技術情報

Autonomous Ransomware Protection

ONTAP内蔵のランサムウェア防御機能

  • ボリュームアクティビティの異常な急増やファイルのエントロピー(複雑性の概念)を用い、ML(機械学習)によってランサムウェアを検出
    ※例えば既存パターンから逸脱した急激な書き換えなど
  • 自動的にSnapshotを取得したり、管理者への警告が可能
    →早期にSnapshotを取得することで、被害を最小限に抑えることが可能
  • Cloud SecureやFpolicyとの併存が可能
  • ライセンスはONTAP Oneにバンドル

NASはランサムウェア対策の最終防衛ライン!

※ONTAP 9.10.1以降に対応
※対象はNFS または SMB(あるいはその両方)が有効になっている Storage VM
※ライセンスはONTAP Oneにバンドル

ML(機械学習)ベースの検知

  • まず学習(Learning)モードで通常のアクセスパターンを学習(最小7日間、推奨30日間 ※誤検知を防ぐため30日推奨)
  • 学習後、有効(Enable)状態へ切替、検出開始

攻撃検知

  • Snapshotを自動的に取得
  • System Manager、 Unified Manager、 EMS、CLIでのアラート/レポート確認が可能
  • 管理者が対象ファイルを確認し、Snapshotをリストアするか、無視するか判断可能

性能影響

  • データの特性(圧縮可能なデータか)、read/write比率によって異なる
  • write時のみ判定が行われるため、writeが少ないシステムでは影響も少ない
  • 圧縮可能 & readが多いワークロードでオーバーヘッドは2%以下、圧縮不可能 & write 100%でも9%以下(参考)

※サポートされないシステム構成:

SAN 環境、ONTAP S3 環境、NFS 上の VMDK、Amazon FSx for NetApp ONTAP、Azure NetApp Files、Google Cloud NetApp Volumes

※サポートされないボリュームタイプ:

オフラインボリューム、SnapLock ボリューム、FlexCacheボリューム、SAN-only ボリューム、停止している Storage VM のボリューム、Storage VM のルートボリューム、DPボリューム