SnapLockとは
変更を提案
PDF
SnapLockは、規制やガバナンスに準拠するためにWORMストレージを使用して変更不可能な状態でファイルを保管する組織向けの、ハイパフォーマンスなコンプライアンスソリューションです。
SnapLockは、SEC 17a-4(f)、HIPAA、FINRA、CFTC、GDPRなどの規制に準拠するために、データの削除、変更、名前変更を防止するのに役立ちます。SnapLockを使用すると、指定した保持期間または無期限のいずれかで、ファイルを消去および書き込み不可の状態で保存およびコミットできる専用ボリュームを作成できます。SnapLockでは、CIFSやNFSなどの標準オープンファイルプロトコルを使用して、ファイルレベルでこの保持を実行できます。SnapLockでサポートされるオープンファイルプロトコルは、NFS(バージョン2、3、4)とCIFS(SMB 1.0、2.0、3.0)です。
SnapLockを使用すると、ファイルやSnapshotコピーをWORMストレージにコミットし、WORMで保護されたデータの保持期間を設定できます。SnapLock WORMストレージでは、NetApp Snapshotテクノロジを使用し、SnapMirrorレプリケーションとSnapVaultバックアップをベーステクノロジとして活用して、データのバックアップリカバリ保護を実現できます。WORMストレージの詳細については、を参照してください"NetApp SnapLock - TR-4526を使用して準拠したWORMストレージを実現します"。
ファイルをWORM状態にコミットするには、アプリケーションを使用してNFSまたはCIFS経由でコミットできます。ファイルをWORM状態に自動的にコミットするには、SnapLockの自動コミット機能を使用します。追記可能 WORM ファイル _ を使用すると、ログ情報のように段階的に書き込まれるデータを保持できます。詳細については、を参照してください "ボリュームアペンドモードを使用して追記可能WORMファイルを作成する"。
SnapLockは、ほとんどのコンプライアンス要件を満たすデータ保護方法をサポートしています。
-
SnapLock for SnapVaultを使用すると、セカンダリストレージ上のSnapshotコピーをWORM方式で保護できます。を参照して "SnapshotコピーのWORM状態へのコミット"
-
SnapMirrorを使用すると、ディザスタリカバリ用に地理的に離れた別の場所にWORMファイルをレプリケートできます。を参照して "WORMファイルのミラーリング"
SnapLockは、NetApp ONTAPのライセンスベースの機能です。1つのライセンスで、SnapLockを厳格なコンプライアンスモードで使用してSECルール17a-4(f)などの外部の要件を満たし、より緩やかなエンタープライズモードで使用して、デジタル資産の保護に関する社内で義務付けられている規制を満たすことができます。SnapLockライセンスはソフトウェアスイートの一部"ONTAP One"です。
SnapLockは、すべてのAFFシステムとFASシステム、およびONTAP Selectでサポートされています。SnapLockは、ソフトウェアのみのソリューションではなく、ハードウェアとソフトウェアが統合されたソリューションです。SEC 17a-4(f)など、ハードウェアとソフトウェアの統合ソリューションを必要とする厳しいWORM規制には、この区別が重要です。詳細については、を参照してください "ブローカーへのSECガイダンス-電子記憶媒体の使用に関するディーラー"。
SnapLockの機能
SnapLock Complianceモードとエンタープライズモード
SnapLock ComplianceモードとEnterpriseモードでは、主に各モードでWORMファイルが保護されるレベルが異なります。
SnapLock モード |
保護レベル |
保持中のWORMファイル削除 |
Complianceモード |
ディスクレベル |
削除できません |
Enterpriseモード |
ファイルレベル |
コンプライアンス管理者は、監査対象の「privileged delete」手順を使用して削除できます。 |
保持期間の経過後、不要になったファイルはユーザが削除する必要があります。一度WORM状態にコミットされたファイルは、ComplianceモードかEnterpriseモードかに関係なく、保持期間が過ぎたあとも変更することはできません。
保持期間中または保持期間後にWORMファイルを移動することはできません。WORMファイルはコピーできますが、コピーしたファイルのWORM特性は保持されません。
次の表に、SnapLock ComplianceモードとEnterpriseモードでサポートされる機能の違いを示します。
機能 |
SnapLock Compliance |
SnapLock Enterprise |
privileged deleteを使用したファイルの有効化と削除 |
いいえ |
〇 |
ディスクの再初期化 |
いいえ |
〇 |
保持期間中のSnapLockアグリゲートおよびボリュームの削除 |
いいえ |
○(SnapLock監査ログボリュームを除く) |
アグリゲートまたはボリュームの名前変更 |
いいえ |
〇 |
NetApp以外のディスクを使用する |
いいえ |
○(あり)"FlexArray仮想化" |
監査ログにSnapLockボリュームを使用する |
〇 |
はい(ONTAP 9 .5以降) |
SnapLockでサポートされる機能とサポートされない機能
次の表に、SnapLock Complianceモード、SnapLock Enterpriseモード、またはその両方でサポートされる機能を示します。
機能 |
SnapLock Complianceでサポートされます |
SnapLock Enterpriseでサポートされます |
整合性グループ |
いいえ |
いいえ |
暗号化されたボリューム |
はい、ONTAP 9から始まります。2.詳細については、をご覧ください 暗号化とSnapLock。 |
はい、ONTAP 9から始まります。2.詳細については、をご覧ください 暗号化とSnapLock。 |
SnapLockアグリゲートでのFabricPoolの使用 |
いいえ |
はい、ONTAP 9から始まります。8.詳細については、をご覧ください SnapLock Enterpriseアグリゲート上のFabricPool。 |
Flash Poolアグリゲート |
はい、ONTAP 9 .1から始まります。 |
はい、ONTAP 9 .1から始まります。 |
FlexClone |
SnapLockボリュームはクローニングできますが、SnapLockボリューム上のファイルはクローニングできません。 |
SnapLockボリュームはクローニングできますが、SnapLockボリューム上のファイルはクローニングできません。 |
FlexGroupホリユウム |
はい、ONTAP 9 .11.1以降。詳細については、をご覧ください [flexgroup]。 |
はい、ONTAP 9 .11.1以降。詳細については、をご覧ください [flexgroup]。 |
LUN |
いいえ。SnapLockの詳細については、こちらをご覧くださいLUNのサポート。 |
いいえ。SnapLockの詳細については、こちらをご覧くださいLUNのサポート。 |
MetroClusterコウセイ |
はい、ONTAP 9から始まります。3.詳細については、をご覧ください MetroClusterのサポート。 |
はい、ONTAP 9から始まります。3.詳細については、をご覧ください MetroClusterのサポート。 |
マルチ管理者認証(MAV) |
はい。ONTAP 9 13.1以降。詳細については、をご覧ください MAVサポート。 |
はい。ONTAP 9 13.1以降。詳細については、をご覧ください MAVサポート。 |
SAN |
いいえ |
いいえ |
シングルファイルSnapRestore |
いいえ |
〇 |
SnapMirrorアクティブ同期 |
いいえ |
いいえ |
SnapRestore |
いいえ |
〇 |
SMTape |
いいえ |
いいえ |
SnapMirror Synchronous |
いいえ |
いいえ |
SSD |
はい、ONTAP 9 .1から始まります。 |
はい、ONTAP 9 .1から始まります。 |
Storage Efficiency機能 |
○(ONTAP 9 .9.1以降)詳細については、をご覧ください Storage Efficiencyのサポート。 |
○(ONTAP 9 .9.1以降)詳細については、をご覧ください Storage Efficiencyのサポート。 |
SnapLock Enterpriseアグリゲート上のFabricPool
FabricPoolは、ONTAP 9以降のSnapLock Enterpriseアグリゲートでサポートされます。8.ただし、アカウントチームは、パブリッククラウドまたはプライベートクラウドに階層化されたFabricPoolデータは、クラウド管理者が削除できるためSnapLockで保護されなくなったことを理解していることを記載した製品差異申請を行う必要があります。
|
FabricPoolがパブリッククラウドまたはプライベートクラウドに階層化するデータは、クラウド管理者が削除できるため、SnapLockで保護されなくなります。 |
FlexGroupホリユウム
SnapLockでは、ONTAP 9 .11.1以降でFlexGroupボリュームがサポートされますが、次の機能はサポートされません。
-
リーガルホールド
-
イベントベースの保持
-
SnapLock for SnapVault(ONTAP 9 12.1以降でサポート)
また、次の動作にも注意してください。
-
FlexGroupボリュームのボリュームコンプライアンスクロック(VCC)は、ルートコンスティチュエントのVCCによって決まります。ルート以外のすべてのコンスティチュエントのVCCは、ルートVCCと密接に同期されます。
-
SnapLock構成プロパティは、FlexGroup全体に対してのみ設定されます。個 々 のコンスティチュエントに、デフォルトの保持期間や自動コミット期間など、異なる設定プロパティを設定することはできません。
LUNのサポート
SnapLockでは、SnapLock以外のボリュームで作成されたSnapshotコピーをSnapLockバックアップ関係の一部として保護するためにSnapLockに転送する場合にのみ、LUNがサポートされます。読み取り/書き込みSnapLockボリュームではLUNはサポートされません。ただし、改ざん防止Snapshotコピーは、SnapMirrorのソースボリュームと、LUNを含むデスティネーションボリュームの両方でサポートされます。
MetroClusterのサポート
MetroCluster構成でのSnapLockのサポートは、SnapLock ComplianceモードとSnapLock Enterpriseモードで異なります。
-
ONTAP 9 .3以降では、ミラーされていないMetroClusterアグリゲートでSnapLock Complianceがサポートされます。
-
ONTAP 9 .3以降では、ミラーされたアグリゲートでSnapLock Complianceがサポートされますが、アグリゲートを使用してSnapLock監査ログボリュームをホストする場合にのみサポートされます。
-
SVM固有のSnapLock設定は、MetroClusterを使用してプライマリサイトとセカンダリサイトにレプリケートできます。
-
ONTAP 9以降では、SnapLock Enterpriseアグリゲートがサポートされます。
-
ONTAP 9 .3以降では、privileged deleteを使用するSnapLock Enterpriseアグリゲートがサポートされます。
-
SVM固有のSnapLock設定は、MetroClusterを使用して両方のサイトにレプリケートできます。
MetroCluster構成では、Volume Compliance Clock(VCC;ボリュームコンプライアンスクロック)とSystem Compliance Clock(SCC;システムコンプライアンスクロック)の2つのコンプライアンスクロックメカニズムを使用します。VCCおよびSCCは、すべてのSnapLock構成で使用できます。ノードに新しいボリュームを作成すると、そのVCCはそのノードの現在のSCCの値で初期化されます。ボリュームの作成後は、ボリュームとファイルの保持期限が常にVCCで追跡されます。
ボリュームを別のサイトにレプリケートすると、そのVCCもレプリケートされます。たとえば、サイトAからサイトBへのボリュームのスイッチオーバーが発生した場合、VCCの更新はサイトBで継続され、サイトAのSCCはサイトAがオフラインになると停止します。
サイトAがオンラインに戻ってボリュームのスイッチバックが実行されると、サイトAのSCCクロックが再開されますが、ボリュームのVCCは引き続き更新されます。VCCは継続的に更新されるため、スイッチオーバーやスイッチバックの処理に関係なく、ファイルの保持期間はSCCのクロックに依存せず、長くなりません。
Multi-Admin Verification(MAV)のサポート
ONTAP 9 .13.1以降では、クラスタ管理者が明示的にマルチ管理者検証を有効にして、一部のSnapLock処理を実行する前にクォーラムの承認が必要になるようにすることができます。MAVが有効な場合は、default-retention-time、minimum-retention-time、maximum-retention-time、volume-append-mode、自動コミット期間、privileged-deleteなどのSnapLockボリュームプロパティでクォーラムの承認が必要になります。詳細については、をご覧ください "MAV"。
Storage Efficiency
ONTAP 9 .9.1以降では、SnapLockでSnapLockおよびアグリゲートのデータコンパクション、ボリューム間重複排除、適応圧縮などのStorage Efficiency機能がサポートされます。Storage Efficiencyの詳細については、を参照してください"ONTAPのStorage Efficiencyの概要"。
暗号化
ONTAPは、ストレージメディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないように、ソフトウェアベースとハードウェアベースの暗号化テクノロジを提供します。
-
免責事項: * 認証キーが紛失した場合や、認証に失敗した回数が指定した制限を超えたためにドライブが永続的にロックされた場合、自己暗号化ドライブまたはボリューム上の SnapLock で保護された WORM ファイルを取得できるかどうかは、ネットアップでは保証できません。認証エラーが発生しないようにする責任はユーザにあります。
|
|
ONTAP 9 .2以降では、SnapLockアグリゲートで暗号化されたボリュームがサポートされます。 |
7-Modeからの移行
7-Mode Transition ToolのCopy-Based Transition(CBT)機能を使用して、SnapLockボリュームを7-ModeからONTAPにマイグレートできます。デスティネーションボリュームのSnapLockモード(ComplianceまたはEnterprise)がソースボリュームのSnapLockモードと一致している必要があります。コピーフリーの移行(CFT)を使用してSnapLockボリュームを移行することはできません。