Snapshotコピーをロックしてランサムウェア攻撃から保護
変更を提案
PDF
ONTAP 9 12.1以降では、SnapLock以外のボリュームにSnapshotコピーをロックして、ランサムウェア攻撃から保護できます。Snapshotコピーをロックすることで、誤って削除したり悪意を持って削除したりすることがなくなります。
SnapLock Complianceクロック機能を使用すると、Snapshotコピーを指定した期間ロックして、有効期限に達するまで削除できないようにすることができます。Snapshotコピーをロックすると改ざんが防止され、ランサムウェアの脅威から保護されます。ロックされたSnapshotコピーを使用して、ランサムウェア攻撃によってボリュームが侵害された場合にデータをリカバリできます。
ONTAP 9 14.1以降では、Snapshotコピーロックで、SnapLockヴォールトデスティネーションおよびSnapLock SnapMirror以外のデスティネーションボリュームでのSnapshotコピーの長期保持がサポートされます。Snapshotコピーロックを有効にするには、に関連付けられたSnapMirrorポリシールールを使用して保持期間を設定し既存のポリシーラベルます。このルールは、ボリュームに設定されているデフォルトの保持期間よりも優先されます。SnapMirrorラベルに保持期間が関連付けられていない場合は、ボリュームのデフォルトの保持期間が使用されます。
-
ONTAP CLIを使用する場合は、クラスタ内のすべてのノードでONTAP 9.12.1以降が実行されている必要があります。System Managerを使用する場合は、すべてのノードでONTAP 9.13.1以降が実行されている必要があります。
-
"SnapLockライセンスがクラスタにインストールされている必要があります。"です。このライセンスはに含まれてい"ONTAP One"ます。
-
ボリュームでSnapshotロックが有効になっている場合は、クラスタをONTAP 9より新しいバージョンのONTAPにアップグレードできます。12.1ただし、ロックされたすべてのSnapshotコピーが有効期限に達して削除され、Snapshotコピーロックが無効になるまで、ONTAPを以前のバージョンにリバートすることはできません。
-
Snapshotがロックされている場合、ボリューム有効時間はSnapshotコピーの有効期限に設定されます。複数のSnapshotコピーがロックされている場合、ボリューム有効期限はすべてのSnapshotコピーの最大有効期限を反映します。
-
ロックされたSnapshotコピーの保持期間はSnapshotコピーの保持数よりも優先されます。つまり、ロックされたSnapshotコピーのSnapshotコピーの保持期間が経過していない場合、保持数の制限は適用されません。
-
SnapMirror関係では、ミラーバックアップポリシールールに保持期間を設定できます。デスティネーションボリュームでSnapshotコピーロックが有効になっている場合は、デスティネーションにレプリケートされたSnapshotコピーに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、保持数を超えていても、有効期限を過ぎていないSnapshotコピーは保持されます。
-
SnapLock以外のボリューム上のSnapshotコピーの名前は変更できます。SnapMirror関係のプライマリボリュームでのSnapshot名変更処理は、ポリシーがMirrorAllSnapshotsの場合にのみセカンダリボリュームに反映されます。それ以外のポリシータイプの場合、名前を変更したSnapshotコピーは更新時に伝播されません。
-
ONTAP CLIを使用している場合は、ロックされたSnapshotコピーが最新のものである場合にのみ、コマンドを使用してロックされたSnapshotコピーをリストアでき `volume snapshot restore`ます。リストア対象のSnapshotコピーよりもあとのSnapshotコピーがある場合、Snapshotコピーのリストア処理は失敗します。
-
FlexGroupホリユウム
SnapshotコピーロックはFlexGroupボリュームでサポートされます。Snapshotロックは、ルートコンスティチュエントのSnapshotコピーに対してのみ実行されます。FlexGroupボリュームを削除できるのは、ルートコンスティチュエントの有効期限が過ぎている場合のみです。
-
FlexVolからFlexGroupへの変換
ロックされたSnapshotコピーがあるFlexVol volumeをFlexGroupボリュームに変換できます。変換後もSnapshotコピーはロックされたままです。
-
ボリューム クローンとファイル クローン
ロックされたSnapshotコピーからボリューム クローンとファイル クローンを作成できます。
現在、改ざん防止Snapshotコピーでは、次の機能はサポートされていません。
-
整合グループ
-
FabricPool
-
FlexCacheホリユウム
-
SMTape
-
SnapMirrorアクティブ同期
-
パラメータを使用したSnapMirrorポリシールール
-schedule -
SnapMirror同期
-
SVMデータの移動(ソースクラスタからデスティネーションクラスタにSVMを移行または再配置する場合に使用)
ボリューム作成時にSnapshotコピーロックを有効にする
ONTAP 9 12.1以降では、新しいボリュームを作成するとき、またはCLIのコマンドと `volume modify`コマンドでオプションを `volume create`使用して既存のボリュームを変更するときに、Snapshotコピーロックを有効にでき `-snapshot-locking-enabled`ます。ONTAP 9 .13.1以降では、System Managerを使用してSnapshotコピーロックを有効にできます。
-
[ストレージ]>[ボリューム]に移動し、[追加]*を選択します。
-
ウィンドウで、[その他のオプション]*を選択します。
-
ボリューム名、サイズ、エクスポートポリシー、および共有名を入力します。
-
[Enable Snapshot locking]*を選択します。SnapLockライセンスがインストールされていない場合、この選択は表示されません。
-
SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。
-
変更を保存します。
-
ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。
-
SnapLock Snapshotコピーのロック*が「有効」*と表示されていることを確認します。
-
新しいボリュームを作成し、Snapshotコピーのロックを有効にするには、次のコマンドを入力します。
volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true次のコマンドは、vol1という名前の新しいボリュームでSnapshotコピーロックを有効にします。
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
既存のボリュームでSnapshotコピーロックを有効にする
ONTAP 9 12.1以降では、ONTAP CLIを使用して、既存のボリュームでSnapshotコピーロックを有効にできます。ONTAP 9 .13.1以降では、System Managerを使用して既存のボリュームに対してSnapshotコピーロックを有効にできます。
-
[ストレージ]>[ボリューム]に移動します。
-
を選択
し、*[編集]>[ボリューム]*を選択します。 -
ウィンドウで、[Snapshotコピー(ローカル)設定]セクションを探し、[Snapshotロックの有効化]*を選択します。
SnapLockライセンスがインストールされていない場合、この選択は表示されません。
-
SnapLockコンプライアンスクロックがまだ有効になっていない場合は、*[Initialize Compliance Clock]*を選択します。
-
変更を保存します。
-
ウィンドウで、更新したボリュームを選択し、[概要]*を選択します。
-
SnapLock Snapshotコピーのロック*が「有効」*と表示されていることを確認します。
-
既存のボリュームを変更してSnapshotコピーロックを有効にするには、次のコマンドを入力します。
volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true
ロックされたSnapshotコピーポリシーを作成して保持を適用する
12.1以降では、ONTAP 9コピーポリシーを作成して、Snapshotコピーの保持期間を適用し、ポリシーをボリュームに適用して、指定した期間にわたってSnapshotコピーをロックできます。保持期間を手動で設定して、Snapshotコピーをロックすることもできます。ONTAP 9.13.1以降では、System Managerを使用してSnapshotコピー ロック ポリシーを作成し、ボリュームに適用できます。
Snapshotコピー ロック ポリシーの作成
-
[ストレージ]>[Storage VM]*に移動し、Storage VMを選択します。
-
[設定]*を選択します。
-
[Snapshot Policies]*に移動し、を選択します
。 -
[ Snapshotポリシーの追加]*ウィンドウで、ポリシー名を入力します。
-
を選択します
。 -
スケジュール名、保持するSnapshotコピーの最大数、SnapLockの保持期間など、Snapshotコピースケジュールの詳細を指定します。
-
[Snapshot保持期間]列にSnapLock 、Snapshotコピーを保持する時間数、日数、月数、または年数を入力します。たとえば、保持期間が5日間のSnapshotコピーポリシーでは、Snapshotコピーが作成されてから5日間はロックされ、その間は削除できません。サポートされる保持期間は次のとおりです。
-
年:0~100
-
月:0~1200
-
日数:0~36500
-
営業時間:0~24
-
-
変更を保存します。
-
Snapshotコピーポリシーを作成するには、次のコマンドを入力します。
volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period次のコマンドは、Snapshotコピーロックポリシーを作成します。
cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
アクティブな保持期間にあるSnapshotコピーは置き換えられません。つまり、期限切れになっていないロックされたSnapshotコピーがある場合、保持数は反映されません。
ボリュームへのロックポリシーの適用
-
[ストレージ]>[ボリューム]に移動します。
-
を選択
し、*[編集]>[ボリューム]*を選択します。 -
ウィンドウで、[Snapshotコピーのスケジュール設定]*を選択します。
-
リストからSnapshotコピーロックポリシーを選択します。
-
Snapshotコピーのロックがまだ有効になっていない場合は、*[Snapshotロックを有効にする]*を選択します。
-
変更を保存します。
-
既存のボリュームにSnapshotコピーロックポリシーを適用するには、次のコマンドを入力します。
volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name
Snapshotコピーの手動作成時に保持期間を適用
Snapshotコピーの保持期間は、Snapshotコピーを手動で作成するときに適用できます。ボリュームでSnapshotコピーロックが有効になっている必要があります。有効になっていない場合、保持期間の設定は無視されます。
-
[ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。
-
ボリュームの詳細ページで、*[Snapshotコピー]*タブを選択します。
-
を選択します
。 -
Snapshotコピー名とSnapLockの有効期限を入力します。カレンダーから日付と時刻を選択できます。
-
変更を保存します。
-
[ボリューム]>[Snapshotコピー]ページで、[表示/非表示]*を選択し、[ SnapLock 有効期限]を選択して[ SnapLock 有効期限]*列を表示し、保持期限が設定されていることを確認します。
-
Snapshotコピーを手動で作成してロック保持期間を適用するには、次のコマンドを入力します。
volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time次のコマンドでは、新しいSnapshotコピーを作成して保持期間を設定します。
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
既存のSnapshotコピーに保持期間を適用する
-
[ストレージ]>[ボリューム]*に移動し、ボリュームを選択します。
-
ボリュームの詳細ページで、*[Snapshotコピー]*タブを選択します。
-
Snapshotコピーを選択し、を選択して
*[Modify SnapLock Expiration Time]*を選択します。カレンダーを選択して、保持期限の日付と時刻を選択できます。 -
変更を保存します。
-
[ボリューム]>[Snapshotコピー]ページで、[表示/非表示]*を選択し、[ SnapLock 有効期限]を選択して[ SnapLock 有効期限]*列を表示し、保持期限が設定されていることを確認します。
-
既存のSnapshotコピーに保持期間を手動で適用するには、次のコマンドを入力します。
volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time次の例は、既存のSnapshotコピーに保持期間を適用します。
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"
既存のポリシーの変更による長期保持の適用
SnapMirror関係では、ミラーバックアップポリシールールに保持期間を設定できます。デスティネーションボリュームでSnapshotコピーロックが有効になっている場合は、デスティネーションにレプリケートされたSnapshotコピーに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、保持数を超えていても、有効期限を過ぎていないSnapshotコピーは保持されます。
ONTAP 9.14.1以降では、Snapshotコピーの長期保持を設定するルールを追加することで、既存のSnapMirrorポリシーを変更できます。このルールは、SnapLockバックアップ デスティネーションや非SnapLockのSnapMirrorデスティネーション ボリュームでのデフォルトのボリューム保持期間を上書きするために使用します。
-
既存のSnapMirrorポリシーにルールを追加します。
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]次の例では、「lockvault」という既存のポリシーに6カ月の保持期間を適用するルールを作成します。
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"