儲存快照是目標資料的時間點複本。ONTAP 的實作功能包括設定各種原則、每個磁碟區最多可儲存 1024 個快照。ONTAP 中的快照具有極高的空間效率。空間只會在原始資料集變更時使用。它們也是唯讀的。快照可以刪除、但無法變更。

在某些情況下、可以直接在 ONTAP 上排程快照。在其他情況下、在建立快照之前、可能需要 SnapCenter 等軟體來協調應用程式或作業系統的作業。無論哪種方法最適合您的工作負載、積極的快照策略都能透過頻繁且容易存取的方式、來提供資料安全性、從開機 LUN 到關鍵任務資料庫、都能備份所有資料。

如需快照的詳細資訊，請參閱"ONTAP 文件。"

從 ONTAP 9.12.1 開始，快照不只是唯讀的，也能防止意外或刻意刪除。此功能稱為防竄改快照。您可以透過快照原則設定及強制執行保留期間。產生的快照必須等到到期日才會刪除。沒有系統管理或支援中心覆寫。

如此可確保入侵者、惡意內部人員、甚至勒索軟體攻擊都無法入侵備份、即使備份導致存取 ONTAP 系統本身也是如此。如果結合頻繁的快照排程、就能以極低的 RPO 提供極強大的資料保護功能。

如需防竄改快照的詳細資訊，請參閱"ONTAP 文件。"

快照也可以複寫到遠端系統。這包括防竄改快照，在遠端系統上套用及強制執行保留期間。因此資料保護效益與本機快照相同、但資料位於第二個儲存陣列上。如此可確保原始陣列的毀損不會影響備份。

第二個系統也會開啟新的管理安全選項。例如、某些 NetApp 客戶會將主要和次要儲存系統的驗證認證資料加以分隔。沒有單一管理使用者可以存取這兩個系統、這表示惡意系統管理員無法刪除所有資料複本。

如需 SnapMirror 的詳細資訊，請參閱"ONTAP 文件。"

新設定的 ONTAP 儲存系統類似於新佈建的 VMware ESX 伺服器、因為在建立虛擬機器之前、兩者都無法支援任何使用者。透過 ONTAP 、您可以建立儲存虛擬機器（ SVM ）、成為最基本的儲存管理單元。每個 SVM 都有自己的儲存資源、傳輸協定組態、 IP 位址和 FCP WWN 。這是 ONTAP 多租戶共享的基礎。

例如、您可以為關鍵的正式作業工作負載設定一個 SVM 、並在不同的網路區段上設定第二個 SVM 以進行開發活動。然後、您可以限制特定管理員存取正式作業 SVM 、同時讓開發人員更廣泛地控制開發 SVM 中的儲存資源。您可能也需要為財務和人力資源團隊提供第三個 SVM 、以儲存特別重要的純眼資料。

如需 SVM 的詳細資訊，請參閱"ONTAP 文件。"

ONTAP 提供強大的角色型存取控制（ RBAC ）功能、可用於管理登入。某些管理員可能需要完整的叢集存取權、而其他管理員可能只需要存取特定的 SVM 。進階服務台人員可能需要增加磁碟區大小的能力。因此、您可以授予系統管理使用者執行工作職責所需的存取權限、而無需再提供其他權限。此外、您可以使用來自不同廠商的 PKI 來保護這些登入安全、僅限制對 ssh 金鑰的存取、並強制執行失敗的登入嘗試鎖定。

如需管理存取控制的詳細資訊，請參閱"ONTAP 文件。"

ONTAP 和其他某些 NetApp 產品現在支援使用各種方法的多因素驗證（ MFA ）。因此、光是使用者名稱 / 密碼就不再是安全執行緒、而沒有第二個因素的資料、例如 FOB 或智慧型手機應用程式。

如需更多關於多因素驗證（ MFA ）的資訊，請參閱"ONTAP 文件。"

自動化需要 API 呼叫、但並非所有工具都需要完整的管理存取權。為了協助保護自動化系統的安全、 API 層級也提供 RBAC 。您可以將自動化使用者帳戶限制為所需的 API 呼叫。例如、監控軟體不需要變更存取權、只需要讀取存取權。配置儲存設備的工作流程不需要刪除儲存設備的能力。

如需 API RBAC 的詳細資訊，請參閱"ONTAP 文件。"

若要進一步進行多重「因素」驗證、需要兩位不同的管理員（每位管理員都有自己的認證）來核准某些活動。這包括變更登入權限、執行診斷命令和刪除資料。

如需更多有關多重管理驗證（ MAV ）的資訊，請參閱"ONTAP 文件。"