WORM状態にコミットされたファイルは、ComplianceモードかEnterpriseモードかに関係なく、保持期間が経過したあとも変更することはできません。
WORMファイルは保持期間中も保持期間後も移動できません。WORMファイルはコピーできますが、コピーしたファイルはWORM状態にはなりません。
次の表に、SnapLockのComplianceモードとEnterpriseモードでサポートされる機能の違いを示します。
機能 |
SnapLock Compliance |
SnapLock Enterprise |
privileged deleteを使用したファイルの有効化と削除 |
いいえ |
はい |
ディスクの再初期化 |
いいえ |
はい |
保持期間中のSnapLockアグリゲートとボリュームの破棄 |
いいえ |
○(SnapLock監査ログ ボリュームを除く) |
アグリゲートまたはボリュームの名前変更 |
いいえ |
はい |
NetApp以外のディスクの使用 |
いいえ |
いいえ |
監査ログでのSnapLockボリュームの使用 |
はい |
○(ONTAP 9.5以降) |
SnapLockでサポートされる機能とされない機能
次の表は、SnapLock ComplianceモードとSnapLock Enterpriseモードでサポートされる機能を示しています。
機能 |
SnapLock Compliance に対応 |
SnapLock Enterprise に対応 |
整合性グループ |
いいえ |
いいえ |
暗号化されたボリューム |
はい、暗号化とSnapLockについて詳しくご覧ください。 |
はい、暗号化とSnapLockについて詳しくご覧ください。 |
SnapLockアグリゲート上のFabricPool |
いいえ |
はい、ONTAP 9.8以降で可能です。SnapLock Enterpriseアグリゲート上のFabricPoolの詳細をご覧ください。 |
Flash Poolアグリゲート |
○ |
○ |
FlexClone |
SnapLockボリュームはクローニングできますが、SnapLockボリュームのファイルはクローニングできません。 |
SnapLockボリュームはクローニングできますが、SnapLockボリュームのファイルはクローニングできません。 |
FlexGroupボリューム |
はい、ONTAP 9.11.1 以降で可能です。[flexgroup]の詳細をご覧ください。 |
はい、ONTAP 9.11.1 以降で可能です。[flexgroup]の詳細をご覧ください。 |
LUN |
いいえ。SnapLockを使用したLUNのサポートの詳細については、こちらをご覧ください。 |
いいえ。SnapLockを使用したLUNのサポートの詳細については、こちらをご覧ください。 |
MetroCluster構成 |
はい、ONTAP 9.3以降で可能です。MetroClusterのサポートの詳細をご覧ください。 |
はい、ONTAP 9.3以降で可能です。MetroClusterのサポートの詳細をご覧ください。 |
マルチ管理者認証(MAV) |
はい、ONTAP 9.13.1 以降で可能です。MAVのサポートの詳細をご覧ください。 |
はい、ONTAP 9.13.1 以降で可能です。MAVのサポートの詳細をご覧ください。 |
SAN |
いいえ |
いいえ |
Single File SnapRestore |
いいえ |
はい |
SnapMirrorアクティブ同期 |
いいえ |
いいえ |
SnapRestore |
いいえ |
はい |
SMTape |
いいえ |
いいえ |
SnapMirror Synchronous |
いいえ |
いいえ |
SSD |
○ |
○ |
Storage Efficiency機能 |
はい、ONTAP 9.9.1以降で可能です。ストレージ効率のサポートの詳細をご覧ください。 |
はい、ONTAP 9.9.1以降で可能です。ストレージ効率のサポートの詳細をご覧ください。 |
SnapLock Enterpriseアグリゲート上のFabricPool
ONTAP 9.8以降では、FabricPoolがSnapLock Enterpriseアグリゲートでサポートされます。ただし、アカウント チームがProduct Variance Requestを申請して、パブリック クラウドまたはプライベート クラウドに階層化されたFabricPoolのデータは、クラウド管理者が削除できるためSnapLockでは保護されないことを承諾する必要があります。
|
FabricPoolでパブリック クラウドまたはプライベート クラウドに階層化されたデータはクラウド管理者が削除できるため、SnapLockでは保護されなくなりました。 |
FlexGroupボリューム
ONTAP 9.11.1以降、SnapLockではFlexGroupボリュームがサポートされますが、次の機能はサポートされません。
-
リーガル ホールド
-
イベントベースの保持
-
SnapLock for SnapVault(ONTAP 9.12.1以降でサポート)
また、次の点についても理解しておく必要があります。
-
FlexGroupボリュームのボリューム コンプライアンス クロック(VCC)は、ルート コンスティチュエントのVCCによって決まります。すべての非ルート コンスティチュエントのVCCは、ルートのVCCと密接に同期されます。
-
SnapLockの設定プロパティは、FlexGroup全体に対してのみ設定されます。個々のコンスティチュエントに、デフォルトの保持期限や自動コミット期間などの設定プロパティを指定することはできません。
LUNのサポート
LUNは、非SnapLockボリューム上で作成されたスナップショットがSnapLock vaultリレーションシップの一部として保護のためにSnapLockボリュームに転送されるシナリオにおいてのみ、SnapLockボリュームでサポートされます。LUNは読み取り / 書き込みSnapLockボリュームではサポートされません。ただし、改ざん防止スナップショットは、LUNを含むSnapMirrorソースボリュームとデスティネーションボリュームの両方でサポートされます。
MetroClusterのサポート
MetroCluster構成でのSnapLockのサポートは、SnapLock ComplianceモードとSnapLock Enterpriseモードで異なります。
-
ONTAP 9.3以降では、ミラーされていないMetroClusterアグリゲートでSnapLock Complianceがサポートされます。
-
ONTAP 9.3以降、ミラーされたアグリゲートでは、SnapLock監査ログ ボリュームのホストとして使用する場合に限りSnapLock Complianceがサポートされます。
-
MetroClusterを使用して、プライマリ サイトとセカンダリ サイトにSVM固有のSnapLock構成をレプリケートできます。
-
SnapLock Enterprise アグリゲートがサポートされています。
-
ONTAP 9.3以降では、privileged deleteを使用するSnapLock Enterpriseアグリゲートがサポートされます。
-
MetroClusterを使用して、両方のサイトにSVM固有のSnapLock構成をレプリケートできます。
MetroCluster構成では、Volume Compliance Clock(VCC;ボリューム コンプライアンス クロック)とSystem Compliance Clock(SCC;システム コンプライアンス クロック)の2つのコンプライアンス クロック メカニズムが使用されます。VCCとSCCはすべてのSnapLock構成で使用できます。ノードに新しいボリュームを作成すると、ボリュームのVCCはそのノードの現在のSCCの値に初期化されます。ボリューム作成後のボリュームとファイルの保持期限の追跡には、常にVCCが使用されます。
ボリュームを別のサイトにレプリケートすると、ボリュームのVCCも一緒にレプリケートされます。ボリュームのスイッチオーバー(サイトAからサイトB)が発生した場合、VCCの更新はサイトBで継続されますが、サイトAのSCCはサイトAがオフラインになると停止します。
サイトAがオンラインに戻ってボリュームのスイッチバックが実行されると、サイトAのSCCのクロックが再開されますが、ボリュームのVCCは引き続き更新されます。VCCは継続的に更新されるため、スイッチオーバーやスイッチバックの処理に関係なくファイルの保持期限はSCCに依存せず、期限が延びることはありません。
マルチ管理者認証(MAV)のサポート
ONTAP 9.13.1以降、クラスタ管理者はクラスタ上でマルチ管理者検証を明示的に有効にすることで、一部のSnapLock操作を実行する前にクォーラム承認を必須にすることができます。MAVを有効にすると、SnapLockボリュームプロパティ(default-retention-time、minimum-retention-time、maximum-retention-time、volume-append-mode、autocommit-period、privileged-delete)でクォーラム承認が必要になります。"MAV"の詳細をご覧ください。
ストレージ効率
ONTAP 9.9.1 以降、SnapLock は、SnapLock ボリュームおよびアグリゲートに対して、データ圧縮、ボリューム間重複排除、アダプティブ圧縮などのストレージ効率化機能をサポートしています。ストレージ効率化の詳細については、"ONTAP Storage Efficiencyの概要" を参照してください。
暗号化
ONTAPは、ストレージ メディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェア ベースとハードウェア ベースの暗号化テクノロジを提供します。
*免責事項:*NetAppは、認証キーを紛失した場合、または認証失敗回数が規定の制限を超え、ドライブが永久にロックされた場合、自己暗号化ドライブまたはボリューム上のSnapLock保護されたWORMファイルの復旧を保証することはできません。認証失敗に対する対策はお客様の責任となります。
|
|
暗号化されたボリュームはSnapLockアグリゲートでサポートされます。 |
7-Modeからの移行
7-Mode Transition Toolのコピーベースの移行(CBT)機能を使用して、SnapLockボリュームを7-ModeからONTAPに移行できます。デスティネーション ボリュームのSnapLockモード(ComplianceまたはEnterprise)とソース ボリュームのSnapLockモードが一致している必要があります。コピーフリーの移行(CFT)はSnapLockボリュームの移行には使用できません。