Snapshotコピーをロックしてランサムウェア攻撃から保護する
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.12.1以降では、SnapLock以外のボリューム上のSnapshotコピーをロックして、ランサムウェア攻撃から保護できます。Snapshotコピーをロックすることで、誤って削除したり、悪意を持って削除したりすることがなくなります。
SnapLock コンプライアンスクロック機能を使用すると、指定した期間Snapshotコピーをロックして、有効期限に達するまでSnapshotコピーを削除できないようにすることができます。Snapshotコピーをロックすると、改ざんを防止し、ランサムウェアの脅威から保護します。ロックされたSnapshotコピーを使用すると、ボリュームがランサムウェア攻撃によって危険にさらされた場合にデータをリカバリできます。
ONTAP 9.14.1以降では、Snapshotコピーロックによって、SnapLockヴォールトデスティネーションおよびSnapLock以外のSnapMirrorデスティネーションボリュームでのSnapshotコピーの長期保持がサポートされます。Snapshotコピーロックを有効にするには、Snapshotコピーに関連付けられたSnapMirrorポリシールールを使用して保持期間を設定します。 既存のポリシーラベル。このルールは、ボリュームに設定されているデフォルトの保持期間よりも優先されます。SnapMirrorラベルに保持期間が関連付けられていない場合は、ボリュームのデフォルトの保持期間が使用されます。
-
ONTAP CLIを使用している場合は、クラスタ内のすべてのノードでONTAP 9.12.1以降が実行されている必要があります。System Managerを使用している場合は、すべてのノードでONTAP 9.13.1以降が実行されている必要があります。
-
"SnapLockライセンスがクラスタにインストールされている必要があります。"。このライセンスは、 "ONTAP One"。
-
ボリュームでSnapshotロックが有効になっている場合、クラスタをONTAP 9.12.1以降のバージョンのONTAP にアップグレードできます。 ただし、ロックされたすべてのSnapshotコピーが有効期限に達して削除され、Snapshotコピーのロックが無効になるまで、以前のバージョンのONTAP にはリバートできません。
-
Snapshotがロックされている場合、ボリューム有効期限はSnapshotコピーの有効期限に設定されます。複数のSnapshotコピーがロックされている場合、ボリュームの有効期限には、すべてのSnapshotコピーの中で最も長い有効期限が反映されます。
-
ロックされたSnapshotコピーの保持期間はSnapshotコピーの保持数よりも優先されます。つまり、ロックされたSnapshotコピーの保持期間が期限切れになっていない場合、保持数の制限は考慮されません。
-
SnapMirror関係では、mirror-vaultポリシールールに保持期間を設定できます。デスティネーションボリュームでSnapshotコピーロックが有効になっている場合は、デスティネーションにレプリケートされるSnapshotコピーに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、保持数を超えた場合でも、保持期限を過ぎていないSnapshotコピーは保持されます。
-
SnapLock以外のボリューム上のSnapshotコピーの名前は変更できます。SnapMirror関係のプライマリボリュームでのSnapshotの名前変更処理は、ポリシーがMirrorAllSnapshotsの場合にのみセカンダリボリュームに反映されます。他のタイプのポリシーでは、名前を変更したSnapshotコピーは更新時に反映されません。
-
ONTAP CLIを使用している場合は、を使用してロックされたSnapshotコピーをリストアできます
volume snapshot restore
ロックされたSnapshotコピーが最新のものである場合のみ、コマンドを実行できます。リストア対象のSnapshotコピーよりもあとに期限切れ前のSnapshotコピーがあると、Snapshotコピーのリストア処理は失敗します。
-
FlexGroup ボリューム
FlexGroup ボリュームでは、Snapshotコピーのロックがサポートされます。Snapshotロックは、ルートコンスティチュエントSnapshotコピーでのみ発生します。FlexGroup ボリュームを削除できるのは、ルートコンスティチュエントの有効期限を過ぎた場合のみです。
-
FlexVol からFlexGroup への変換
ロックされたSnapshotコピーがあるFlexVol をFlexGroup ボリュームに変換できます。変換後もSnapshotコピーはロックされたままです。
-
ボリュームクローンとファイルクローン
ロックされたSnapshotコピーからボリュームのクローンとファイルのクローンを作成できます。
現在、タンパープルーフSnapshotコピーでは、次の機能はサポートされていません。
-
Cloud Volumes ONTAP
-
整合グループ
-
FabricPool
-
FlexCache ボリューム
-
SMTapeの場合
-
SnapMirror のビジネス継続性( SM-BC )
-
を使用したSnapMirrorポリシールール
-schedule
パラメータ -
SnapMirror Synchronous
-
SVMデータの移動(ソースクラスタからデスティネーションクラスタにSVMを移行または再配置する場合に使用)
ボリュームの作成時にSnapshotコピーのロックを有効にします
ONTAP 9.12.1以降では、新しいボリュームを作成する場合、またはを使用して既存のボリュームを変更する場合に、Snapshotコピーロックを有効にできます -snapshot-locking-enabled
オプションを指定します volume create
および volume modify
コマンドを使用します。ONTAP 9.13.1以降では、System Managerを使用してSnapshotコピーロックを有効にできます。
-
[ストレージ]>[ボリューム]に移動し、[追加]*を選択します。
-
ウィンドウで、[その他のオプション]*を選択します。
-
ボリューム名、サイズ、エクスポートポリシー、および共有名を入力します。
-
[Enable Snapshot locking]*を選択します。SnapLockライセンスがインストールされていない場合、この選択は表示されません。
-
SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。
-
変更を保存します。
-
ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。
-
SnapLock Snapshotコピーのロック*が「有効」*と表示されていることを確認します。
-
新しいボリュームを作成し、Snapshotコピーロックを有効にするには、次のコマンドを入力します。
volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
次のコマンドは、vol1という名前の新しいボリュームでSnapshotコピーロックを有効にします。
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
既存のボリュームでSnapshotコピーロックを有効にします
ONTAP 9.12.1以降では、ONTAP CLIを使用して、既存のボリュームでSnapshotコピーロックを有効にできます。ONTAP 9.13.1以降では、System Managerを使用して既存のボリュームに対してSnapshotコピーロックを有効にすることができます。
-
[ストレージ]>[ボリューム]に移動します。
-
選択するオプション 編集>ボリューム*を選択します。
-
ウィンドウで、[Snapshotコピー(ローカル)設定]セクションを探し、[Snapshotロックの有効化]*を選択します。
SnapLockライセンスがインストールされていない場合、この選択は表示されません。
-
SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。
-
変更を保存します。
-
ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。
-
SnapLock Snapshotコピーのロック*が「有効」*と表示されていることを確認します。
-
既存のボリュームを変更してSnapshotコピーのロックを有効にするには、次のコマンドを入力します。
volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
ロックされたSnapshotコピーポリシーを作成し、保持を適用します
ONTAP 9.12.1以降では、Snapshotコピーポリシーを作成してSnapshotコピーの保持期間を適用し、そのポリシーをボリュームに適用して、指定した期間Snapshotコピーをロックできます。保持期間を手動で設定して、Snapshotコピーをロックすることもできます。ONTAP 9.13.1以降では、System Managerを使用してSnapshotコピーロックポリシーを作成し、ボリュームに適用できます。
Snapshotコピーのロックポリシーを作成します
-
[ストレージ]>[Storage VM]*に移動し、Storage VMを選択します。
-
[設定]*を選択します。
-
[Snapshot Policies]*に移動し、を選択します 。
-
[ Snapshotポリシーの追加]*ウィンドウで、ポリシー名を入力します。
-
選択するオプション 。
-
スケジュール名、保持するSnapshotコピーの最大数、SnapLock の保持期間など、Snapshotコピースケジュールの詳細を指定します。
-
[Snapshot保持期間]列にSnapLock 、Snapshotコピーを保持する時間数、日数、月数、または年数を入力します。たとえば、保持期間が5日間のSnapshotコピーポリシーでは、Snapshotコピーが作成されてから5日間はロックされ、その間は削除できません。サポートされる保持期間は次のとおりです。
-
年:0~100
-
月:0~1200
-
日数:0 ~ 36500
-
時間:0~24
-
-
変更を保存します。
-
Snapshotコピーポリシーを作成するには、次のコマンドを入力します。
volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period
次のコマンドは、Snapshotコピーロックポリシーを作成します。
cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
アクティブな保持期間にあるSnapshotコピーは置き換えられません。つまり、期限切れになっていないロックされたSnapshotコピーがある場合、保持数は反映されません。
ボリュームにロックポリシーを適用します
-
[ストレージ]>[ボリューム]に移動します。
-
選択するオプション 編集>ボリューム*を選択します。
-
ウィンドウで、[Snapshotコピーのスケジュール設定]*を選択します。
-
リストからSnapshotコピーロックポリシーを選択します。
-
Snapshotコピーのロックがまだ有効になっていない場合は、*[Snapshotロックを有効にする]*を選択します。
-
変更を保存します。
-
既存のボリュームにSnapshotコピーロックポリシーを適用するには、次のコマンドを入力します。
volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name
手動でのSnapshotコピーの作成時に保持期間を適用
Snapshotコピーの保持期間は、Snapshotコピーを手動で作成するときに適用できます。ボリュームでSnapshotコピーロックが有効になっている必要があります。有効になっていない場合、保持期間の設定は無視されます。
-
[ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。
-
ボリュームの詳細ページで、*[Snapshotコピー]*タブを選択します。
-
選択するオプション 。
-
Snapshotコピー名とSnapLockの有効期限を入力します。カレンダーを選択して、保持期限の日付と時刻を選択できます。
-
変更を保存します。
-
[ボリューム]>[Snapshotコピー]ページで、[表示/非表示]*を選択し、[ SnapLock 有効期限]を選択して[ SnapLock 有効期限]*列を表示し、保持期限が設定されていることを確認します。
-
Snapshotコピーを手動で作成し、ロック保持期間を適用するには、次のコマンドを入力します。
volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time
次のコマンドでは、新しいSnapshotコピーを作成して保持期間を設定します。
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
既存のSnapshotコピーに保持期間を適用します
-
[ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。
-
ボリュームの詳細ページで、*[Snapshotコピー]*タブを選択します。
-
Snapshotコピーを選択し、を選択します をクリックし、*[Modify SnapLock Expiration Time]*を選択します。カレンダーを選択して、保持期限の日付と時刻を選択できます。
-
変更を保存します。
-
[ボリューム]>[Snapshotコピー]ページで、[表示/非表示]*を選択し、[ SnapLock 有効期限]を選択して[ SnapLock 有効期限]*列を表示し、保持期限が設定されていることを確認します。
-
既存のSnapshotコピーに保持期間を手動で適用するには、次のコマンドを入力します。
volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time
次の例は、既存のSnapshotコピーに保持期間を適用します。
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"
既存のポリシーを変更して長期保持を適用する
ONTAP 9.14.1以降では、Snapshotコピーの長期保持を設定するルールを追加して、既存のSnapMirrorポリシーを変更できます。このルールは、SnapLockヴォールトデスティネーションおよびSnapLock以外のSnapMirrorデスティネーションボリュームでのデフォルトのボリューム保持期間を上書きするために使用されます。
-
既存のSnapMirrorポリシーにルールを追加します。
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]
次の例は、「LockVault」という既存のポリシーに6カ月の保持期間を適用するルールを作成します。
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"