ONTAP自主防网络软件保护的用例和注意事项
建议更改
PDF
自主勒索软件防护 (ARP) 可用于从 ONTAP 9.10.1 开始的 NAS 工作负载和从 ONTAP 9.17.1 开始的 SAN 工作负载。在部署 ARP 之前,您应该了解推荐的用途和支持的配置以及性能影响。您还应确保卷的工作负载适合 ARP,并符合所需的系统配置。
合适的工作负载
ARP 适用于以下类型的工作负载:
-
NFS 或 SAN 存储上的数据库
-
Windows 或 Linux 主目录
对于没有 ARP/AI 的环境,用户可能会创建一些在学习期间无法检测到的扩展名的文件。因此,此类工作负载中出现误报的可能性更大。
-
图像和视频
例如、医疗保健记录和电子设计自动化(Electronic Design Automation、EDA)数据
不适合的工作负载
ARP 不适合以下类型的工作负载:
-
具有高频率文件创建或删除操作的工作负载(几秒钟内数十万个文件;例如,测试/开发工作负载)。
-
ARP 的威胁检测依赖于其识别文件创建、重命名或删除操作异常激增的能力。如果应用程序本身是文件活动的来源,则无法有效区分勒索软件活动。
-
应用程序或主机加密数据的工作负载。
ARP 依赖于区分传入数据是加密的还是未加密的。如果应用程序本身正在加密数据,则该功能的有效性会降低。但是,ARP 仍然可以根据文件活动(删除、覆盖、创建,或者创建文件或使用新的文件扩展名重命名)和文件类型进行工作。
支持的配置
ARP 支持跨多个 ONTAP 版本和环境的 NAS 和 SAN 工作负载。在部署 ARP 之前,请检查支持功能以确认您的环境和配置受支持。
基线支持
基线 ARP 支持从 ONTAP 9.10.1 开始,包括 FlexVol 卷和 MetroCluster 配置上的 NAS 工作负载(NFS 和 SMB)。
ONTAP 版本支持的协议和虚拟机监控程序
除了基线 NAS 支持之外,后来的 ONTAP 版本还添加了对以下协议和环境的支持:
-
ONTAP 9.17.1 及更高版本:SAN 块设备工作负载(包含 LUN 或 NVMe 命名空间的卷)和包含 VMware 虚拟磁盘的 NAS 卷
-
ONTAP 9.17.1P5 及更高版本:包含 Hyper-V、KVM 和 OpenStack 虚拟机管理程序的 NAS 卷
功能和配置支持矩阵
以下ONTAP版本支持其他配置和卷类型:
| ONTAP 9.19.1 | ONTAP 9.18.1 | ONTAP 9.17.1 | ONTAP 9.16.1. | ONTAP 9.15.1. | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|---|---|
使用SnapMirror异步保护的卷 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
使用 SnapMirror 同步3保护的卷 |
✓ |
|||||||||
使用 SnapMirror 活动同步3保护的卷 |
✓ |
|||||||||
使用SnapMirror异步保护SVM (SVM灾难恢复) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM 数据移动性 ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup卷1 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
多管理员验证 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI、具有自动更新功能 |
✓ |
✓ |
✓ |
✓ |
||||||
ARP/AI 默认启用2 |
✓ |
✓ |
1 ONTAP 9.16.1 和 9.17.1 不提供对FlexGroup卷的 ARP/AI 支持。升级到这些版本后,启用 ARP 的FlexGroup卷将继续使用 ARP/AI 之前使用的相同 ARP 模型运行。从ONTAP 9.18.1 开始, FlexGroup卷使用 ARP/AI 模型。
2 从 ONTAP 9.18.1 开始,ARP/AI 默认启用行为可用于 AFF A 系列和 AFF C 系列、ASA 和 ASA r2 系统。此行为在升级后的 12 小时宽限期后或对于新的 ONTAP 9.18.1 安装会自动在所有新卷上启用 ARP/AI。您需要在 "现有卷" 上手动启用 ARP。
3 从 ONTAP 9.19.1 RC 开始,ARP/AI 支持 FAS、AFF A 系列、AFF C 系列和 AFX 系统上 NAS 和 SAN 的 SnapMirror 同步关系中的主卷,以及 AFF A 系列、AFF C 系列和 ASA r2 系统上 SnapMirror 活动同步 SAN 关系中的主卷。有关详细信息,请参见 [SnapMirror]。
互操作性和 VM 注意事项
ARP 与 SnapMirror 数据保护关系和虚拟机环境一起运行,在部署之前应了解一些特定于版本的行为和限制。
SnapMirror和ARP互操作性
从 ONTAP 9.12.1 开始,SnapMirror 异步目标卷支持 ARP。
从 ONTAP 9.19.1 RC 开始,ARP/AI 支持参与 SnapMirror 同步和 SnapMirror 活动同步 SAN 关系的主卷,其行为如下:
-
ARP/AI 在 FAS、AFF A 系列、AFF C 系列和 AFX 系统上的 NAS 和 SAN 的 SnapMirror 同步关系中的 primary 卷上受支持。
-
在 AFF A 系列、AFF C 系列和 ASA r2 系统上的 SnapMirror 活动同步 SAN 关系中的_主_卷上支持 ARP/AI。
-
在 ONTAP 9.19.1 RC 中,NAS 的 SnapMirror 活动同步_不_支持 ARP/AI。
-
ARP/AI 分析仅在 SnapMirror 同步和 SnapMirror 活动同步 SAN 关系中的活动、读写主卷上运行,其中 ARP 创建仅主快照并执行基于机器学习的勒索软件检测。
-
在 ONTAP 9.19.1 RC 中,ARP 配置状态和 ARP 快照不会作为 SnapMirror 同步或 SnapMirror 活动同步的一部分复制到辅助卷。
|
由于每个写入操作都将提交给同步镜像关系中的两个卷,因此仅在主卷上启用 ARP 就足以检测异常。主卷上的 ARP 分析生成的内部元数据也会复制到辅助卷。因此,如果在故障转移后在辅助卷上启用了 ARP,则所需的元数据将已存在于辅助卷上。 |
如果 SnapMirror asynchronous 源卷启用了 ARP,则 SnapMirror 目标卷会自动获取源卷的 ARP 配置状态(如 dry-run`或 `enabled)、ARP 训练数据和 ARP 创建的快照。无需显式启用。
虽然异步目标卷由只读(RO)快照组成,但不会对其数据执行 ARP 处理。但是,当 SnapMirror 异步目标卷转换为读写(RW)时,ARP 将在 RW 转换的目标卷上自动启用。除了源卷上已记录的内容外,目标卷不需要任何额外的学习过程。
在ONTAP 9.10.1 和 9.11.1 中, SnapMirror不会将 ARP 配置状态、训练数据和快照从源卷传输到目标卷。因此,当SnapMirror目标卷转换为 RW 时,必须在转换后在学习模式下明确启用目标卷上的 ARP。
ARP和虚拟机
VMware、Hyper-V、KVM 和 OpenStack 上的虚拟机 (VM) 支持 ARP。从 ONTAP 9.17.1 开始支持 VMware,从 ONTAP 9.17.1P5 开始支持 Hyper-V、KVM 和 OpenStack。对于虚拟机内部和外部的更改,ARP 检测的行为不同。对于涉及虚拟机内大量高度压缩文件(如 7z 和 ZIP)或加密文件(如受密码保护的 PDF、DOC 或 ZIP)的工作负载,不建议使用 ARP。
如果新扩展名以加密状态进入卷或文件扩展名发生变化,ARP 可以检测到 VM 外部 NFS 卷上的文件扩展名变化。
如果勒索软件攻击更改了虚拟机内部的文件,而没有更改虚拟机外部的文件,并且虚拟机的默认熵较低(例如 .txt、.docx 或 .mp4 文件),ARP 就会检测到威胁。对于ONTAP 9.16.1 及更早版本,ARP 会在这种情况下创建保护性快照,但不会生成威胁警报,因为虚拟机外部的文件扩展名未被篡改。从ONTAP 9.17.1 中的 SAN 支持开始,如果 ARP 检测到虚拟机内部的熵异常,还会生成威胁警报。
如果文件默认为高熵文件(例如 .gzip 文件或受密码保护的文件),ARP 的检测能力就会受到限制。在这种情况下,ARP 仍然可以主动拍摄快照;但是,如果文件扩展名未被外部篡改,则不会触发警报。
对于 SAN,ARP 在卷级别分析熵统计数据,并在发现熵异常时触发检测。
|
|
在ONTAP 9.18.1 及更高版本中,仅FlexVol卷可检测 VM 内发生的攻击,如果 VM 数据存储配置在FlexGroup卷上,则无法检测 VM 内发生的攻击。 |
不支持的配置
ONTAP S3 环境不支持 ARP。
ARP不支持以下卷配置:
-
FlexGroup卷(在ONTAP 9.10.1 至 9.12.1 中)。
从ONTAP 9.13.1 到ONTAP 9.17.1,支持FlexGroup卷,但仅限于 ARP/AI 之前使用的 ARP 模型。 ONTAP 9.18.1 开始支持 ARP/AI 的FlexGroup卷。 -
FlexCache卷(原始FlexVol卷支持ARP、但缓存卷不支持ARP)
-
使卷脱机
-
SnapLock 卷
-
ONTAP 9.18.1 及更早版本中的 SnapMirror 活动同步
-
SnapMirror 主动同步 (NAS) 在 ONTAP 9.19.1 RC 中
-
ONTAP 9.18.1 及更早版本中的 SnapMirror 同步
-
SnapMirror异步(在ONTAP 9.10.1 和 9.11.1 中)。从ONTAP 9.12.1 开始支持SnapMirror异步。有关更多信息,请参阅[SnapMirror] 。
-
受限卷
-
Storage VM的根卷
-
已停止Storage VM的卷
-
FlexVol 到 FlexGroup 转换(转换前必须禁用 ARP)
ARP性能和频率注意事项
ARP 对系统性能(以吞吐量和峰值 IOPS 衡量)的影响极小。ARP功能的影响取决于具体的卷工作负载。对于常见工作负载,建议采用以下配置限制:
| 工作负载特征 | 每个节点的建议卷限制 | 当每个节点的卷限制超过上限时,性能会下降1 |
|---|---|---|
读取密集型或数据可以压缩 |
150 |
最大IOPS的4% |
写入密集且数据无法压缩 |
60 |
|
1 无论添加的卷数量超过建议的限制多少,系统性能都不会下降超过这些百分比。
由于 ARP 分析按优先级顺序运行,因此随着受保护卷数量的增加,每个卷上运行的分析频率会降低。
|
|
在大量新卷上默认启用 ARP 可能会增加系统资源使用率。在卷上启用 ARP 时,请考虑快照等竞争流程的空间需求。 |
按平台划分的 ARP 卷限制
从 ONTAP 9.18.1 开始,ARP 支持根据平台类型和 CPU 核心数量增加卷限制。
| 平台类型 | 每个节点支持 ARP 的最大卷数 |
|---|---|
低端(最多 20 个 CPU 内核的系统) |
250 |
中(最多 64 个 CPU 内核的系统) |
500 |
高端(CPU 内核超过 64 个的系统) |
1000 |
|
|
CPU 核心计数适用于双节点 HA 对中的每个单独节点。 |
使用ARP保护的卷进行多管理员验证
从ONTAP 9.13.1开始、您可以使用ARP启用多管理员验证(MAV)、以提高安全性。MAV可确保至少需要两个或更多经过身份验证的管理员在受保护的卷上关闭ARP、暂停ARP或将可疑攻击标记为误报。了解如何"为受ARP保护的卷启用MAV"。
您需要为MAV组定义管理员,并为要保护的、 security anti-ransomware volume pause`和 `security anti-ransomware volume attack clear-suspect`ARP命令创建MAV规则 `security anti-ransomware volume disable。MAV组中的每个管理员都必须在MAV设置范围内批准每个新规则请求"再次添加MAV规则"。
有关、 security anti-ransomware volume pause`和的详细信息 `security anti-ransomware volume disable, `security anti-ransomware volume attack clear-suspect`请参见"ONTAP 命令参考"。
从ONTAP 9.14.1 开始,ARP 会在创建 ARP 快照和发现新文件扩展名时发出警报。这些事件的警报默认处于禁用状态。警报可以在卷或 SVM 级别设置。您可以使用以下命令启用警报 security anti-ransomware vserver event-log modify`或使用 `security anti-ransomware volume event-log modify 。
有关和的 security anti-ransomware volume event-log modify`详细信息 `security anti-ransomware vserver event-log modify,请参见"ONTAP 命令参考"。