自主勒索軟體保護的使用案例和考量
-
此文件 PDF 的網站
-
NAS儲存管理
-
![](https://docs.netapp.com/common/images/pdf-zip.png)
個別的 PDF 文件集合
Creating your file...
從 ONTAP 9.10.1 開始、 NAS 工作負載可使用自主 Ransomwware Protection ( ARP )。在部署 ARP 之前、您應該瞭解建議的用途和支援的組態、以及效能影響。
支援和不支援的組態
在決定使用 ARP 時、請務必確保您的磁碟區工作負載適合 ARP 、並且符合所需的系統組態。
合適的工作負載
ARP 適用於:
-
NFS儲存設備上的資料庫
-
Windows或Linux主目錄
由於使用者可以建立在學習期間未偵測到的副檔名檔案、因此此工作負載較可能出現誤報。
-
影像與影片
例如、醫療記錄和電子設計自動化( EDA )資料
不適當的工作負載
ARP 不適用於:
-
高檔案建立或刪除頻率的工作負載(數秒內就有數十萬個檔案、例如測試 / 開發工作負載)。
-
ARP 的威脅偵測取決於其辨識出檔案建立、重新命名或刪除活動異常激增的能力。如果應用程式本身是檔案活動的來源、則無法有效地區別於勒索軟體活動。
-
應用程式或主機加密資料的工作負載。
ARP 需要將傳入的資料識別為加密或未加密。如果應用程式本身正在加密資料、則此功能的有效性將會降低。不過、此功能仍可根據檔案活動(刪除、覆寫或建立、或以新副檔名建立或重新命名)和檔案類型運作。
支援的組態
從 ONTAP 9.10.1 開始、內部部署 ONTAP 系統中的 NFS 和 SMB 磁碟區可使用 ARP 。
下列 ONTAP 版本支援其他組態和磁碟區類型:
ONTAP 9.15.1.1 | ONTAP 9.14.1. | ONTAP 9.13.1.12.9.11.9.11. | ONTAP 9.12.1 | 零點9.11.1. ONTAP | 零點9.10.1 ONTAP | |
---|---|---|---|---|---|---|
使用非同步 SnapMirror 保護磁碟區 |
✓ |
✓ |
✓ |
✓ |
||
受異步 SnapMirror 保護的 SVM ( SVM 災難恢復) |
✓ |
✓ |
✓ |
✓ |
||
SVM資料移動性 ( |
✓ |
✓ |
✓ |
✓ |
||
資料量FlexGroup |
✓ |
✓ |
✓ |
|||
多管理員驗證 |
✓ |
✓ |
✓ |
SnapMirror與ARP互通性
從 ONTAP 9.12.1 開始、非同步 SnapMirror 目的地磁碟區支援 ARP 。SnapMirror Synchronous 不支援 ARP 。
如果SnapMirror來源磁碟區已啟用Arp、SnapMirror目的地磁碟區會自動取得來源磁碟區的Arp組態狀態(學習、啟用等)、Arp訓練資料、以及由Arp建立的Snapshot快照。不需要明確啟用。
雖然目的地Volume是由唯讀(RO)Snapshot複本所組成、但不會對其資料進行任何ARP處理。不過、當SnapMirror目的地Volume轉換為讀寫(RW)時、會自動在RW-轉換的目的地Volume上啟用ARP。除了已記錄在來源Volume上的內容、目的地Volume不需要任何額外的學習程序。
在版本號9.10.1和9.11.1中ONTAP 、SnapMirror不會將Arp組態狀態、訓練資料和Snapshot複本從來源磁碟區傳輸到目的地磁碟區。因此、當SnapMirror目的地Volume轉換為RW時、在轉換後、必須在學習模式中明確啟用目的地Volume上的ARP。
ARP 和虛擬機器
虛擬機器( VM )支援 ARP 。ARP 偵測在 VM 內部和外部的變更時、行為會有所不同。不建議將 ARP 用於 VM 內部具有高 Entropy 檔案的工作負載。
如果新的副檔名進入已加密的磁碟區、或是檔案副檔名變更、 ARP 就能偵測到 NFS 磁碟區上 VM 以外的檔案副檔名變更。可偵測的檔案副檔名變更包括:
-
.vmx
-
.vmxf
-
.vmdk
-
-flat.vmdk
-
NVRAM
-
.vmem
-
vmsd
-
.vmsn
-
.vswp
-
.vmss
-
.log
-
-\#.log
如果勒索軟體攻擊是針對 VM 內部的 VM 和檔案進行變更、而未在 VM 外部進行變更、則如果 VM 的預設 Entropy 低(例如 .txt 、 .docx 或 .mp4 檔案)、 ARP 會偵測到威脅。雖然 ARP 在這種情況下會建立保護性的 Snapshot 、但不會產生威脅警示、因為 VM 外部的副檔名並未遭到竄改。
如果檔案預設為高 Entropy (例如 .gzip 或密碼保護的檔案)、則 ARP 的偵測功能會受到限制。ARP 仍可在此執行個體中取得主動式快照、但如果檔案副檔名未遭到外部竄改、則不會觸發警示。
不支援的組態
下列系統組態不支援 ARP :
-
不支援的S3環境ONTAP
-
SAN環境
ARP 不支援下列 Volume 組態:
-
FlexGroup Volume ( ONTAP 9.10.1 至 9.12.1 )。從 ONTAP 9.13.1 開始、支援 FlexGroup 磁碟區)
-
FlexCache Volume (原始 FlexVol 磁碟區支援 ARP 、快取磁碟區則不支援)
-
離線磁碟區
-
純SAN磁碟區
-
資料量SnapLock
-
SnapMirror同步
-
非同步 SnapMirror (僅在 ONTAP 9.10.1 和 9.11.1 中不受支援。從 ONTAP 9.12.1 開始支援非同步 SnapMirror 。如需詳細資訊、請參閱 [snapmirror])
-
受限磁碟區
-
儲存VM的根磁碟區
-
已停止儲存VM的磁碟區
ARP效能和頻率考量
根據處理量和尖峰 IOPS 的測量結果、 ARP 對系統效能的影響最小。ARP 功能的影響取決於特定的 Volume 工作負載。對於一般工作負載、建議使用下列組態限制:
工作負載特性 | 每個節點的建議Volume限制 | 超過每節點磁碟區限制時效能降低:[*] |
---|---|---|
讀取密集或資料可以壓縮。 |
150 |
最高IOPS的4% |
寫入密集、資料無法壓縮。 |
60 |
IOPS上限的10% |
通過:[*]無論新增的磁碟區數量超過建議的限制、系統效能不會超過這些百分比。
由於 ARP 分析會依優先順序執行、因此當受保護的磁碟區數量增加時、分析會在每個磁碟區上執行的頻率較低。
使用 ARP 保護的磁碟區進行多重管理驗證
從 ONTAP 9.13.1 開始、您可以啟用多重管理驗證( MAV )、以提高 ARP 的安全性。MAV 可確保至少有兩位或多位通過驗證的系統管理員必須關閉 ARP 、暫停 ARP 、或將可疑攻擊標示為受保護磁碟區上的誤報。瞭解操作方法 "為受 ARP 保護的磁碟區啟用 MAV"。
您需要定義 MAV 群組的管理員、並為建立 MAV 規則 security anti-ransomware volume disable
、 security anti-ransomware volume pause`和 `security anti-ransomware volume attack clear-suspect
您要保護的 ARP 命令。MAV 群組中的每位管理員都必須核准每個新的規則要求和 "再次新增 MAV 規則" 在 MAV 設定中。
從 ONTAP 9.14.1 開始、 ARP 會提供建立 ARP 快照和觀察新副檔名的警示。這些事件的警示預設為停用。警示可在 Volume 或 SVM 層級設定。您可以使用在 SVM 層級建立 MAV 規則 security anti-ransomware vserver event-log modify
或是在 Volume 層級使用 security anti-ransomware volume event-log modify
。