자율 랜섬웨어 보호 사용 사례 및 고려사항
-
이 문서 사이트의 PDF
-
볼륨 관리
- CLI를 통한 논리적 스토리지 관리
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
- SMB를 사용하여 파일 액세스를 관리합니다
-
CLI를 사용하여 SMB를 관리합니다
- 보안 및 데이터 암호화
-
볼륨 관리
별도의 PDF 문서 모음
Creating your file...
ARP(Autonomous Ransomwware Protection)는 ONTAP 9.10.1부터 NAS 워크로드에 사용할 수 있습니다. ARP를 배포하기 전에 권장되는 용도 및 지원되는 구성뿐만 아니라 성능에 미치는 영향을 알고 있어야 합니다.
지원 구성 및 지원되지 않는 구성
ARP를 사용하도록 결정할 때 볼륨의 워크로드가 ARP에 적합하고 필요한 시스템 구성을 충족하는지 확인하는 것이 중요합니다.
적합한 워크로드
ARP는 다음과 같은 경우에 적합합니다.
-
데이터베이스를 NFS 스토리지에 저장합니다
-
Windows 또는 Linux 홈 디렉토리
사용자가 학습 기간 동안 발견되지 않은 확장자를 가진 파일을 만들 수 있기 때문에 이 작업 부하에서 오탐이 발생할 가능성이 높습니다.
-
이미지 및 비디오
예: 의료 기록 및 전자 설계 자동화(EDA) 데이터
부적합한 워크로드
ARP는 다음에 적합하지 않습니다.
-
파일 생성 또는 삭제 빈도가 높은 워크로드(몇 초 안에 수십만 개의 파일(예: 테스트/개발 워크로드)
-
ARP의 위협 감지는 파일 생성, 이름 변경 또는 삭제 작업에서 비정상적인 급증을 인식하는 능력에 따라 달라집니다. 애플리케이션 자체가 파일 활동의 소스인 경우 랜섬웨어 활동과 효과적으로 구별될 수는 없습니다.
-
애플리케이션 또는 호스트가 데이터 ARP를 암호화하는 워크로드는 수신 데이터를 암호화 또는 암호화되지 않은 것으로 구분하는 데 따라 달라집니다. 애플리케이션 자체에서 데이터를 암호화하면 기능의 효율성이 감소합니다. 그러나 이 기능은 파일 작업(삭제, 덮어쓰기, 생성 또는 새 파일 확장명으로 생성 또는 이름 바꾸기)과 파일 유형에 따라 계속 작동할 수 있습니다.
지원되는 구성
ARP는 ONTAP 9.10.1부터 온-프레미스 ONTAP 시스템의 NFS 및 SMB 볼륨에 대해 사용할 수 있습니다.
다른 구성 및 볼륨 유형에 대한 지원은 다음 ONTAP 버전에서 제공됩니다.
ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
---|---|---|---|---|---|
비동기식 SnapMirror로 보호되는 볼륨 |
✓ |
✓ |
✓ |
||
비동기식 SnapMirror(SVM 재해 복구)로 SVM 보호 |
✓ |
✓ |
✓ |
||
SVM 데이터 이동성 ( |
✓ |
✓ |
✓ |
||
FlexGroup 볼륨 |
✓ |
✓ |
|||
다중 관리 검증 |
✓ |
✓ |
SnapMirror 및 ARP 상호 운용성
ONTAP 9.12.1부터 비동기식 SnapMirror 대상 볼륨에서 ARP가 지원됩니다. ARP는 ** SnapMirror Synchronous에서 지원되지 않습니다.
SnapMirror 소스 볼륨이 ARP가 활성화된 경우 SnapMirror 대상 볼륨은 자동으로 ARP 구성 상태(학습, 활성화 등), ARP 교육 데이터 및 소스 볼륨의 ARP 생성 스냅샷을 가져옵니다. 명시적 활성화가 필요하지 않습니다.
대상 볼륨이 읽기 전용(RO) 스냅샷 복사본으로 구성되어 있지만, 해당 데이터에 대한 ARP 처리는 수행되지 않습니다. 그러나 SnapMirror 대상 볼륨이 읽기-쓰기(RW)로 변환되면 ARP는 RW로 변환된 대상 볼륨에서 자동으로 활성화됩니다. 대상 볼륨에는 소스 볼륨에 이미 기록된 내용 외에 추가 학습 절차가 필요하지 않습니다.
ONTAP 9.10.1 및 9.11.1에서 SnapMirror는 ARP 구성 상태, 훈련 데이터 및 Snapshot 복사본을 소스에서 타겟 볼륨으로 전송하지 않습니다. 따라서 SnapMirror 대상 볼륨이 RW로 변환될 때 대상 볼륨의 ARP는 변환 후 학습 모드에서 명시적으로 활성화되어야 합니다.
ARP 및 가상 머신
ARP는 가상 머신(VM)에서 지원됩니다. ARP 감지는 VM 내부 및 외부의 변경에 대해 다르게 동작합니다. ARP는 VM 내부에 높은 엔트로피 파일이 있는 워크로드에 권장되지 않습니다.
ARP는 새 확장자가 암호화된 볼륨에 들어갔거나 파일 확장자가 변경되는 경우 VM 외부의 NFS 볼륨에서 파일 확장자 변경을 감지할 수 있습니다. 감지 가능한 파일 확장자 변경 사항은 다음과 같습니다.
-
.vmx입니다
-
.vmxf입니다
-
vmdk입니다
-
- 평면.vmdk
-
NVRAM을 입력합니다
-
vmem입니다
-
.vmsd입니다
-
.vmsn입니다
-
. vswp 를 참조하십시오
-
.VMSS를 참조하십시오
-
로그
-
-\#.log
랜섬웨어 공격이 VM을 대상으로 하고 VM 외부의 변경 없이 VM 내부의 파일이 변경되는 경우 ARP는 VM의 기본 엔트로피가 낮을 경우(예: .txt, .docx 또는 .mp4 파일) 위협을 감지합니다. ARP는 이 시나리오에서 보호 스냅샷을 생성하지만 VM 외부의 파일 확장자가 변조되지 않았기 때문에 위협 경고를 생성하지 않습니다.
기본적으로 파일이 높은 엔트로피(예: .gzip 또는 암호로 보호된 파일)인 경우 ARP의 검색 기능이 제한됩니다. ARP는 이 경우에도 사전 예방적 스냅샷을 가져올 수 있지만 파일 확장자가 외부에서 변조되지 않은 경우 경고가 트리거되지 않습니다.
지원되지 않는 구성입니다
ARP는 다음 시스템 구성에서 지원되지 않습니다.
-
ONTAP S3 환경
-
알아보십시오
ARP는 다음 볼륨 구성을 지원하지 않습니다.
-
FlexGroup 볼륨(ONTAP 9.10.1 ~ 9.12.1의 경우. ONTAP 9.13.1부터 FlexGroup 볼륨이 지원됨)
-
FlexCache 볼륨(ARP는 오리진 FlexVol 볼륨에서 지원되지만 캐시 볼륨에서는 지원되지 않음)
-
오프라인 볼륨
-
SAN 전용 볼륨
-
SnapLock 볼륨
-
SnapMirror Synchronous
-
비동기 SnapMirror(ONTAP 9.10.1 및 9.11.1에서만 지원되지 않습니다. 비동기 SnapMirror는 ONTAP 9.12.1부터 지원됩니다. 자세한 내용은 을 참조하십시오 [snapmirror]참조)
-
제한된 볼륨
-
스토리지 VM의 루트 볼륨입니다
-
중지된 스토리지 VM의 볼륨입니다
ARP 성능 및 주파수 고려 사항
ARP는 처리량 및 피크 IOPS로 측정한 시스템 성능에 최소한의 영향을 줄 수 있습니다. ARP 기능의 영향은 특정 볼륨 작업 부하에 따라 달라집니다. 일반적인 워크로드의 경우 다음과 같은 구성 제한이 권장됩니다.
워크로드 특성 | 노드당 권장 볼륨 제한입니다 | 노드당 볼륨 제한을 초과할 경우 성능 저하: [*] |
---|---|---|
읽기 집약적 또는 데이터를 압축할 수 있습니다. |
150 |
최대 IOPS의 4% |
쓰기 집약적이고 데이터를 압축할 수 없습니다. |
60 |
최대 IOPS의 10% |
통과: [*] 권장 한도를 초과하여 추가된 볼륨의 수에 관계없이 시스템 성능이 이 비율을 초과하여 저하되지 않습니다.
ARP 분석은 우선 순위가 지정된 순서대로 실행되므로 보호된 볼륨의 수가 증가할수록 각 볼륨에서 분석 실행 빈도가 줄어듭니다.
ARP로 보호되는 볼륨을 사용한 다중 관리자 검증
ONTAP 9.13.1 부터는 ARP를 통한 추가 보안을 위해 MAV(Multi-admin verification)를 활성화할 수 있습니다. MAV를 사용하면 최소한 두 명 이상의 인증된 관리자가 ARP를 끄거나 ARP를 일시 중지하거나 의심스러운 공격을 보호된 볼륨에서 위양성(false positive)으로 표시해야 합니다. 자세한 내용을 알아보십시오 "ARP 보호 볼륨에 대해 MAV를 활성화합니다".
MAV 그룹에 대한 관리자를 정의하고 에 대한 MAV 규칙을 만들어야 합니다 security anti-ransomware volume disable
, security anti-ransomware volume pause
, 및 security anti-ransomware volume attack clear-suspect
보호할 ARP 명령. MAV 그룹의 각 관리자는 각각의 새 규칙 요청 및 을 승인해야 합니다 "MAV 규칙을 다시 추가합니다" MAV 설정 내.
ONTAP 9.14.1부터 ARP는 ARP 스냅샷 생성 및 새 파일 확장자 관찰에 대한 경고를 제공합니다. 이러한 이벤트에 대한 알림은 기본적으로 해제되어 있습니다. 경고는 볼륨 또는 SVM 레벨에서 설정할 수 있습니다. 을 사용하여 SVM 레벨에서 MAV 규칙을 생성할 수 있습니다 security anti-ransomware vserver event-log modify
를 볼륨 레벨에서 사용할 수 있습니다 security anti-ransomware volume event-log modify
.