技術情報
Autonomous Ransomware Protection
ONTAP9.10.1で導入されたARP
ONTAP内蔵のランサムウェア防御機能
-
ボリュームアクティビティの異常な急増やファイルのエントロピー(複雑性の概念)を用い、ML(機械学習)によってランサムウェアを検出
※例えば既存パターンから逸脱した急激な書き換えなど -
自動的にSnapshotを取得したり、管理者への警告が可能
→早期にSnapshotを取得することで、被害を最小限に抑えることが可能 -
Cloud SecureやFpolicyとの併存が可能
-
ライセンスはONTAP Oneにバンドル
NASはランサムウェア対策の最終防衛ライン!
ARP対応機種
FASシリーズ
AFF A/Cシリーズ
※ONTAP 9.10.1以降に対応
※対象はNFS または SMB(あるいはその両方)が有効になっている Storage VM
※ライセンスはONTAP Oneにバンドル
ARPの主な機能
ML(機械学習)ベースの検知
-
まず学習(Learning)モードで通常のアクセスパターンを学習(最小7日間、推奨30日間 ※誤検知を防ぐため30日推奨)
-
学習後、有効(Enable)状態へ切替、検出開始
攻撃検知
-
Snapshotを自動的に取得
-
System Manager、 Unified Manager、 EMS、CLIでのアラート/レポート確認が可能
-
管理者が対象ファイルを確認し、Snapshotをリストアするか、無視するか判断可能
性能影響
-
データの特性(圧縮可能なデータか)、read/write比率によって異なる
-
write時のみ判定が行われるため、writeが少ないシステムでは影響も少ない
-
圧縮可能 & readが多いワークロードでオーバーヘッドは2%以下、圧縮不可能 & write 100%でも9%以下(参考)
ランサムウェア検出、簡易ワークフロー
※サポートされないシステム構成:
SAN 環境、ONTAP S3 環境、NFS 上の VMDK、Amazon FSx for NetApp ONTAP、Azure NetApp Files、Google Cloud NetApp Volumes
※サポートされないボリュームタイプ:
オフラインボリューム、SnapLock ボリューム、FlexCacheボリューム、SAN-only ボリューム、停止している Storage VM のボリューム、Storage VM のルートボリューム、DPボリューム
