技術情報
Anti-Ransomware
ONTAP 9.10.1 主要新機能 Anti-Ransomware
ONTAP内蔵のランサムウェア防御機能
-
パターン(振る舞い)やファイルのエントロピー(複雑性の概念)を用い、ML(機械学習)によってランサムウェアを検出
※例えば既存パターンから逸脱した急激な書き換えなど -
自動的にSnapshotを取得したり、管理者への警告が可能
→早期にSnapshotを取得することで、被害を 最小限に抑えることが可能 -
Cloud SecureやFpolicyとの併存が可能
-
要ライセンス
NASはランサムウェア対策の最終防衛ライン!
Anti-Ransomware 対応機種
FASシリーズ
AFFシリーズ
※ONTAP 9.10.1以降に対応
※対象はNFS または SMB (あるいはその両方)が有効になっている Storage VM
※必要なライセンスは、「Anti-Ransomware Suite」に含まれる。
Anti-Ransomware 主な性能
ML(機械学習)ベースの検知
-
まず学習(Learning)モードで通常のアクセスパターンを学習(最小7日間、推奨30日間 ※誤検知を防ぐため30日推奨)
-
学習後、有効(Enable)状態へ切替、検出開始
攻撃検知
-
Snapshotを自動的に取得
-
System Manager、 Unified Manager、 EMS、CLIでのアラート/レポート確認が可能
-
管理者が対象ファイルを確認し、Snapshotをリストアするか、無視するか判断可能
性能影響
-
データの特性(圧縮可能なデータか)、read/write比率によって異なる
-
write時のみ判定が行われるため、writeが少ないシステムでは影響も少ない
-
圧縮可能 & readが多いワークロードでオーバーヘッドは2%以下、圧縮不可能 & write 100%でも9%以下(参考)
ランサムウェア検出、簡易ワークフロー
※サポートされないシステム構成:
SAN 環境、ONTAP S3 環境、NFS 上の VMDK、Cloud Volumes ONTAP、AWS / Google Cloud の Cloud Volumes Service、Azure NetApp Files、Amazon FSx for NetApp ONTAP
※サポートされないボリュームタイプ:
オフラインボリューム、SnapLock ボリューム、SnapLock ボリューム、FlexGroup ボリューム、FlexCache
ボリューム、SAN-only ボリューム、停止している Storage VM のボリューム、Storage VM のルートボリューム、DPボリューム
