Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用NetApp勒索软件恢复保护策略保护工作负载

贡献者 amgrissino netapp-ahibbard
PDF

您可以通过在NetApp Ransomware Resilience 中启用工作负载一致性保护或创建勒索软件保护策略来保护工作负载免受勒索软件攻击。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

了解勒索软件防护策略

勒索软件保护策略包括_检测_和_保护_策略。

  • 检测策略检测勒索软件威胁并选择性地阻止可疑文件扩展名。

  • 保护策略包括快照和备份策略。保护策略中需要检测和快照策略。备份策略是可选的。

    如果您使用其他NetApp产品来保护您的工作负载,勒索软件恢复能力会发现这些产品并提供以下选项:

    • 使用勒索软件检测策略并继续使用其他NetApp工具创建的快照和备份策略,或者

    • 使用勒索软件弹性来管理检测、快照和备份。

提示 为了增强对数据资产的管理和保护,您可以创建"群组文件共享"通过一种策略来集体保护卷。

与其他NetApp托管服务结合的保护策略

除了勒索软件恢复能力之外,还可以使用以下服务来管理保护:

  • NetApp文件共享备份和恢复、VM 文件共享

  • SnapCenter for VMware 适用于虚拟机数据存储区

  • 适用于 Oracle 和 MySQL 的SnapCenter

这些服务的保护信息出现在 Ransomware Resilience 中。您可以使用 Ransomware Resilience 向这些服务添加检测策略。添加具有勒索软件恢复能力的保护策略将取代现有的保护策略。

如果勒索软件检测策略由ONTAP中的自主勒索软件防护(ARP 或 ARP/AI,取决于ONTAP版本)和 FPolicy 管理,则这些工作负载将受到保护并将继续由 ARP 和 FPolicy 管理。

备注 Amazon FSx for NetApp ONTAP中的工作负载没有可用的备份目标。使用 FSx for ONTAP备份服务执行备份操作。您为 AWS 中的 FSx for ONTAP中的工作负载设置备份策略,而不是在 Ransomware Resilience 中设置。备份策略出现在 Ransomware Resilience 中,与 AWS 保持不变。

针对不受NetApp应用程序保护的工作负载的保护策略

如果您的工作负载不是由备份和恢复、勒索软件恢复、 SnapCenter或SnapCenter Plug-in for VMware vSphere管理的,则它可能具有作为ONTAP或其他产品的一部分拍摄的快照。如果ONTAP FPolicy 保护已到位,则可以使用ONTAP更改 FPolicy 保护。

查看工作负载上的勒索软件保护

保护工作负载的第一步是查看当前工作负载及其保护状态。您可以看到以下类型的工作负载:

  • 应用程序工作负载

  • 阻止工作负载

  • 文件共享工作负载

  • 虚拟机工作负载

步骤

  1. 从控制台左侧导航中,选择*保护*>*勒索软件恢复*。

  2. 执行以下操作之一:

    • 从仪表板上的数据保护窗格中,选择“查看全部”。

    • 从菜单中选择*保护*。

      保护页面

  3. 在此页面中,您可以查看和更改工作负载的保护详细信息。

备注 "添加勒索软件防护策略"了解在存在SnapCenter或备份和恢复的现有保护策略的情况下使用勒索软件恢复能力的情况。

了解保护页面

保护页面显示有关工作负载保护的以下信息:

保护状态:工作负载可以显示以下保护状态之一,以指示是否应用了策略:

  • 受保护:已应用策略。与工作负载相关的所有卷上均启用了 ARP(或 ARP/AI,取决于ONTAP版本)。

  • 存在风险:未应用任何政策。如果工作负载没有启用主要检测策略,那么即使启用了快照和备份策略,它仍然“处于危险之中”。

  • 进行中:政策正在应用但尚未完成。

  • 失败:策略已应用但不起作用。

检测状态:工作负载可以具有以下勒索软件检测状态之一:

  • 学习:最近为工作负载分配了勒索软件检测策略,并且勒索软件恢复正在扫描工作负载。

  • 主动:已分配勒索软件检测保护策略。

  • 未设置:未分配勒索软件检测保护策略。

  • 错误:已分配勒索软件检测策略,但勒索软件恢复遇到错误。

    提示 当在勒索软件恢复中启用保护时,勒索软件检测策略状态从学习模式变为主动模式后,警报检测和报告开始。

检测策略:如果已分配勒索软件检测策略,则会显示其名称。如果尚未分配检测策略,则会显示“N/A”。

快照和备份策略:此列显示应用于工作负载的快照和备份策略以及管理这些策略的产品或服务。

  • 由SnapCenter管理

  • 由适用于SnapCenter Plug-in for VMware vSphere管理

  • 由备份和恢复管理

  • 管理快照和备份的勒索软件保护策略的名称

工作量的重要性

勒索软件恢复能力根据对每个工作负载的分析,在发现过程中为每个工作负载分配重要性或优先级。工作负载重要性由以下快照频率决定:

  • 严重:每小时拍摄的快照副本超过 1 个(高度激进的保护计划)

  • 重要:每小时拍摄的快照副本少于 1 个,但每天拍摄的快照副本多于 1 个

  • 标准:每天拍摄的快照副本超过 1 个

预定义检测策略

您可以选择以下勒索软件恢复预定义策略之一,这些策略与工作负载重要性相一致:

政策层面 Snapshot 频率 保留时间(天) 快照副本数量 快照副本总数上限

关键工作量政策

每刻钟

每15分钟

3

288

309

每日

每 1 天

14

14

309

每周

每 1 周

35

5

309

每月

每 30 天

60

2

309

重要的工作量政策

每刻钟

每30分钟一班

3

144

165

每日

每 1 天

14

14

165

每周

每 1 周

35

5

165

每月

每 30 天

60

2

165

标准工作量政策

每刻钟

每30分钟

3

72

93

每日

每 1 天

14

14

93

每周

每 1 周

35

5

93

每月

每 30 天

60

2

93

使用SnapCenter实现应用程序或虚拟机一致的保护

启用应用程序或虚拟机一致性保护可帮助您以一致的方式保护应用程序或虚拟机工作负载,实现静止和一致的状态,以避免以后需要恢复时发生潜在的数据丢失。

此过程启动使用备份和恢复为应用程序注册SnapCenter软件服务器或SnapCenter Plug-in for VMware vSphere。

启用工作负载一致性保护后,您可以在勒索软件恢复中管理保护策略。保护策略包括在其他地方管理的快照和备份策略以及在勒索软件恢复中管理的勒索软件检测策略。

要了解如何使用备份和恢复注册适用于 VMware vSphere 的SnapCenter或SnapCenter Plug-in for VMware vSphere,请参阅以下信息:

步骤

  1. 从勒索软件恢复菜单中,选择*仪表板*。

  2. 从“建议”窗格中,找到以下建议之一并选择“审阅并修复”:

    • 使用NetApp控制台注册可用的SnapCenter服务器

    • 使用NetApp控制台注册适用SnapCenter Plug-in for VMware vSphere(SCV)

  3. 按照信息使用备份和恢复为 VMware vSphere 主机注册SnapCenter或SnapCenter Plug-in for VMware vSphere。

  4. 返回勒索软件恢复能力。

  5. 从勒索软件恢复力导航到仪表板并再次启动发现过程。

  6. 从勒索软件恢复中,选择“保护”以查看“保护”页面。

  7. 查看“保护”页面上的快照和备份策略列中的详细信息,以了解这些策略是否在其他地方进行管理。

添加勒索软件防护策略

添加勒索软件保护策略有三种方法:

  • 如果您没有快照或备份策略,请创建勒索软件保护策略。

    勒索软件防护策略包括:

    • Snapshot 策略

    • 勒索软件检测政策

    • 备份策略

  • 用勒索软件恢复管理的保护策略替换SnapCenter或备份和恢复保护中的现有快照或备份策略。

    勒索软件防护策略包括:

    • Snapshot 策略

    • 勒索软件检测政策

    • 备份策略

  • 使用其他NetApp产品或服务中管理的现有快照和备份策略为工作负载创建检测策略。

    检测策略不会改变其他产品中管理的策略。

    如果已在其他服务中激活了自主勒索软件保护和 FPolicy 保护,则检测策略将启用它们。详细了解"自主勒索软件防护""备份和恢复" , 和"ONTAP FPolicy"

创建勒索软件保护策略(如果您没有快照或备份策略)

如果工作负载上不存在快照或备份策略,您可以创建勒索软件保护策略,其中可以包括您在勒索软件恢复中创建的以下策略:

  • Snapshot 策略

  • 备份策略

  • 勒索软件检测政策

创建勒索软件保护策略的步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择一个工作负载,然后选择“保护”。

    管理策略

  3. 在勒索软件防护策略页面中,选择*添加*。

    添加显示快照部分的策略页面

  4. 输入新的策略名称,或输入现有名称进行复制。如果您输入的是现有名称,请选择要复制的名称并选择*复制*。

    备注 如果您选择复制并修改现有策略,Ransomware Resilience 会在原始名称后附加“_copy”。您应该更改名称和至少一个设置以使其唯一。

  5. 对于每个项目,选择*向下箭头*。

    • 检测政策

      • 策略:选择预先设计的检测策略之一。

      • 主要检测:启用勒索软件检测,让勒索软件恢复能力检测潜在的勒索软件攻击。

      • 可疑用户行为检测:启用用户行为检测,将用户活动事件传输到勒索软件恢复能力并检测可疑事件,例如数据泄露。

      • 阻止文件扩展名:启用此功能可让勒索软件恢复功能阻止已知的可疑文件扩展名。当启用主要检测时,勒索软件恢复能力会自动获取快照副本。

        如果您想更改被阻止的文件扩展名,请在系统管理器中编辑它们。

    • 快照策略

      • 快照策略基础名称:选择一个策略或选择*创建*并输入快照策略的名称。

      • 快照锁定:启用此功能可锁定主存储上的快照副本,以便即使勒索软件攻击进入备份存储目标,它们在一定时间内也无法被修改或删除。这也称为_不可变存储_。这使得恢复时间更快。

        当快照被锁定时,卷的过期时间设置为快照副本的过期时间。

      Snapshot 副本锁定适用于ONTAP 9.12.1 及更高版本。要了解有关SnapLock 的更多信息,请参阅 "ONTAP中的SnapLock"

      • 快照计划:选择计划选项、要保留的快照副本数量,然后选择启用计划。

    • 备份策略

      • 备份策略基本名称:输入新名称或选择现有名称。

      • 备份计划:选择二级存储的计划选项并启用该计划。

    提示 要在辅助存储上启用备份锁定,请使用*设置*选项配置备份目标。有关详细信息,请参阅"配置设置"

  6. 选择“添加”。

将检测策略添加到具有由SnapCenter或备份和恢复管理的现有快照和备份策略的工作负载

勒索软件恢复能力使您能够为在其他NetApp产品或服务中管理的现有快照和备份保护的工作负载分配检测策略或保护策略。其他服务(例如备份和恢复和SnapCenter)使用管理快照、复制到二级存储或备份到对象存储的策略。

向具有现有备份或快照策略的工作负载添加检测策略

如果您已有带有备份和恢复或SnapCenter 的快照或备份策略,则可以添加策略来检测勒索软件攻击。要使用 Ransomware Resilience 管理保护和检测,请参阅利用勒索软件抵御能力进行保护

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择一个工作负载,然后选择“保护”。

  3. 勒索软件恢复能力检测是否存在活动的SnapCenter或备份和恢复策略。

  4. 要保留现有的备份和恢复或SnapCenter策略并仅应用_检测_策略,请取消选中替换现有策略框。

  5. 要查看SnapCenter策略的详细信息,请选择*向下箭头*。

    选择检测策略,然后选择保护

  6. 在“保护”页面上,查看检测状态以确认检测处于活动状态。

用勒索软件保护策略替换现有的备份或快照策略

您可以用勒索软件保护策略替换现有的备份或快照策略。这种方法会删除外部管理的保护,并在勒索软件恢复中配置检测和保护。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择一个工作负载,然后选择“保护”。

  3. 勒索软件恢复能力检测是否存在现有的活动备份和恢复或SnapCenter策略。要替换现有的备份和恢复或SnapCenter策略,请选中“替换现有策略”框。当您选中该框时,勒索软件恢复力会用检测策略替换检测策略列表。

  4. 选择保护策略。如果不存在保护策略,请选择添加来创建新策略。有关创建策略的信息,请参阅创建保护策略。选择下一步

  5. 选择备份目标或创建一个新的备份目标。选择下一步

  6. 查看新的保护策略,然后选择保护来应用它。

  7. 在“保护”页面上,查看检测状态以确认检测处于活动状态。

分配不同的策略

您可以用其他策略替换现有策略。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面的工作负载行上,选择“编辑保护”。

  3. 如果工作负载具有您想要维护的现有备份和恢复或SnapCenter策略,请取消选中“替换现有策略”。要替换现有策略,请选中替换现有策略

  4. 在“策略”页面中,选择要分配的策略的向下箭头以查看详细信息。

  5. 选择您想要分配的策略。

  6. 选择*保护*以完成更改。

分组文件共享,更易于保护

将文件共享分组到保护组中可以更轻松地保护您的数据资产。勒索软件恢复能力可以同时保护组中的所有卷,而不是单独保护每个卷。

您可以创建组,而不管其保护状态如何(即不受保护的组和受保护的组)。当您将保护策略添加到保护组时,新的保护策略将替换任何现有策略,包括由SnapCenter和NetApp Backup and Recovery 管理的策略。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择“保护组”选项卡。

    保护组页面

  3. 选择“添加”。

    添加保护组页面

  4. 输入保护组的名称。

  5. 选择要添加到组中的工作负载。

    提示 要查看有关工作负载的更多详细信息,请滚动到右侧。

  6. 选择“下一步”。

    添加保护组 - 策略页面

  7. 选择策略来管理该组的保护。

  8. 选择“下一步”。

  9. 检查保护组的选择。

  10. 选择“添加”。

编辑组保护

您可以更改现有组的检测策略。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“保护组”选项卡,然后选择要修改其策略的组。

  3. 从保护组的概览页面中,选择“编辑保护”。

  4. 选择要应用的现有保护策略或选择添加以创建新的保护策略。有关添加保护策略的更多信息,请参阅创建保护策略。然后选择保存

  5. 在备份目标概览中,选择现有的备份目标或添加新的备份目标

  6. 选择下一步来查看您的更改。

从组中删除工作负载

您可能稍后需要从现有组中删除工作负载。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“保护组”选项卡。

  3. 选择要从中删除一个或多个工作负载的组。

    保护组详细信息页面

  4. 在选定的保护组页面中,选择要从组中删除的工作负载,然后选择“操作”操作按钮选项。

  5. 从“操作”菜单中,选择“删除工作负载”。

  6. 确认您要删除工作负载并选择*删除*。

删除保护组

删除保护组会删除该组及其保护,但不会删除单个工作负载。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“保护组”选项卡。

  3. 选择要从中删除一个或多个工作负载的组。

    保护组详细信息页面

  4. 在选定的保护组页面的右上角,选择“删除保护组”。

  5. 确认您要删除该组并选择*删除*。

管理勒索软件防护策略

您可以删除勒索软件策略。

查看受勒索软件保护策略保护的工作负载

在删除勒索软件保护策略之前,您可能需要查看哪些工作负载受该策略保护。

您可以从策略列表中或在编辑特定策略时查看工作负载。

查看策略列表的步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“管理保护策略”。

    勒索软件防护策略页面显示策略列表。

    勒索软件保护策略屏幕显示策略列表

  3. 在“勒索软件保护策略”页面的“受保护的工作负载”列中,选择行末的向下箭头。

删除勒索软件防护策略

您可以删除当前未与任何工作负载关联的保护策略。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“管理保护策略”。

  3. 在“管理策略”页面中,选择“操作”操作按钮您想要删除的策略的选项。

  4. 从操作菜单中,选择*删除策略*。