Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ランサムウェア攻撃から保護するために ONTAP スナップショットをロックする

共同作成者 netapp-lenida netapp-aaron-holt netapp-dbagwell netapp-aherbin johnlantz netapp-ahibbard netapp-mwallis
PDF

ONTAP 9.12.1以降では、SnapLock以外のボリュームでスナップショットをロックして、ランサムウェア攻撃からの保護を提供できます。スナップショットをロックすることで、誤ってまたは悪意を持って削除されることを防止できます。

SnapLockコンプライアンスクロック機能を使用すると、スナップショットを指定した期間ロックし、有効期限に達するまで削除できないようにすることができます。スナップショットをロックすることで改ざん防止機能が強化され、ランサムウェアの脅威から保護されます。ランサムウェア攻撃によってボリュームが侵害された場合、ロックされたスナップショットを使用してデータをリカバリできます。

ONTAP 9.14.1以降、スナップショットロックはSnapLockヴォールトデスティネーションおよび非SnapLock SnapMirrorデスティネーションボリューム上の長期保存スナップショットをサポートします。スナップショットロックは、既存のポリシー ラベルに関連付けられたSnapMirrorポリシールールを使用して保存期間を設定することで有効になります。このルールは、ボリュームに設定されているデフォルトの保存期間をオーバーライドします。SnapMirrorラベルに保存期間が関連付けられていない場合は、ボリュームのデフォルトの保存期間が使用されます。

改ざん防止Snapshotの要件と考慮事項

  • ONTAP CLIを使用する場合は、クラスタ内のすべてのノードでONTAP 9.12.1以降が実行されている必要があります。System Managerを使用する場合は、すべてのノードでONTAP 9.13.1以降が実行されている必要があります。

  • "SnapLockライセンスはクラスタにインストールする必要があります"。このライセンスは"ONTAP One"に含まれています。

  • "クラスタのコンプライアンスクロックを初期化する必要がある"

  • ボリューム上でスナップショット ロックが有効になっている場合、クラスタをONTAP 9.12.1より新しいバージョンのONTAPにアップグレードできます。ただし、ロックされているすべてのスナップショットが有効期限に達して削除され、スナップショット ロックが無効になるまで、以前のバージョンのONTAPに戻すことはできません。

  • スナップショットがロックされている場合、ボリュームの有効期限はスナップショットの有効期限に設定されます。複数のスナップショットがロックされている場合、ボリュームの有効期限はすべてのスナップショットの中で最も長い有効期限に設定されます。

  • ロックされたスナップショットの保持期間はスナップショット保持数よりも優先されます。つまり、ロックされたスナップショットのスナップショット保持期間が経過していない場合は、保持数の制限は適用されません。

  • SnapMirror関係では、ミラー・ヴォールト・ポリシールールに保持期間を設定でき、デスティネーションボリュームでSnapshotロックが有効になっている場合、デスティネーションにレプリケートされたSnapshotに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、有効期限が切れていないSnapshotは、保持数を超えても保持されます。

  • SnapLock以外のボリュームでスナップショットの名前を変更できます。SnapMirror関係のプライマリボリュームでのスナップショットの名前変更操作は、ポリシーがMirrorAllSnapshotsの場合のみセカンダリ ボリュームに反映されます。その他のポリシータイプでは、名前が変更されたスナップショットは更新時に伝播されません。

  • ONTAP CLIを使用している場合、ロックされたスナップショットが最新のものである場合にのみ、 `volume snapshot restore`コマンドを使用してロックされたスナップショットを復元できます。復元対象のスナップショットよりも後の、有効期限が切れていないスナップショットが存在する場合、スナップショットの復元操作は失敗します。

改ざん防止Snapshotでサポートされる機能

  • "Cloud Volumes ONTAP"

  • FlexGroupボリューム

    スナップショットロックはFlexGroupボリュームでサポートされています。スナップショットロックはルート構成要素のスナップショットでのみ発生します。ルート構成要素の有効期限が過ぎている場合のみ、FlexGroupボリュームの削除が許可されます。

  • FlexVolからFlexGroupへの変換

    ロックされたSnapshotを含むFlexVol volumeをFlexGroup volumeに変換できます。変換後もSnapshotはロックされたままです。

  • SnapMirror非同期

    コンプライアンス クロックは、ソースとデスティネーションの両方で初期化する必要があります。

  • SVMデータの移動(ソース クラスタからデスティネーション クラスタにSVMを移行または再配置する場合に使用)

    ONTAP 9.14.1以降でサポート。

  • `-schedule`パラメータを使用したSnapMirrorポリシールール

  • SVM DR

    コンプライアンス クロックは、ソースとデスティネーションの両方で初期化する必要があります。

  • ボリューム クローンとファイル クローン

    ロックされたスナップショットからボリューム クローンとファイル クローンを作成できます。

  • FlexCacheボリューム

    ONTAP 9.16.1以降でサポート。

サポートされない機能

現時点では、改ざん防止Snapshotで次の機能はサポートされていません:

  • 整合性グループ

  • "FabricPool"

    改ざん防止スナップショットは、削除できない不変の保護を提供します。FabricPool ではデータを削除する機能が必要なため、FabricPool とスナップショットロックを同じボリュームで有効にすることはできません。

  • SMTape

  • SnapMirrorアクティブ同期

  • SnapMirror Synchronous

ボリューム作成時にSnapshotのロックを有効にする

ONTAP 9.12.1以降では、CLIで `volume create`コマンドおよび `volume modify`コマンドの `-snapshot-locking-enabled`オプションを使用することで、新しいボリュームを作成するとき、または既存のボリュームを変更するときに、Snapshotロックを有効にできます。ONTAP 9.13.1以降では、System Managerを使用してSnapshotロックを有効にできます。

System Manager

  1. ストレージ > ボリューム に移動し、追加 を選択します。

  2. *ボリュームの追加*ウィンドウで、*その他のオプション*を選択します。

  3. ボリュームの名前、サイズ、エクスポート ポリシー、および共有名を入力します。

  4. *Enable Snapshot locking*を選択します。SnapLockライセンスがインストールされていない場合、この選択は表示されません。

  5. まだ有効になっていない場合は、*SnapLock Complianceクロックの初期化*を選択します。

  6. 変更を保存します。

  7. ボリューム ウィンドウで、更新したボリュームを選択し、概要 を選択します。

  8. *SnapLock Snapshot Locking*が*Enabled*として表示されていることを確認します。

CLI

  1. 新しいボリュームを作成し、スナップショットのロックを有効にするには、次のコマンドを入力します:

    volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

    次のコマンドは、vol1という名前の新しいボリュームでスナップショット ロックを有効にします:

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
Warning: snapshot locking is being enabled on volume "vol1" in Vserver "vs1". It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted.
Do you want to continue: {yes|no}: y
[Job 32] Job succeeded: Successful

既存のボリュームでSnapshotロックを有効にする

ONTAP 9.12.1以降では、ONTAP CLIを使用して既存のボリュームのSnapshotロックを有効にできます。ONTAP 9.13.1以降では、System Managerを使用して既存のボリュームのSnapshotロックを有効にできます。

System Manager

  1. *Storage > Volumes*に移動します。

  2. メニューオプションアイコンを選択し、*編集>ボリューム*を選択します。

  3. *ボリュームの編集*ウィンドウで、スナップショット(ローカル)設定セクションを見つけて、*スナップショットのロックを有効にする*を選択します。

    SnapLockライセンスがインストールされていない場合、このオプションは表示されません。

  4. まだ有効になっていない場合は、*SnapLock Complianceクロックの初期化*を選択します。

  5. 変更を保存します。

  6. ボリューム ウィンドウで、更新したボリュームを選択し、概要 を選択します。

  7. *SnapLock Snapshotロック*が*有効*として表示されていることを確認します。

CLI

  1. 既存のボリュームを変更してスナップショット ロックを有効にするには、次のコマンドを入力します:

    volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

ロックされたSnapshotポリシーを作成し、保持を適用する

ONTAP 9.12.1以降では、スナップショットの保持期間を適用するスナップショット ポリシーを作成し、そのポリシーをボリュームに適用して、指定した期間スナップショットをロックできます。また、保持期間を手動で設定してスナップショットをロックすることもできます。ONTAP 9.13.1以降では、System Managerを使用してスナップショット ロック ポリシーを作成し、ボリュームに適用できます。

Snapshotロックポリシーを作成する

System Manager

  1. ストレージ > Storage VM に移動し、Storage VM を選択します。

  2. *設定*を選択します。

  3. Snapshot Policies を見つけて 矢印アイコン を選択します。

  4. Add Snapshot Policy ウィンドウで、ポリシー名を入力します。

  5. アイコンを追加を選択します。

  6. スケジュール名、保持するスナップショットの最大数、SnapLock 保持期間などのスナップショット スケジュールの詳細を指定します。

  7. *SnapLock保持期間*列に、スナップショットを保持する時間、日数、月数、または年数を入力します。たとえば、保持期間が5日のスナップショットポリシーでは、スナップショットが作成されてから5日間ロックされ、その間は削除できません。次の保持期間範囲がサポートされています:

    • 年数:0 - 100

    • 月:0 - 1200

    • 日数:0 - 36500

    • 時間:0 - 24

  8. 変更を保存します。

CLI

  1. スナップショット ポリシーを作成するには、次のコマンドを入力します:

    volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>

    次のコマンドは、スナップショット ロック ポリシーを作成します:

    cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    スナップショットは、アクティブな保持期間中は置き換えられません。つまり、まだ期限が切れていないロックされたスナップショットがある場合、保持カウントは考慮されません。

ボリュームへのロック ポリシーの適用

System Manager

  1. *Storage > Volumes*に移動します。

  2. メニューオプションアイコンを選択し、*編集>ボリューム*を選択します。

  3. *ボリュームの編集*ウィンドウで、*スナップショットのスケジュール*を選択します。

  4. リストからロック スナップショット ポリシーを選択します。

  5. スナップショット ロックがまだ有効になっていない場合は、* Enable snapshot locking * を選択します。

  6. 変更を保存します。

CLI

  1. 既存のボリュームにスナップショット ロック ポリシーを適用するには、次のコマンドを入力します:

    volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>

手動スナップショット作成時に保持期間を適用する

スナップショットを手動で作成する際に、スナップショットの保持期間を適用できます。ボリュームでスナップショットのロックが有効になっている必要があります。有効になっていない場合、保持期間の設定は無視されます。

System Manager

  1. Storage > Volumes に移動し、ボリュームを選択します。

  2. ボリュームの詳細ページで、Snapshots タブを選択します。

  3. アイコンを追加を選択します。

  4. スナップショット名とSnapLock有効期限を入力します。カレンダーを選択して、保持期限の日時を選択できます。

  5. 変更を保存します。

  6. ボリューム > スナップショット ページで、表示/非表示 を選択し、SnapLock 有効期限 を選択して SnapLock 有効期限 列を表示し、保持時間が設定されていることを確認します。

CLI

  1. スナップショットを手動で作成し、ロック保持期間を適用するには、次のコマンドを入力します:

    volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    次のコマンドは、新しいスナップショットを作成し、保持期間を設定します:

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

既存のSnapshotに保持期間を適用する

System Manager

  1. Storage > Volumes に移動し、ボリュームを選択します。

  2. ボリュームの詳細ページで、Snapshots タブを選択します。

  3. スナップショットを選択し、メニューオプションアイコンを選択し、*SnapLock有効期限の変更*を選択します。カレンダーを選択して、保持期限の日時を指定できます。

  4. 変更を保存します。

  5. ボリューム > スナップショット ページで、表示/非表示 を選択し、SnapLock 有効期限 を選択して SnapLock 有効期限 列を表示し、保持時間が設定されていることを確認します。

CLI

  1. 既存のスナップショットに保持期間を手動で適用するには、次のコマンドを入力します:

    volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    次の例では、既存のスナップショットに保持期間を適用します:

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"

既存のポリシーの変更による長期保持の適用

SnapMirror関係では、ミラー・ヴォールト・ポリシールールに保持期間を設定でき、デスティネーションボリュームでSnapshotロックが有効になっている場合、デスティネーションにレプリケートされたSnapshotに保持期間が適用されます。保持期間は保持数よりも優先されます。たとえば、有効期限が切れていないSnapshotは、保持数を超えても保持されます。

ONTAP 9.14.1以降では、スナップショットの長期保持を設定するルールを追加することで、既存のSnapMirrorポリシーを変更できます。このルールは、SnapLockヴォールト デスティネーションおよび非SnapLock SnapMirrorデスティネーション ボリュームにおけるデフォルトのボリューム保持期間をオーバーライドするために使用されます。

  1. 既存のSnapMirrorポリシーにルールを追加します。

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]

    次の例では、「lockvault」という既存のポリシーに6カ月の保持期間を適用するルールを作成します。

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"
    `snapmirror policy add-rule`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snapmirror-policy-add-rule.html["ONTAPコマンド リファレンス"^]をご覧ください。