자율 랜섬웨어 보호 사용 사례 및 고려사항
자율 랜섬웨어 방어(ARP)는 ONTAP 9.10.1부터 NAS 워크로드에 사용할 수 있습니다. ARP를 배포하기 전에 권장되는 용도 및 지원되는 구성뿐만 아니라 성능에 미치는 영향을 알고 있어야 합니다.
지원 구성 및 지원되지 않는 구성
ARP를 사용하도록 결정할 때 볼륨의 워크로드가 ARP에 적합하고 필요한 시스템 구성을 충족하는지 확인하는 것이 중요합니다.
적합한 워크로드
ARP는 다음과 같은 경우에 적합합니다.
-
데이터베이스를 NFS 스토리지에 저장합니다
-
Windows 또는 Linux 홈 디렉토리
사용자가 학습 기간 동안 발견되지 않은 확장자를 가진 파일을 만들 수 있기 때문에 이 작업 부하에서 오탐이 발생할 가능성이 높습니다.
-
이미지 및 비디오
예: 의료 기록 및 전자 설계 자동화(EDA) 데이터
부적합한 워크로드
ARP는 다음에 적합하지 않습니다.
-
파일 생성 또는 삭제 빈도가 높은 워크로드(몇 초 안에 수십만 개의 파일(예: 테스트/개발 워크로드)
-
ARP의 위협 감지는 파일 생성, 이름 변경 또는 삭제 작업에서 비정상적인 급증을 인식하는 능력에 달려 있습니다. 애플리케이션 자체가 파일 활동의 소스인 경우 랜섬웨어 활동과 효과적으로 구별될 수는 없습니다.
-
애플리케이션 또는 호스트가 데이터를 암호화하는 워크로드
ARP는 수신 데이터를 암호화 또는 암호화되지 않은 상태로 구별하는 것에 의존합니다. 애플리케이션 자체에서 데이터를 암호화하면 기능의 효율성이 감소합니다. 그러나 이 기능은 파일 작업(삭제, 덮어쓰기, 생성 또는 새 파일 확장명으로 생성 또는 이름 바꾸기)과 파일 유형에 따라 계속 작동할 수 있습니다.
지원되는 구성
ARP는 ONTAP 9.10.1로 시작하는 온프레미스 ONTAP 시스템의 NFS 및 SMB FlexVol 볼륨에 사용할 수 있습니다.
다른 구성 및 볼륨 유형에 대한 지원은 다음 ONTAP 버전에서 제공됩니다.
ONTAP 9.16.1 | ONTAP 9.15.1 | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
---|---|---|---|---|---|---|---|
SnapMirror 비동기로 보호되는 볼륨 |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SnapMirror 비동기(SVM 재해 복구)를 통해 SVM 보호 |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM 데이터 이동성 ( |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup 볼륨 * |
✓ |
✓ |
✓ |
✓ |
|||
다중 관리 검증 |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI 및 자동 업데이트 |
✓ |
*ARP/AI는 FlexGroup 볼륨을 지원하지 않습니다. ONTAP 9.16.1로 업그레이드한 후 ARP에 대해 활성화된 FlexGroup 볼륨은 ARP/AI 이전에 사용된 것과 동일한 ARP 모델로 계속 작동합니다.
SnapMirror 및 ARP 상호 운용성
ONTAP 9.12.1부터 ARP는 SnapMirror 비동기 대상 볼륨에서 지원됩니다. ARP는 SnapMirror 동기와 함께 지원되지 않습니다.
SnapMirror 소스 볼륨이 ARP가 활성화된 경우 SnapMirror 대상 볼륨은 ARP 구성 상태(학습, 활성화 등), ARP 훈련 데이터 및 소스 볼륨의 ARP 생성 스냅샷을 자동으로 획득합니다. 명시적 활성화가 필요하지 않습니다.
대상 볼륨은 읽기 전용(RO) 스냅샷으로 구성되지만 해당 데이터에 대한 ARP 처리는 수행되지 않습니다. 그러나 SnapMirror 대상 볼륨이 읽기-쓰기(RW)로 변환되면 ARP는 RW로 변환된 대상 볼륨에서 자동으로 활성화됩니다. 대상 볼륨에는 소스 볼륨에 이미 기록된 내용 외에 추가 학습 절차가 필요하지 않습니다.
ONTAP 9.10.1 및 9.11.1에서 SnapMirror는 ARP 구성 상태, 훈련 데이터 및 스냅샷을 소스에서 대상 볼륨으로 전송하지 않습니다. 따라서 SnapMirror 대상 볼륨이 RW로 변환될 때 대상 볼륨의 ARP는 변환 후 학습 모드에서 명시적으로 활성화되어야 합니다.
ARP 및 가상 머신
ARP는 가상 머신(VM)에서 지원됩니다. ARP 감지는 VM 내부 및 외부의 변경에 대해 다르게 동작합니다. ARP는 VM 내부에 높은 엔트로피 파일이 있는 워크로드에 권장되지 않습니다.
ARP는 새 확장자가 암호화된 볼륨에 들어갔거나 파일 확장자가 변경되는 경우 VM 외부의 NFS 볼륨에서 파일 확장자 변경을 감지할 수 있습니다. 감지 가능한 파일 확장자 변경 사항은 다음과 같습니다.
-
.vmx입니다
-
.vmxf입니다
-
vmdk입니다
-
- 평면.vmdk
-
NVRAM을 입력합니다
-
vmem입니다
-
.vmsd입니다
-
.vmsn입니다
-
. vswp 를 참조하십시오
-
.VMSS를 참조하십시오
-
로그
-
-\#.log
랜섬웨어 공격이 VM을 대상으로 하고 VM 외부의 변경 없이 VM 내부의 파일이 변경되는 경우 ARP는 VM의 기본 엔트로피가 낮을 경우(예: .txt, .docx 또는 .mp4 파일) 위협을 감지합니다. ARP는 이 시나리오에서 보호 스냅샷을 생성하지만 VM 외부의 파일 확장자가 변조되지 않았기 때문에 위협 경고를 생성하지 않습니다.
기본적으로 파일이 높은 엔트로피(예: .gzip 또는 암호로 보호된 파일)인 경우 ARP의 검색 기능이 제한됩니다. ARP는 이 경우에도 사전 예방적 스냅샷을 생성할 수 있지만 파일 확장자가 외부에서 변경되지 않은 경우에는 알림이 발생하지 않습니다.
지원되지 않는 구성입니다
ARP는 다음 시스템 구성에서 지원되지 않습니다.
-
ONTAP S3 환경
-
알아보십시오
ARP는 다음 볼륨 구성을 지원하지 않습니다.
-
FlexGroup 볼륨(ONTAP 9.10.1 ~ 9.12.1의 경우. ONTAP 9.13.1부터 FlexGroup 볼륨은 지원되지만 ARP/AI 이전에 사용된 ARP 모델로 제한됩니다.)
-
FlexCache 볼륨(ARP는 오리진 FlexVol 볼륨에서 지원되지만 캐시 볼륨에서는 지원되지 않음)
-
오프라인 볼륨
-
SAN 전용 볼륨
-
SnapLock 볼륨
-
SnapMirror 동기식
-
SnapMirror 비동기(ONTAP 9.10.1 및 9.11.1에서만 지원되지 않습니다. SnapMirror 비동기식은 ONTAP 9.12.1부터 지원됩니다. 자세한 내용은 을 [snapmirror]참조하십시오.)
-
제한된 볼륨
-
스토리지 VM의 루트 볼륨입니다
-
중지된 스토리지 VM의 볼륨입니다
ARP 성능 및 주파수 고려 사항
ARP는 처리량 및 피크 IOPS로 측정한 시스템 성능에 최소한의 영향을 줄 수 있습니다. ARP 기능의 영향은 특정 볼륨 작업 부하에 따라 달라집니다. 일반적인 워크로드의 경우 다음과 같은 구성 제한이 권장됩니다.
워크로드 특성 | 노드당 권장 볼륨 제한입니다 | 노드당 볼륨 제한을 초과할 경우 성능 저하: [*] |
---|---|---|
읽기 집약적 또는 데이터를 압축할 수 있습니다. |
150 |
최대 IOPS의 4% |
쓰기 집약적이고 데이터를 압축할 수 없습니다. |
60 |
최대 IOPS의 10% |
통과: [*] 권장 한도를 초과하여 추가된 볼륨의 수에 관계없이 시스템 성능이 이 비율을 초과하여 저하되지 않습니다.
ARP 분석은 우선 순위가 지정된 순서대로 실행되므로 보호된 볼륨의 수가 증가할수록 각 볼륨에서 분석 실행 빈도가 줄어듭니다.
ARP로 보호되는 볼륨을 사용한 다중 관리자 검증
ONTAP 9.13.1 부터는 ARP를 통한 추가 보안을 위해 MAV(Multi-admin verification)를 활성화할 수 있습니다. MAV를 사용하면 최소한 두 명 이상의 인증된 관리자가 ARP를 끄거나 ARP를 일시 중지하거나 의심스러운 공격을 보호된 볼륨에서 위양성(false positive)으로 표시해야 합니다. 의 방법을 "ARP 보호 볼륨에 대해 MAV를 활성화합니다"알아보십시오.
MAV 그룹에 대한 관리자를 정의하고, security anti-ransomware volume pause
, 및 security anti-ransomware volume attack clear-suspect
보호할 ARP 명령에 대한 MAV 규칙을 security anti-ransomware volume disable
만들어야 합니다. MAV 그룹의 각 관리자는 MAV 설정 내에서 각각의 새 규칙 요청을 승인해야 "MAV 규칙을 다시 추가합니다"합니다.
ONTAP 9.14.1부터 ARP는 ARP 스냅샷 생성 및 새 파일 확장자 관찰에 대한 경고를 제공합니다. 이러한 이벤트에 대한 알림은 기본적으로 해제되어 있습니다. 경고는 볼륨 또는 SVM 레벨에서 설정할 수 있습니다. SVM 레벨에서 또는 을 사용하여 볼륨 레벨에서 security anti-ransomware volume event-log modify
MAV 규칙을 생성할 수 있습니다 security anti-ransomware vserver event-log modify
.