网络保险库常见问题解答
建议更改
PDF
此常见问题解答适用于NetApp客户和合作伙伴。它回答了有关 NetApp 基于ONTAP的网络保险库参考架构的常见问题。
什么是NetApp网络保险库?
网络保险库是一种特定的数据保护技术,涉及将数据存储在与主要 IT 基础设施分开的隔离环境中。
网络保险库是一个“隔离的”、不可变的、不可磨灭的数据存储库,可以免受影响主要数据的威胁,例如恶意软件、勒索软件或内部威胁。可以使用不可变的NetApp ONTAP Snapshot 副本实现网络保险库,并使用NetApp SnapLock Compliance使其不可磨灭。在SnapLock Compliance保护下,数据无法被修改或删除,即使是ONTAP管理员或NetApp支持人员也无法修改或删除。
使用传统方法的气隙备份涉及创建空间并物理分离主媒体和辅助媒体。网络保险库的气隙隔离包括使用标准数据访问网络之外的单独数据复制网络将 Snapshot 副本复制到不可磨灭的目的地。
除了隔离网络之外,进一步的措施还包括在不需要时禁用网络保险库上的所有数据访问和复制协议。这可以防止目标站点的数据访问或数据泄露。有了SnapLock Compliance,就不需要物理分离。 SnapLock Compliance可保护您存储的、时间点的、只读的 Snapshot 副本,从而实现快速数据恢复,确保数据不会被删除且不可改变。
NetApp 的网络保险库方法
NetApp网络保险库由SnapLock提供支持,为组织提供全面而灵活的解决方案来保护其最关键的数据资产。通过利用ONTAP中的强化技术, NetApp使您能够创建一个安全、隔离且气隙封闭的网络保险库,以抵御不断演变的网络威胁。借助NetApp,您可以确保数据的机密性、完整性和可用性,同时保持存储基础架构的灵活性和效率。
NetApp网络保险库参考架构的主要功能包括:
-
安全、独立的存储基础设施(例如,隔离存储系统)
-
您的数据的备份是不可改变且不可消除的
-
严格且独立的访问控制、多管理员验证和多因素身份验证
-
快速数据恢复能力
网络保险库常见问题解答
cyber vault 是NetApp的产品吗?
不,“网络保险库”是一个行业通用的术语。 NetApp创建了一个参考架构,使客户可以轻松构建自己的网络保险库,并利用数十种ONTAP安全功能来帮助保护他们的数据免受网络威胁。更多信息请访问"ONTAP文档站点"。
NetApp的网络保险库是否只是 LockVault 或SnapVault的另一个名称?
LockVault 是Data ONTAP 7 模式的一项功能,在当前版本的ONTAP中不可用。
SnapVault是一个遗留术语,指的是现在通过 SnapMirror 的保险库策略实现的功能。此策略允许目标保留与源卷不同数量的 Snapshot 副本。
Cyber vault 将SnapMirror与保险库策略和SnapLock Compliance结合使用,以创建不可变且不可消除的数据副本。
我可以将哪种NetApp硬件用于网络保险库、 FAS、容量闪存或性能闪存?
此网络保险库参考架构适用于整个ONTAP硬件产品组合。客户可以使用AFF A 系列、 AFF C 系列或FAS平台作为保险库。基于闪存的平台将提供最快的恢复时间,而基于磁盘的平台将提供最具成本效益的解决方案。根据要恢复的数据量以及是否同时进行多个恢复,使用基于磁盘的系统(FAS)可能需要几天到几周才能完成。请咨询NetApp或合作伙伴代表,以适当调整网络保险库解决方案的规模来满足业务需求。
我可以使用Cloud Volumes ONTAP作为网络保险库源吗?
是的,但是使用 CVO 作为源需要将数据复制到本地网络保险库目标,因为SnapLock Compliance是ONTAP网络保险库的要求。从基于超大规模的 CVO 实例进行数据复制可能会产生出口费用。
我可以使用Cloud Volumes ONTAP作为网络保险库目标吗?
Cyber Vault 架构依赖于 ONTAP 的SnapLock Compliance 的不可磨灭性,专为本地实施而设计。基于云的 Cyber Vault 架构正在接受调查,以供将来发布。
我可以使用ONTAP Select作为网络保险库源吗?
是的, ONTAP Select可以用作基于本地硬件的网络保险库目标的源。
我可以使用ONTAP Select作为网络保险库目标吗?
不可以, ONTAP Select不应用作网络保险库目标,因为它不具备使用SnapLock Compliance 的能力。
NetApp的网络保险库是否仅使用SnapMirror?
不是, NetApp网络保险库架构利用许多ONTAP功能来创建安全、隔离、隔离和强化的数据副本。有关可使用哪些附加技术的更多信息,请参阅下一个问题。
网络保险库是否使用了其他技术或配置?
NetApp网络保险库的基础是SnapMirror和SnapLock Compliance,但使用其他ONTAP功能(如防篡改 Snapshot 副本、多因素身份验证 (MFA)、多管理员验证、基于角色的访问控制以及远程和本地审计日志记录)可提高数据的安全性。
对于网络保险库来说, ONTAP Snapshot 副本为何比其他副本更胜一筹?
ONTAP Snapshot 副本默认是不可变的,并且可以通过SnapLock Compliance使其不可消除。甚至NetApp支持也无法删除SnapLock Snapshot 副本。更好的问题是,是什么让NetApp网络保险库比业内其他网络保险库更好。首先, ONTAP是地球上最安全的存储,并已获得 CSfC 验证,可以在硬件和软件层静态存储机密和绝密数据。更多信息"CSfC 可在此处找到"。此外, ONTAP可以在存储层进行隔离,由网络保险库系统控制复制,从而可以在网络保险库网络内创建隔离。
网络保险库上的卷可以使用ONTAP Fabric 池吗?
不可以,无论策略如何,网络保险库卷(SnapLock Compliance SnapMirror目标)都不能使用 Fabric Pool 进行分层。
|
在多种情况下,Fabric 池不能与网络保险库一起使用。 |
-
Fabric Pool 冷层*不能*使用网络保险库集群。这是因为启用 S3 协议会使网络保险库参考架构的安全性失效。此外,用于 Fabric 池的 S3 存储桶无法受到保护。
-
由于数据被锁定在卷中,因此网络保险库上的SnapLock Compliance卷*不能*分层到 S3 存储桶。
ONTAP S3 Worm 可以在网络保险库中使用吗?
不,S3 是一种数据访问协议,它使参考架构的安全性无效。
NetApp Cyber Vault 是否在不同的ONTAP个性或配置文件上运行?
不,这是一个参考架构。客户可以使用"参考架构"并建立一个网络保险库,或者可以使用"用于创建、强化和验证的 PowerShell 脚本"网络保险库。
我可以在网络保险库中打开 NFS、SMB 和 S3 等数据协议吗?
默认情况下,应禁用网络保险库上的数据协议以确保其安全。但是,可以在网络保险库上启用数据协议来访问数据以进行恢复或在需要时访问数据。这应该是临时进行的,并在恢复完成后禁用。
您可以将现有的SnapVault环境转换为网络保险库吗?还是需要重新播种所有内容?
是可以采用一个作为SnapMirror目标的系统(具有保管库策略),禁用数据协议,并根据"ONTAP强化指南",将其隔离在安全的位置,并按照参考架构中的其他程序使其成为网络保险库,而无需重新播种目的地。
*还有其他问题吗?*请发送电子邮件至 ng-cyber-vault@netapp.com 并提出您的问题!我们将回复您的问题并将其添加到常见问题解答中。