自主勒索軟體保護的使用案例和考量
建議變更
PDF
從 ONTAP 9 。 10.1 開始, NAS 工作負載可使用自主勒索軟體保護( ARP )。在部署 ARP 之前、您應該瞭解建議的用途和支援的組態、以及效能影響。
支援和不支援的組態
在決定使用 ARP 時、請務必確保您的磁碟區工作負載適合 ARP 、並且符合所需的系統組態。
合適的工作負載
ARP 適用於:
-
NFS儲存設備上的資料庫
-
Windows或Linux主目錄
由於使用者可以建立在學習期間未偵測到的副檔名檔案、因此此工作負載較可能出現誤報。
-
影像與影片
例如、醫療記錄和電子設計自動化( EDA )資料
不適當的工作負載
ARP 不適用於:
-
高檔案建立或刪除頻率的工作負載(數秒內就有數十萬個檔案、例如測試 / 開發工作負載)。
-
ARP 的威脅偵測功能取決於它是否能夠辨識出檔案建立,重新命名或刪除活動異常激增的情況。如果應用程式本身是檔案活動的來源、則無法有效地區別於勒索軟體活動。
-
應用程式或主機加密資料的工作負載。
ARP 需要將傳入的資料識別為加密或未加密。如果應用程式本身正在加密資料、則此功能的有效性將會降低。不過、此功能仍可根據檔案活動(刪除、覆寫或建立、或以新副檔名建立或重新命名)和檔案類型運作。
支援的組態
從 ONTAP 9 。 10.1 開始,內部部署 ONTAP 系統中的 NFS 和 SMB FlexVol 磁碟區可使用 ARP 。
下列 ONTAP 版本支援其他組態和磁碟區類型:
| ONTAP 9.16.1. | ONTAP 9.15.1.1 | ONTAP 9.14.1. | ONTAP 9.13.1.12.9.11.9.11. | ONTAP 9.12.1 | 零點9.11.1. ONTAP | 零點9.10.1 ONTAP | |
|---|---|---|---|---|---|---|---|
使用 SnapMirror 非同步保護的磁碟區 |
✓ |
✓ |
✓ |
✓ |
✓ |
||
受 SnapMirror 非同步( SVM 災難恢復)保護的 SVM |
✓ |
✓ |
✓ |
✓ |
✓ |
||
SVM資料移動性 ( |
✓ |
✓ |
✓ |
✓ |
✓ |
||
FlexGroup Volumes * |
✓ |
✓ |
✓ |
✓ |
|||
多管理員驗證 |
✓ |
✓ |
✓ |
✓ |
|||
ARP/AI 提供自動更新 |
✓ |
*ARP/AI 不支援 FlexGroup 磁碟區。升級至 ONTAP 9 。 16.1 之後,啟用 ARP 的 FlexGroup 磁碟區會繼續以 ARP/AI 之前使用的相同 ARP 模型運作。
SnapMirror與ARP互通性
從 ONTAP 9 . 12.1 開始、 SnapMirror 非同步目的地磁碟區支援 ARP 。SnapMirror 同步不支援 ARP** 。
如果 SnapMirror 來源磁碟區已啟用 ARP , SnapMirror 目的地磁碟區會自動取得來源磁碟區的 ARP 組態狀態(學習,啟用等), ARP 訓練資料和 ARP 建立的快照。不需要明確啟用。
雖然目的 Volume 是由唯讀( RO )快照組成,但不會對其資料進行 ARP 處理。不過、當SnapMirror目的地Volume轉換為讀寫(RW)時、會自動在RW-轉換的目的地Volume上啟用ARP。除了已記錄在來源Volume上的內容、目的地Volume不需要任何額外的學習程序。
在 ONTAP 9 . 10.1 和 9 . 11 . 1 中, SnapMirror 不會將 ARP 組態狀態,訓練資料和快照從來源磁碟區傳輸至目的地磁碟區。因此、當SnapMirror目的地Volume轉換為RW時、在轉換後、必須在學習模式中明確啟用目的地Volume上的ARP。
ARP 和虛擬機器
虛擬機器( VM )支援 ARP 。ARP 偵測在 VM 內部和外部的變更時、行為會有所不同。不建議將 ARP 用於 VM 內部具有高 Entropy 檔案的工作負載。
如果新的副檔名進入已加密的磁碟區、或是檔案副檔名變更、 ARP 就能偵測到 NFS 磁碟區上 VM 以外的檔案副檔名變更。可偵測的檔案副檔名變更包括:
-
.vmx
-
.vmxf
-
.vmdk
-
-flat.vmdk
-
NVRAM
-
.vmem
-
vmsd
-
.vmsn
-
.vswp
-
.vmss
-
.log
-
-\#.log
如果勒索軟體攻擊是針對 VM 內部的 VM 和檔案進行變更、而未在 VM 外部進行變更、則如果 VM 的預設 Entropy 低(例如 .txt 、 .docx 或 .mp4 檔案)、 ARP 會偵測到威脅。雖然 ARP 在這種情況下會建立保護性快照,但不會產生威脅警示,因為 VM 外部的副檔名並未遭到竄改。
如果檔案預設為高 Entropy (例如 .gzip 或密碼保護的檔案)、則 ARP 的偵測功能會受到限制。在這種情況下, ARP 仍可採取主動式快照,但如果檔案副檔名未遭到外部竄改,則不會觸發警示。
不支援的組態
下列系統組態不支援 ARP :
-
不支援的S3環境ONTAP
-
SAN環境
ARP 不支援下列 Volume 組態:
-
FlexGroup Volume ( ONTAP 9.10.1 至 9.12.1 )。從 ONTAP 9 . 13.1 開始, FlexGroup 磁碟區受到支援,但僅限於 ARP/AI 之前使用的 ARP 模型)
-
FlexCache Volume (原始 FlexVol 磁碟區支援 ARP 、快取磁碟區則不支援)
-
離線磁碟區
-
純SAN磁碟區
-
資料量SnapLock
-
SnapMirror 同步
-
SnapMirror 非同步(僅在 ONTAP 9 . 10.1 和 9 . 11 . 1 中不受支持。從 ONTAP 9 開始支援 SnapMirror 非同步。 12.1 。如需更多資訊、請參閱[snapmirror]。)
-
受限磁碟區
-
儲存VM的根磁碟區
-
已停止儲存VM的磁碟區
ARP效能和頻率考量
根據處理量和尖峰 IOPS 的測量結果、 ARP 對系統效能的影響最小。ARP 功能的影響取決於特定的 Volume 工作負載。對於一般工作負載、建議使用下列組態限制:
| 工作負載特性 | 每個節點的建議Volume限制 | 超過每節點磁碟區限制時效能降低:[*] |
|---|---|---|
讀取密集或資料可以壓縮。 |
150 |
最高IOPS的4% |
寫入密集、資料無法壓縮。 |
60 |
IOPS上限的10% |
通過:[*]無論新增的磁碟區數量超過建議的限制、系統效能不會超過這些百分比。
由於 ARP 分析會依優先順序執行、因此當受保護的磁碟區數量增加時、分析會在每個磁碟區上執行的頻率較低。
使用 ARP 保護的磁碟區進行多重管理驗證
從 ONTAP 9.13.1 開始、您可以啟用多重管理驗證( MAV )、以提高 ARP 的安全性。MAV 可確保至少有兩位或多位通過驗證的系統管理員必須關閉 ARP 、暫停 ARP 、或將可疑攻擊標示為受保護磁碟區上的誤報。瞭解如何"為受 ARP 保護的磁碟區啟用 MAV"。
您需要為 MAV 群組定義系統管理員,並為您要保護的, security anti-ransomware volume pause`和 `security anti-ransomware volume attack clear-suspect ARP 命令建立 MAV 規則 security anti-ransomware volume disable。MAV 群組中的每位管理員都必須核准每個新規則要求,並"再次新增 MAV 規則"在 MAV 設定內進行。
從 ONTAP 9 . 14.1 開始, ARP 會提供建立 ARP 快照和觀察新副檔名的警示。這些事件的警示預設為停用。警示可在 Volume 或 SVM 層級設定。您可以在 SVM 層級使用或在 Volume 層級 security anti-ransomware volume event-log modify`使用建立 MAV 規則 `security anti-ransomware vserver event-log modify。