AI를 활용한 NetApp 자율형 랜섬웨어 보호로 데이터를 보호하세요
변경 제안
PDF
AI(ARP/AI)를 탑재한 NetApp Autonomous Ransomware Protection으로 데이터를 보호하세요. 이 기능은 NAS(NFS/SMB) 환경에서 워크로드 분석을 사용하여 랜섬웨어 공격일 수 있는 비정상적인 활동을 감지하고 경고합니다. 공격이 의심되는 경우 ARP/AI는 데이터를 복원할 수 있는 변경 불가능한 새로운 스냅샷을 생성합니다.
ARP/AI를 사용하여 공격자가 몸값을 지불할 때까지 데이터를 숨기는 서비스 거부 공격으로부터 보호합니다. ARP/AI는 다음을 기반으로 실시간 랜섬웨어 감지 기능을 제공합니다.
-
들어오는 데이터를 암호화된 데이터 또는 일반 텍스트로 식별합니다.
-
다음을 감지하는 분석:
-
Entropy: 파일에 있는 데이터의 임의 정도를 평가합니다
-
파일 확장명 형식: 일반 확장명 형식에 맞지 않는 확장자입니다
-
파일 IOPS: 데이터 암호화를 통한 비정상적인 볼륨 활동의 급증
-
ARP/AI는 소수의 파일만 암호화된 후 대부분의 랜섬웨어 공격이 확산되는 것을 감지하고, 자동으로 조치를 취해 데이터를 보호하며, 의심되는 공격이 발생했을 때 경고를 보냅니다.
ARP/AI 기능은 Amazon FSx for NetApp ONTAP 에서 실행되는 ONTAP 버전에 따라 자동으로 업데이트되므로 수동으로 업데이트할 필요가 없습니다.
- 학습 및 활성 모드
-
ARP/AI는 먼저 _학습 모드_에서 작동한 후 자동으로 _활성 모드_로 전환됩니다.
-
학습 모드: ARP/AI를 활성화하면 _학습 모드_로 실행됩니다. 학습 모드에서 FSx for ONTAP 파일 시스템은 엔트로피, 파일 확장자 유형, 파일 IOPS 등의 분석 영역을 기반으로 알림 프로필을 개발합니다. 파일 시스템이 워크로드 특성을 평가하기에 충분한 시간 동안 ARP/AI를 학습 모드로 실행한 후, 워크로드 팩토리는 자동으로 ARP/AI를 _활성 모드_로 전환하고 데이터 보호를 시작합니다.
-
활성 모드: ARP/AI가 _활성 모드_로 전환된 후, FSx for ONTAP 은 위협이 감지되면 데이터를 보호하기 위해 ARP/AI 스냅샷을 생성합니다.
활성 모드에서 파일 확장자가 비정상으로 플래그되는 경우 경고를 평가해야 합니다. 경고를 통해 데이터를 보호하거나 경고를 거짓 긍정 으로 표시할 수 있습니다. 경고를 false positive로 표시하면 경고 프로필이 업데이트됩니다. 예를 들어, 새 파일 확장자에 의해 경고가 트리거되고 이 경고를 false positive로 표시하면 다음에 파일 확장명이 관찰될 때 알림이 수신되지 않습니다.
-
- 지원되지 않는 구성입니다
-
다음 구성은 ARP/AI 사용을 지원하지 않습니다.
-
SAN/블록 볼륨
-
iSCSI 볼륨
-
NVMe 볼륨
-
파일 시스템 또는 볼륨에 대해 ARP/AI 활성화
파일 시스템에 ARP/AI를 활성화하면 모든 기존 NAS와 새로 생성된 NAS(NFS/SMB) 볼륨에 대한 보호가 자동으로 추가됩니다. 개별 볼륨에 대해 ARP/AI를 활성화할 수도 있습니다.
ARP/AI를 활성화한 후 공격이 발생하고 공격이 실제라고 확인되면 워크로드 팩토리는 4시간마다 최대 6개의 스냅샷을 생성하는 스냅샷 정책을 자동으로 설정합니다. 각 스냅샷은 2~5일 동안 잠금됩니다.
파일 시스템이나 볼륨에 대해 ARP/AI를 활성화하려면 링크를 연결해야 합니다. "기존 링크를 연결하는 방법이나 새 링크를 만들고 연결하는 방법을 알아보세요." . 링크가 연결되면 이 작업으로 돌아갑니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to Storage inventory * 를 선택합니다.
-
FSx for ONTAP 탭에서 ARP/AI를 활성화할 파일 시스템의 3개 점 메뉴를 선택한 다음 *관리*를 선택합니다.
-
정보에서 자율 랜섬웨어 보호 옆에 있는 연필 아이콘을 선택하세요. 마우스를 자율 랜섬웨어 보호 행 위에 올려놓으면 화살표 옆에 연필 아이콘이 나타납니다.
-
AI(ARP/AI)를 통한 NetApp 자율형 랜섬웨어 보호 페이지에서 다음을 수행합니다.
-
기능을 활성화하거나 비활성화합니다.
-
자동 스냅샷 생성: 보관할 스냅샷의 최대 개수와 스냅샷을 찍는 간격을 선택합니다. 기본값은 4시간마다 6개의 스냅샷을 찍는 것입니다.
-
변경 불가능한 스냅샷: 기본 보존 기간(시간)과 변경 불가능한 스냅샷을 보존할 최대 일수를 선택합니다. 이 옵션을 활성화하면 지정된 보존 기간이 끝날 때까지 스냅샷을 삭제하거나 수정할 수 없습니다.
-
탐지: 선택적으로 다음 매개변수 중 하나를 선택하여 자동으로 이상을 스캔하고 감지합니다.
-
-
계속하려면 설명을 수락하십시오.
-
적용 * 을 선택하여 변경 사항을 저장합니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to Storage inventory * 를 선택합니다.
-
FSx for ONTAP 탭에서 ARP/AI를 활성화할 파일 시스템의 3개 점 메뉴를 선택한 다음 *관리*를 선택합니다.
-
볼륨 탭에서 볼륨의 3개 점 메뉴를 선택하여 ARP/AI를 활성화한 다음, *데이터 보호 작업*을 선택하고 *ARP/AI 관리*를 선택합니다.
-
ARP/AI 관리 대화 상자에서 다음을 수행합니다.
-
기능을 활성화하거나 비활성화합니다.
-
탐지: 선택적으로 다음 매개변수 중 하나를 선택하여 자동으로 이상을 스캔하고 감지합니다.
-
-
계속하려면 설명을 수락하십시오.
-
적용 * 을 선택하여 변경 사항을 저장합니다.
랜섬웨어 공격을 검증합니다
공격이 거짓 경보 또는 진정한 랜섬웨어 사고인지 확인합니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to Storage inventory * 를 선택합니다.
-
파일 시스템 개요에서 * Volumes * 탭을 선택합니다.
-
Autonomous Ransomware Protection 타일에서 * Analyze Attacks * 를 선택합니다.
-
공격 이벤트 보고서를 다운로드하여 손상된 파일이나 폴더가 있는지 검토한 다음 공격이 발생했는지 여부를 결정합니다.
-
공격이 발생하지 않은 경우 표의 볼륨에 대해 * False alarm * 을 선택한 다음 * Close * 를 선택합니다
-
공격이 발생한 경우 표의 볼륨에 대해 * Real attack * 을 선택합니다. 손상된 볼륨 데이터 복원 대화 상자가 열립니다. 즉시 로 진행하거나 * Close * 를 선택하고 나중에 복구 프로세스를 완료할 수 데이터를 복구합니다있습니다.
랜섬웨어 공격 후 데이터 복구
공격이 의심되면 시스템은 해당 시점의 볼륨 스냅샷을 찍고 해당 복사본을 잠급니다. 나중에 공격이 확인되면 ARP/AI 스냅샷을 사용하여 영향을 받은 파일이나 전체 볼륨을 복원할 수 있습니다.
잠긴 스냅샷은 보존 기간이 끝날 때까지 삭제할 수 없습니다. 그러나 나중에 이 공격을 가양성 공격으로 표시하기로 결정하면 잠긴 복사본이 삭제됩니다.
영향을 받는 파일과 공격 시간을 알면 전체 볼륨을 스냅샷 중 하나로 되돌리는 대신 다양한 스냅샷에서 영향을 받는 파일을 선택적으로 복구할 수 있습니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to Storage inventory * 를 선택합니다.
-
파일 시스템 개요에서 * Volumes * 탭을 선택합니다.
-
Autonomous Ransomware Protection 타일에서 * Analyze Attacks * 를 선택합니다.
-
공격이 발생한 경우 표의 볼륨에 대해 * Real attack * 을 선택합니다.
-
손상된 볼륨 데이터 복원 대화 상자에서 지침에 따라 파일 수준 또는 볼륨 수준에서 복원합니다. 대부분의 경우 전체 볼륨이 아닌 파일을 복원합니다.
-
복원을 완료한 후 * 닫기 * 를 선택합니다.
손상된 데이터가 복원되었습니다.