自主勒索软件保护使用情形和注意事项
-
本文档站点的 PDF
- NAS 存储管理
单独 PDF 文档的收集
Creating your file...
从ONTAP 9.10.1开始、可为NAS工作负载提供自主关系统软件保护(ARP)。在部署ARP之前、您应了解建议的用途和支持的配置以及对性能的影响。
支持和不支持的配置
在决定使用ARP时、请务必确保卷的工作负载适合ARP并满足所需的系统配置。
合适的工作负载
ARP适用于:
-
NFS 存储上的数据库
-
Windows 或 Linux 主目录
由于用户可能会创建在学习期间未检测到扩展名的文件、因此在此工作负载中出现误报的可能性更大。
-
图像和视频
例如、医疗保健记录和电子设计自动化(Electronic Design Automation、EDA)数据
不适合的工作负载
ARP不适用于:
-
文件创建或删除频率较高的工作负载(几秒钟内即可创建数十万个文件;例如测试/开发工作负载)。
-
ARP的威胁检测取决于其识别文件创建、重命名或删除活动异常激增的能力。如果应用程序本身是文件活动的源、则无法有效地将其与勒索软件活动区分开来。
-
应用程序或主机对数据进行加密的工作负载。
ARP取决于将传入数据区分为已加密或未加密。如果应用程序本身正在对数据进行加密,则此功能的有效性将会降低。但是、该功能仍可根据文件活动(删除、覆盖或创建、或者使用新文件扩展名创建或重命名)和文件类型来工作。
支持的配置
从ONTAP 9.10.1开始、可对内部ONTAP系统中的NFS和SMB卷使用ARP。
以下ONTAP版本支持其他配置和卷类型:
ONTAP 9.15.1. | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
---|---|---|---|---|---|---|
使用SnapMirror异步保护的卷 |
✓ |
✓ |
✓ |
✓ |
||
使用SnapMirror异步保护SVM (SVM灾难恢复) |
✓ |
✓ |
✓ |
✓ |
||
SVM 数据移动性 ( |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup 卷 |
✓ |
✓ |
✓ |
|||
多管理员验证 |
✓ |
✓ |
✓ |
SnapMirror和ARP互操作性
从ARP.12.1开始、SnapMirror异步目标卷支持ONTAP 9。SnapMirror同步**不支持ARP。
如果SnapMirror源卷已启用ARP、则SnapMirror目标卷会自动获取源卷的ARP配置状态(学习、已启用等)、ARP培训数据以及ARP创建的Snapshot。无需显式启用。
虽然目标卷包含只读(Read Only、RO) Snapshot副本、但不会对其数据执行ARP处理。但是、当SnapMirror目标卷转换为读写(rw)时、将自动在RW转换的目标卷上启用ARP。除了已记录在源卷上的内容之外、目标卷不需要任何其他学习操作步骤。
在ONTAP 9.10.1和9.11.1中、SnapMirror不会将ARP配置状态、培训数据和Snapshot副本从源卷传输到目标卷。因此、在将SnapMirror目标卷转换为RW后、必须在转换后的学习模式下明确启用目标卷上的ARP。
ARP和虚拟机
虚拟机(VM)支持ARP。对于VM内部和外部的更改、ARP检测的行为有所不同。建议不要对虚拟机中具有大量熵文件的工作负载使用ARP。
如果新扩展进入加密卷、或者文件扩展名发生更改、ARP可以检测VM外部NFS卷上的文件扩展名更改。可检测到的文件扩展名更改包括:
-
vmx
-
vmxf
-
vmdk
-
-fl.vmdk
-
.NVRAM
-
.vmm
-
vms
-
vmsn
-
.vswp
-
vmss
-
.log
-
-\#.log
如果勒索软件攻击以虚拟机为目标、而虚拟机内部的文件在未在虚拟机外部进行更改的情况下发生更改、则在虚拟机的默认熵较低(例如.txt、.DOCX或.mp4文件)时、ARP会检测到威胁。在此情形下、尽管ARP会创建一个保护性Snapshot、但它不会生成威胁警报、因为虚拟机外部的文件扩展名未被篡改。
默认情况下、如果文件的熵较高(例如.gzip或受密码保护的文件)、则ARP的检测功能会受到限制。在这种情况下、ARP仍可主动创建快照;但是、如果文件扩展名未被外部篡改、则不会触发任何警报。
不支持的配置
以下系统配置不支持ARP:
-
ONTAP S3 环境
-
SAN 环境
ARP不支持以下卷配置:
-
FlexGroup卷(在ONTAP 9.10.1到9.12.1中。从ONTAP 9.131开始、支持FlexGroup卷)
-
FlexCache卷(原始FlexVol卷支持ARP、但缓存卷不支持ARP)
-
使卷脱机
-
SAN-only volumes
-
SnapLock 卷
-
SnapMirror同步
-
SnapMirror异步(仅在ONTAP 9 10.1和9.11.1中不受支持。从ONTAP 9 .12.1开始、支持SnapMirror异步。有关详细信息,请参见[snapmirror]。)
-
受限卷
-
Storage VM的根卷
-
已停止Storage VM的卷
ARP性能和频率注意事项
根据吞吐量和峰值IOPS衡量、ARP对系统性能的影响最小。ARP功能的影响取决于特定的卷工作负载。对于常见工作负载、建议遵循以下配置限制:
工作负载特征 | 每个节点的建议卷限制 | 超出每节点卷限制时性能下降传递:[*] |
---|---|---|
读取密集型数据或数据可以压缩。 |
150 |
最大IOPS的4% |
写入密集型、无法压缩数据。 |
60 |
最大IOPS的10% |
密码:[*]无论添加的卷数是否超过建议的限制、系统性能均不会超过这些百分比。
由于ARP分析按优先级顺序运行、因此随着受保护卷数量的增加、在每个卷上运行分析的频率会降低。
使用ARP保护的卷进行多管理员验证
从ONTAP 9.13.1开始、您可以使用ARP启用多管理员验证(MAV)、以提高安全性。MAV可确保至少需要两个或更多经过身份验证的管理员在受保护的卷上关闭ARP、暂停ARP或将可疑攻击标记为误报。了解操作方法 "为受ARP保护的卷启用MAV"。
您需要为MAV组定义管理员并为创建MAV规则 security anti-ransomware volume disable
, security anti-ransomware volume pause
,和 security anti-ransomware volume attack clear-suspect
要保护的ARP命令。MAV组中的每个管理员都必须批准每个新规则请求和 "再次添加MAV规则" 在MAV设置中。
从ONTAP 9.14.1开始、ARP提供有关创建ARP快照和观察新文件扩展名的警报。默认情况下、这些事件的警报处于禁用状态。可以在卷或SVM级别设置警报。您可以使用在SVM级别创建MAV规则 security anti-ransomware vserver event-log modify
或在卷级别使用 security anti-ransomware volume event-log modify
。