Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Snapshotコピーをロックしてランサムウェア攻撃から保護する

共同作成者
PDF

ONTAP 9.12.1以降では、SnapLock以外のボリューム上のSnapshotコピーをロックして、ランサムウェア攻撃から保護できます。Snapshotコピーをロックすることで、誤って削除したり、悪意を持って削除したりすることがなくなります。

SnapLock コンプライアンスクロック機能を使用すると、指定した期間Snapshotコピーをロックして、有効期限に達するまでSnapshotコピーを削除できないようにすることができます。Snapshotコピーをロックすると、改ざんを防止し、ランサムウェアの脅威から保護します。ロックされたSnapshotコピーを使用すると、ボリュームがランサムウェア攻撃によって危険にさらされた場合にデータをリカバリできます。

ONTAP 9.14.1以降では、Snapshotコピーロックによって、SnapLockヴォールトデスティネーションおよびSnapLock以外のSnapMirrorデスティネーションボリュームでのSnapshotコピーの長期保持がサポートされます。Snapshotコピーロックを有効にするには、Snapshotコピーに関連付けられたSnapMirrorポリシールールを使用して保持期間を設定します。 既存のポリシーラベル。このルールは、ボリュームに設定されているデフォルトの保持期間よりも優先されます。SnapMirrorラベルに保持期間が関連付けられていない場合は、ボリュームのデフォルトの保持期間が使用されます。

改ざん防止機能を備えたSnapshotコピーの要件と考慮事項

  • ONTAP CLIを使用している場合は、クラスタ内のすべてのノードでONTAP 9.12.1以降が実行されている必要があります。System Managerを使用している場合は、すべてのノードでONTAP 9.13.1以降が実行されている必要があります。

  • "SnapLockライセンスがクラスタにインストールされている必要があります。"。このライセンスは、 "ONTAP One"

  • "クラスタのコンプライアンスクロックを初期化する必要があります。"

  • ボリュームでSnapshotロックが有効になっている場合、クラスタをONTAP 9.12.1以降のバージョンのONTAP にアップグレードできます。 ただし、ロックされたすべてのSnapshotコピーが有効期限に達して削除され、Snapshotコピーのロックが無効になるまで、以前のバージョンのONTAP にはリバートできません。

  • Snapshotがロックされている場合、ボリューム有効期限はSnapshotコピーの有効期限に設定されます。複数のSnapshotコピーがロックされている場合、ボリュームの有効期限には、すべてのSnapshotコピーの中で最も長い有効期限が反映されます。

  • ロックされたSnapshotコピーの保持期間はSnapshotコピーの保持数よりも優先されます。つまり、ロックされたSnapshotコピーの保持期間が期限切れになっていない場合、保持数の制限は考慮されません。

  • SnapMirror関係では、mirror-vaultポリシールールに保持期間を設定できます。デスティネーションボリュームでSnapshotコピーロックが有効になっている場合は、デスティネーションにレプリケートされるSnapshotコピーに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、保持数を超えた場合でも、保持期限を過ぎていないSnapshotコピーは保持されます。

  • SnapLock以外のボリューム上のSnapshotコピーの名前は変更できます。SnapMirror関係のプライマリボリュームでのSnapshotの名前変更処理は、ポリシーがMirrorAllSnapshotsの場合にのみセカンダリボリュームに反映されます。他のタイプのポリシーでは、名前を変更したSnapshotコピーは更新時に反映されません。

  • ONTAP CLIを使用している場合は、を使用してロックされたSnapshotコピーをリストアできます volume snapshot restore ロックされたSnapshotコピーが最新のものである場合のみ、コマンドを実行できます。リストア対象のSnapshotコピーよりもあとに期限切れ前のSnapshotコピーがあると、Snapshotコピーのリストア処理は失敗します。

タンパープルーフSnapshotコピーでサポートされる機能

  • FlexGroup ボリューム

    FlexGroup ボリュームでは、Snapshotコピーのロックがサポートされます。Snapshotロックは、ルートコンスティチュエントSnapshotコピーでのみ発生します。FlexGroup ボリュームを削除できるのは、ルートコンスティチュエントの有効期限を過ぎた場合のみです。

  • FlexVol からFlexGroup への変換

    ロックされたSnapshotコピーがあるFlexVol をFlexGroup ボリュームに変換できます。変換後もSnapshotコピーはロックされたままです。

  • ボリュームクローンとファイルクローン

    ロックされたSnapshotコピーからボリュームのクローンとファイルのクローンを作成できます。

サポートされない機能です

現在、タンパープルーフSnapshotコピーでは、次の機能はサポートされていません。

  • Cloud Volumes ONTAP

  • 整合グループ

  • FabricPool

  • FlexCache ボリューム

  • SMTapeの場合

  • SnapMirror のビジネス継続性( SM-BC )

  • を使用したSnapMirrorポリシールール -schedule パラメータ

  • SnapMirror Synchronous

  • SVMデータの移動(ソースクラスタからデスティネーションクラスタにSVMを移行または再配置する場合に使用)

ボリュームの作成時にSnapshotコピーのロックを有効にします

ONTAP 9.12.1以降では、新しいボリュームを作成する場合、またはを使用して既存のボリュームを変更する場合に、Snapshotコピーロックを有効にできます -snapshot-locking-enabled オプションを指定します volume create および volume modify コマンドを使用します。ONTAP 9.13.1以降では、System Managerを使用してSnapshotコピーロックを有効にできます。

System Manager の略

  1. [ストレージ]>[ボリューム]に移動し、[追加]*を選択します。

  2. ウィンドウで、[その他のオプション]*を選択します。

  3. ボリューム名、サイズ、エクスポートポリシー、および共有名を入力します。

  4. [Enable Snapshot locking]*を選択します。SnapLockライセンスがインストールされていない場合、この選択は表示されません。

  5. SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。

  6. 変更を保存します。

  7. ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。

  8. SnapLock Snapshotコピーのロック*が「有効」*と表示されていることを確認します。

CLI の使用

  1. 新しいボリュームを作成し、Snapshotコピーロックを有効にするには、次のコマンドを入力します。

    volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true

    次のコマンドは、vol1という名前の新しいボリュームでSnapshotコピーロックを有効にします。

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted.
Do you want to continue: {yes|no}: y
[Job 32] Job succeeded: Successful

既存のボリュームでSnapshotコピーロックを有効にします

ONTAP 9.12.1以降では、ONTAP CLIを使用して、既存のボリュームでSnapshotコピーロックを有効にできます。ONTAP 9.13.1以降では、System Managerを使用して既存のボリュームに対してSnapshotコピーロックを有効にすることができます。

System Manager の略

  1. [ストレージ]>[ボリューム]に移動します。

  2. 選択するオプション Alt = メニューオプション 編集>ボリューム*を選択します。

  3. ウィンドウで、[Snapshotコピー(ローカル)設定]セクションを探し、[Snapshotロックの有効化]*を選択します。

    SnapLockライセンスがインストールされていない場合、この選択は表示されません。

  4. SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。

  5. 変更を保存します。

  6. ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。

  7. SnapLock Snapshotコピーのロック*が「有効」*と表示されていることを確認します。

CLI の使用

  1. 既存のボリュームを変更してSnapshotコピーのロックを有効にするには、次のコマンドを入力します。

    volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true

ロックされたSnapshotコピーポリシーを作成し、保持を適用します

ONTAP 9.12.1以降では、Snapshotコピーポリシーを作成してSnapshotコピーの保持期間を適用し、そのポリシーをボリュームに適用して、指定した期間Snapshotコピーをロックできます。保持期間を手動で設定して、Snapshotコピーをロックすることもできます。ONTAP 9.13.1以降では、System Managerを使用してSnapshotコピーロックポリシーを作成し、ボリュームに適用できます。

Snapshotコピーのロックポリシーを作成します

System Manager の略

  1. [ストレージ]>[Storage VM]*に移動し、Storage VMを選択します。

  2. [設定]*を選択します。

  3. [Snapshot Policies]*に移動し、を選択します alt =矢印

  4. [ Snapshotポリシーの追加]*ウィンドウで、ポリシー名を入力します。

  5. 選択するオプション alt =追加

  6. スケジュール名、保持するSnapshotコピーの最大数、SnapLock の保持期間など、Snapshotコピースケジュールの詳細を指定します。

  7. [Snapshot保持期間]列にSnapLock 、Snapshotコピーを保持する時間数、日数、月数、または年数を入力します。たとえば、保持期間が5日間のSnapshotコピーポリシーでは、Snapshotコピーが作成されてから5日間はロックされ、その間は削除できません。サポートされる保持期間は次のとおりです。

    • 年:0~100

    • 月:0~1200

    • 日数:0 ~ 36500

    • 時間:0~24

  8. 変更を保存します。

CLI の使用

  1. Snapshotコピーポリシーを作成するには、次のコマンドを入力します。

    volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period

    次のコマンドは、Snapshotコピーロックポリシーを作成します。

    cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    アクティブな保持期間にあるSnapshotコピーは置き換えられません。つまり、期限切れになっていないロックされたSnapshotコピーがある場合、保持数は反映されません。

ボリュームにロックポリシーを適用します

System Manager の略

  1. [ストレージ]>[ボリューム]に移動します。

  2. 選択するオプション Alt = メニューオプション 編集>ボリューム*を選択します。

  3. ウィンドウで、[Snapshotコピーのスケジュール設定]*を選択します。

  4. リストからSnapshotコピーロックポリシーを選択します。

  5. Snapshotコピーのロックがまだ有効になっていない場合は、*[Snapshotロックを有効にする]*を選択します。

  6. 変更を保存します。

CLI の使用

  1. 既存のボリュームにSnapshotコピーロックポリシーを適用するには、次のコマンドを入力します。

    volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name

手動でのSnapshotコピーの作成時に保持期間を適用

Snapshotコピーの保持期間は、Snapshotコピーを手動で作成するときに適用できます。ボリュームでSnapshotコピーロックが有効になっている必要があります。有効になっていない場合、保持期間の設定は無視されます。

System Manager の略

  1. [ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。

  2. ボリュームの詳細ページで、*[Snapshotコピー]*タブを選択します。

  3. 選択するオプション Alt =追加アイコン

  4. Snapshotコピー名とSnapLockの有効期限を入力します。カレンダーを選択して、保持期限の日付と時刻を選択できます。

  5. 変更を保存します。

  6. [ボリューム]>[Snapshotコピー]ページで、[表示/非表示]*を選択し、[ SnapLock 有効期限]を選択して[ SnapLock 有効期限]*列を表示し、保持期限が設定されていることを確認します。

CLI の使用

  1. Snapshotコピーを手動で作成し、ロック保持期間を適用するには、次のコマンドを入力します。

    volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time

    次のコマンドでは、新しいSnapshotコピーを作成して保持期間を設定します。

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

既存のSnapshotコピーに保持期間を適用します

System Manager の略

  1. [ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。

  2. ボリュームの詳細ページで、*[Snapshotコピー]*タブを選択します。

  3. Snapshotコピーを選択し、を選択します Alt = メニューオプションをクリックし、*[Modify SnapLock Expiration Time]*を選択します。カレンダーを選択して、保持期限の日付と時刻を選択できます。

  4. 変更を保存します。

  5. [ボリューム]>[Snapshotコピー]ページで、[表示/非表示]*を選択し、[ SnapLock 有効期限]を選択して[ SnapLock 有効期限]*列を表示し、保持期限が設定されていることを確認します。

CLI の使用

  1. 既存のSnapshotコピーに保持期間を手動で適用するには、次のコマンドを入力します。

    volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time

    次の例は、既存のSnapshotコピーに保持期間を適用します。

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"

既存のポリシーを変更して長期保持を適用する

ONTAP 9.14.1以降では、Snapshotコピーの長期保持を設定するルールを追加して、既存のSnapMirrorポリシーを変更できます。このルールは、SnapLockヴォールトデスティネーションおよびSnapLock以外のSnapMirrorデスティネーションボリュームでのデフォルトのボリューム保持期間を上書きするために使用されます。

  1. 既存のSnapMirrorポリシーにルールを追加します。

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]

    次の例は、「LockVault」という既存のポリシーに6カ月の保持期間を適用するルールを作成します。

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"