エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

自律型ランサムウェア対策のユースケースと考慮事項

ONTAP 9.10.1以降では、NASワークロードで自律型ランサムウェア対策(ARP)を使用できます。ARPを導入する前に、推奨される使用方法、サポートされる構成、パフォーマンスへの影響について理解しておく必要があります。

サポートされる構成とされない構成

ARPを使用するかを判断する際に重要になるのが、ボリュームのワークロードがARPに適していることと、システム構成要件を満たしていることの確認です。

適しているワークロード

ARPは、次のワークロードに適しています。

  • NFSストレージのデータベース

  • WindowsまたはLinuxのホーム ディレクトリー

    学習期間に検出されなかった拡張子のファイルをユーザーが作成する可能性があるため、このワークロードでは誤検出の可能性が高くなります。

  • 画像

    たとえば、医療記録やEDA(Electronic Design Automation)データなどです。

適していないワークロード:

ARPは、次のワークロードには適していません。

  • ファイルが頻繁に作成または削除されるワークロード(数秒間に数十万のファイルを削除するテスト / 開発ワークロードなど)

  • ARPによる脅威検出は、ファイルの作成 / 名前変更 / 削除アクティビティの異常な急増を検出する機能を使用します。アプリケーション自体がファイル アクティビティのソースである場合、ランサムウェアのアクティビティと効果的に区別することができません。

  • アプリケーションやホストがデータを暗号化するワークロード
    ARPでは、受信データが暗号化されているかを区別する機能を使用します。アプリケーション自体がデータを暗号化している場合、機能の有効性が低下します。ただしその場合も、ARP自体は、ファイル アクティビティ(削除、上書き、作成、または新しいファイル拡張子を使用した作成や名前変更)とファイル タイプに基づいて引き続き機能します。

サポートされている構成

ONTAP 9.10.1以降では、オンプレミスONTAPシステムのNFSボリュームとSMBボリュームでARPを使用できます。

その他の構成とボリューム タイプのサポート状況は、ONTAPのバージョン別に次の表に示します。

ONTAP 9.15.1 ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

非同期SnapMirrorで保護されているボリューム

非同期SnapMirrorで保護されているSVM(SVMディザスタ リカバリー)

SVMのデータ移動(vserver migrate

FlexGroupボリューム

マルチ管理者認証

SnapMirrorとARPの互換性

ONTAP 9.12.1以降では、非同期SnapMirrorデスティネーション ボリュームでARPがサポートされます。ARPは、SnapMirror Synchronousではサポートされません

SnapMirrorのソース ボリュームがARP対応の場合、デスティネーション ボリュームにはソース ボリュームのARP設定(学習、有効 / 無効など)、ARP学習データ、ARPによって作成されたSnapshotが自動的に継承されます。あらためて有効にする必要はありません。

デスティネーション ボリュームが読み取り専用(RO)Snapshotコピーで構成されている間は、データに対してARP処理は実行されません。ただし、SnapMirrorデスティネーション ボリュームが読み書き可能(RW)に変換されると、そのボリュームでARPが自動的に有効になります。デスティネーション ボリュームでは、ソース ボリュームにすでに記録されている情報以外に追加で必要な学習はありません。

ONTAP 9.10.1および9.11.1では、ソース ボリュームからデスティネーション ボリュームへのARPの設定、トレーニング データ、Snapshotコピーの転送は行われません。そのため、SnapMirrorのデスティネーション ボリュームをRWに変換する場合は、変換後にデスティネーション ボリュームのARPを明示的に学習モードで有効にする必要があります。

ARPと仮想マシン

ARPは仮想マシン(VM)でサポートされています。ARPの検出動作は、VMの内部と外部の変更で異なります。ARPは、VM内でエントロピーの高いファイルが存在するワークロードには推奨されません。

VMの外部での変更

ARPでは、暗号化されたボリュームに新しい拡張子のファイルが格納された場合や、ファイル拡張子が変更された場合に、VMの外部にあるNFSボリュームでのファイル拡張子の変更を検出できます。変更を検出可能なファイル拡張子は、次のとおりです。

  • .vmx

  • .vmxf

  • .vmdk

  • -flat.vmdk

  • .nvram

  • .vmem

  • .vmsd

  • .vmsn

  • .vswp

  • .vmss

  • .log

  • -\#.log

VMの内部での変更

VMを標的とするランサムウェア攻撃により、VMの外部での変更は行われずにVMの内部のファイルが変更された場合に、VMのデフォルト エントロピーが低いと(.txt、.docx、.mp4ファイルなど)、ARPによって脅威が検出されます。このシナリオでは、ARPによって保護のためのSnapshotが作成されますが、VMの外部にあるファイル拡張子は改ざんされていないため、脅威アラートは生成されません。

デフォルトでは、エントロピーの高いファイル(.gzipやパスワードで保護されたファイルなど)の場合、ARPの検出機能が制限されます。ARPはこの場合でもプロアクティブにSnapshotを作成できますが、ファイル拡張子が外部から改ざんされていない場合、アラートはトリガーされません。

サポートされない構成

ARPは、次のシステム構成ではサポートされません。

  • ONTAP S3環境

  • SAN環境

ARPでは、次のボリューム構成はサポートされません。

  • FlexGroupボリューム(ONTAP 9.10.1~9.12.1の場合。ONTAP 9.13.1以降ではFlexGroupボリュームはサポートされます)

  • FlexCacheボリューム(元のFlexVolではサポートされますが、キャッシュ ボリュームではサポートされません)

  • オフライン ボリューム

  • SANのみのボリューム

  • SnapLockボリューム

  • SnapMirror Synchronous

  • 非同期SnapMirror(ONTAP 9.10.1と9.11.1の場合のみ。ONTAP 9.12.1以降では非同期SnapMirrorがサポートされます。詳細についてはSnapMirrorとARPの互換性を参照してください)

  • 制限付きボリューム

  • Storage VMのルート ボリューム

  • 停止したStorage VMのボリューム

ARPのパフォーマンスと分析頻度に関する考慮事項

ARPは、スループットとピークIOPSで測定されるシステム パフォーマンスへの影響はほとんどありません。ARP機能の影響は、個々のボリュームのワークロードによって異なります。一般的なワークロードでは、以下の構成の制限が推奨されます。

ワークロードの特性 ノードあたりの最大ボリューム数(推奨値) ノードあたりの最大ボリューム数を超えた場合のパフォーマンスの低下 *

読み取り中心またはデータを圧縮できる

150

最大IOPSの4%

書き込み中心でデータを圧縮できない

60

最大IOPSの10%

  • 推奨される最大数を超えて追加されたボリューム数に関係なく、この割合よりもシステム パフォーマンスが低下することはありません。

ARPは優先順位を付けて実行されるため、保護するボリュームの数が増えると、各ボリュームに対する分析頻度は減少します。

ARPで保護されたボリュームでのマルチ管理者認証

ONTAP 9.13.1以降では、マルチ管理者認証(MAV)を有効にして、ARPによるセキュリティを強化できます。MAVを使用すると、保護されているボリュームでARPを無効にしたり、ARPを一時停止したり、疑わしい攻撃をFalse Positiveとしてマークしたりするのに、2人以上の認証済み管理者が必要になります。ARPで保護されたボリュームでMAVを有効にする方法については、こちらを参照してください。

MAVグループの管理者を定義し、保護するARPコマンドsecurity anti-ransomware volume disablesecurity anti-ransomware volume pausesecurity anti-ransomware volume attack clear-suspectに対するMAVルールを作成する必要があります。MAVグループの各管理者は、新しいルール要求を承認し、MAVルール設定内に再度MAVルールを追加する必要があります。

ONTAP 9.14.1以降では、ARPに、ARP Snapshotの作成と新しいファイル拡張子の監視に関するアラート機能が搭載されています。これらのイベントに関するアラートは、デフォルトでは無効になっています。アラートは、ボリューム レベルまたはSVMレベルで設定できます。MAVルールをSVMレベルで作成する場合はsecurity anti-ransomware vserver event-log modify、ボリューム レベルで作成する場合はsecurity anti-ransomware volume event-log modifyを、それぞれ使用します。

Top of Page