O que é SnapLock
Sugerir alterações
PDFs
O SnapLock é uma solução de conformidade de alto desempenho para organizações que usam storage WORM para reter arquivos de forma não modificada para fins regulatórios e de governança.
O SnapLock ajuda a impedir a exclusão, alteração ou renomeação de dados para atender a regulamentações como SEC 17aa-4(f), HIPAA, FINRA, CFTC e GDPR. Com o SnapLock, você pode criar volumes de propósito especial nos quais arquivos podem ser armazenados e comprometidos com um estado não apagável e não gravável por um período de retenção designado ou indefinidamente. O SnapLock permite que essa retenção seja realizada no nível do arquivo por meio de protocolos padrão de arquivo aberto, como CIFS e NFS. Os protocolos de arquivos abertos compatíveis com o SnapLock são NFS (versões 2, 3 e 4) e CIFS (SMB 1,0, 2,0 e 3,0).
Com o SnapLock, você envia arquivos e cópias Snapshot para storage WORM e define períodos de retenção para dados protegidos WORM. O storage WORM do SnapLock usa a tecnologia NetApp Snapshot e pode utilizar a replicação SnapMirror e os backups SnapVault como a tecnologia base para fornecer proteção de recuperação de backup para dados. Saiba mais sobre o armazenamento WORM"Armazenamento WORM em conformidade com NetApp SnapLock - TR-4526": .
Você pode usar uma aplicação para comprometer arquivos WORM em NFS ou CIFS, ou usar o recurso de auto-commit do SnapLock para comprometer arquivos para WORM automaticamente. Você pode usar um arquivo anexado WORM para reter dados gravados de forma incremental, como informações de log. Para obter mais informações, "Use o modo de adição de volume para criar arquivos anexados WORM"consulte .
O SnapLock é compatível com métodos de proteção de dados que devem atender à maioria dos requisitos de conformidade:
-
Você pode usar o SnapLock for SnapVault para proteger cópias Snapshot WORM no storage secundário. "Armazene cópias Snapshot no WORM"Consulte .
-
Você pode usar o SnapMirror para replicar arquivos WORM para outro local geográfico para recuperação de desastres. "Espelhar arquivos WORM"Consulte .
SnapLock é um recurso baseado em licença do NetApp ONTAP. Uma única licença permite que você use o SnapLock em modo de conformidade estrita, para satisfazer mandatos externos, como a regra SEC 17a-4(f), e um modo empresarial mais solto, para atender aos regulamentos internos exigidos para a proteção de ativos digitais. As licenças SnapLock fazem parte do "ONTAP One"pacote de software.
O SnapLock é compatível com todos os sistemas AFF e FAS, bem como com o ONTAP Select. O SnapLock não é uma solução somente de software; é uma solução integrada de hardware e software. Essa distinção é importante para regulamentações WORM rígidas, como a SEC 17a-4(f), que requer uma solução integrada de hardware e software. Para obter mais informações, "SEC Orientação aos corretores-concessionários sobre a utilização de suportes de armazenamento eletrónicos"consulte .
O que você pode fazer com o SnapLock
Depois de configurar o SnapLock, você pode concluir as seguintes tarefas:
Modos SnapLock Compliance e Enterprise
Os modos SnapLock Compliance e Enterprise diferem principalmente no nível em que cada modo protege arquivos WORM:
Modo SnapLock |
Nível de proteção |
Exclusão de arquivo WORM durante a retenção |
Modo de conformidade |
No nível do disco |
Não pode ser eliminado |
Modo empresarial |
No nível do ficheiro |
Pode ser excluído pelo administrador de conformidade usando um procedimento auditado de "exclusão privilegiada" |
Após o período de retenção ter terminado, você é responsável por excluir quaisquer arquivos que você não precisa mais. Uma vez que um arquivo tenha sido comprometido com WORM, esteja em conformidade ou no modo Enterprise, ele não poderá ser modificado, mesmo depois que o período de retenção expirou.
Não é possível mover um arquivo WORM durante ou após o período de retenção. Você pode copiar um arquivo WORM, mas a cópia não reterá suas características WORM.
A tabela a seguir mostra as diferenças nos recursos suportados pelos modos SnapLock Compliance e Enterprise:
Capacidade |
SnapLock Compliance |
SnapLock Enterprise |
Ative e exclua arquivos usando exclusão privilegiada |
Não |
Sim |
Reinicializar os discos |
Não |
Sim |
Destruir agregados e volumes SnapLock durante o período de retenção |
Não |
Sim, com exceção do volume de log de auditoria do SnapLock |
Renomeie agregados ou volumes |
Não |
Sim |
Use discos que não sejam NetApp |
Não |
Sim (com "Virtualização FlexArray") |
Use o volume SnapLock para o log de auditoria |
Sim |
Sim, começando com ONTAP 9.5 |
Recursos suportados e não suportados com o SnapLock
A tabela a seguir mostra os recursos compatíveis com o modo SnapLock Compliance, o modo SnapLock Enterprise ou ambos:
Recurso |
Compatível com SnapLock Compliance |
Compatível com SnapLock Enterprise |
Grupos de consistência |
Não |
Não |
Volumes criptografados |
Sim, começando com ONTAP 9.2. Saiba mais Criptografia e SnapLocksobre o . |
Sim, começando com ONTAP 9.2. Saiba mais Criptografia e SnapLocksobre o . |
FabricPools em agregados SnapLock |
Não |
Sim, começando com ONTAP 9.8. Saiba mais FabricPool em agregados SnapLock Enterprisesobre o . |
Agregados Flash Pool |
Sim, começando com ONTAP 9.1. |
Sim, começando com ONTAP 9.1. |
FlexClone |
Você pode clonar volumes do SnapLock, mas não pode clonar arquivos em um volume do SnapLock. |
Você pode clonar volumes do SnapLock, mas não pode clonar arquivos em um volume do SnapLock. |
Volumes FlexGroup |
Sim, começando com ONTAP 9.11,1. Saiba mais [flexgroup]sobre o . |
Sim, começando com ONTAP 9.11,1. Saiba mais [flexgroup]sobre o . |
LUNs |
Não. Saiba mais sobre Suporte LUN o SnapLock. |
Não. Saiba mais sobre Suporte LUN o SnapLock. |
Configurações do MetroCluster |
Sim, começando com ONTAP 9.3. Saiba mais Suporte à MetroClustersobre o . |
Sim, começando com ONTAP 9.3. Saiba mais Suporte à MetroClustersobre o . |
Verificação multi-admin (MAV) |
Sim, começando com ONTAP 9.13,1. Saiba mais Suporte MAVsobre o . |
Sim, começando com ONTAP 9.13,1. Saiba mais Suporte MAVsobre o . |
SAN |
Não |
Não |
Single-file SnapRestore |
Não |
Sim |
Sincronização ativa do SnapMirror |
Não |
Não |
SnapRestore |
Não |
Sim |
SMTape |
Não |
Não |
SnapMirror síncrono |
Não |
Não |
SSDs |
Sim, começando com ONTAP 9.1. |
Sim, começando com ONTAP 9.1. |
Recursos de eficiência de storage |
Sim, começando com ONTAP 9.9,1. Saiba mais suporte à eficiência de storagesobre o . |
Sim, começando com ONTAP 9.9,1. Saiba mais suporte à eficiência de storagesobre o . |
FabricPool em agregados SnapLock Enterprise
FabricPools são compatíveis com agregados SnapLock Enterprise a partir de ONTAP 9.8. No entanto, sua equipe de conta precisa abrir uma solicitação de variação de produto, documentando que você entende que os dados do FabricPool dispostos em camadas em uma nuvem pública ou privada não são mais protegidos pelo SnapLock porque um administrador da nuvem pode excluir esses dados.
|
Todos os dados categorizados pelo FabricPool em uma nuvem pública ou privada não são mais protegidos pelo SnapLock porque eles podem ser excluídos por um administrador de nuvem. |
Volumes FlexGroup
O SnapLock suporta volumes FlexGroup a partir do ONTAP 9.11,1; no entanto, os seguintes recursos não são suportados:
-
Guarda legal
-
Retenção baseada em evento
-
SnapLock para SnapVault (suportado a partir do ONTAP 9.12,1)
Você também deve estar ciente dos seguintes comportamentos:
-
O relógio de conformidade de volume (VCC) de um volume FlexGroup é determinado pelo VCC do componente raiz. Todos os constituintes não-raiz terão seu VCC estreitamente sincronizado com o VCC raiz.
-
As propriedades de configuração do SnapLock são definidas apenas no FlexGroup como um todo. Os constituintes individuais não podem ter propriedades de configuração diferentes, como o tempo de retenção padrão e o período de confirmação automática.
Suporte LUN
Os LUNs são compatíveis com volumes SnapLock somente em cenários em que as cópias Snapshot criadas em um volume que não seja SnapLock são transferidas para um volume SnapLock para proteção como parte da relação de cofre do SnapLock. LUNs não são compatíveis com volumes SnapLock de leitura/gravação. No entanto, as cópias Snapshot à prova de violações são compatíveis com volumes de origem e volumes de destino do SnapMirror que contêm LUNs.
Suporte à MetroCluster
O suporte a SnapLock nas configurações do MetroCluster difere entre o modo SnapLock Compliance e o modo SnapLock Enterprise.
-
A partir do ONTAP 9.3, o SnapLock Compliance é compatível com agregados MetroCluster sem espelhamento.
-
A partir do ONTAP 9.3, o SnapLock Compliance é compatível com agregados espelhados, mas somente se o agregado for usado para hospedar volumes de log de auditoria do SnapLock.
-
As configurações de SnapLock específicas do SVM podem ser replicadas para locais primários e secundários usando o MetroCluster.
-
A partir do ONTAP 9, os agregados SnapLock Enterprise são compatíveis.
-
A partir do ONTAP 9.3, os agregados SnapLock Enterprise com exclusão privilegiada são suportados.
-
As configurações de SnapLock específicas da SVM podem ser replicadas para ambos os locais usando o MetroCluster.
As configurações do MetroCluster usam dois mecanismos de relógio de conformidade, o Relógio de conformidade de volume (VCC) e o Relógio de conformidade do sistema (SCC). O VCC e o SCC estão disponíveis para todas as configurações do SnapLock. Quando você cria um novo volume em um nó, seu VCC é inicializado com o valor atual do SCC nesse nó. Depois que o volume é criado, o volume e o tempo de retenção do arquivo são sempre rastreados com o VCC.
Quando um volume é replicado para outro local, seu VCC também é replicado. Quando ocorre uma mudança de volume, do local A ao local B, por exemplo, o VCC continua a ser atualizado no local B, enquanto o SCC no local A pára quando o local A fica offline.
Quando o local A é colocado de volta online e o retorno de volume é executado, o relógio do local A SCC é reiniciado enquanto o VCC do volume continua a ser atualizado. Como o VCC é atualizado continuamente, independentemente das operações de comutação e switchback, os tempos de retenção de arquivos não dependem dos relógios SCC e não se esticam.
Suporte a verificação multi-admin (MAV)
A partir do ONTAP 9.13,1, um administrador de cluster pode ativar explicitamente a verificação de vários administradores em um cluster para exigir aprovação de quorum antes de algumas operações do SnapLock serem executadas. Quando o MAV está ativado, as propriedades de volume do SnapLock, como tempo de retenção padrão, tempo de retenção mínimo, tempo de retenção máximo, modo de adição de volume, período de confirmação automática e exclusão privilegiada, exigirão aprovação de quorum. Saiba mais "MAV"sobre o .
Eficiência de storage
A partir do ONTAP 9.9,1, o SnapLock é compatível com recursos de eficiência de storage, como compactação de dados, deduplicação entre volumes e compressão adaptável para volumes e agregados SnapLock. Para obter mais informações sobre eficiência de storage, "Visão geral da eficiência de storage da ONTAP"consulte .
Criptografia
A ONTAP oferece tecnologias de criptografia baseadas em software e hardware para garantir que os dados em repouso não possam ser lidos se o meio de storage for reutilizado, devolvido, extraviado ou roubado.
Isenção de responsabilidade: a NetApp não pode garantir que arquivos WORM protegidos por SnapLock em unidades ou volumes de criptografia automática serão recuperáveis se a chave de autenticação for perdida ou se o número de tentativas de autenticação falhadas exceder o limite especificado e resultar em que a unidade seja permanentemente bloqueada. Você é responsável por garantir contra falhas de autenticação.
|
|
A partir do ONTAP 9.2, os volumes criptografados são compatíveis com agregados SnapLock. |
Transição de 7 modos
Você pode migrar volumes SnapLock do modo 7 para o ONTAP usando o recurso transição baseada em cópia (CBT) da ferramenta de transição de modo 7D. O modo SnapLock do volume de destino, conformidade ou empresa deve corresponder ao modo SnapLock do volume de origem. Não é possível usar a transição livre de cópias (CFT) para migrar volumes do SnapLock.