Snapshotをロックしてランサムウェア攻撃から保護
変更を提案
PDF
ONTAP 9.12.1以降では、SnapLock以外のボリュームでSnapshotをロックして、ランサムウェア攻撃から保護できます。スナップショットをロックすると、誤ってまたは悪意を持って削除されることがなくなります。
SnapLock Complianceクロック機能を使用すると、Snapshotを指定した期間ロックして、有効期限に達するまで削除できないようにすることができます。Snapshotをロックすることで改ざんを防止し、ランサムウェアの脅威から保護できます。ロックされたSnapshotを使用して、ランサムウェア攻撃によってボリュームが侵害された場合にデータをリカバリできます。
ONTAP 9.14.1以降では、SnapLockヴォールトデスティネーションおよびSnapLock SnapMirror以外のデスティネーションボリュームでの長期保持Snapshotがサポートされます。Snapshotロックを有効にするには、に関連付けられたSnapMirrorポリシールールを使用して保持期間を設定し既存のポリシーラベルます。このルールは、ボリュームに設定されているデフォルトの保持期間よりも優先されます。SnapMirrorラベルに保持期間が関連付けられていない場合は、ボリュームのデフォルトの保持期間が使用されます。
-
ONTAP CLIを使用する場合は、クラスタ内のすべてのノードでONTAP 9.12.1以降が実行されている必要があります。System Managerを使用する場合は、すべてのノードでONTAP 9.13.1以降が実行されている必要があります。
-
"SnapLockライセンスがクラスタにインストールされている必要があります。"です。このライセンスはに含まれてい"ONTAP One"ます。
-
ボリュームでSnapshotロックが有効になっている場合は、クラスタをONTAP 9.12.1より新しいバージョンのONTAPにアップグレードできます。ただし、ロックされたSnapshotがすべて有効期限に達して削除され、Snapshotロックが無効になるまで、ONTAPを以前のバージョンに戻すことはできません。
-
Snapshotがロックされている場合、ボリューム有効期限はSnapshotの有効期限に設定されます。複数のSnapshotがロックされている場合は、すべてのSnapshotの中で最も長い有効時間がボリューム有効時間に反映されます。
-
ロックされたSnapshotの保持期間はSnapshot保持数よりも優先されます。つまり、ロックされたSnapshotのSnapshot保持期間が満了していない場合、保持数の制限は適用されません。
-
SnapMirror関係では、ミラーバックアップポリシールールに保持期間を設定できます。デスティネーションボリュームでSnapshotロックが有効になっている場合は、デスティネーションにレプリケートされたSnapshotに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、有効期限を過ぎていないSnapshotは、保持数を超えても保持されます。
-
SnapLock以外のボリューム上のSnapshotの名前を変更できます。SnapMirror関係のプライマリボリュームでのSnapshot名変更処理は、ポリシーがMirrorAllSnapshotsの場合にのみセカンダリボリュームに反映されます。それ以外のポリシータイプの場合、名前を変更したSnapshotは更新時に伝播されません。
-
ONTAP CLIを使用している場合は、ロックされたSnapshotが最新のものである場合にのみ、コマンドを使用してロックされたSnapshotをリストアでき `volume snapshot restore`ます。リストア対象のスナップショットよりもあとに期限切れになっていないスナップショットがある場合、スナップショットのリストア処理は失敗します。
-
FlexGroupホリユウム
FlexGroupボリュームではSnapshotロックがサポートされます。Snapshotのロックは、ルートコンスティチュエントのSnapshotに対してのみ実行されます。FlexGroupボリュームを削除できるのは、ルートコンスティチュエントの有効期限が過ぎている場合のみです。
-
FlexVolからFlexGroupへの変換
ロックされたSnapshotを含むFlexVol volumeをFlexGroupボリュームに変換できます。変換後もスナップショットはロックされたままになります。
-
SnapMirror非同期
コンプライアンスクロックは、ソースとデスティネーションの両方で初期化する必要があります。
-
SVM DR
コンプライアンスクロックは、ソースとデスティネーションの両方で初期化する必要があります。
-
ボリューム クローンとファイル クローン
ロックされたSnapshotからボリュームクローンとファイルクローンを作成できます。
改ざん防止スナップショットでは、現在次の機能はサポートされていません。
-
整合グループ
-
改ざん防止スナップショットは、削除できない改ざん防止機能を提供します。FabricPoolではデータを削除する機能が必要なため、同じボリュームでFabricPoolロックとSnapshotロックを有効にすることはできません。
-
FlexCacheホリユウム
-
SMTape
-
SnapMirrorアクティブ同期
-
パラメータを使用したSnapMirrorポリシールール
-schedule -
SnapMirror同期
-
SVMデータの移動(ソースクラスタからデスティネーションクラスタにSVMを移行または再配置する場合に使用)
ボリューム作成時にSnapshotロックを有効にする
ONTAP 9.12.1以降では、新しいボリュームを作成するとき、またはCLIのコマンドと `volume modify`コマンドでオプションを `volume create`使用して既存のボリュームを変更するときに、Snapshotロックを有効にでき `-snapshot-locking-enabled`ます。ONTAP 9.13.1以降では、System Managerを使用してSnapshotロックを有効にできます。
-
[ストレージ]>[ボリューム]に移動し、[追加]*を選択します。
-
ウィンドウで、[その他のオプション]*を選択します。
-
ボリューム名、サイズ、エクスポートポリシー、および共有名を入力します。
-
[Enable Snapshot locking]*を選択します。SnapLockライセンスがインストールされていない場合、この選択は表示されません。
-
SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。
-
変更を保存します。
-
ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。
-
SnapLockスナップショットロック*が*有効*と表示されていることを確認します。
-
新しいボリュームを作成してSnapshotロックを有効にするには、次のコマンドを入力します。
volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true次のコマンドは、vol1という名前の新しいボリュームでSnapshotロックを有効にします。
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
既存のボリュームでSnapshotロックを有効にする
ONTAP 9.12.1以降では、ONTAP CLIを使用して既存のボリュームでSnapshotロックを有効にできます。ONTAP 9.13.1以降では、System Managerを使用して既存のボリュームに対してSnapshotロックを有効にすることができます。
-
[ストレージ]>[ボリューム]に移動します。
-
を選択
し、*[編集]>[ボリューム]*を選択します。 -
ウィンドウで、[ Snapshot(ローカル)設定]セクションを探し、[ Snapshotのロックを有効にする]*を選択します。
SnapLockライセンスがインストールされていない場合、この選択は表示されません。
-
SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。
-
変更を保存します。
-
ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。
-
SnapLock snapshot locking が enabled *と表示されていることを確認します。
-
既存のボリュームを変更してSnapshotロックを有効にするには、次のコマンドを入力します。
volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true
ロックされたSnapshotポリシーを作成して保持を適用する
ONTAP 9.12.1以降では、Snapshotポリシーを作成してSnapshot保持期間を適用し、そのポリシーをボリュームに適用して、指定した期間Snapshotをロックできます。保持期間を手動で設定してSnapshotをロックすることもできます。ONTAP 9.13.1以降では、System Managerを使用してSnapshotロックポリシーを作成し、ボリュームに適用できます。
スナップショットロックポリシーを作成します。
-
[ストレージ]>[Storage VM]*に移動し、Storage VMを選択します。
-
[設定]*を選択します。
-
[Snapshot Policies]*に移動し、を選択します
。 -
[ Snapshotポリシーの追加]*ウィンドウで、ポリシー名を入力します。
-
を選択します
。 -
Snapshotスケジュールの詳細(スケジュール名、保持するSnapshotの最大数、SnapLock保持期間など)を指定します。
-
SnapLockの保持期間*列に、Snapshotを保持する時間数、日数、月数、または年数を入力します。たとえば、保持期間が5日のSnapshotポリシーでは、Snapshotが作成されてから5日間ロックされ、その間は削除できません。サポートされる保持期間は次のとおりです。
-
年:0~100
-
月:0~1200
-
日数:0~36500
-
営業時間:0~24
-
-
変更を保存します。
-
Snapshotポリシーを作成するには、次のコマンドを入力します。
volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>次のコマンドは、Snapshotロックポリシーを作成します。
cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
アクティブな保持期間にあるSnapshotは置き換えられません。つまり、期限切れになっていないロックされたSnapshotがある場合、保持数は考慮されません。
ボリュームへのロックポリシーの適用
-
[ストレージ]>[ボリューム]に移動します。
-
を選択
し、*[編集]>[ボリューム]*を選択します。 -
ウィンドウで、[ Snapshotのスケジュール設定]*を選択します。
-
リストからロックSnapshotポリシーを選択します。
-
スナップショットのロックがまだ有効になっていない場合は、*スナップショットのロックを有効にする*を選択します。
-
変更を保存します。
-
既存のボリュームにSnapshotロックポリシーを適用するには、次のコマンドを入力します。
volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>
Snapshotの手動作成時に保持期間を適用
Snapshotの保持期間は、手動でSnapshotを作成するときに適用できます。ボリュームでSnapshotロックが有効になっている必要があります。有効になっていない場合、保持期間の設定は無視されます。
-
[ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。
-
ボリュームの詳細ページで、*[Snapshots]*タブを選択します。
-
を選択します
。 -
Snapshot名とSnapLockの有効期限を入力します。カレンダーを選択して、保持期限の日付と時刻を選択できます。
-
変更を保存します。
-
[ボリューム]>[Snapshots]ページで、[表示/非表示]を選択し、[ SnapLock Expiration Time]を選択して SnapLock Expiration Time *列を表示し、保持期限が設定されていることを確認します。
-
スナップショットを手動で作成し、ロック保持期間を適用するには、次のコマンドを入力します。
volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>次のコマンドでは、新しいSnapshotを作成して保持期間を設定します。
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
既存のSnapshotに保持期間を適用する
-
[ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。
-
ボリュームの詳細ページで、*[Snapshots]*タブを選択します。
-
Snapshotを選択し、を選択して
*[Modify SnapLock Expiration Time]*を選択します。カレンダーを選択して、保持期限の日付と時刻を選択できます。 -
変更を保存します。
-
[ボリューム]>[Snapshots]ページで、[表示/非表示]を選択し、[ SnapLock Expiration Time]を選択して SnapLock Expiration Time *列を表示し、保持期限が設定されていることを確認します。
-
既存のSnapshotに保持期間を手動で適用するには、次のコマンドを入力します。
volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>次の例は、既存のSnapshotに保持期間を適用します。
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"
既存のポリシーの変更による長期保持の適用
SnapMirror関係では、ミラーバックアップポリシールールに保持期間を設定できます。デスティネーションボリュームでSnapshotロックが有効になっている場合は、デスティネーションにレプリケートされたSnapshotに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、有効期限を過ぎていないSnapshotは、保持数を超えても保持されます。
ONTAP 9.14.1以降では、Snapshotの長期保持を設定するルールを追加することで、既存のSnapMirrorポリシーを変更できます。このルールは、SnapLockヴォールトデスティネーションとSnapLock SnapMirror以外のデスティネーションボリュームのデフォルトのボリューム保持期間を上書きするために使用されます。
-
既存のSnapMirrorポリシーにルールを追加します。
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]次の例では、「lockvault」という既存のポリシーに6カ月の保持期間を適用するルールを作成します。
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"