Casos de uso e considerações da proteção autônoma contra ransomware do ONTAP
Sugerir alterações
PDFs
A Proteção Autônoma contra Ransomware (ARP) está disponível para cargas de trabalho NAS a partir do ONTAP 9.10.1 e para cargas de trabalho SAN a partir do ONTAP 9.17.1. Antes de implementar a ARP, você deve estar ciente dos usos recomendados e das configurações suportadas, bem como das implicações de desempenho. Você também deve garantir que a carga de trabalho do seu volume seja adequada para a ARP e que atenda aos requisitos de configuração do sistema.
Workloads adequados
O ARP é adequado para estes tipos de cargas de trabalho:
-
Bancos de dados em armazenamento NFS ou SAN
-
Diretórios home do Windows ou do Linux
Em ambientes sem ARP/IA, os usuários podem criar arquivos com extensões que não são detectadas no período de aprendizado. Por isso, há uma maior probabilidade de falsos positivos nessa carga de trabalho.
-
Imagens e vídeo
Por exemplo, Registros de saúde e dados de automação de design eletrônico (EDA)
Cargas de trabalho inadequadas
O ARP não é adequado para estes tipos de cargas de trabalho:
-
Cargas de trabalho com alta frequência de operações de criação ou exclusão de arquivos (centenas de milhares de arquivos em poucos segundos; por exemplo, cargas de trabalho de teste/desenvolvimento).
-
A detecção de ameaças do ARP depende de sua capacidade de reconhecer um aumento incomum nas operações de criação, renomeação ou exclusão de arquivos. Se o próprio aplicativo for a fonte da atividade do arquivo, ela não poderá ser distinguida efetivamente da atividade de ransomware.
-
Cargas de trabalho em que o aplicativo ou o host criptografa dados.
O ARP depende da distinção entre dados recebidos criptografados e não criptografados. Se o próprio aplicativo estiver criptografando os dados, a eficácia do recurso será reduzida. No entanto, o ARP ainda pode funcionar com base na atividade do arquivo (excluir, substituir ou criar, ou criar ou renomear com uma nova extensão de arquivo) e no tipo de arquivo.
Configurações compatíveis
O ARP oferece suporte a cargas de trabalho NAS e SAN em diversas versões do ONTAP e ambientes. Verifique os recursos de suporte para confirmar se seu ambiente e configuração são compatíveis antes de implementar o ARP.
Suporte básico
O suporte básico ao ARP começa no ONTAP 9.10.1 e inclui cargas de trabalho NAS (NFS e SMB) em FlexVol volumes e MetroCluster configurações.
Suporte a protocolos e hipervisores pela versão do ONTAP
Além do suporte básico ao NAS, versões posteriores do ONTAP adicionam suporte aos seguintes protocolos e ambientes:
-
ONTAP 9.17.1 e versões posteriores: cargas de trabalho de dispositivos de bloco SAN (volumes contendo LUNs ou namespaces NVMe) e volumes NAS contendo discos virtuais da VMware
-
ONTAP 9.17.1P5 e versões posteriores: volumes NAS contendo Hyper-V, KVM e OpenStack hipervisores
Matriz de suporte de recursos e configurações
O suporte para outras configurações e tipos de volume está disponível nas seguintes versões do ONTAP:
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16,1 | ONTAP 9.15,1 | ONTAP 9.14,1 | ONTAP 9.13,1 | ONTAP 9.12,1 | ONTAP 9.11,1 | ONTAP 9.10,1 | |
|---|---|---|---|---|---|---|---|---|---|---|
Volumes protegidos com o SnapMirror assíncrono |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volumes protegidos com SnapMirror synchronous 3 |
✓ |
|||||||||
Volumes protegidos com SnapMirror active sync 3 |
✓ |
|||||||||
SVMs protegidas com SnapMirror assíncrono (recuperação de desastres da SVM) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Mobilidade de (`vserver migrate`dados SVM ) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
Volumes FlexGroup 1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
Verificação multi-admin |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI com atualizações automáticas |
✓ |
✓ |
✓ |
✓ |
||||||
Capacitação padrão de ARP/AI2 |
✓ |
✓ |
1 O ONTAP 9.16.1 e 9.17.1 não oferecem suporte a ARP/AI para volumes FlexGroup . Após a atualização para essas versões, os volumes FlexGroup habilitados para ARP continuam a operar com o mesmo modelo ARP usado antes do ARP/AI. A partir do ONTAP 9.18.1, os volumes FlexGroup utilizam o modelo ARP/AI.
2 A partir do ONTAP 9.18.1, o comportamento padrão de capacitação do ARP/AI está disponível para AFF série A e AFF série C, ASA e ASA r2. Esse comportamento ativa automaticamente o ARP/AI em todos os novos volumes após um período de carência de 12 horas após uma atualização ou imediatamente para novas instalações do ONTAP 9.18.1. Você precisará ativar o ARP manualmente em "volumes existentes".
3 A partir do ONTAP 9.19.1 RC, o ARP/AI oferece suporte a volumes primários em SnapMirror relacionamentos síncronos para NAS e SAN em sistemas FAS, AFF série A, AFF série C e AFX, e a volumes primários em SnapMirror relacionamentos SAN de sincronização ativa em sistemas AFF série A, AFF série C e ASA r2. Para obter mais informações, consulte [SnapMirror].
Interoperabilidade e considerações sobre máquinas virtuais
O ARP opera em conjunto com as relações de proteção de dados do SnapMirror e ambientes de máquina virtual, apresentando alguns comportamentos e limitações específicos de cada versão que você deve conhecer antes de implementar.
Interoperabilidade SnapMirror e ARP
A partir do ONTAP 9.12.1, o ARP é suportado em volumes de destino assíncronos do SnapMirror.
A partir do ONTAP 9.19.1 RC, o ARP/AI oferece suporte a volumes primários que participam de relacionamentos SAN síncronos do SnapMirror e de sincronização ativa do SnapMirror, com o seguinte comportamento:
-
O ARP/AI é compatível com volumes primários em relações síncronas de SnapMirror para NAS e SAN em sistemas FAS, AFF série A, AFF série C e AFX.
-
O ARP/AI é compatível com volumes primários em SnapMirror active sync SAN relationships nos sistemas AFF A-series, AFF C-series e ASA r2.
-
ARP/AI não é suportado com SnapMirror active sync para NAS no ONTAP 9.19.1 RC.
-
A análise ARP/AI é executada apenas no volume primário ativo de leitura e gravação em relacionamentos SAN síncronos do SnapMirror e de sincronização ativa do SnapMirror, onde o ARP cria snapshots somente do primário e realiza detecção de ransomware baseada em aprendizado de máquina.
-
O estado de configuração ARP e os snapshots ARP não são replicados para o volume secundário como parte da SnapMirror síncrona ou SnapMirror active sync no ONTAP 9.19.1 RC.
|
Como cada operação de gravação é confirmada em ambos os volumes em uma relação de espelhamento síncrono, habilitar o ARP apenas no volume primário é suficiente para detectar as anomalias. Os metadados internos gerados pela análise de ARP no volume primário também são replicados para o volume secundário. Por isso, se o ARP for habilitado no volume secundário após uma falha, os metadados necessários já existirão nesse volume secundário. |
Se um volume de origem SnapMirror assíncrono tiver o ARP habilitado, o volume de destino SnapMirror adquire automaticamente o estado de configuração do ARP (como dry-run ou enabled), os dados de treinamento do ARP e o snapshot criado pelo ARP do volume de origem. Nenhuma capacitação é necessária.
Embora o volume de destino assíncrono consista em snapshots somente leitura (RO), nenhum processamento ARP é realizado em seus dados. No entanto, quando o volume de destino assíncrono do SnapMirror é convertido para leitura e gravação (RW), o ARP é automaticamente habilitado no volume de destino convertido para RW. O volume de destino não requer nenhum procedimento de aprendizado adicional além do que já está registrado no volume de origem.
No ONTAP 9.10.1 e 9.11.1, o SnapMirror não transfere o estado da configuração ARP, os dados de treinamento e os snapshots dos volumes de origem para os de destino. Por esse motivo, quando o volume de destino do SnapMirror é convertido para RW, o ARP no volume de destino deve ser explicitamente habilitado no modo de aprendizagem após a conversão.
ARP e máquinas virtuais
O ARP é compatível com máquinas virtuais (VMs) em VMware, Hyper-V, KVM e OpenStack. O VMware é compatível a partir do ONTAP 9.17.1, e Hyper-V, KVM e OpenStack são compatíveis a partir do ONTAP 9.17.1P5. A detecção de ARP se comporta de maneira diferente para alterações dentro e fora da VM. O ARP não é recomendado para cargas de trabalho que envolvam um grande número de arquivos altamente compactados (como 7z e ZIP) ou arquivos criptografados (como PDF, DOC ou ZIP protegidos por senha) dentro da VM.
O ARP pode detectar alterações na extensão de arquivo em um volume NFS fora da VM se uma nova extensão entrar no volume em um estado criptografado ou se uma extensão de arquivo for alterada.
Se um ataque de ransomware alterar arquivos dentro da VM sem fazer alterações fora dela, o ARP detectará a ameaça se a entropia padrão da VM for baixa (por exemplo, arquivos .txt, .docx ou .mp4). Para o ONTAP 9.16.1 e versões anteriores, o ARP cria um snapshot de proteção nesse cenário, mas não gera um alerta de ameaça porque as extensões de arquivo fora da VM não foram adulteradas. A partir do suporte a SAN no ONTAP 9.17.1, o ARP também gera um alerta de ameaça se detectar uma anomalia de entropia dentro da VM.
Se, por padrão, os arquivos forem de alta entropia (por exemplo, .gzip ou arquivos protegidos por senha), os recursos de detecção do ARP serão limitados. O ARP ainda pode tirar snapshots proativos neste caso; no entanto, nenhum alerta será acionado se as extensões dos arquivos não tiverem sido adulteradas externamente.
Para SAN, o ARP analisa estatísticas de entropia no nível de volume e aciona detecções quando uma anomalia de entropia é encontrada.
|
|
A detecção de ataques que ocorrem dentro de uma máquina virtual está disponível apenas para volumes FlexVol e não está disponível se o armazenamento de dados da máquina virtual estiver configurado em um volume FlexGroup no ONTAP 9.18.1 e versões posteriores. |
Configurações não suportadas
O ARP não é suportado em ambientes ONTAP S3.
O ARP não suporta as seguintes configurações de volume:
-
Volumes FlexGroup (no ONTAP 9.10.1 a 9.12.1).
A partir da ONTAP 9.13.1 até a 9.17.1, os volumes FlexGroup são suportados, mas estão limitados ao modelo ARP utilizado antes do ARP/AI. Os volumes FlexGroup são suportados com ARP/AI a partir do ONTAP 9.18.1. -
Volumes FlexCache (ARP é suportado em volumes FlexVol de origem, mas não em volumes de cache)
-
Volumes offline
-
Volumes SnapLock
-
SnapMirror active sync no ONTAP 9.18.1 e versões anteriores
-
SnapMirror active sync (NAS) no ONTAP 9.19.1 RC
-
SnapMirror síncrono no ONTAP 9.18.1 e versões anteriores
-
SnapMirror assíncrono (no ONTAP 9.10.1 e 9.11.1). O SnapMirror assíncrono é suportado a partir do ONTAP 9.12.1. Para mais informações, consulte [SnapMirror] .
-
Volumes restritos
-
Volumes raiz de VMs de storage
-
Volumes de VMs de storage interrompidas
-
FlexVol para FlexGroup conversão (o ARP deve ser desativado antes da conversão)
Considerações sobre desempenho e frequência ARP
O ARP pode ter um impacto mínimo no desempenho do sistema, medido em taxa de transferência e IOPS de pico. O impacto do recurso ARP depende da carga de trabalho do volume específico. Para cargas de trabalho comuns, os seguintes limites de configuração são recomendados:
| Características do workload | Limite de volume recomendado por nó | Degradação de desempenho quando o limite de volume por nó é excedido 1 |
|---|---|---|
Leitura intensiva ou os dados podem ser compactados |
150 |
4% do máximo de IOPS |
Gravação intensiva e os dados não podem ser compactados |
60 |
|
1 O desempenho do sistema não é degradado além dessas porcentagens, independentemente do número de volumes adicionados além dos limites recomendados.
Como a análise de ARP é executada em uma sequência priorizada, ela é executada em cada volume com menos frequência à medida que o número de volumes protegidos aumenta.
|
|
Habilitar o ARP por padrão em um grande número de novos volumes pode aumentar o uso de recursos do sistema. Considere as demandas de espaço para processos concorrentes, como snapshots, ao habilitar o ARP em volumes. |
Limites de volume para ARP por plataforma
A partir do ONTAP 9.18.1, o ARP suporta limites de volume aumentados com base no tipo de plataforma e na contagem de núcleos de CPU.
| Tipo de plataforma | Máximo de volumes habilitados para ARP por nó |
|---|---|
Baixo custo (sistemas com até 20 núcleos de CPU) |
250 |
Médio (sistemas com até 64 núcleos de CPU) |
500 |
High-end (sistemas com mais de 64 núcleos de CPU) |
1000 |
|
|
A contagem de núcleos de CPU se aplica a cada nó individual em um par de HA. |
Verificação multi-admin com volumes protegidos com ARP
A partir do ONTAP 9.13,1, você pode ativar a verificação multi-admin (MAV) para segurança adicional com o ARP. O MAV garante que pelo menos dois ou mais administradores autenticados sejam necessários para desativar o ARP, pausar o ARP ou marcar um ataque suspeito como falso positivo em um volume protegido. Aprenda a "Ativar MAV para volumes protegidos por ARP".
Você precisa definir administradores para um grupo MAV e criar regras MAV para os security anti-ransomware volume disable comandos , security anti-ransomware volume pause e security anti-ransomware volume attack clear-suspect ARP que deseja proteger. Cada administrador no grupo MAV deve aprovar cada nova solicitação de regra e "Adicione a regra MAV novamente" dentro das configurações MAV.
Saiba mais sobre security anti-ransomware volume disable`o , `security anti-ransomware volume pause e security anti-ransomware volume attack clear-suspect no "Referência do comando ONTAP".
A partir do ONTAP 9.14.1, o ARP oferece alertas para a criação de um snapshot ARP e para a observação de uma nova extensão de arquivo. Os alertas para esses eventos são desabilitados por padrão. Os alertas podem ser definidos no nível do volume ou do SVM. Você pode habilitar os alertas usando security anti-ransomware vserver event-log modify ou no nível de volume com security anti-ransomware volume event-log modify .
Saiba mais sobre security anti-ransomware vserver event-log modify e security anti-ransomware volume event-log modify no "Referência do comando ONTAP".