블록 디바이스 워크로드에 대한 ONTAP ARP/AI 평가 기간에 대해 알아보십시오.
변경 제안
PDF
ONTAP 9.17.1부터 ARP/AI는 블록 장치 워크로드에 대한 엔트로피 수준이 랜섬웨어 보호에 적합한지 판단하기 위해 평가 기간을 필요로 합니다. 이러한 워크로드에는 ONTAP 볼륨에 저장된 SAN LUN 및 하이퍼바이저 가상 디스크(예: NFS 데이터스토어의 VMware 가상 디스크, 그리고 ONTAP 9.17.1P5부터는 Hyper-V, KVM 및 OpenStack 가상 디스크)가 포함됩니다. 적격 볼륨에서 ARP가 활성화되면 ARP/AI는 평가 기간 동안 해당 볼륨을 적극적으로 모니터링하고 보호하는 동시에 최적의 암호화 임계값을 결정합니다. 평가 기간 동안에는 보수적인 임계값을 사용하여 탐지 및 경고가 발생할 수 있으며, 기준 임계값은 며칠에 걸쳐 설정됩니다. ARP는 평가 대상 볼륨에서 적합한 워크로드와 부적합한 워크로드를 구분하고, 워크로드가 보호에 적합하다고 판단되면 평가 기간 통계를 기반으로 암호화 임계값을 자동으로 설정합니다.
지원되는 워크로드 및 평가 적용 가능성
블록 디바이스 평가 기간은 다음 시나리오에 적용됩니다.
-
SAN 볼륨
-
LUN 기반 워크로드는 호스트 또는 하이퍼바이저에 블록 디바이스로 제공됩니다.
-
-
ONTAP에서 자동으로 감지된 하이퍼바이저 가상 디스크가 포함된 NAS 볼륨
-
지원되는 하이퍼바이저에는 NFS 또는 SMB 데이터스토어에 저장된 VMware, Hyper-V, KVM 및 OpenStack 가상 디스크가 포함됩니다.
-
이러한 볼륨 내에서:
-
평가 기간은 가상 디스크의 게스트 파일 시스템 내부의 엔트로피 변화를 기반으로 감지된 공격(예: LUN 또는 가상 디스크에 매핑된 게스트 OS 내 파일에서 작동하는 랜섬웨어)에 적용됩니다.
-
평가 기간은 하이퍼바이저 호스트에서 가상 디스크 파일에 직접 가해지는 엔트로피 및 파일 확장자 변경을 기반으로 탐지되는 공격(예: ESXi NFS 데이터스토어 마운트 지점의
.vmdk파일을 직접 공격하는 랜섬웨어)에는 적용되지 않습니다. 이러한 직접 디스크 공격은 블록 장치 평가 기간에 의존하지 않는 다른 탐지 경로를 사용합니다.
블록 장치 및 하이퍼바이저 감지를 위한 버전 지원
-
ONTAP 9.17.1
-
SAN 볼륨에 대한 블록 디바이스 평가 기간을 소개합니다.
-
SAN LUN 및 ONTAP NFS 데이터 저장소에 저장된 VMware 가상 디스크 내부에서 ARP/AI 공격 탐지를 지원합니다.
-
-
ONTAP 9.17.1P5 이상
-
ARP/AI 블록 디바이스 감지를 Hyper-V, KVM, OpenStack과 같은 하이퍼바이저 가상 디스크로 확장합니다.
-
ONTAP에서 감지할 때 이러한 추가 하이퍼바이저 워크로드에 동일한 블록 디바이스 평가 로직 및 임계값을 적용합니다.
-
엔트로피 평가 이해
평가 기간 동안 시스템은 지원되는 블록 장치 및 하이퍼바이저 워크로드에서 10분 간격으로 지속적인 암호화 통계를 수집합니다. 또한 ARP 주기 스냅샷이 4시간마다 지속적으로 생성됩니다. 특정 간격 내의 암호화 비율이 해당 볼륨에 대해 설정된 최적 암호화 임계값을 초과하면 경고가 발생하고 Anti_ransomware_attack_backup 스냅샷이 생성되며 모든 주기적 ARP 스냅샷의 보존 기간이 연장됩니다.
다음 명령을 실행하고 상태를 확인하여 평가가 활성 상태인지 확인할 수 있습니다 evaluation_period. 평가 대상이 아닌 볼륨의 경우 평가 상태가 표시되지 않습니다.
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>응답 예시:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : evaluation_period
다음 명령을 실행하면 암호화 탐지를 실시간으로 모니터링할 수 있습니다. 이 명령은 각 암호화 비율 범위에 포함된 데이터 양을 보여주는 히스토그램을 반환합니다. 히스토그램은 10분마다 업데이트됩니다.
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time응답 예시:
Vserver Name Entropy Range Seen N Time Data Written ---------- ---------------- --------------- -------------- ------------- vs0 lun1 0-5% 4 100MB vs0 lun1 6-10% 10 900MB vs0 lun1 11-15% 20 40MB vs0 lun1 16-20% 10 70MB vs0 lun1 21-25% 60 450MB vs0 lun1 26-30% 4 100MB vs0 lun1 31-35% 10 900MB vs0 lun1 36-40% 20 40MB vs0 lun1 41-45% 0 0 vs0 lun1 46-50% 0 0 vs0 lun1 51-55% 0 0 vs0 lun1 56-60% 0 0 vs0 lun1 61-65% 0 0 vs0 lun1 66-70% 0 0 vs0 lun1 71-75% 0 0 vs0 lun1 76-80% 0 0 vs0 lun1 81-85% 0 0 vs0 lun1 86-90% 0 0 vs0 lun1 91-95% 0 0 vs0 lun1 96-100% 0 0 20 entries were displayed.
적절한 작업 부하 및 적응 임계값
평가는 블록 디바이스 감지를 통해 평가된 SAN LUN 워크로드와 하이퍼바이저 가상 디스크 모두에 대해 다음 결과 중 하나로 종료됩니다.
-
해당 워크로드는 ARP에 적합합니다. ARP는 평가 기간 동안 확인된 최대 암호화 비율의 10% 이상으로 적응형 임계값을 자동 설정합니다. 또한 ARP는 통계 수집을 계속하고 주기적인 ARP 스냅샷을 생성합니다.
-
작업 부하가 ARP에 적합하지 않습니다. ARP는 평가 기간 동안 확인된 최대 암호화 비율로 적응형 임계값을 자동 설정합니다. ARP는 또한 통계 수집을 계속하고 주기적인 ARP 스냅샷을 생성하지만, 궁극적으로 시스템은 해당 볼륨에서 ARP를 비활성화할 것을 권장합니다.
평가 기간이 종료되면 ARP는 평가 결과에 따라 자동으로 적응 임계값을 설정합니다.
다음 명령을 실행하여 평가 결과를 확인할 수 있습니다. 볼륨 적합성은 Block device detection status 필드:
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>응답 예시:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : Active_suitable_workload Block device evaluation start time : 5/16/2025 01:49:01
평가 결과에 따라 채택된 값 임계값을 표시할 수도 있습니다.
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>응답 예시:
Vserver Name : vs_1
Volume Name : vm_2
Block Device Auto Learned Encryption Threshold : 10
...