Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

鎖定Snapshot複本以防止勒索軟體攻擊

貢獻者

從VMware 9.12.1開始ONTAP 、您可以在非SnapLock Volume上鎖定Snapshot複本、以防止勒索軟體攻擊。鎖定Snapshot複本可確保不會意外或惡意刪除。

您可以使用SnapLock 「不符法規時鐘」功能、將Snapshot複本鎖定一段特定期間、以便在達到到期時間之前將其刪除。鎖定Snapshot複本可防止資料竄改、避免受到勒索軟體威脅。如果磁碟區受到勒索軟體攻擊、您可以使用鎖定的Snapshot複本來恢復資料。

從 ONTAP 9.14.1 開始、 Snapshot 複本鎖定功能可支援 SnapLock 資料保險箱目的地和非 SnapLock SnapMirror 目的地磁碟區上的長期保留 Snapshot 複本。Snapshot 複本鎖定是透過使用與相關的 SnapMirror 原則規則來設定保留期間來啟用 現有原則標籤。此規則會覆寫在磁碟區上設定的預設保留期間。如果 SnapMirror 標籤沒有相關的保留期間、則會使用磁碟區的預設保留期間。

防竄改Snapshot複本要求與考量
  • 如果您使用的是 ONTAP CLI 、叢集中的所有節點都必須執行 ONTAP 9.12.1 或更新版本。如果您使用的是 System Manager 、則所有節點都必須執行 ONTAP 9.13.1 或更新版本。

  • "SnapLock 授權必須安裝在叢集上"。本授權包含在"ONTAP One"中。

  • "叢集上的規範時鐘必須初始化"

  • 在磁碟區上啟用Snapshot鎖定功能時、您可以將叢集升級至ONTAP 更新於ONTAP 版本更新至版本更新於版本更新至版本更新的版本。 不過ONTAP 、在所有鎖定的Snapshot複本都達到到期日並刪除、且Snapshot複本鎖定功能已停用之前、您無法還原至舊版的功能。

  • 鎖定Snapshot時、磁碟區過期時間會設定為Snapshot複本的過期時間。如果鎖定多個 Snapshot 複本、則 Volume 過期時間會反映所有 Snapshot 複本中最長的過期時間。

  • 鎖定Snapshot複本的保留期間優先於Snapshot複本保留數、也就是說、如果鎖定Snapshot複本的Snapshot複本保留期間尚未過期、則不會保留保留保留數限制。

  • 在SnapMirror關係中、您可以在鏡射儲存庫原則規則上設定保留期間、如果目的地磁碟區已啟用Snapshot複本鎖定功能、則保留期間會套用至複寫至目的地的Snapshot複本。保留期間優先於保留數;例如、即使超過保留數、仍會保留未超過到期日的Snapshot複本。

  • 您可以在非SnapLock Volume上重新命名Snapshot複本。僅當原則為MirrorAllSnapshots時、SnapMirror關係的主要磁碟區上的Snapshot重新命名作業才會反映在次要磁碟區上。對於其他原則類型、重新命名的Snapshot複本不會在更新期間傳播。

  • 如果您使用的是 ONTAP CLI 、您可以使用還原鎖定的 Snapshot 複本 volume snapshot restore 僅當鎖定的Snapshot複本是最新的時、才會執行命令。如果有任何未過期的Snapshot複本比要還原的複本晚、則Snapshot複本還原作業將會失敗。

防竄改Snapshot複本支援的功能
  • "Cloud Volumes ONTAP"

  • 資料量FlexGroup

    支援將Snapshot複本鎖定在FlexGroup 不支援的情況下。Snapshot鎖定僅發生在根組成Snapshot複本上。只有在根組成的到期時間已過時、才FlexGroup 允許刪除此功能。

  • 從系統轉換為FlexVol FlexGroup

    您可以使用FlexVol 鎖定的Snapshot複本、將某個不符合需求的Volume轉換成FlexGroup 一個不符合需求的Volume。轉換後、Snapshot複本仍會保持鎖定狀態。

  • Volume複製與檔案複製

    您可以從鎖定的Snapshot複本建立Volume複本和檔案複本。

不支援的功能

下列功能目前不支援防竄改Snapshot複本:

  • 一致性群組

  • FabricPool

  • 資料量FlexCache

  • SMtape

  • SnapMirror 主動同步

  • SnapMirror 原則規則使用 -schedule 參數

  • SnapMirror 同步

  • SVM 資料移動性(用於將 SVM 從來源叢集移轉或重新定位至目的地叢集)

建立磁碟區時啟用Snapshot複本鎖定

從ONTAP 《支援資料9.12.1:建立新磁碟區或使用修改現有磁碟區時、您可以啟用Snapshot複本鎖定功能 -snapshot-locking-enabled 選項 volume createvolume modify CLI 中的命令。從 ONTAP 9.13.1 開始、您可以使用系統管理員來啟用 Snapshot 複本鎖定。

系統管理員
  1. 瀏覽至 * 儲存 > 磁碟區 * 、然後選取 * 新增 * 。

  2. 在 * 新增 Volume * 視窗中、選擇 * 更多選項 * 。

  3. 輸入磁碟區名稱、大小、匯出原則和共用名稱。

  4. 選取 * 啟用 Snapshot 鎖定 * 。如果未安裝 SnapLock 授權、則不會顯示此選項。

  5. 如果尚未啟用、請選取 * 初始化 SnapLock 法規遵循時鐘 * 。

  6. 儲存您的變更。

  7. 在 *Volumes (卷) * 窗口中,選擇您更新的卷,然後選擇 *Overview (總覽) * 。

  8. 驗證 * SnapLock Snapshot Copy Locking * 是否顯示爲 * Enabled* 。

CLI
  1. 若要建立新磁碟區並啟用Snapshot複本鎖定、請輸入下列命令:

    volume create -vserver vserver_name -volume volume_name -snapshot-locking-enabled true

    下列命令可在名為vol1的新磁碟區上啟用Snapshot複本鎖定:

    > volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true
    Warning: Snapshot copy locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked Snapshot copies are past their expiry time. A volume with unexpired locked Snapshot copies cannot be deleted.
    Do you want to continue: {yes|no}: y
    [Job 32] Job succeeded: Successful

在現有磁碟區上啟用Snapshot複本鎖定

從 ONTAP 9.12.1 開始、您可以使用 ONTAP CLI 在現有磁碟區上啟用 Snapshot 複本鎖定。從 ONTAP 9.13.1 開始、您可以使用系統管理員在現有磁碟區上啟用 Snapshot 複本鎖定。

系統管理員
  1. 瀏覽至*儲存>磁碟區*。

  2. 選擇 功能表選項圖示 並選擇 * 編輯 > Volume * 。

  3. Edit Volume (編輯 Volume )視窗中、找到 Snapshot Copies (本機) Settings ( Snapshot 複本(本機)設定)區段、然後選取 * Enable Snapshot 閉鎖 * (啟用 Snapshot 鎖定)。

    如果未安裝 SnapLock 授權、則不會顯示此選項。

  4. 如果尚未啟用、請選取 * 初始化 SnapLock 法規遵循時鐘 * 。

  5. 儲存您的變更。

  6. 在 *Volumes (卷) * 窗口中,選擇您更新的卷,然後選擇 *Overview (總覽) * 。

  7. 驗證 * SnapLock Snapshot Copy Locking * 是否顯示爲 * Enabled* 。

CLI
  1. 若要修改現有磁碟區以啟用Snapshot複本鎖定、請輸入下列命令:

    volume modify -vserver vserver_name -volume volume_name -snapshot-locking-enabled true

建立鎖定的 Snapshot 複本原則並套用保留

從ONTAP 功能表9.12開始、您可以建立Snapshot複本原則、以套用Snapshot複本保留期間、並將原則套用至磁碟區、以便在指定期間鎖定Snapshot複本。您也可以手動設定保留期間、以鎖定Snapshot複本。從 ONTAP 9.13.1 開始、您可以使用系統管理員來建立 Snapshot 複本鎖定原則、並將其套用至磁碟區。

建立Snapshot複本鎖定原則

系統管理員
  1. 瀏覽至 * 儲存 > 儲存 VM* 、然後選取儲存 VM 。

  2. 選取 * 設定 * 。

  3. 找到 *Snapshot policies * 並選擇 箭頭圖示

  4. 在 * 新增 Snapshot Policy* 視窗中、輸入原則名稱。

  5. 選取 新增圖示

  6. 提供 Snapshot 複本排程詳細資料、包括排程名稱、要保留的最大 Snapshot 複本、以及 SnapLock 保留期間。

  7. 在 * SnapLock 保留期間 * 欄中、輸入保留 Snapshot 複本的小時數、天數、月數或年數。例如、保留期為 5 天的 Snapshot 複本原則、會從建立 Snapshot 複本起鎖定 5 天、而且在該時間內無法刪除該複本。支援下列保留期間範圍:

    • 年數: 0 - 100

    • 月數: 0 - 1200

    • 天數: 0 - 36500

    • 營業時間: 0 - 24

  8. 儲存您的變更。

CLI
  1. 若要建立Snapshot複本原則、請輸入下列命令:

    volume snapshot policy create -policy policy_name -enabled true -schedule1 schedule1_name -count1 maximum_Snapshot_copies -retention-period1 _retention_period

    下列命令會建立Snapshot複本鎖定原則:

    cluster1> volume snapshot policy create -policy policy_name -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"

    如果 Snapshot 複本處於作用中保留狀態、則不會取代該複本;也就是說、如果有鎖定的 Snapshot 複本尚未過期、則保留計數將不會生效。

將鎖定原則套用至磁碟區

系統管理員
  1. 瀏覽至*儲存>磁碟區*。

  2. 選擇 功能表選項圖示 並選擇 * 編輯 > Volume * 。

  3. 在 * 編輯 Volume * 視窗中、選取 * 排程 Snapshot Copies * 。

  4. 從清單中選取鎖定 Snapshot 複本原則。

  5. 如果尚未啟用 Snapshot 複本鎖定、請選取 * 啟用 Snapshot 鎖定 * 。

  6. 儲存您的變更。

CLI
  1. 若要將Snapshot複本鎖定原則套用至現有磁碟區、請輸入下列命令:

    volume modify -volume volume_name -vserver vserver_name -snapshot-policy policy_name

在手動建立Snapshot複本期間套用保留期間

您可以在手動建立 Snapshot 複本時套用 Snapshot 複本保留期間。必須在磁碟區上啟用 Snapshot 複本鎖定、否則會忽略保留期間設定。

系統管理員
  1. 瀏覽至 * 儲存 > 磁碟區 * 、然後選取磁碟區。

  2. 在 Volume 詳細資料頁面中、選取 * Snapshot Copies (快照複本) * 標籤。

  3. 選取 新增圖示

  4. 輸入 Snapshot 複本名稱和 SnapLock 到期時間。您可以選取行事曆來選擇保留到期日和時間。

  5. 儲存您的變更。

  6. 在「 * 磁碟區 > Snapshot Copies (快照複本)」頁面中、選取 * 顯示 / 隱藏 * 、然後選擇 * SnapLock Expiration Time (過期時間) * 以顯示 * SnapLock Expiration Time* ( * 快照過期時間)欄、並確認已設定保留時間。

CLI
  1. 若要手動建立Snapshot複本並套用鎖定保留期間、請輸入下列命令:

    volume snapshot create -volume volume_name -snapshot snapshot_copy_name -snaplock-expiry-time expiration_date_time

    下列命令會建立新的Snapshot複本並設定保留期間:

    cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"

將保留期間套用至現有的Snapshot複本

系統管理員
  1. 瀏覽至 * 儲存 > 磁碟區 * 、然後選取磁碟區。

  2. 在 Volume 詳細資料頁面中、選取 * Snapshot Copies (快照複本) * 標籤。

  3. 選擇 Snapshot (快照)複本,選擇,然後選擇 * Modify SnapLock Expiration Time (修改快照 功能表選項圖示到期時間) * 。您可以選取行事曆來選擇保留到期日和時間。

  4. 儲存您的變更。

  5. 在「 * 磁碟區 > Snapshot Copies (快照複本)」頁面中、選取 * 顯示 / 隱藏 * 、然後選擇 * SnapLock Expiration Time (過期時間) * 以顯示 * SnapLock Expiration Time* ( * 快照過期時間)欄、並確認已設定保留時間。

CLI
  1. 若要手動將保留期間套用至現有的Snapshot複本、請輸入下列命令:

    volume snapshot modify-snaplock-expiry-time -volume volume_name -snapshot snapshot_copy_name -expiry-time expiration_date_time

    以下範例將保留期間套用至現有的Snapshot複本:

    cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -expiry-time "11/10/2022 09:00:00"

修改現有原則以套用長期保留

在SnapMirror關係中、您可以在鏡射儲存庫原則規則上設定保留期間、如果目的地磁碟區已啟用Snapshot複本鎖定功能、則保留期間會套用至複寫至目的地的Snapshot複本。保留期間優先於保留數;例如、即使超過保留數、仍會保留未超過到期日的Snapshot複本。

從 ONTAP 9.14.1 開始、您可以新增規則來設定 Snapshot 複本的長期保留、以修改現有的 SnapMirror 原則。此規則用於覆寫 SnapLock 資料保險箱目的地和非 SnapLock SnapMirror 目的地磁碟區上的預設磁碟區保留期間。

  1. 將規則新增至現有的 SnapMirror 原則:

    snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of Snapshot copies> -retention-period [<integer> days|months|years]

    下列範例建立規則、將 6 個月的保留期間套用至現有的「 LockVault 」原則:

    snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"