本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

自主勒索軟體保護的使用案例和考量

03/26/2024 貢獻者

PDF

從 ONTAP 9.10.1 開始、 NAS 工作負載可使用自主 Ransomwware Protection （ ARP ）。在部署 ARP 之前、您應該瞭解建議的用途和支援的組態、以及效能影響。

支援和不支援的組態

在決定使用 ARP 時、請務必確保您的磁碟區工作負載適合 ARP 、並且符合所需的系統組態。

合適的工作負載

ARP 適用於：

NFS儲存設備上的資料庫
Windows或Linux主目錄

由於使用者可以建立在學習期間未偵測到的副檔名檔案、因此此工作負載較可能出現誤報。
影像與影片

例如、醫療記錄和電子設計自動化（ EDA ）資料

不適當的工作負載

ARP 不適用於：

高檔案建立或刪除頻率的工作負載（數秒內就有數十萬個檔案、例如測試 / 開發工作負載）。
ARP 的威脅偵測取決於其辨識出檔案建立、重新命名或刪除活動異常激增的能力。如果應用程式本身是檔案活動的來源、則無法有效地區別於勒索軟體活動。
應用程式或主機加密資料的工作負載。
ARP 需要將傳入的資料識別為加密或未加密。如果應用程式本身正在加密資料、則此功能的有效性將會降低。不過、此功能仍可根據檔案活動（刪除、覆寫或建立、或以新副檔名建立或重新命名）和檔案類型運作。

支援的組態

從 ONTAP 9.10.1 開始、內部部署 ONTAP 系統中的 NFS 和 SMB 磁碟區可使用 ARP 。

下列 ONTAP 版本支援其他組態和磁碟區類型：

ONTAP 9.14.1. ONTAP 9.13.1.12.9.11.9.11. ONTAP 9.12.1 零點9.11.1. ONTAP 零點9.10.1 ONTAP

	ONTAP 9.14.1.	ONTAP 9.13.1.12.9.11.9.11.	ONTAP 9.12.1
使用非同步 SnapMirror 保護磁碟區	✓	✓	✓
受異步 SnapMirror 保護的 SVM （ SVM 災難恢復）	✓	✓	✓
SVM資料移動性 (`vserver migrate`）	✓	✓	✓
資料量FlexGroup	✓	✓
多管理員驗證	✓	✓

使用非同步 SnapMirror 保護磁碟區

✓

受異步 SnapMirror 保護的 SVM （ SVM 災難恢復）

✓

SVM資料移動性 (vserver migrate）

✓

資料量FlexGroup

✓

多管理員驗證

✓

SnapMirror與ARP互通性

從 ONTAP 9.12.1 開始、非同步 SnapMirror 目的地磁碟區支援 ARP 。SnapMirror Synchronous 不支援 ARP 。

如果SnapMirror來源磁碟區已啟用Arp、SnapMirror目的地磁碟區會自動取得來源磁碟區的Arp組態狀態（學習、啟用等）、Arp訓練資料、以及由Arp建立的Snapshot快照。不需要明確啟用。

雖然目的地Volume是由唯讀（RO）Snapshot複本所組成、但不會對其資料進行任何ARP處理。不過、當SnapMirror目的地Volume轉換為讀寫（RW）時、會自動在RW-轉換的目的地Volume上啟用ARP。除了已記錄在來源Volume上的內容、目的地Volume不需要任何額外的學習程序。

在版本號9.10.1和9.11.1中ONTAP 、SnapMirror不會將Arp組態狀態、訓練資料和Snapshot複本從來源磁碟區傳輸到目的地磁碟區。因此、當SnapMirror目的地Volume轉換為RW時、在轉換後、必須在學習模式中明確啟用目的地Volume上的ARP。

ARP 和虛擬機器

虛擬機器（ VM ）支援 ARP 。ARP 偵測在 VM 內部和外部的變更時、行為會有所不同。不建議將 ARP 用於 VM 內部具有高 Entropy 檔案的工作負載。

VM 以外的變更

如果新的副檔名進入已加密的磁碟區、或是檔案副檔名變更、 ARP 就能偵測到 NFS 磁碟區上 VM 以外的檔案副檔名變更。可偵測的檔案副檔名變更包括：

.vmx
.vmxf
.vmdk
-flat.vmdk
NVRAM
.vmem
vmsd
.vmsn
.vswp
.vmss
.log
-\#.log

VM 內部的變更

如果勒索軟體攻擊是針對 VM 內部的 VM 和檔案進行變更、而未在 VM 外部進行變更、則如果 VM 的預設 Entropy 低（例如 .txt 、 .docx 或 .mp4 檔案）、 ARP 會偵測到威脅。雖然 ARP 在這種情況下會建立保護性的 Snapshot 、但不會產生威脅警示、因為 VM 外部的副檔名並未遭到竄改。

如果檔案預設為高 Entropy （例如 .gzip 或密碼保護的檔案）、則 ARP 的偵測功能會受到限制。在這種情況下、 ARP 仍可取得主動式快照、但如果檔案副檔名未遭到外部竄改、則不會觸發警示。

不支援的組態

下列系統組態不支援 ARP ：

不支援的S3環境ONTAP
SAN環境

ARP 不支援下列 Volume 組態：

FlexGroup Volume （ ONTAP 9.10.1 至 9.12.1 ）。從 ONTAP 9.13.1 開始、支援 FlexGroup 磁碟區）
FlexCache Volume （原始 FlexVol 磁碟區支援 ARP 、快取磁碟區則不支援）
離線磁碟區
純SAN磁碟區
資料量SnapLock
SnapMirror同步
非同步 SnapMirror （僅在 ONTAP 9.10.1 和 9.11.1 中不受支援。從 ONTAP 9.12.1 開始支援非同步 SnapMirror 。如需詳細資訊、請參閱 [snapmirror]）
受限磁碟區
儲存VM的根磁碟區
已停止儲存VM的磁碟區

ARP效能和頻率考量

根據處理量和尖峰 IOPS 的測量結果、 ARP 對系統效能的影響最小。ARP 功能的影響取決於特定的 Volume 工作負載。對於一般工作負載、建議使用下列組態限制：

工作負載特性	每個節點的建議Volume限制	超過每節點磁碟區限制時效能降低：[*]
讀取密集或資料可以壓縮。	150	最高IOPS的4%
寫入密集、資料無法壓縮。	60	IOPS上限的10%

工作負載特性

每個節點的建議Volume限制

超過每節點磁碟區限制時效能降低：[*]

讀取密集或資料可以壓縮。

150

最高IOPS的4%

寫入密集、資料無法壓縮。

IOPS上限的10%

通過：[*]無論新增的磁碟區數量超過建議的限制、系統效能不會超過這些百分比。

由於 ARP 分析會依優先順序執行、因此當受保護的磁碟區數量增加時、分析會在每個磁碟區上執行的頻率較低。

使用 ARP 保護的磁碟區進行多重管理驗證

從 ONTAP 9.13.1 開始、您可以啟用多重管理驗證（ MAV ）、以提高 ARP 的安全性。MAV 可確保至少有兩位或多位通過驗證的系統管理員必須關閉 ARP 、暫停 ARP 、或將可疑攻擊標示為受保護磁碟區上的誤報。瞭解操作方法 "為受 ARP 保護的磁碟區啟用 MAV"。

您需要定義 MAV 群組的管理員、並為建立 MAV 規則 security anti-ransomware volume disable、 security anti-ransomware volume pause`和 `security anti-ransomware volume attack clear-suspect 您要保護的 ARP 命令。MAV 群組中的每位管理員都必須核准每個新的規則要求和 "再次新增 MAV 規則" 在 MAV 設定中。

從 ONTAP 9.14.1 開始、 ARP 會提供建立 ARP 快照和觀察新副檔名的警示。這些事件的警示預設為停用。警示可在 Volume 或 SVM 層級設定。您可以使用在 SVM 層級建立 MAV 規則 security anti-ransomware vserver event-log modify 或是在 Volume 層級使用 security anti-ransomware volume event-log modify。

後續步驟