锁定快照以防止勒索软件攻击
建议更改
PDF
从ONTAP 9.12.1开始、您可以锁定非SnapLock卷上的快照、以防止勒索软件攻击。锁定快照可确保它们不会被意外或恶意删除。
您可以使用SnapLock Compliance时钟功能在指定时间段内锁定快照、以便在达到到期时间之前无法删除这些快照。锁定快照可使其防篡改、防止其受到勒索软件威胁。如果卷受到勒索软件攻击、您可以使用锁定的快照来恢复数据。
从ONTAP 9.14.1开始、快照锁定支持SnapLock存储目标和非SnapLock SnapMirror目标卷上的长期保留快照。可通过使用与关联的SnapMirror策略规则设置保留期限来启用快照锁定现有策略标签。此规则将覆盖在卷上设置的默认保留期限。如果SnapMirror标签没有关联的保留期限、则使用卷的默认保留期限。
-
如果使用的是ONTAP命令行界面、则集群中的所有节点都必须运行ONTAP 9.12.1或更高版本。如果使用的是System Manager、则所有节点都必须运行ONTAP 9.13.1或更高版本。
-
"集群上必须安装SnapLock许可证"(英文)此许可证包含在中"ONTAP One"。
-
在卷上启用快照锁定后、您可以将集群升级到ONTAP 9.12.1之后的ONTAP版本;但是、只有在所有锁定的快照均已达到到期日期并被删除且快照锁定已禁用之前、您才能还原到早期版本的ONTAP。
-
锁定快照后、卷到期时间将设置为快照的到期时间。如果锁定了多个快照、则卷到期时间是所有快照中的最长到期时间。
-
锁定快照的保留期限优先于快照保留计数、这意味着、如果锁定快照的快照保留期限未到期、则不会遵守保留计数限制。
-
在SnapMirror关系中、您可以为镜像-存储策略规则设置保留期限、如果目标卷启用了快照锁定、则会为复制到目标的快照应用保留期限。保留期限优先于保留计数;例如、即使超过保留计数、未超过到期时间的快照也会保留。
-
您可以重命名非SnapLock卷上的快照。只有当策略为MirrorAllSnapshots时、SnapMirror关系的主卷上的Snapshot重命名操作才会反映在二级卷上。对于其他策略类型、更新期间不会传播重命名的快照。
-
如果使用的是ONTAP命令行界面、则只有在锁定的快照是最新的时、才能使用命令还原锁定的快照
volume snapshot restore。如果有任何未过期的快照晚于要还原的快照、快照还原操作将失败。
-
FlexGroup 卷
FlexGroup卷支持快照锁定。快照锁定仅在根成分卷快照上进行。只有在根成分卷过期时间已过的情况下、才允许删除FlexGroup 卷。
-
FlexVol 到FlexGroup 的转换
您可以将具有锁定快照的FlexVol volume转换为FlexGroup卷。转换后、快照将保持锁定状态。
-
SnapMirror异步
必须在源和目标上初始化Compliance时钟。
-
SVM 灾难恢复
必须在源和目标上初始化Compliance时钟。
-
卷克隆和文件克隆
您可以从锁定的快照创建卷克隆和文件克隆。
防篡改快照当前不支持以下功能:
-
一致性组
-
防篡改快照可提供不可删除的不可变更保护。由于FabricPool要求能够删除数据、因此不能在同一个卷上启用FabricPool和Snapshot锁定。
-
FlexCache 卷
-
SMtape
-
SnapMirror活动同步
-
使用的SnapMirror策略规则
-schedule参数 -
SnapMirror同步
-
SVM数据移动性(用于将SVM从源集群迁移或重新定位到目标集群)
创建卷时启用快照锁定
从ONTAP 9.12.1开始、您可以在创建新卷或修改现有卷时通过在命令行界面中将选项与和 volume modify`命令结合 `volume create`使用来启用快照锁定 `-snapshot-locking-enabled。从ONTAP 9.13.1开始、您可以使用System Manager启用快照锁定。
-
导航到*存储>卷*并选择*添加*。
-
在*添加卷*窗口中,选择*更多选项*。
-
输入卷名称、大小、导出策略和共享名称。
-
选择*启用Snapshot锁定*。如果未安装SnapLock许可证、则不会显示此选择。
-
如果尚未启用此选项,请选择*初 始化SnapLock Compliance Clock*。
-
保存所做的更改。
-
在*Volumes*窗口中,选择要更新的卷,然后选择*Overview*。
-
验证* SnapLock快照锁定*是否显示为*已启用*。
-
要创建新卷并启用快照锁定、请输入以下命令:
volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true以下命令将在名为vol1的新卷上启用快照锁定:
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
在现有卷上启用快照锁定
从ONTAP 9.12.1开始、您可以使用ONTAP命令行界面在现有卷上启用快照锁定。从ONTAP 9.13.1开始、您可以使用System Manager对现有卷启用快照锁定。
-
导航到*存储>卷*。
-
选择
并选择*编辑>卷*。 -
在*编辑卷*窗口中,找到快照(本地)设置部分,然后选择*启用快照锁定*。
如果未安装SnapLock许可证、则不会显示此选择。
-
如果尚未启用此选项,请选择*初 始化SnapLock Compliance Clock*。
-
保存所做的更改。
-
在*Volumes*窗口中,选择要更新的卷,然后选择*Overview*。
-
验证* SnapLock快照锁定*是否显示为*已启用*。
-
要修改现有卷以启用快照锁定、请输入以下命令:
volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true
创建锁定的Snapshot策略并应用保留
从ONTAP 9.12.1开始、您可以创建快照策略以应用快照保留期限、并将该策略应用于卷以锁定指定期限的快照。您也可以通过手动设置保留期限来锁定快照。从ONTAP 9.13.1开始、您可以使用System Manager创建快照锁定策略并将其应用于卷。
创建快照锁定策略
-
导航到*存储> Storage VM*并选择一个Storage VM。
-
选择*Settings*。
-
找到*Snapshot Policies*,然后选择
。 -
在*添加Snapshot策略*窗口中,输入策略名称。
-
选择 …
。 -
提供快照计划详细信息、包括计划名称、要保留的最大快照数和SnapLock保留期限。
-
在* SnapLock保留期限*列中、输入快照保留的小时数、天数、月数或年数。例如、保留期限为5天的快照策略会将快照从创建之日起锁定5天、在此期间无法删除。支持以下保留期限范围:
-
年:0 - 100
-
月:0 - 1200
-
天:0 - 36500
-
小时:0 - 24
-
-
保存所做的更改。
-
要创建快照策略、请输入以下命令:
volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>以下命令将创建快照锁定策略:
cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
如果快照处于活动保留状态、则不会替换该快照;也就是说、如果存在尚未过期的锁定快照、则不会使用保留计数。
将锁定策略应用于卷
-
导航到*存储>卷*。
-
选择
并选择*编辑>卷*。 -
在*编辑卷*窗口中,选择*计划快照*。
-
从列表中选择锁定Snapshot策略。
-
如果尚未启用快照锁定,请选择*Enable Snapshot locking*。
-
保存所做的更改。
-
要将快照锁定策略应用于现有卷、请输入以下命令:
volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>
在手动创建快照期间应用保留期限
您可以在手动创建快照时应用快照保留期限。必须在卷上启用快照锁定;否则、保留期限设置将被忽略。
-
导航到*存储>卷*并选择一个卷。
-
在卷详细信息页面中,选择*快照*选项卡。
-
选择 …
。 -
输入快照名称和SnapLock到期时间。您可以选择日历来选择保留到期日期和时间。
-
保存所做的更改。
-
在*卷>快照*页面中,选择*显示/隐藏*并选择* SnapLock到期时间*以显示* SnapLock到期时间*列并验证保留时间是否已设置。
-
要手动创建快照并应用锁定保留期限、请输入以下命令:
volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>以下命令将创建新快照并设置保留期限:
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
将保留期限应用于现有快照
-
导航到*存储>卷*并选择一个卷。
-
在卷详细信息页面中,选择*快照*选项卡。
-
选择快照,选择
,然后选择*Modify SnapLock Expiration time*。您可以选择日历来选择保留到期日期和时间。 -
保存所做的更改。
-
在*卷>快照*页面中,选择*显示/隐藏*并选择* SnapLock到期时间*以显示* SnapLock到期时间*列并验证保留时间是否已设置。
-
要手动将保留期限应用于现有快照、请输入以下命令:
volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>以下示例将保留期限应用于现有快照:
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"
修改现有策略以应用长期保留
在SnapMirror关系中、您可以为镜像-存储策略规则设置保留期限、如果目标卷启用了快照锁定、则会为复制到目标的快照应用保留期限。保留期限优先于保留计数;例如、即使超过保留计数、未超过到期时间的快照也会保留。
从ONTAP 9.14.1开始、您可以通过添加规则来设置快照的长期保留来修改现有SnapMirror策略。此规则用于覆盖SnapLock存储目标和非SnapLock SnapMirror目标卷上的默认卷保留期限。
-
向现有SnapMirror策略添加规则:
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]以下示例将创建一个规则、将保留期限应用于名为"LockVault"的现有策略:
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"