ONTAP自主防网络软件保护的用例和注意事项
建议更改
PDF
自主勒索软件防护 (ARP) 适用于从ONTAP 9.10.1 开始的 NAS 工作负载和从ONTAP 9.17.1 开始的 SAN 工作负载。在部署 ARP 之前,您应该了解其推荐用途、支持的配置以及性能影响。
支持和不支持的配置
在决定使用ARP时、请务必确保卷的工作负载适合ARP并满足所需的系统配置。
合适的工作负载
ARP 适用于以下类型的工作负载:
-
NFS 或 SAN 存储上的数据库
-
Windows 或 Linux 主目录
对于没有 ARP/AI 的环境,用户可能会创建一些在学习期间无法检测到的扩展名的文件。因此,此类工作负载中出现误报的可能性更大。
-
图像和视频
例如、医疗保健记录和电子设计自动化(Electronic Design Automation、EDA)数据
不适合的工作负载
ARP 不适合以下类型的工作负载:
-
具有高频率文件创建或删除操作的工作负载(几秒钟内数十万个文件;例如,测试/开发工作负载)。
-
ARP 的威胁检测依赖于其识别文件创建、重命名或删除操作异常激增的能力。如果应用程序本身是文件活动的来源,则无法有效区分勒索软件活动。
-
应用程序或主机加密数据的工作负载。
ARP 依赖于区分传入数据是加密的还是未加密的。如果应用程序本身正在加密数据,则该功能的有效性会降低。但是,ARP 仍然可以根据文件活动(删除、覆盖、创建,或者创建文件或使用新的文件扩展名重命名)和文件类型进行工作。
支持的配置
从ONTAP 9.10.1 开始,ARP 可用于 NAS NFS 和 SMB FlexVol卷。从 9.17.1 开始,ARP 可用于 iSCSI、FC 和带有 SAN 存储的 NVMe 的 SAN FlexVol卷。
以下ONTAP版本支持其他配置和卷类型:
| ONTAP 9.17.1 | ONTAP 9.16.1. | ONTAP 9.15.1. | ONTAP 9.14.1 | ONTAP 9.13.1 | ONTAP 9.12.1 | ONTAP 9.11.1 | ONTAP 9.10.1 | |
|---|---|---|---|---|---|---|---|---|
使用SnapMirror异步保护的卷 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
使用SnapMirror异步保护SVM (SVM灾难恢复) |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM 数据移动性 ( |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup卷1 |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
多管理员验证 |
✓ |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI、具有自动更新功能 |
✓ |
✓ |
1 ARP/AI 不支持FlexGroup卷。升级到ONTAP 9.16.1 后,启用 ARP 的FlexGroup卷将继续使用 ARP/AI 之前使用的 ARP 模型运行。
SnapMirror和ARP互操作性
从ONTAP 9.12.1 开始, SnapMirror异步目标卷支持 ARP。SnapMirrorSnapMirror或SnapMirror主动同步*不*支持 ARP。
如果SnapMirror源卷启用了 ARP,则SnapMirror目标卷会自动获取 ARP 配置状态(例如 dry-run`或者 `enabled )、ARP 训练数据以及 ARP 创建的源卷快照。无需明确启用。
尽管目标卷包含只读 (RO) 快照,但其数据不会进行任何 ARP 处理。但是,当SnapMirror目标卷转换为读写 (RW) 时,ARP 会在已转换为 RW 的目标卷上自动启用。除了源卷上已记录的内容外,目标卷不需要任何其他学习过程。
在ONTAP 9.10.1 和 9.11.1 中, SnapMirror不会将 ARP 配置状态、训练数据和快照从源卷传输到目标卷。因此,当SnapMirror目标卷转换为 RW 时,必须在转换后在学习模式下明确启用目标卷上的 ARP。
ARP和虚拟机
虚拟机 (VM) 支持 ARP。ARP检测对于虚拟机内部和外部的更改有不同的行为。对于虚拟机中涉及大量高度压缩文件(例如 7z 和 ZIP)或加密文件(例如受密码保护的 PDF、DOC 或 ZIP)的工作负载,不建议使用 ARP。
如果新扩展名以加密状态进入卷或文件扩展名发生变化,ARP 可以检测到 VM 外部 NFS 卷上的文件扩展名变化。
如果勒索软件攻击更改了虚拟机内部的文件,而没有更改虚拟机外部的文件,并且虚拟机的默认熵较低(例如 .txt、.docx 或 .mp4 文件),ARP 就会检测到威胁。对于ONTAP 9.16.1 及更早版本,ARP 会在这种情况下创建保护性快照,但不会生成威胁警报,因为虚拟机外部的文件扩展名未被篡改。从ONTAP 9.17.1 中的 SAN 支持开始,如果 ARP 检测到虚拟机内部的熵异常,还会生成威胁警报。
如果文件默认为高熵文件(例如 .gzip 文件或受密码保护的文件),ARP 的检测能力就会受到限制。在这种情况下,ARP 仍然可以主动拍摄快照;但是,如果文件扩展名未被外部篡改,则不会触发警报。
对于 SAN,ARP 在卷级别分析熵统计数据,并在发现熵异常时触发检测。
不支持的配置
ONTAP S3 环境不支持 ARP。
ARP不支持以下卷配置:
-
FlexGroup卷(在ONTAP 9.10.1 至 9.12.1 中)。从ONTAP 9.13.1 开始,支持FlexGroup卷,但仅限于 ARP/AI 之前使用的 ARP 模型。
-
FlexCache卷(原始FlexVol卷支持ARP、但缓存卷不支持ARP)
-
使卷脱机
-
SnapLock 卷
-
SnapMirror活动同步
-
SnapMirror同步
-
SnapMirror异步(在ONTAP 9.10.1 和 9.11.1 中)。从ONTAP 9.12.1 开始支持SnapMirror异步。有关更多信息,请参阅[SnapMirror] 。
-
受限卷
-
Storage VM的根卷
-
已停止Storage VM的卷
ARP性能和频率注意事项
ARP 对系统性能(以吞吐量和峰值 IOPS 衡量)的影响极小。ARP功能的影响取决于具体的卷工作负载。对于常见工作负载,建议采用以下配置限制:
| 工作负载特征 | 每个节点的建议卷限制 | 当每个节点的卷限制超过上限时,性能会下降1 |
|---|---|---|
读取密集型或数据可以压缩 |
150 |
最大IOPS的4% |
写入密集且数据无法压缩 |
60 |
|
1 无论添加的卷数量超过建议的限制多少,系统性能都不会下降超过这些百分比。
由于 ARP 分析按优先级顺序运行,因此随着受保护卷数量的增加,每个卷上运行的分析频率会降低。
使用ARP保护的卷进行多管理员验证
从ONTAP 9.13.1开始、您可以使用ARP启用多管理员验证(MAV)、以提高安全性。MAV可确保至少需要两个或更多经过身份验证的管理员在受保护的卷上关闭ARP、暂停ARP或将可疑攻击标记为误报。了解如何"为受ARP保护的卷启用MAV"。
您需要为MAV组定义管理员,并为要保护的、 security anti-ransomware volume pause`和 `security anti-ransomware volume attack clear-suspect`ARP命令创建MAV规则 `security anti-ransomware volume disable。MAV组中的每个管理员都必须在MAV设置范围内批准每个新规则请求"再次添加MAV规则"。
有关、 security anti-ransomware volume pause`和的详细信息 `security anti-ransomware volume disable, `security anti-ransomware volume attack clear-suspect`请参见"ONTAP 命令参考"。
从ONTAP 9.14.1 开始,ARP 会在创建 ARP 快照和发现新文件扩展名时发出警报。这些事件的警报默认处于禁用状态。警报可以在卷或 SVM 级别设置。您可以使用以下命令启用警报 security anti-ransomware vserver event-log modify`或使用 `security anti-ransomware volume event-log modify 。
有关和的 security anti-ransomware volume event-log modify`详细信息 `security anti-ransomware vserver event-log modify,请参见"ONTAP 命令参考"。