Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 자율적 랜섬웨어 방어 사용 사례 및 고려사항

기여자 netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-lenida netapp-aaron-holt netapp-thomi pixelchrome

자율형 랜섬웨어 보호(ARP)는 ONTAP 9.10.1부터 NAS 워크로드와 ONTAP 9.17.1부터 SAN 워크로드에 사용할 수 있습니다. ARP를 구축하기 전에 권장되는 용도와 지원되는 구성, 그리고 성능에 미치는 영향을 파악해야 합니다.

지원 구성 및 지원되지 않는 구성

ARP를 사용하도록 결정할 때 볼륨의 워크로드가 ARP에 적합하고 필요한 시스템 구성을 충족하는지 확인하는 것이 중요합니다.

적합한 워크로드

ARP는 다음 유형의 작업 부하에 적합합니다.

  • NFS 또는 SAN 스토리지의 데이터베이스

  • Windows 또는 Linux 홈 디렉토리

    ARP/AI가 없는 환경에서는 사용자가 학습 기간 동안 감지되지 않은 확장자를 가진 파일을 생성할 수 있습니다. 이로 인해 이 워크로드에서 오탐지(false positive)가 발생할 가능성이 더 높습니다.

  • 이미지 및 비디오

    예: 의료 기록 및 전자 설계 자동화(EDA) 데이터

부적합한 워크로드

ARP는 다음 유형의 작업 부하에 적합하지 않습니다.

  • 파일 생성 또는 삭제 작업 빈도가 높은 작업(몇 초 안에 수십만 개의 파일 생성, 예: 테스트/개발 작업)

  • ARP의 위협 탐지는 파일 생성, 이름 변경 또는 삭제 작업의 비정상적인 급증을 인식하는 능력에 달려 있습니다. 애플리케이션 자체가 파일 활동의 근원인 경우, 랜섬웨어 활동과 효과적으로 구별할 수 없습니다.

  • 애플리케이션이나 호스트가 데이터를 암호화하는 작업 부하.

    ARP는 수신 데이터를 암호화된 데이터와 암호화되지 않은 데이터로 구분하는 데 의존합니다. 애플리케이션 자체에서 데이터를 암호화하는 경우 이 기능의 효과가 감소합니다. 그러나 ARP는 파일 활동(삭제, 덮어쓰기, 생성 또는 새 파일 확장자로 생성 또는 이름 변경) 및 파일 유형에 따라 여전히 작동할 수 있습니다.

지원되는 구성

ONTAP 9.10.1부터 NAS, NFS 및 SMB FlexVol 볼륨에 ARP를 사용할 수 있습니다. 9.17.1부터 SAN 스토리지를 사용하는 iSCSI, FC 및 NVMe용 SAN FlexVol 볼륨에 ARP를 사용할 수 있습니다.

다른 구성 및 볼륨 유형에 대한 지원은 다음 ONTAP 버전에서 제공됩니다.

ONTAP 9.17.1 ONTAP 9.16.1 ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

SnapMirror 비동기로 보호되는 볼륨

SnapMirror 비동기(SVM 재해 복구)를 통해 SVM 보호

SVM 데이터 이동성 (vserver migrate)

FlexGroup 볼륨1

다중 관리 검증

ARP/AI 및 자동 업데이트

1 ARP/AI는 FlexGroup 볼륨을 지원하지 않습니다. ONTAP 9.16.1로 업그레이드한 후에도 ARP가 활성화된 FlexGroup 볼륨은 ARP/AI 이전과 동일한 ARP 모델로 계속 작동합니다.

SnapMirror 및 ARP 상호 운용성

ONTAP 9.12.1부터 SnapMirror 비동기 대상 볼륨에서 ARP가 지원됩니다. SnapMirror 동기 또는 SnapMirror 활성 동기화에서는 ARP가 지원되지 않습니다.

SnapMirror 소스 볼륨이 ARP를 지원하는 경우 SnapMirror 대상 볼륨은 자동으로 ARP 구성 상태(예: dry-run 또는 enabled ), ARP 교육 데이터 및 ARP에서 생성한 소스 볼륨의 스냅샷. 명시적인 활성화는 필요하지 않습니다.

대상 볼륨은 읽기 전용(RO) 스냅샷으로 구성되지만, 해당 데이터에 대한 ARP 처리는 수행되지 않습니다. 그러나 SnapMirror 대상 볼륨이 읽기-쓰기(RW)로 변환되면 RW로 변환된 대상 볼륨에서 ARP가 자동으로 활성화됩니다. 대상 볼륨은 소스 볼륨에 이미 기록된 내용 외에 추가적인 학습 절차를 필요로 하지 않습니다.

ONTAP 9.10.1 및 9.11.1에서 SnapMirror ARP 구성 상태, 학습 데이터 및 스냅샷을 소스 볼륨에서 대상 볼륨으로 전송하지 않습니다. 따라서 SnapMirror 대상 볼륨을 RW로 변환할 때, 변환 후 학습 모드에서 대상 볼륨의 ARP를 명시적으로 활성화해야 합니다.

ARP 및 가상 머신

ARP는 가상 머신(VM)에서 지원됩니다. ARP 감지는 VM 내부와 외부의 변경 사항에 대해 다르게 작동합니다. VM 내에서 많은 양의 고압축 파일(예: 7z 및 ZIP)이나 암호화된 파일(예: 암호로 보호된 PDF, DOC 또는 ZIP)이 포함된 작업에는 ARP를 권장하지 않습니다.

VM 외부의 변경 사항

ARP는 암호화된 상태로 볼륨에 새로운 확장자가 들어오거나 파일 확장자가 변경되는 경우 VM 외부의 NFS 볼륨에서 파일 확장자 변경을 감지할 수 있습니다.

VM 내부의 변경 사항

랜섬웨어 공격으로 VM 외부는 변경하지 않고 VM 내부의 파일만 변경되는 경우, ARP는 VM의 기본 엔트로피가 낮을 경우(예: .txt, .docx 또는 .mp4 파일) 위협을 감지합니다. ONTAP 9.16.1 이하 버전에서는 ARP가 이 시나리오에서 보호 스냅샷을 생성하지만 VM 외부의 파일 확장자가 변경되지 않았으므로 위협 경고를 생성하지 않습니다. ONTAP 9.17.1의 SAN 지원 버전부터 ARP는 VM 내부에서 엔트로피 이상을 감지할 경우 위협 경고를 추가로 생성합니다.

기본적으로 파일이 높은 엔트로피(예: .gzip 또는 암호로 보호된 파일)인 경우 ARP의 탐지 기능이 제한됩니다. 이 경우에도 ARP는 사전 스냅샷을 생성할 수 있습니다. 단, 파일 확장자가 외부에서 변경되지 않은 경우 경고는 발생하지 않습니다.

SAN의 경우 ARP는 볼륨 수준에서 엔트로피 통계를 분석하고 엔트로피 이상이 발견되면 감지를 트리거합니다.

지원되지 않는 구성입니다

ONTAP S3 환경에서는 ARP가 지원되지 않습니다.

ARP는 다음 볼륨 구성을 지원하지 않습니다.

  • FlexGroup 볼륨( ONTAP 9.10.1~9.12.1). ONTAP 9.13.1부터 FlexGroup 볼륨이 지원되지만 ARP/AI 이전에 사용된 ARP 모델로 제한됩니다.

  • FlexCache 볼륨(ARP는 오리진 FlexVol 볼륨에서 지원되지만 캐시 볼륨에서는 지원되지 않음)

  • 오프라인 볼륨

  • SnapLock 볼륨

  • SnapMirror 활성 동기화

  • SnapMirror 동기식

  • SnapMirror 비동기식( ONTAP 9.10.1 및 9.11.1). SnapMirror 비동기식은 ONTAP 9.12.1부터 지원됩니다. 자세한 내용은 다음을 참조하세요. [SnapMirror를 참조하십시오] .

  • 제한된 볼륨

  • 스토리지 VM의 루트 볼륨입니다

  • 중지된 스토리지 VM의 볼륨입니다

ARP 성능 및 주파수 고려 사항

ARP는 처리량과 최대 IOPS로 측정했을 때 시스템 성능에 미치는 영향이 미미할 수 있습니다. ARP 기능의 영향은 특정 볼륨 워크로드에 따라 다릅니다. 일반적인 워크로드의 경우 다음과 같은 구성 제한을 권장합니다.

워크로드 특성 노드당 권장 볼륨 제한입니다 노드당 볼륨 제한을 초과하면 성능이 저하됩니다 1

읽기 집약적이거나 데이터를 압축할 수 있습니다.

150

최대 IOPS의 4%

쓰기 집약적이며 데이터를 압축할 수 없습니다.

60

  • NAS: ONTAP 9.15.1 및 이전 버전의 경우 최대 IOPS의 10%

  • NAS: ONTAP 9.16.1 이상의 경우 최대 IOPS의 4%

  • SAN: ONTAP 9.17.1 이상의 경우 최대 IOPS의 5%

1 권장 한도를 초과하여 볼륨을 추가하더라도 이러한 백분율을 넘으면 시스템 성능이 저하되지 않습니다.

ARP 분석은 우선순위에 따라 실행되므로 보호된 볼륨 수가 늘어날수록 각 볼륨에서 분석이 실행되는 빈도가 줄어듭니다.

ARP로 보호되는 볼륨을 사용한 다중 관리자 검증

ONTAP 9.13.1 부터는 ARP를 통한 추가 보안을 위해 MAV(Multi-admin verification)를 활성화할 수 있습니다. MAV를 사용하면 최소한 두 명 이상의 인증된 관리자가 ARP를 끄거나 ARP를 일시 중지하거나 의심스러운 공격을 보호된 볼륨에서 위양성(false positive)으로 표시해야 합니다. 의 방법을 "ARP 보호 볼륨에 대해 MAV를 활성화합니다"알아보십시오.

MAV 그룹에 대한 관리자를 정의하고, security anti-ransomware volume pause, 및 security anti-ransomware volume attack clear-suspect 보호할 ARP 명령에 대한 MAV 규칙을 security anti-ransomware volume disable 만들어야 합니다. MAV 그룹의 각 관리자는 MAV 설정 내에서 각각의 새 규칙 요청을 승인해야 "MAV 규칙을 다시 추가합니다"합니다.

에 대한 자세한 security anti-ransomware volume disable security anti-ransomware volume pause 내용은, 및 `security anti-ransomware volume attack clear-suspect`"ONTAP 명령 참조입니다" 을 참조하십시오.

ONTAP 9.14.1부터 ARP는 ARP 스냅샷 생성 및 새 파일 확장자 관찰에 대한 알림을 제공합니다. 이러한 이벤트에 대한 알림은 기본적으로 비활성화되어 있습니다. 알림은 볼륨 또는 SVM 수준에서 설정할 수 있습니다. 사용하여 알림을 활성화할 수 있습니다. security anti-ransomware vserver event-log modify 또는 볼륨 수준에서 security anti-ransomware volume event-log modify .

security anti-ransomware volume event-log modify 에 대한 자세한 security anti-ransomware vserver event-log modify 내용은 을 "ONTAP 명령 참조입니다"참조하십시오.