Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Bloqueie um snapshot ONTAP para proteção contra ataques de ransomware

Colaboradores netapp-lenida netapp-aaron-holt netapp-dbagwell netapp-aherbin johnlantz netapp-ahibbard netapp-mwallis
PDFs

A partir do ONTAP 9.12.1, você pode bloquear um snapshot em um volume que não é SnapLock a fim de proteger contra ataques de ransomware. Bloquear instantâneos garante que eles não podem ser excluídos acidentalmente ou maliciosamente.

Você usa o recurso SnapLock Compliance clock para bloquear snapshots por um período especificado, de modo que eles não possam ser excluídos até que o tempo de expiração seja atingido. O bloqueio de snapshots torna-os invioláveis, protegendo-os contra ameaças de ransomware. Use snapshots bloqueados para recuperar dados se um volume for comprometido por um ataque de ransomware.

A partir do ONTAP 9.14.1, o bloqueio de snapshot é compatível com snapshots de retenção de longo prazo nos destinos de cofre do SnapLock e em volumes de destino que não sejam da SnapLock SnapMirror. O bloqueio de instantâneos é ativado definindo o período de retenção usando regras de política do SnapMirror associadas a um etiqueta de política existente. A regra substitui o período de retenção padrão definido no volume. Se não houver período de retenção associado ao rótulo SnapMirror, o período de retenção padrão do volume será usado.

Requisitos e considerações de snapshot à prova de violações

  • Se você estiver usando a CLI do ONTAP, todos os nós do cluster devem estar executando o ONTAP 9.12,1 ou posterior. Se você estiver usando o Gerenciador de sistema, todos os nós devem estar executando o ONTAP 9.13,1 ou posterior.

  • "A licença SnapLock deve ser instalada no cluster". Esta licença está incluída no "ONTAP One".

  • "O relógio de conformidade no cluster deve ser inicializado".

  • Quando o bloqueio de snapshot está ativado em um volume, é possível atualizar os clusters para uma versão do ONTAP posterior ao ONTAP 9.12.1. No entanto, não é possível reverter para uma versão anterior do ONTAP até que todos os snapshots bloqueados tenham atingido a data de expiração e sejam excluídos e o bloqueio de snapshot seja desativado.

  • Quando um instantâneo é bloqueado, o tempo de expiração do volume é definido para o tempo de expiração do instantâneo. Se mais de um snapshot estiver bloqueado, o tempo de expiração do volume refletirá o maior tempo de expiração entre todos os snapshots.

  • O período de retenção para instantâneos bloqueados tem precedência sobre a contagem de manutenção de instantâneos, o que significa que o limite de contagem de manter não é honrado se o período de retenção de instantâneos para instantâneos bloqueados não tiver expirado.

  • Em um relacionamento do SnapMirror, você pode definir um período de retenção em uma regra de política de cofre de espelho e o período de retenção é aplicado para snapshots replicados no destino se o volume de destino tiver o bloqueio de snapshot ativado. O período de retenção tem precedência sobre a contagem de manutenção; por exemplo, os instantâneos que não passaram a expiração serão retidos mesmo se a contagem de manutenção for excedida.

  • Você pode renomear um instantâneo em um volume que não seja SnapLock. As operações de renomeação de snapshot no volume primário de uma relação de SnapMirror são refletidas no volume secundário somente se a política for EspelrorAllinstantâneos. Para outros tipos de diretiva, o instantâneo renomeado não é propagado durante as atualizações.

  • Se você estiver usando a CLI do ONTAP, você poderá restaurar um snapshot bloqueado com o volume snapshot restore comando somente se o snapshot bloqueado for o mais recente. Se houver instantâneos não expirados depois do que o que está sendo restaurado, a operação de restauração de snapshot falhará.

Recursos compatíveis com snapshots à prova de violações

  • "Cloud Volumes ONTAP"

  • Volumes FlexGroup

    O bloqueio de snapshot é compatível com volumes FlexGroup. O bloqueio instantâneo ocorre apenas no instantâneo constituinte raiz. A exclusão do volume FlexGroup só é permitida se o tempo de expiração do componente raiz tiver passado.

  • Conversão de FlexVol para FlexGroup

    Você pode converter um FlexVol volume com snapshots bloqueados em um volume FlexGroup. Os instantâneos permanecem bloqueados após a conversão.

  • Assíncrono com SnapMirror

    O relógio de conformidade deve ser inicializado na origem e no destino.

  • Mobilidade de dados SVM (usada para migrar ou realocar um SVM de um cluster de origem para um cluster de destino)

    Suportado a partir de ONTAP 9.14,1.

  • Regras de política do SnapMirror usando o -schedule parâmetro

  • SVM DR

    O relógio de conformidade deve ser inicializado na origem e no destino.

  • Clone de volume e clone de arquivo

    É possível criar clones de volume e clones de arquivos a partir de um snapshot bloqueado.

Funcionalidades não suportadas

Os seguintes recursos atualmente não são compatíveis com snapshots à prova de violações:

  • Grupos de consistência

  • "FabricPool"

    Snapshots à prova de violações fornecem proteções imutáveis que não podem ser excluídas. Como o FabricPool requer a capacidade de excluir dados, os bloqueios FabricPool e snapshot não podem ser ativados no mesmo volume.

  • Volumes FlexCache

  • SMtape

  • Sincronização ativa do SnapMirror

  • SnapMirror síncrono

Ative o bloqueio de instantâneos ao criar um volume

A partir do ONTAP 9.12.1, é possível ativar o bloqueio de instantâneos ao criar um novo volume ou ao modificar um volume existente usando a -snapshot-locking-enabled opção com os volume create comandos e volume modify na CLI. A partir do ONTAP 9.13.1, você pode usar o Gerenciador do sistema para ativar o bloqueio de instantâneos.

System Manager

  1. Navegue até Storage > volumes e selecione Add.

  2. Na janela Adicionar volume, escolha mais opções.

  3. Introduza o nome do volume, o tamanho, a política de exportação e o nome da partilha.

  4. Selecione Ativar bloqueio instantâneo. Esta seleção não é apresentada se a licença SnapLock não estiver instalada.

  5. Se ainda não estiver ativado, selecione Inicializar Relógio SnapLock Compliance.

  6. Salve suas alterações.

  7. Na janela volumes, selecione o volume que você atualizou e escolha Visão geral.

  8. Verifique se SnapLock Snapshot Locking é exibido como Enabled.

CLI

  1. Para criar um novo volume e habilitar o bloqueio de instantâneos, digite o seguinte comando:

    volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

    O comando a seguir habilita o bloqueio instantâneo em um novo volume chamado vol1:

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted.
Do you want to continue: {yes|no}: y
[Job 32] Job succeeded: Successful

Ative o bloqueio instantâneo em um volume existente

A partir do ONTAP 9.12.1, é possível ativar o bloqueio de snapshot em um volume existente usando a CLI do ONTAP. A partir do ONTAP 9.13.1, você pode usar o Gerenciador do sistema para habilitar o bloqueio instantâneo em um volume existente.

System Manager

  1. Navegue até Storage > volumes.

  2. Selecione Ícone de opções do menu e escolha Editar > volume.

  3. Na janela Edit volume, localize a seção Snapshots (local) Settings e selecione Enable snapshot locking.

    Esta seleção não é apresentada se a licença SnapLock não estiver instalada.

  4. Se ainda não estiver ativado, selecione Inicializar Relógio SnapLock Compliance.

  5. Salve suas alterações.

  6. Na janela volumes, selecione o volume que você atualizou e escolha Visão geral.

  7. Verifique se SnapLock SnapShot Locking é exibido como Enabled.

CLI

  1. Para modificar um volume existente para habilitar o bloqueio de instantâneos, digite o seguinte comando:

    volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true

Crie uma política de snapshot bloqueado e aplique retenção

A partir do ONTAP 9.12.1, você pode criar políticas de snapshot para aplicar um período de retenção de snapshot e aplicar a política a um volume para bloquear snapshots para o período especificado. Também é possível bloquear um instantâneo definindo manualmente um período de retenção. A partir do ONTAP 9.13.1, você pode usar o Gerenciador do sistema para criar políticas de bloqueio de snapshot e aplicá-las a um volume.

Crie uma política de bloqueio de instantâneos

System Manager

  1. Navegue até Storage > Storage VMs e selecione uma VM de armazenamento.

  2. Selecione Definições.

  3. Localize políticas de instantâneos e Ícone de setaselecione .

  4. Na janela Add Snapshot Policy (Adicionar política de instantâneo*), introduza o nome da política.

  5. Adicionar íconeSelecione .

  6. Forneça os detalhes da programação do snapshot, incluindo o nome da programação, o máximo de snapshots a serem mantidos e o período de retenção do SnapLock.

  7. Na coluna período de retenção do SnapLock, insira o número de horas, dias, meses ou anos para reter os instantâneos. Por exemplo, uma política de snapshot com um período de retenção de 5 dias bloqueia um snapshot por 5 dias a partir do momento em que é criado e não pode ser excluído durante esse período. Os seguintes intervalos de período de retenção são suportados:

    • Anos: 0 - 100

    • Meses: 0 - 1200

    • Dias: 0 - 36500

    • Horário: 0h - 24H.

  8. Salve suas alterações.

CLI

  1. Para criar uma política de snapshot, digite o seguinte comando:

    volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>

    O comando a seguir cria uma política de bloqueio de snapshot:

    cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    Um snapshot não será substituído se estiver sob retenção ativa; ou seja, a contagem de retenção não será honrada se houver snapshots bloqueados que ainda não expiraram.

Aplique uma política de bloqueio a um volume

System Manager

  1. Navegue até Storage > volumes.

  2. Selecione Ícone de opções do menu e escolha Editar > volume.

  3. Na janela Editar volume, selecione Agendar instantâneos.

  4. Selecione a política de bloqueio de instantâneos a partir da lista.

  5. Se o bloqueio instantâneo ainda não estiver ativado, selecione Ativar bloqueio instantâneo.

  6. Salve suas alterações.

CLI

  1. Para aplicar uma política de bloqueio de instantâneos a um volume existente, digite o seguinte comando:

    volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>

Aplicar período de retenção durante a criação manual de instantâneos

Você pode aplicar um período de retenção de snapshot ao criar manualmente um snapshot. O bloqueio instantâneo deve estar ativado no volume; caso contrário, a definição do período de retenção é ignorada.

System Manager

  1. Navegue até Storage > volumes e selecione um volume.

  2. Na página de detalhes do volume, selecione a guia Snapshots.

  3. Adicionar íconeSelecione .

  4. Introduza o nome do instantâneo e o tempo de expiração do SnapLock. Você pode selecionar o calendário para escolher a data e a hora de expiração da retenção.

  5. Salve suas alterações.

  6. Na página volumes > instantâneos, selecione Mostrar/Ocultar e escolha tempo de expiração do SnapLock para exibir a coluna tempo de expiração do SnapLock e verificar se o tempo de retenção está definido.

CLI

  1. Para criar um instantâneo manualmente e aplicar um período de retenção de bloqueio, digite o seguinte comando:

    volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    O comando a seguir cria um novo snapshot e define o período de retenção:

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

Aplicar período de retenção a um instantâneo existente

System Manager

  1. Navegue até Storage > volumes e selecione um volume.

  2. Na página de detalhes do volume, selecione a guia Snapshots.

  3. Selecione o instantâneo, selecione Ícone de opções do menue escolha Modificar tempo de expiração do SnapLock. Você pode selecionar o calendário para escolher a data e a hora de expiração da retenção.

  4. Salve suas alterações.

  5. Na página volumes > instantâneos, selecione Mostrar/Ocultar e escolha tempo de expiração do SnapLock para exibir a coluna tempo de expiração do SnapLock e verificar se o tempo de retenção está definido.

CLI

  1. Para aplicar manualmente um período de retenção a um instantâneo existente, digite o seguinte comando:

    volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>

    O exemplo a seguir aplica um período de retenção a um instantâneo existente:

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"

Modificar uma política existente para aplicar retenção a longo prazo

Em um relacionamento do SnapMirror, você pode definir um período de retenção em uma regra de política de cofre de espelho e o período de retenção é aplicado para snapshots replicados no destino se o volume de destino tiver o bloqueio de snapshot ativado. O período de retenção tem precedência sobre a contagem de manutenção; por exemplo, os instantâneos que não passaram a expiração serão retidos mesmo se a contagem de manutenção for excedida.

A partir do ONTAP 9.14.1, é possível modificar uma política SnapMirror existente adicionando uma regra para definir a retenção de snapshots a longo prazo. A regra é usada para substituir o período de retenção de volume padrão nos destinos do Vault do SnapLock e em volumes de destino que não sejam do SnapLock SnapMirror.

  1. Adicionar uma regra a uma política SnapMirror existente:

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]

    O exemplo a seguir cria uma regra que aplica um período de retenção de 6 meses à política existente chamada "lockvault":

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"

    Saiba mais sobre snapmirror policy add-rule o "Referência do comando ONTAP"na .