NFS 스토리지에 대한 자율적 랜섬웨어 방어
변경 제안
PDF
랜섬웨어를 최대한 빨리 감지하는 것은 확산을 방지하고 비용이 많이 드는 다운타임을 방지하는 데 매우 중요합니다. 효과적인 랜섬웨어 감지 전략에서는 ESXi 호스트 및 게스트 VM 레벨에 여러 계층의 보호를 통합해야 합니다. 랜섬웨어 공격에 대한 포괄적인 방어 체계를 구축하기 위해 여러 보안 수단을 구현하지만, ONTAP를 사용하면 전체 방어 방식에 보호 계층을 더 추가할 수 있습니다. 몇 가지 기능을 소개하려면 Snapshots, 자율적 랜섬웨어 Protection, 무단 변경 방지 스냅샷 등으로 시작합니다.
위에서 언급한 기능이 VMware와 함께 작동하여 랜섬웨어로부터 데이터를 보호하고 복구하는 방법을 살펴보겠습니다. 공격으로부터 vSphere 및 게스트 VM을 보호하려면 엔드포인트에 대한 EDR/XDR/SIEM 분리, 보안 업데이트 설치, 적절한 강화 지침 준수 등 여러 가지 조치를 취해야 합니다. 데이터 저장소에 상주하는 각 가상 머신도 표준 운영 체제를 호스팅합니다. 엔터프라이즈 서버 맬웨어 방지 제품군이 설치되어 있고 정기적으로 업데이트되도록 하십시오. 이는 다계층 랜섬웨어 방어 전략의 필수 구성 요소입니다. 이와 함께 데이터 저장소를 지원하는 NFS 볼륨에서 ARP(Autonomous Ransomware Protection)를 활성화하십시오. ARP는 볼륨 워크로드 활동과 데이터 엔트로피를 조사하여 랜섬웨어를 자동으로 탐지하는 온박스 ML을 활용합니다. ARP는 ONTAP 내장 관리 인터페이스 또는 시스템 관리자를 통해 구성할 수 있으며 볼륨별로 활성화됩니다.
|
현재 기술 미리 보기에 있는 새로운 NetApp ARP/AI를 사용하면 학습 모드가 필요하지 않습니다. 대신 AI 기반 랜섬웨어 감지 기능을 통해 바로 액티브 모드로 전환할 수 있습니다. |
|
|
ONTAP One을 사용하면 이러한 모든 기능 세트가 완전히 무료입니다. 라이센스 장벽에 대한 걱정 없이 NetApp의 강력한 데이터 보호, 보안 및 ONTAP가 제공하는 모든 기능을 이용할 수 있습니다. |
활성 모드로 전환하면 랜섬웨어가 될 수 있는 비정상적인 볼륨 활동을 찾아내기 시작합니다. 비정상적인 활동이 감지되면 스냅샷 자동 복사본이 즉시 생성되고, 파일 감염에 가장 가까운 복원 지점을 제공합니다. ARP는 암호화된 볼륨에 새 확장자가 추가되거나 파일 확장자가 수정될 때 VM 외부에 있는 NFS 볼륨에서 VM별 파일 확장자의 변경을 감지할 수 있습니다.
랜섬웨어 공격이 가상 머신(VM)을 대상으로 하고 VM 외부에서 변경하지 않고 VM 내의 파일을 변경하는 경우, VM의 기본 엔트로피(예: .txt, .docx 또는 .mp4 파일)가 낮은 경우에도 ARP(Advanced Ransomware Protection)가 위협을 감지합니다. ARP는 이 시나리오에서 보호 스냅샷을 생성하지만 VM 외부의 파일 확장자가 변조되지 않았기 때문에 위협 경고를 생성하지 않습니다. 이러한 시나리오에서는 초기 방어 계층이 이상 현상을 식별하지만 ARP는 엔트로피를 기반으로 스냅샷을 생성하는 데 도움이 됩니다.
자세한 내용은 의 "ARP 및 가상 머신" 섹션을 "ARP 사용 및 고려 사항"참조하십시오.
파일에서 백업 데이터로 이동하는 랜섬웨어 공격은 파일 암호화를 시작하기 전에 삭제를 시도하여 백업 및 스냅샷 복구 지점을 점점 더 많이 타겟으로 삼습니다. 그러나 ONTAP를 사용하면 를 사용하여 기본 또는 보조 시스템에서 변조 방지 스냅샷을 생성하여 이 문제를 방지할 수 "NetApp Snapshot ™ 복사본 잠금"있습니다.
이러한 스냅샷 복사본은 랜섬웨어 공격자나 악성 관리자가 삭제하거나 변경할 수 없으므로 공격 후에도 사용할 수 있습니다. 데이터 저장소 또는 특정 가상 머신이 영향을 받는 경우 SnapCenter는 몇 초 만에 가상 머신 데이터를 복구하여 조직의 다운타임을 최소화할 수 있습니다.
위의 내용은 ONTAP 스토리지가 기존 기술에 레이어를 추가하여 환경의 미래 대비를 강화하는 방법을 보여줍니다.
자세한 내용은 의 지침을 "바로 랜섬웨어용 NetApp 솔루션입니다"참조하십시오.
이제 이 모든 것을 오케스트레이션하여 SIEM 툴과 통합해야 한다면 BlueXP 랜섬웨어 보호와 같은 OFFTAP 서비스를 사용할 수 있습니다. 랜섬웨어로부터 데이터를 보호하도록 설계된 서비스입니다. 이 서비스는 온프레미스 NFS 스토리지의 Oracle, MySQL, VM 데이터 저장소 및 파일 공유와 같은 애플리케이션 기반 워크로드에 대한 보호를 제공합니다.
이 예에서는 NFS 데이터 저장소 "SRC_NFS_DS04"가 BlueXP 랜섬웨어 보호를 사용하여 보호됩니다.
BlueXP 랜섬웨어 보호를 구성하는 방법에 대한 자세한 내용은 "BlueXP 랜섬웨어 방어 설정"및 를 참조하십시오"BlueXP 랜섬웨어 보호 설정을 구성합니다".
예를 들어 살펴보겠습니다. 이 연습에서는 데이터 저장소 "SRC_NFS_DS04"가 영향을 받습니다.
ARP가 감지될 때 즉시 볼륨에 대한 스냅샷을 트리거했습니다.
포렌식 분석이 완료되면 SnapCenter 또는 BlueXP 랜섬웨어 보호를 사용하여 복원을 빠르고 원활하게 수행할 수 있습니다. SnapCenter를 사용하여 영향을 받는 가상 머신으로 이동하고 복구할 적절한 스냅샷을 선택합니다.
이 섹션에서는 BlueXP 랜섬웨어 방어가 VM 파일이 암호화된 랜섬웨어 인시던트에서 복구를 오케스트레이션하는 방법에 대해 알아봅니다.
|
|
VM이 SnapCenter에 의해 관리되는 경우 BlueXP 랜섬웨어 방어는 VM 정합성 보장 프로세스를 사용하여 VM을 이전 상태로 복원합니다. |
-
BlueXP 랜섬웨어 방어에 액세스하면 BlueXP 랜섬웨어 보호 대시보드에 경고가 표시됩니다.
-
경고를 클릭하여 생성된 경고에 대한 특정 볼륨의 인시던트를 검토합니다
-
"복원 필요함"을 선택하여 랜섬웨어 인시던트를 복구 준비(인시던트가 해소된 후)로 표시합니다.
사고가 거짓 긍정인 것으로 판명되면 경고를 무시할 수 있습니다. -
복구 탭으로 이동하여 복구 페이지에서 워크로드 정보를 검토하고 "복구 필요" 상태의 데이터 저장소 볼륨을 선택하고 복구 를 선택합니다.
-
이 경우 복구 범위는 "VM별"입니다(VM용 SnapCenter의 경우 복구 범위는 "VM별"임).
-
데이터를 복원하는 데 사용할 복원 지점을 선택하고 대상 을 선택한 다음 복원 을 클릭합니다.
-
상단 메뉴에서 복구 를 선택하여 작업 상태가 상태로 이동하는 복구 페이지에서 작업 부하를 검토합니다. 복원이 완료되면 VM 파일이 아래와 같이 복원됩니다.
|
|
애플리케이션에 따라 SnapCenter for VMware 또는 SnapCenter 플러그인에서 복구를 수행할 수 있습니다. |
NetApp 솔루션은 가시성, 감지, 해결을 위한 다양한 효과적인 툴을 제공하므로 랜섬웨어를 조기에 탐지하고 확산을 방지하며 필요한 경우 신속하게 복구하여 비용이 많이 드는 다운타임을 방지할 수 있습니다. 기존의 계층화된 방어 솔루션은 가시성과 감지를 위한 타사 및 파트너 솔루션처럼 널리 사용되고 있습니다. 효과적인 치료는 위협에 대한 대응의 중요한 부분입니다.