본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

자율 랜섬웨어 보호 사용 사례 및 고려사항

03/26/2024 기여자

ARP(Autonomous Ransomwware Protection)는 ONTAP 9.10.1부터 NAS 워크로드에 사용할 수 있습니다. ARP를 배포하기 전에 권장되는 용도 및 지원되는 구성뿐만 아니라 성능에 미치는 영향을 알고 있어야 합니다.

지원 구성 및 지원되지 않는 구성

ARP를 사용하도록 결정할 때 볼륨의 워크로드가 ARP에 적합하고 필요한 시스템 구성을 충족하는지 확인하는 것이 중요합니다.

적합한 워크로드

ARP는 다음과 같은 경우에 적합합니다.

데이터베이스를 NFS 스토리지에 저장합니다
Windows 또는 Linux 홈 디렉토리

사용자가 학습 기간 동안 발견되지 않은 확장자를 가진 파일을 만들 수 있기 때문에 이 작업 부하에서 오탐이 발생할 가능성이 높습니다.
이미지 및 비디오

예: 의료 기록 및 전자 설계 자동화(EDA) 데이터

부적합한 워크로드

ARP는 다음에 적합하지 않습니다.

파일 생성 또는 삭제 빈도가 높은 워크로드(몇 초 안에 수십만 개의 파일(예: 테스트/개발 워크로드)
ARP의 위협 감지는 파일 생성, 이름 변경 또는 삭제 작업에서 비정상적인 급증을 인식하는 능력에 따라 달라집니다. 애플리케이션 자체가 파일 활동의 소스인 경우 랜섬웨어 활동과 효과적으로 구별될 수는 없습니다.
애플리케이션 또는 호스트가 데이터를 암호화하는 워크로드
ARP는 수신 데이터를 암호화 또는 암호화되지 않은 상태로 구별하는 것에 의존합니다. 애플리케이션 자체에서 데이터를 암호화하면 기능의 효율성이 감소합니다. 그러나 이 기능은 파일 작업(삭제, 덮어쓰기, 생성 또는 새 파일 확장명으로 생성 또는 이름 바꾸기)과 파일 유형에 따라 계속 작동할 수 있습니다.

지원되는 구성

ARP는 ONTAP 9.10.1부터 온-프레미스 ONTAP 시스템의 NFS 및 SMB 볼륨에 대해 사용할 수 있습니다.

다른 구성 및 볼륨 유형에 대한 지원은 다음 ONTAP 버전에서 제공됩니다.

ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

	ONTAP 9.14.1	ONTAP 9.13.1	ONTAP 9.12.1
비동기식 SnapMirror로 보호되는 볼륨	✓	✓	✓
비동기식 SnapMirror(SVM 재해 복구)로 SVM 보호	✓	✓	✓
SVM 데이터 이동성 (`vserver migrate`)	✓	✓	✓
FlexGroup 볼륨	✓	✓
다중 관리 검증	✓	✓

비동기식 SnapMirror로 보호되는 볼륨

✓

비동기식 SnapMirror(SVM 재해 복구)로 SVM 보호

✓

SVM 데이터 이동성 (vserver migrate)

✓

FlexGroup 볼륨

✓

다중 관리 검증

✓

SnapMirror 및 ARP 상호 운용성

ONTAP 9.12.1부터 비동기식 SnapMirror 대상 볼륨에서 ARP가 지원됩니다. ARP는 ** SnapMirror Synchronous에서 지원되지 않습니다.

SnapMirror 소스 볼륨이 ARP가 활성화된 경우 SnapMirror 대상 볼륨은 자동으로 ARP 구성 상태(학습, 활성화 등), ARP 교육 데이터 및 소스 볼륨의 ARP 생성 스냅샷을 가져옵니다. 명시적 활성화가 필요하지 않습니다.

대상 볼륨이 읽기 전용(RO) 스냅샷 복사본으로 구성되어 있지만, 해당 데이터에 대한 ARP 처리는 수행되지 않습니다. 그러나 SnapMirror 대상 볼륨이 읽기-쓰기(RW)로 변환되면 ARP는 RW로 변환된 대상 볼륨에서 자동으로 활성화됩니다. 대상 볼륨에는 소스 볼륨에 이미 기록된 내용 외에 추가 학습 절차가 필요하지 않습니다.

ONTAP 9.10.1 및 9.11.1에서 SnapMirror는 ARP 구성 상태, 훈련 데이터 및 Snapshot 복사본을 소스에서 타겟 볼륨으로 전송하지 않습니다. 따라서 SnapMirror 대상 볼륨이 RW로 변환될 때 대상 볼륨의 ARP는 변환 후 학습 모드에서 명시적으로 활성화되어야 합니다.

ARP 및 가상 머신

ARP는 가상 머신(VM)에서 지원됩니다. ARP 감지는 VM 내부 및 외부의 변경에 대해 다르게 동작합니다. ARP는 VM 내부에 높은 엔트로피 파일이 있는 워크로드에 권장되지 않습니다.

VM 외부의 변경 사항

ARP는 새 확장자가 암호화된 볼륨에 들어갔거나 파일 확장자가 변경되는 경우 VM 외부의 NFS 볼륨에서 파일 확장자 변경을 감지할 수 있습니다. 감지 가능한 파일 확장자 변경 사항은 다음과 같습니다.

.vmx입니다
.vmxf입니다
vmdk입니다
- 평면.vmdk
NVRAM을 입력합니다
vmem입니다
.vmsd입니다
.vmsn입니다
. vswp 를 참조하십시오
.VMSS를 참조하십시오
로그
-\#.log

VM 내부의 변경 사항

랜섬웨어 공격이 VM을 대상으로 하고 VM 외부의 변경 없이 VM 내부의 파일이 변경되는 경우 ARP는 VM의 기본 엔트로피가 낮을 경우(예: .txt, .docx 또는 .mp4 파일) 위협을 감지합니다. ARP는 이 시나리오에서 보호 스냅샷을 생성하지만 VM 외부의 파일 확장자가 변조되지 않았기 때문에 위협 경고를 생성하지 않습니다.

기본적으로 파일이 높은 엔트로피(예: .gzip 또는 암호로 보호된 파일)인 경우 ARP의 검색 기능이 제한됩니다. ARP는 이 경우에도 사전 예방적 스냅샷을 가져올 수 있지만 파일 확장자가 외부에서 변조되지 않은 경우 경고가 트리거되지 않습니다.

지원되지 않는 구성입니다

ARP는 다음 시스템 구성에서 지원되지 않습니다.

ONTAP S3 환경
알아보십시오

ARP는 다음 볼륨 구성을 지원하지 않습니다.

FlexGroup 볼륨(ONTAP 9.10.1 ~ 9.12.1의 경우. ONTAP 9.13.1부터 FlexGroup 볼륨이 지원됨)
FlexCache 볼륨(ARP는 오리진 FlexVol 볼륨에서 지원되지만 캐시 볼륨에서는 지원되지 않음)
오프라인 볼륨
SAN 전용 볼륨
SnapLock 볼륨
SnapMirror Synchronous
비동기 SnapMirror(ONTAP 9.10.1 및 9.11.1에서만 지원되지 않습니다. 비동기 SnapMirror는 ONTAP 9.12.1부터 지원됩니다. 자세한 내용은 을 참조하십시오 [snapmirror]참조)
제한된 볼륨
스토리지 VM의 루트 볼륨입니다
중지된 스토리지 VM의 볼륨입니다

ARP 성능 및 주파수 고려 사항

ARP는 처리량 및 피크 IOPS로 측정한 시스템 성능에 최소한의 영향을 줄 수 있습니다. ARP 기능의 영향은 특정 볼륨 작업 부하에 따라 달라집니다. 일반적인 워크로드의 경우 다음과 같은 구성 제한이 권장됩니다.

워크로드 특성	노드당 권장 볼륨 제한입니다	노드당 볼륨 제한을 초과할 경우 성능 저하: [*]
읽기 집약적 또는 데이터를 압축할 수 있습니다.	150	최대 IOPS의 4%
쓰기 집약적이고 데이터를 압축할 수 없습니다.	60	최대 IOPS의 10%

워크로드 특성

노드당 권장 볼륨 제한입니다

노드당 볼륨 제한을 초과할 경우 성능 저하: [*]

읽기 집약적 또는 데이터를 압축할 수 있습니다.

150

최대 IOPS의 4%

쓰기 집약적이고 데이터를 압축할 수 없습니다.

최대 IOPS의 10%

통과: [*] 권장 한도를 초과하여 추가된 볼륨의 수에 관계없이 시스템 성능이 이 비율을 초과하여 저하되지 않습니다.

ARP 분석은 우선 순위가 지정된 순서대로 실행되므로 보호된 볼륨의 수가 증가할수록 각 볼륨에서 분석 실행 빈도가 줄어듭니다.

ARP로 보호되는 볼륨을 사용한 다중 관리자 검증

ONTAP 9.13.1 부터는 ARP를 통한 추가 보안을 위해 MAV(Multi-admin verification)를 활성화할 수 있습니다. MAV를 사용하면 최소한 두 명 이상의 인증된 관리자가 ARP를 끄거나 ARP를 일시 중지하거나 의심스러운 공격을 보호된 볼륨에서 위양성(false positive)으로 표시해야 합니다. 자세한 내용을 알아보십시오 "ARP 보호 볼륨에 대해 MAV를 활성화합니다".

MAV 그룹에 대한 관리자를 정의하고 에 대한 MAV 규칙을 만들어야 합니다 security anti-ransomware volume disable, security anti-ransomware volume pause, 및 security anti-ransomware volume attack clear-suspect 보호할 ARP 명령. MAV 그룹의 각 관리자는 각각의 새 규칙 요청 및 을 승인해야 합니다 "MAV 규칙을 다시 추가합니다" MAV 설정 내.

ONTAP 9.14.1부터 ARP는 ARP 스냅샷 생성 및 새 파일 확장자 관찰에 대한 경고를 제공합니다. 이러한 이벤트에 대한 알림은 기본적으로 해제되어 있습니다. 경고는 볼륨 또는 SVM 레벨에서 설정할 수 있습니다. 을 사용하여 SVM 레벨에서 MAV 규칙을 생성할 수 있습니다 security anti-ransomware vserver event-log modify 를 볼륨 레벨에서 사용할 수 있습니다 security anti-ransomware volume event-log modify.

다음 단계