版本資訊
鎖定快照以防止勒索軟體攻擊
建議變更-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
從 ONTAP 9.12.1 開始,您可以鎖定非 SnapLock 磁碟區上的快照,以防止勒索軟體攻擊。鎖定快照可確保快照不會意外或惡意刪除。
您可以使用 SnapLock Compliance 時鐘功能將快照鎖定一段指定的時間,以便在快照達到到期時間之前無法刪除快照。鎖定快照可防止竄改,防止勒索軟體威脅。如果磁碟區遭到勒索軟體攻擊,您可以使用鎖定的快照來恢復資料。
從 ONTAP 9.14.1 開始,快照鎖定功能可支援 SnapLock 資料保險箱目的地和非 SnapLock SnapMirror 目的地磁碟區上的長期保留快照。使用與相關的 SnapMirror 原則規則來設定保留期間現有原則標籤,即可啟用快照鎖定。此規則會覆寫在磁碟區上設定的預設保留期間。如果 SnapMirror 標籤沒有相關的保留期間、則會使用磁碟區的預設保留期間。
-
如果您使用的是 ONTAP CLI 、叢集中的所有節點都必須執行 ONTAP 9.12.1 或更新版本。如果您使用的是 System Manager 、則所有節點都必須執行 ONTAP 9.13.1 或更新版本。
-
"SnapLock 授權必須安裝在叢集上"。本授權包含在"ONTAP One"中。
-
在磁碟區上啟用快照鎖定功能時,您可以將叢集升級至 ONTAP 9.12.1 之後的 ONTAP 版本;不過,除非所有鎖定的快照都已達到到期日,並已刪除,且快照鎖定功能已停用,否則您無法還原至舊版的 ONTAP 。
-
快照鎖定時,磁碟區過期時間會設為快照的到期時間。如果鎖定多個快照,則磁碟區過期時間會反映所有快照中最長的過期時間。
-
鎖定快照的保留期間優先於快照保留計數,這表示如果鎖定快照的快照保留期間尚未過期,則保留數量限制將不會生效。
-
在 SnapMirror 關係中,您可以在鏡射資料保險箱原則規則上設定保留期間,如果目的地磁碟區已啟用快照鎖定功能,則會將保留期間套用至複寫至目的地的快照。保留期間優先於保留計數;例如,即使超過保留計數,仍會保留未超過過期的快照。
-
您可以重新命名非 SnapLock 磁碟區上的快照。僅當原則為MirrorAllSnapshots時、SnapMirror關係的主要磁碟區上的Snapshot重新命名作業才會反映在次要磁碟區上。對於其他原則類型,重新命名的快照不會在更新期間傳播。
-
如果您使用的是 ONTAP CLI ,只有在鎖定的快照是最新的時,才能使用命令來還原鎖定的快 `volume snapshot restore`照。如果在還原快照之後仍有任何未過期的快照,則快照還原作業將會失敗。
-
資料量FlexGroup
FlexGroup 磁碟區支援快照鎖定。快照鎖定只會發生在根組成快照上。只有在根組成的到期時間已過時、才FlexGroup 允許刪除此功能。
-
從系統轉換為FlexVol FlexGroup
您可以將具有鎖定快照的 FlexVol volume 轉換為 FlexGroup Volume 。轉換後,快照仍會保持鎖定狀態。
-
SnapMirror 非同步
規範時鐘必須同時在來源和目的地上初始化。
-
SVM DR
規範時鐘必須同時在來源和目的地上初始化。
-
Volume複製與檔案複製
您可以從鎖定的快照建立磁碟區複本和檔案複本。
防竄改快照目前不支援下列功能:
-
一致性群組
-
防竄改的快照可提供不可刪除的保護。由於 FabricPool 需要刪除資料的能力,因此無法在同一個磁碟區上啟用 FabricPool 和快照鎖定。
-
資料量FlexCache
-
SMtape
-
SnapMirror 主動同步
-
SnapMirror 原則規則使用
-schedule參數 -
SnapMirror 同步
-
SVM 資料移動性(用於將 SVM 從來源叢集移轉或重新定位至目的地叢集)
建立磁碟區時啟用快照鎖定
從 ONTAP 9.12.1 開始,您可以在建立新磁碟區時,或在 CLI 中使用和 volume modify`命令選項 `volume create`修改現有磁碟區時,啟用快照鎖定 `-snapshot-locking-enabled。從 ONTAP 9.13.1 開始,您可以使用系統管理員來啟用快照鎖定。
-
瀏覽至 * 儲存 > 磁碟區 * 、然後選取 * 新增 * 。
-
在 * 新增 Volume * 視窗中、選擇 * 更多選項 * 。
-
輸入磁碟區名稱、大小、匯出原則和共用名稱。
-
選取 * 啟用 Snapshot 鎖定 * 。如果未安裝 SnapLock 授權、則不會顯示此選項。
-
如果尚未啟用、請選取 * 初始化 SnapLock 法規遵循時鐘 * 。
-
儲存您的變更。
-
在 *Volumes (卷) * 窗口中,選擇您更新的卷,然後選擇 *Overview (總覽) * 。
-
驗證 * SnapLock 快照鎖定 * 是否顯示爲 * 已啓用 * 。
-
若要建立新的磁碟區並啟用快照鎖定,請輸入下列命令:
volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true下列命令可在名為 vol1 的新磁碟區上啟用快照鎖定:
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
在現有磁碟區上啟用快照鎖定
從 ONTAP 9.12.1 開始,您可以使用 ONTAP CLI 在現有磁碟區上啟用快照鎖定。從 ONTAP 9.13.1 開始,您可以使用系統管理員在現有的磁碟區上啟用快照鎖定。
-
瀏覽至*儲存>磁碟區*。
-
選擇
並選擇 * 編輯 > Volume * 。 -
在 * 編輯 Volume * 視窗中,找到 Snapshot (本機)設定區段,然後選取 * 啟用快照鎖定 * 。
如果未安裝 SnapLock 授權、則不會顯示此選項。
-
如果尚未啟用、請選取 * 初始化 SnapLock 法規遵循時鐘 * 。
-
儲存您的變更。
-
在 *Volumes (卷) * 窗口中,選擇您更新的卷,然後選擇 *Overview (總覽) * 。
-
驗證 * SnapLock 快照鎖定 * 是否顯示爲 * 已啓用 * 。
-
若要修改現有的磁碟區以啟用快照鎖定,請輸入下列命令:
volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true
建立鎖定的快照原則並套用保留
從 ONTAP 9.12.1 開始,您可以建立快照原則來套用快照保留期間,並將原則套用至磁碟區,以鎖定指定期間的快照。您也可以手動設定保留期間來鎖定快照。從 ONTAP 9.13.1 開始,您可以使用系統管理員建立快照鎖定原則,並將其套用至磁碟區。
建立快照鎖定原則
-
瀏覽至 * 儲存 > 儲存 VM* 、然後選取儲存 VM 。
-
選取 * 設定 * 。
-
找到 *Snapshot policies * 並選擇
。 -
在 * 新增 Snapshot Policy* 視窗中、輸入原則名稱。
-
選取
。 -
提供快照排程詳細資料,包括排程名稱,要保留的最大快照數,以及 SnapLock 保留期間。
-
在 * SnapLock 保留期間 * 欄中,輸入保留快照的小時數,天數,月數或年數。例如,保留期為 5 天的快照原則,會從建立快照之日起將快照鎖定 5 天,而且在該期間無法刪除快照。支援下列保留期間範圍:
-
年數: 0 - 100
-
月數: 0 - 1200
-
天數: 0 - 36500
-
營業時間: 0 - 24
-
-
儲存您的變更。
-
若要建立快照原則,請輸入下列命令:
volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>下列命令會建立快照鎖定原則:
cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
如果快照處於作用中保留狀態,則不會取代該快照;也就是說,如果有鎖定的快照尚未過期,則保留計數將不會生效。
將鎖定原則套用至磁碟區
-
瀏覽至*儲存>磁碟區*。
-
選擇
並選擇 * 編輯 > Volume * 。 -
在 * 編輯 Volume * 視窗中,選取 * 排程快照 * 。
-
從清單中選取鎖定快照原則。
-
如果尚未啟用快照鎖定,請選取 * 啟用快照鎖定 * 。
-
儲存您的變更。
-
若要將快照鎖定原則套用至現有的磁碟區,請輸入下列命令:
volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>
在手動建立快照期間套用保留期間
您可以在手動建立快照時套用快照保留期間。必須在磁碟區上啟用 Snapshot 鎖定,否則會忽略保留期間設定。
-
瀏覽至 * 儲存 > 磁碟區 * 、然後選取磁碟區。
-
在 Volume 詳細資料頁面中,選取 * Snapshots* 標籤。
-
選取
。 -
輸入快照名稱和 SnapLock 到期時間。您可以選取行事曆來選擇保留到期日和時間。
-
儲存您的變更。
-
在「 * 磁碟區 > 快照 * 」頁面中,選取 * 顯示 / 隱藏 * ,然後選擇 * SnapLock 過期時間 * 以顯示 * SnapLock 過期時間 * 欄,並確認已設定保留時間。
-
若要手動建立快照並套用鎖定保留期間,請輸入下列命令:
volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>下列命令會建立新的快照,並設定保留期間:
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
將保留期間套用至現有的快照
-
瀏覽至 * 儲存 > 磁碟區 * 、然後選取磁碟區。
-
在 Volume 詳細資料頁面中,選取 * Snapshots* 標籤。
-
選取快照,選取
,然後選擇 * 修改 SnapLock 過期時間 * 。您可以選取行事曆來選擇保留到期日和時間。 -
儲存您的變更。
-
在「 * 磁碟區 > 快照 * 」頁面中,選取 * 顯示 / 隱藏 * ,然後選擇 * SnapLock 過期時間 * 以顯示 * SnapLock 過期時間 * 欄,並確認已設定保留時間。
-
若要手動將保留期間套用至現有的快照,請輸入下列命令:
volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>以下範例將保留期間套用至現有的快照:
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"
修改現有原則以套用長期保留
在 SnapMirror 關係中,您可以在鏡射資料保險箱原則規則上設定保留期間,如果目的地磁碟區已啟用快照鎖定功能,則會將保留期間套用至複寫至目的地的快照。保留期間優先於保留計數;例如,即使超過保留計數,仍會保留未超過過期的快照。
從 ONTAP 9.14.1 開始,您可以新增規則來設定快照的長期保留,以修改現有的 SnapMirror 原則。此規則用於覆寫 SnapLock 資料保險箱目的地和非 SnapLock SnapMirror 目的地磁碟區上的預設磁碟區保留期間。
-
將規則新增至現有的 SnapMirror 原則:
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]下列範例建立規則、將 6 個月的保留期間套用至現有的「 LockVault 」原則:
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"
