ONTAP 자율적 랜섬웨어 방어 활성화
ONTAP 9.10.1부터 기존 볼륨에서 ARP(자율적 랜섬웨어 방어)를 활성화하거나 새 볼륨을 생성한 후 처음부터 ARP를 활성화할 수 있습니다.
모든 새로운 볼륨이 기본적으로 자율적 랜섬웨어 방어(ARP)에 활성화되도록 ONTAP 클러스터를 구성하려면 다음을 참조하십시오."관련 ARP 절차"
-
(NAS 환경만 해당) ONTAP 9.10.1~9.15.1 또는 FlexGroup 볼륨이 있는 ARP의 경우 이러한 ONTAP 버전의 경우 항상 처음에 ARP를 활성화해야 합니다. "학습 모드" (또는 "드라이런" 상태). 학습 모드에서 ARP를 처음 활성화하면 시스템은 워크로드를 분석하여 정상적인 동작을 파악합니다. 활성 모드에서 시작하면 과도한 오탐지 보고가 발생할 수 있습니다.
ARP를 최소 30일 동안 학습 모드로 실행하는 것이 좋습니다. ONTAP 9.13.1부터 ARP는 최적의 학습 기간 간격을 자동으로 결정하고 전환을 자동화하며, 이는 30일 전에 실행될 수 있습니다.
-
(NAS 환경에만 해당) FlexVol 볼륨이 있는 ONTAP 9.16.1 이상 시스템 관리자 또는 CLI를 사용하여 ARP를 활성화하면 ARP/AI 보호가 즉시 활성화됩니다. 학습 기간이 필요하지 않습니다.
-
(SAN 환경에만 해당) FlexVol 볼륨이 있는 ONTAP 9.17.1 이상 시스템 관리자 또는 CLI를 사용하여 ARP를 활성화하면 ARP/AI 기능이 자동으로 활성화됩니다. SAN 볼륨에서 활성화되면 "ARP/AI는 평가 기간 동안 지속적으로 데이터를 모니터링합니다." 워크로드가 ARP에 적합한지 확인하고 감지를 위한 최적의 암호화 임계값을 설정합니다.
-
프로토콜이 활성화된 스토리지 VM(SVM)이 있어야 합니다.
-
NAS: NFS 또는 SMB(또는 둘 다)
-
SAN: iSCSI, FC 또는 NVMe
-
-
그만큼 "올바른 라이센스입니다" ONTAP 버전에 맞게 설치해야 합니다.
-
클라이언트가 구성된 NAS 또는 SAN 워크로드가 있어야 합니다.
-
(NAS 환경에만 해당) ARP를 설정하려는 볼륨에는 활성이 있어야 합니다. "접합 경로" .
-
볼륨이 100% 미만이어야 합니다.
-
ARP 활동의 알림을 포함하는 e-메일 알림을 보내도록 EMS 시스템을 구성하는 것이 좋습니다. 자세한 내용은 을 "이메일 알림을 보내도록 EMS 이벤트를 구성합니다"참조하십시오.
-
ONTAP 9.13.1부터 ARP(자율 랜섬웨어 차단) 구성을 위해 인증된 사용자 관리자 2명 이상이 필요할 수 있도록 MAV(다중 관리자 검증)를 활성화하는 것이 좋습니다. 자세한 내용은 을 "다중 관리 검증을 활성화합니다"참조하십시오.
새 볼륨이나 기존 볼륨에서 ARP를 활성화합니다
시스템 관리자 또는 ONTAP CLI를 사용하여 ARP를 사용하도록 설정할 수 있습니다.
-
스토리지 > 볼륨 * 을 선택한 다음 보호할 볼륨을 선택합니다.
-
볼륨 * 개요의 * 보안 * 탭에서 * 상태 * 를 선택하여 비활성화에서 활성화로 전환합니다.
-
(NAS 환경에만 해당) ONTAP 9.15.1 이하 버전이나 FlexGroup 볼륨이 있는 ONTAP 9.16.1에서 ARP를 사용하는 경우, 랜섬웨어 방지 상자에서 *학습 모드에서 활성화*를 선택합니다.
ONTAP 9.13.1 부터는 ARP가 최적의 학습 기간을 자동으로 결정하고 스위치를 자동화합니다. "연결된 스토리지 VM에서 이 설정을 해제합니다"학습 모드를 활성 모드 전환으로 수동으로 제어하려는 경우
기존 볼륨에서 학습 및 활성 모드는 볼륨의 기존 데이터가 아닌 새로 기록된 데이터에만 적용됩니다. ARP에 대해 볼륨이 활성화된 후 새 데이터를 기반으로 이전 일반 데이터 트래픽의 특성이 가정되기 때문에 기존 데이터는 스캔되고 분석되지 않습니다. -
-
Anti-랜섬웨어 * 상자에서 볼륨의 ARP 상태를 확인할 수 있습니다.
모든 볼륨에 대한 ARP 상태를 표시하려면 * Volumes * 창에서 * Show/Hide * 를 선택한 다음 * Anti-Ransomware * 상태가 선택되어 있는지 확인합니다.
CLI에서 ARP를 활성화하는 프로세스는 기존 볼륨에서 활성화하는지, 새 볼륨에서 활성화하는지에 따라 다릅니다.
-
기존 볼륨을 수정하여 랜섬웨어 방지 지원:
-
ARP/AI가 없는 NAS 환경이나 FlexGroup 볼륨의 경우 다음을 사용하세요.
dry-run
새로운 볼륨이 학습 모드로 시작되도록 설정합니다. -
ONTAP 9.16.1 이상을 실행하는 NAS 환경 또는 ONTAP 9.17.1을 사용하는 SAN 환경의 경우 다음을 사용하세요.
enabled
상태.security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>
에 대한 자세한 내용은
security anti-ransomware volume dry-run
"ONTAP 명령 참조입니다"을 참조하십시오.
-
-
ONTAP 9.13.1에서 ONTAP 9.15.1로 NAS 환경을 업그레이드한 경우 기본 상태가 다음과 같습니다.
dry-run
(학습모드)에서는 적응학습이 활성화되어 학습내용이 변경됩니다.enabled
상태(활성 모드)는 자동으로 설정됩니다. 이 동작이 자동으로 활성화되는 것을 원하지 않으면 연결된 모든 볼륨의 SVM 수준에서 설정을 변경하십시오.vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
볼륨의 ARP 상태를 확인합니다.
security anti-ransomware volume show
-
데이터를 프로비저닝하기 전에 ARP가 활성화된 새 볼륨을 생성합니다.
-
ARP/AI가 없는 NAS 환경이나 FlexGroup 볼륨의 경우 다음을 사용하세요.
dry-run
새로운 볼륨이 학습 모드로 시작되도록 설정합니다. -
ONTAP 9.16.1 이상을 실행하는 NAS 환경 또는 ONTAP 9.17.1을 사용하는 SAN 환경의 경우 다음을 사용하세요.
enabled
상태.volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>
-
-
ONTAP 9.13.1에서 ONTAP 9.15.1로 NAS 환경을 업그레이드한 경우 기본 상태가 다음과 같습니다.
dry-run
(학습모드)에서는 적응학습이 활성화되어 학습내용이 변경됩니다.enabled
상태(활성 모드)는 자동으로 설정됩니다. 이 동작이 자동으로 활성화되는 것을 원하지 않으면 연결된 모든 볼륨의 SVM 수준에서 설정을 변경하십시오.vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
볼륨이 상태로 설정되어 있는지
enabled
확인합니다.security anti-ransomware volume show
에 대한 자세한 내용은
security anti-ransomware volume show
"ONTAP 명령 참조입니다"을 참조하십시오.