랜섬웨어 위협은 빠르게 진화하고 있으며, 더욱 정교해지고 파괴적이 되고 있습니다. 기존의 보안 조치는 중요한 데이터 자산을 보호하는 데 종종 실패합니다. NetApp ONTAP 스토리지는 데이터를 사전에 보호하는 기본 보안 기능을 제공합니다. 보안 침해가 발생하면 ONTAP 실시간 알림과 신속한 복구 옵션을 제공하여 가동 중지 시간을 줄이고 데이터 손실을 제한합니다. ONTAP 사용하면 고객이 데이터와 애플리케이션을 보호, 복구 및 이동할 수 있어 랜섬웨어 회복력이 강화됩니다.

VMware 환경에서 랜섬웨어를 조기에 감지하는 것은 확산을 막고 가동 중지 시간을 최소화하는 데 매우 중요합니다. 효과적인 전략은 ESXi 호스트와 게스트 가상 머신 전반에 걸쳐 여러 계층의 보호 기능을 사용합니다. 많은 보안 제어 기능이 강력한 방어력을 구축하는 데 도움이 되지만 NetApp ONTAP 필수적인 스토리지 수준 보호 기능을 추가하여 보호 기능을 더욱 강화합니다.

ONTAP 주요 기능으로는 특정 시점 복구를 위한 스냅샷 기술, 내장된 머신 러닝을 기반으로 하는 자율형 랜섬웨어 보호(ARP), 다중 관리자 검증, 데이터 무결성을 유지하는 변조 방지 스냅샷 등이 있습니다. 이러한 기능은 함께 작동하여 랜섬웨어의 회복력을 강화하고 필요할 때 신속한 복구를 가능하게 합니다.

vSphere 환경과 게스트 가상 머신을 보호하려면 포괄적인 접근 방식이 필요합니다. 주요 조치로는 네트워크 분할, 엔드포인트 모니터링을 위한 EDR/XDR/SIEM 솔루션 구축, 시기적절한 보안 업데이트 적용, 확립된 강화 지침 준수 등이 있습니다. 각 VM은 일반적으로 표준 운영 체제를 실행하므로 다중 계층 랜섬웨어 방어 전략의 일환으로 엔터프라이즈급 맬웨어 방지 솔루션을 설치하고 정기적으로 업데이트하는 것이 중요합니다.

ONTAP 여러 계층의 방어로 데이터 보호를 강화합니다. 주요 기능으로는 스냅샷, 자율 랜섬웨어 보호(ARP), 변조 방지 스냅샷, 다중 관리자 검증 등이 있습니다. 이 문서는 버전 9.17.1에 도입된 ARP의 향상된 기능에 초점을 맞춥니다.

VMware 데이터 저장소를 지원하는 NAS 또는 SAN 볼륨에서 ARP를 활성화할 수 있습니다. ARP는 ONTAP의 내장된 머신 러닝을 사용하여 작업 패턴과 데이터 엔트로피를 모니터링하고, 랜섬웨어 활동의 징후를 자동으로 감지하며, 지능적이고 사전 예방적인 보안 계층을 제공합니다. ONTAP의 CLI 또는 시스템 관리자 인터페이스를 사용하여 볼륨별로 ARP를 구성합니다.

ONTAP 버전 9.10.1부터 기존 볼륨이나 새 볼륨에서 ARP를 사용할 수 있습니다. ONTAP 버전 9.16.1에서는 시스템 관리자나 CLI를 사용하여 ARP를 활성화할 수 있습니다. ARP/AI 보호 기능은 학습 기간이 필요 없이 즉시 활성화됩니다. 버전 9.17.1에서는 ARP가 SAN 볼륨을 지원합니다. SAN 볼륨에서 ARP를 활성화하면 ARP/AI는 평가 기간 동안 지속적으로 데이터를 모니터링하여 워크로드 적합성을 확인하고 감지를 위한 최적의 암호화 임계값을 설정합니다.

ARP는 ONTAP 에 내장되어 있어 다른 ONTAP 기능과의 통합 제어 및 조정을 제공합니다. ARP는 실시간으로 작동하여 데이터가 쓰이거나 읽히는 동안 이를 처리하고 잠재적인 랜섬웨어 공격을 신속하게 탐지하여 대응합니다. 예약된 스냅샷과 함께 정기적으로 잠긴 스냅샷을 생성하고, 이상이 감지되지 않으면 스냅샷을 재활용하여 스냅샷 보존을 지능적으로 관리합니다. ARP가 의심스러운 활동을 감지하면 공격이 발생하기 전에 찍은 스냅샷을 장기간 보관하여 안정적인 복구 지점을 확보합니다.

자세한 내용은 다음을 참조하세요."ARP가 감지하는 것" .

VMware 데이터 저장소에 사용되는 NAS 및 SAN 볼륨에서 NetApp ONTAP 자율 랜섬웨어 보호(ARP)를 활성화하는 방법을 알아보고, 랜섬웨어 공격을 시뮬레이션하여 ARP가 어떻게 위협을 감지하고 신속한 복구를 용이하게 하는지 확인하세요.

시스템 관리자나 CLI를 사용하여 NAS 볼륨에서 ARP를 활성화하면 ARP/AI 보호가 즉시 활성화됩니다. 학습 기간이 필요하지 않습니다.

이 예에서 시뮬레이션은 스크립트를 사용하여 파일을 수정하거나 파일 확장자를 수정하여 vCenter에 데이터 저장소로 연결된 NFS 볼륨에 있는 VM 내에서 공격을 시뮬레이션하여 트리거됩니다.

아래에 표시된 것처럼 ARP는 비정상적인 활동을 감지했습니다.

ARP는 공격을 조기에 감지하고 공격 시간에 가까운 스냅샷에서 데이터를 복구할 수 있도록 합니다. 롤백하려면 사고가 발생하기 전에 생성된 ARP 주기적 스냅샷을 사용하세요. 아래 스크린샷은 생성된 스냅샷을 보여줍니다.

공격 발생 시 데이터 저장소 역할을 하고 복구되는 NFS 볼륨에서 ARP를 활성화하기 위한 자세한 지침은 다음을 참조하세요."NFS 저장소용 ARP" .

SAN 볼륨에서 ARP가 활성화되면 NAS 환경에서 사용되는 학습 모드와 유사한 평가 단계부터 시작하여 자동으로 활성 감지로 전환됩니다.

ARP는 암호화 동작에 대한 기준을 확립하기 위해 임계값인 75%로 2~4주간의 평가 기간을 시작합니다. 이 단계 동안의 진행 상황은 다음을 사용하여 모니터링할 수 있습니다. security anti-ransomware volume show 블록 장치 감지 상태*를 확인하여 명령을 실행합니다. 평가가 완료되면 *Active_suitable_workload 상태가 나타나 관찰된 엔트로피 수준이 지속적인 모니터링에 적합하다는 것을 확인합니다. ARP는 수집된 데이터를 기반으로 적응형 임계값을 자동으로 조정하여 정확하고 대응성 있는 위협 탐지를 보장합니다. 요구 사항에 따라 스냅 생성 간격을 기본 4시간에서 1시간으로 변경할 수 있습니다. 이 수정은 주의해서 실행하시기 바랍니다.

ONTAP 9.17.1부터 NAS 및 SAN 볼륨 모두에 대해 ARP 스냅샷이 정기적으로 생성됩니다.

자세한 내용은 다음을 참조하세요."SAN 환경 및 모드 유형"

공격을 시뮬레이션할 시간입니다. 데모 목적으로, 파일은 ISCSI 기반 데이터 저장소에서 실행되는 가상 머신 내에서 암호화됩니다. 랜섬웨어 공격으로 인해 약 7000개의 파일이 생성되어 불행히도 영향을 받았습니다.

10분 이내에 높은 엔트로피 데이터를 기반으로 볼륨에서 비정상적인 활동이 감지되었고 ARP는 VM 내부에서 엔트로피 이상을 감지했기 때문에 위협 경고를 생성했습니다.

위에서 다룬 단계에 따라 공격이 확인되면 ARP 스냅샷 중 하나 또는 볼륨의 다른 스냅샷을 사용하여 데이터를 복원합니다.

복원이 완료되면 모든 파일이 복구됩니다.

자세한 지침은 다음을 참조하세요."랜섬웨어 공격 후 ARP 스냅샷에서 데이터 복원"

몇 번만 클릭하면 기업은 데이터 보호 전략을 원활하게 강화할 수 있습니다. ONTAP 첨단 머신 러닝 기반 탐지 메커니즘을 통해 VMware 환경에 강력한 방어 계층을 도입합니다. 이러한 지능형 보호 기능은 위협을 조기에 식별할 뿐만 아니라 피해가 확대되기 전에 잠재적 피해를 완화하는 데에도 도움이 됩니다.

이 사용 사례는 VMware에만 적용되는 것은 아닙니다. 동일한 원칙을 NAS 또는 SAN 기반 애플리케이션으로 확장하여 다계층 보안 아키텍처를 구축할 수 있습니다. 공격자는 여러 개의 강화된 계층을 탐색해야 하며, 이로 인해 침해가 성공할 위험이 크게 줄어듭니다.

ONTAP 단순히 데이터를 보호하는 데 그치지 않고, 조직이 끊임없이 변화하는 위협에 맞서 회복력을 유지할 수 있도록 지원합니다.