ONTAP 자율적 랜섬웨어 방어 사용 사례 및 고려사항
변경 제안
PDF
ARP(Autonomous Ransomware Protection)는 ONTAP 9.10.1부터 NAS 워크로드에서, ONTAP 9.17.1부터 SAN 워크로드에서 사용할 수 있습니다. ARP를 배포하기 전에 권장 사용 사례 및 지원되는 구성과 성능 영향에 대해 숙지해야 합니다. 또한 볼륨의 워크로드가 ARP에 적합한지, 필요한 시스템 구성을 충족하는지 확인해야 합니다.
적합한 워크로드
ARP는 다음 유형의 작업 부하에 적합합니다.
-
NFS 또는 SAN 스토리지의 데이터베이스
-
Windows 또는 Linux 홈 디렉토리
ARP/AI가 없는 환경에서는 사용자가 학습 기간 동안 감지되지 않은 확장자를 가진 파일을 생성할 수 있습니다. 이로 인해 이 워크로드에서 오탐지(false positive)가 발생할 가능성이 더 높습니다.
-
이미지 및 비디오
예: 의료 기록 및 전자 설계 자동화(EDA) 데이터
부적합한 워크로드
ARP는 다음 유형의 작업 부하에 적합하지 않습니다.
-
파일 생성 또는 삭제 작업 빈도가 높은 작업(몇 초 안에 수십만 개의 파일 생성, 예: 테스트/개발 작업)
-
ARP의 위협 탐지는 파일 생성, 이름 변경 또는 삭제 작업의 비정상적인 급증을 인식하는 능력에 달려 있습니다. 애플리케이션 자체가 파일 활동의 근원인 경우, 랜섬웨어 활동과 효과적으로 구별할 수 없습니다.
-
애플리케이션이나 호스트가 데이터를 암호화하는 작업 부하.
ARP는 수신 데이터를 암호화된 데이터와 암호화되지 않은 데이터로 구분하는 데 의존합니다. 애플리케이션 자체에서 데이터를 암호화하는 경우 이 기능의 효과가 감소합니다. 그러나 ARP는 파일 활동(삭제, 덮어쓰기, 생성 또는 새 파일 확장자로 생성 또는 이름 변경) 및 파일 유형에 따라 여전히 작동할 수 있습니다.
지원되는 구성
ARP는 다양한 ONTAP 버전 및 환경에서 NAS 및 SAN 워크로드를 지원합니다. ARP를 배포하기 전에 지원 기능을 검토하여 사용 환경 및 구성이 지원되는지 확인하십시오.
기본 지원
ONTAP 9.10.1 버전부터 기본 ARP 지원이 시작되며, FlexVol 볼륨 및 MetroCluster 구성에서 NAS 워크로드(NFS 및 SMB)를 지원합니다.
ONTAP 버전별 프로토콜 및 하이퍼바이저 지원
기본 NAS 지원 외에도 이후 ONTAP 릴리스에서는 다음 프로토콜 및 환경에 대한 지원이 추가되었습니다.
-
ONTAP 9.17.1 이상: SAN 블록 디바이스 워크로드(LUN 또는 NVMe 네임스페이스를 포함하는 볼륨) 및 VMware의 가상 디스크를 포함하는 NAS 볼륨
-
ONTAP 9.17.1P5 이상: Hyper-V, KVM 및 OpenStack 하이퍼바이저가 포함된 NAS 볼륨
기능 및 구성 지원 매트릭스
다른 구성 및 볼륨 유형에 대한 지원은 다음 ONTAP 버전에서 제공됩니다.
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|---|
SnapMirror 비동기로 보호되는 볼륨 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SnapMirror 동기식으로 보호되는 볼륨 3 |
✓ |
|||||||||
SnapMirror 활성 동기화로 보호되는 볼륨 3 |
✓ |
|||||||||
SnapMirror 비동기(SVM 재해 복구)를 통해 SVM 보호 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM 데이터 이동성 ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup 볼륨1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
다중 관리 검증 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI 및 자동 업데이트 |
✓ |
✓ |
✓ |
✓ |
||||||
ARP/AI 기본 활성화2 |
✓ |
✓ |
1 ONTAP 9.16.1 및 9.17.1은 FlexGroup 볼륨에 대한 ARP/AI 지원을 제공하지 않습니다. 이러한 버전으로 업그레이드한 후에도 ARP에 대해 활성화된 FlexGroup 볼륨은 ARP/AI 이전에 사용된 것과 동일한 ARP 모델로 계속 작동합니다. ONTAP 9.18.1부터 FlexGroup 볼륨은 ARP/AI 모델을 사용합니다.
2 ONTAP 9.18.1부터 AFF A 시리즈 및 AFF C 시리즈, ASA 및 ASA r2 시스템에 대해 ARP/AI 기본 활성화 동작이 제공됩니다. 이 동작은 업그레이드 후 12시간의 유예 기간이 지난 후 또는 ONTAP 9.18.1을 새로 설치하는 경우 즉시 모든 새 볼륨에서 ARP/AI를 자동으로 활성화합니다. "기존 볼륨"에서 ARP를 수동으로 활성화해야 합니다.
3 ONTAP 9.19.1 RC부터 ARP/AI는 FAS, AFF A 시리즈, AFF C 시리즈 및 AFX 시스템의 NAS 및 SAN에 대한 SnapMirror 동기식 관계의 운영 볼륨과 AFF A 시리즈, AFF C 시리즈 및 ASA r2 시스템의 SnapMirror 액티브 동기화 SAN 관계의 운영 볼륨을 지원합니다. 자세한 내용은 [SnapMirror를 참조하십시오]을 참조하십시오.
상호 운용성 및 VM 고려 사항
ARP는 SnapMirror 데이터 보호 관계 및 가상 머신 환경과 함께 작동하며, 배포 전에 알아두어야 할 버전별 동작 및 제한 사항이 있습니다.
SnapMirror 및 ARP 상호 운용성
ONTAP 9.12.1 버전부터 SnapMirror 비동기 타겟 볼륨에서 ARP가 지원됩니다.
ONTAP 9.19.1 RC부터 ARP/AI는 SnapMirror 동기식 및 SnapMirror 액티브 동기화 SAN 관계에 참여하는 운영 볼륨을 다음과 같은 동작으로 지원합니다.
-
ARP/AI는 FAS, AFF A 시리즈, AFF C 시리즈 및 AFX 시스템의 NAS 및 SAN에 대한 SnapMirror 동기식 관계에서 운영 볼륨에 대해 지원됩니다.
-
ARP/AI는 AFF A 시리즈, AFF C 시리즈 및 ASA r2 시스템의 SnapMirror 액티브 동기화 SAN 관계에서 운영 볼륨에 대해 지원됩니다.
-
ONTAP 9.19.1 RC에서는 NAS용 SnapMirror Active Sync에서 ARP/AI가 지원되지 않습니다.
-
ARP/AI 분석은 SnapMirror 동기식 및 SnapMirror 활성 동기식 SAN 관계에서 활성 읽기/쓰기 기본 볼륨에서만 실행되며, ARP는 기본 볼륨 전용 스냅샷을 생성하고 머신 러닝 기반 랜섬웨어 탐지를 수행합니다.
-
ARP 구성 상태 및 ARP 스냅샷은 ONTAP 9.19.1 RC에서 SnapMirror 동기식 또는 SnapMirror 액티브 동기화의 일부로 보조 볼륨에 복제되지 않습니다.
|
동기식 미러 관계에 있는 두 볼륨 모두에 모든 쓰기 작업이 커밋되므로 운영 볼륨에서만 ARP를 활성화하는 것으로도 이상 징후를 감지할 수 있습니다. 운영 볼륨의 ARP 분석에서 생성된 내부 메타데이터는 2차 볼륨에도 복제됩니다. 따라서 페일오버 후 2차 볼륨에서 ARP를 활성화하면 필요한 메타데이터가 이미 2차 볼륨에 존재하게 됩니다. |
SnapMirror 비동기 소스 볼륨이 ARP를 사용하도록 설정된 경우, SnapMirror 대상 볼륨은 ARP 구성 상태(예: dry-run 또는 enabled), ARP 학습 데이터 및 ARP를 통해 생성된 소스 볼륨의 스냅샷을 자동으로 가져옵니다. 별도의 명시적 사용 설정은 필요하지 않습니다.
비동기 대상 볼륨은 읽기 전용(RO) 스냅샷으로 구성되지만 해당 데이터에 대해서는 ARP 처리가 수행되지 않습니다. 그러나 SnapMirror 비동기 대상 볼륨이 읽기-쓰기(RW)로 변환되면 RW로 변환된 대상 볼륨에서 ARP가 자동으로 활성화됩니다. 대상 볼륨은 소스 볼륨에 이미 기록된 내용 외에 추가 학습 절차가 필요하지 않습니다.
ONTAP 9.10.1 및 9.11.1에서 SnapMirror ARP 구성 상태, 학습 데이터 및 스냅샷을 소스 볼륨에서 대상 볼륨으로 전송하지 않습니다. 따라서 SnapMirror 대상 볼륨을 RW로 변환할 때, 변환 후 학습 모드에서 대상 볼륨의 ARP를 명시적으로 활성화해야 합니다.
ARP 및 가상 머신
ARP는 VMware, Hyper-V, KVM 및 OpenStack의 가상 머신(VM)에서 지원됩니다. VMware는 ONTAP 9.17.1부터 지원되며, Hyper-V, KVM 및 OpenStack은 ONTAP 9.17.1P5부터 지원됩니다. ARP 감지는 VM 내부 및 외부의 변경 사항에 대해 다르게 동작합니다. ARP는 VM 내에 고도로 압축된 파일(예: 7z 및 ZIP)이나 암호화된 파일(예: 암호로 보호된 PDF, DOC 또는 ZIP)이 다량으로 포함된 워크로드에는 권장되지 않습니다.
ARP는 암호화된 상태로 볼륨에 새로운 확장자가 들어오거나 파일 확장자가 변경되는 경우 VM 외부의 NFS 볼륨에서 파일 확장자 변경을 감지할 수 있습니다.
랜섬웨어 공격으로 VM 외부는 변경하지 않고 VM 내부의 파일만 변경되는 경우, ARP는 VM의 기본 엔트로피가 낮을 경우(예: .txt, .docx 또는 .mp4 파일) 위협을 감지합니다. ONTAP 9.16.1 이하 버전에서는 ARP가 이 시나리오에서 보호 스냅샷을 생성하지만 VM 외부의 파일 확장자가 변경되지 않았으므로 위협 경고를 생성하지 않습니다. ONTAP 9.17.1의 SAN 지원 버전부터 ARP는 VM 내부에서 엔트로피 이상을 감지할 경우 위협 경고를 추가로 생성합니다.
기본적으로 파일이 높은 엔트로피(예: .gzip 또는 암호로 보호된 파일)인 경우 ARP의 탐지 기능이 제한됩니다. 이 경우에도 ARP는 사전 스냅샷을 생성할 수 있습니다. 단, 파일 확장자가 외부에서 변경되지 않은 경우 경고는 발생하지 않습니다.
SAN의 경우 ARP는 볼륨 수준에서 엔트로피 통계를 분석하고 엔트로피 이상이 발견되면 감지를 트리거합니다.
|
|
VM 내에서 발생하는 공격을 감지하는 기능은 FlexVol 볼륨에서만 사용할 수 있으며 ONTAP 9.18.1 이상에서 FlexGroup 볼륨에 VM 데이터 저장소가 구성된 경우에는 사용할 수 없습니다. |
지원되지 않는 구성입니다
ONTAP S3 환경에서는 ARP가 지원되지 않습니다.
ARP는 다음 볼륨 구성을 지원하지 않습니다.
-
FlexGroup 볼륨( ONTAP 9.10.1~9.12.1).
ONTAP 9.13.1부터 ONTAP 9.17.1까지 FlexGroup 볼륨이 지원되지만 ARP/AI 이전에 사용된 ARP 모델로 제한됩니다. FlexGroup 볼륨은 ONTAP 9.18.1부터 ARP/AI에서 지원됩니다. -
FlexCache 볼륨(ARP는 오리진 FlexVol 볼륨에서 지원되지만 캐시 볼륨에서는 지원되지 않음)
-
오프라인 볼륨
-
SnapLock 볼륨
-
SnapMirror active sync in ONTAP 9.18.1 및 이전 버전
-
SnapMirror active sync(NAS)(ONTAP 9.19.1 RC)
-
SnapMirror synchronous(ONTAP 9.18.1 및 이전 버전)
-
SnapMirror 비동기식( ONTAP 9.10.1 및 9.11.1). SnapMirror 비동기식은 ONTAP 9.12.1부터 지원됩니다. 자세한 내용은 다음을 참조하세요. [SnapMirror를 참조하십시오] .
-
제한된 볼륨
-
스토리지 VM의 루트 볼륨입니다
-
중지된 스토리지 VM의 볼륨입니다
-
FlexVol에서 FlexGroup 변환(변환 전에 ARP를 비활성화해야 합니다)
ARP 성능 및 주파수 고려 사항
ARP는 처리량과 최대 IOPS로 측정했을 때 시스템 성능에 미치는 영향이 미미할 수 있습니다. ARP 기능의 영향은 특정 볼륨 워크로드에 따라 다릅니다. 일반적인 워크로드의 경우 다음과 같은 구성 제한을 권장합니다.
| 워크로드 특성 | 노드당 권장 볼륨 제한입니다 | 노드당 볼륨 제한을 초과하면 성능이 저하됩니다 1 |
|---|---|---|
읽기 집약적이거나 데이터를 압축할 수 있습니다. |
150 |
최대 IOPS의 4% |
쓰기 집약적이며 데이터를 압축할 수 없습니다. |
60 |
|
1 권장 한도를 초과하여 볼륨을 추가하더라도 이러한 백분율을 넘으면 시스템 성능이 저하되지 않습니다.
ARP 분석은 우선순위에 따라 실행되므로 보호된 볼륨 수가 늘어날수록 각 볼륨에서 분석이 실행되는 빈도가 줄어듭니다.
|
|
대량의 새 볼륨에 대해 ARP를 기본적으로 활성화하면 시스템 리소스 사용량이 증가할 수 있습니다. 볼륨에서 ARP를 활성화할 때는 스냅샷과 같은 경쟁 프로세스의 공간 요구 사항을 고려하십시오. |
플랫폼별 ARP의 볼륨 제한
ONTAP 9.18.1부터 ARP는 플랫폼 유형 및 CPU 코어 개수를 기반으로 증가된 볼륨 제한을 지원합니다.
| 플랫폼 유형 | 노드당 최대 ARP 지원 볼륨 |
|---|---|
로우엔드(CPU 코어 수가 최대 20개인 시스템) |
250 |
중급(최대 64개의 CPU 코어가 있는 시스템) |
500입니다 |
고급형(CPU 코어 개수가 64개 이상인 시스템) |
1000입니다 |
|
|
CPU 코어 개수는 2노드 HA 쌍의 각 개별 노드에 적용됩니다. |
ARP로 보호되는 볼륨을 사용한 다중 관리자 검증
ONTAP 9.13.1 부터는 ARP를 통한 추가 보안을 위해 MAV(Multi-admin verification)를 활성화할 수 있습니다. MAV를 사용하면 최소한 두 명 이상의 인증된 관리자가 ARP를 끄거나 ARP를 일시 중지하거나 의심스러운 공격을 보호된 볼륨에서 위양성(false positive)으로 표시해야 합니다. 의 방법을 "ARP 보호 볼륨에 대해 MAV를 활성화합니다"알아보십시오.
MAV 그룹에 대한 관리자를 정의하고, security anti-ransomware volume pause, 및 security anti-ransomware volume attack clear-suspect 보호할 ARP 명령에 대한 MAV 규칙을 security anti-ransomware volume disable 만들어야 합니다. MAV 그룹의 각 관리자는 MAV 설정 내에서 각각의 새 규칙 요청을 승인해야 "MAV 규칙을 다시 추가합니다"합니다.
에 대한 자세한 security anti-ransomware volume disable security anti-ransomware volume pause 내용은, 및 `security anti-ransomware volume attack clear-suspect`"ONTAP 명령 참조입니다" 을 참조하십시오.
ONTAP 9.14.1부터 ARP는 ARP 스냅샷 생성 및 새 파일 확장자 관찰에 대한 알림을 제공합니다. 이러한 이벤트에 대한 알림은 기본적으로 비활성화되어 있습니다. 알림은 볼륨 또는 SVM 수준에서 설정할 수 있습니다. 사용하여 알림을 활성화할 수 있습니다. security anti-ransomware vserver event-log modify 또는 볼륨 수준에서 security anti-ransomware volume event-log modify .
및 security anti-ransomware volume event-log modify 에 대한 자세한 security anti-ransomware vserver event-log modify 내용은 을 "ONTAP 명령 참조입니다"참조하십시오.