スナップショットで企業のストレージを暗号化ウイルスから保護する方法

1年以上もの間、暗号化ウイルスは、秘密の仕事の結果でIT市場に衝撃を与えてきました。 電子メールまたはWebサイトページのJavaScriptコードのリンクの後ろに隠れて、職場のコンピューターまたはサーバーにサイレントインストールし、すべての情報を静かに暗号化し始めます。 暗号化が完了した後、一部は暗号化キーを単に削除し、他は身代金を要求しますが、それを支払うすべてのユーザーが暗号化キーを受け取るわけではありません。 どのようにそれらに対処できますか？ 最も重要な治療法は、最悪の事態に備えることです。



ウイルス対策やファイアウォールのみでウイルスやその他のハッカー攻撃を防御しようとすることは、ドアに鍵をかけ、アラーム/ビデオ監視を設定し、これを回避できない人を当てにするようなものです。 実践が示すように、最も複雑なロックであっても、最もインテリジェントなセキュリティシステムを回避できます。 「プランB」を用意し、最悪の事態に備える必要があります。 唯一の方法は、データを迅速かつ確実に回復できるようにすることです。 例としてNetAppソリューションを使用して、これらの可能性を検討してください。

NetApp FAS / ONTAPストレージシステム

多くのバックアップソフトウェア、ウイルス対策システム、その他のインフラストラクチャシステムとの多くの統合だけでなく、NAS（NFS、CIFS / SMB）およびSAN（iSCSI、FC、FCoE）の高可用性も提供します。 ユニファイドストレージは、24ノードで構成できるクラスターのノード間で透過的なデータ移行を可能にし、すべてのノードを同時に使用してNASとSANにサービスを提供してパフォーマンスを向上させることもできます。 したがって、脆弱性が発生しやすいWindows Serverを完全に放棄することができます。ADとの統合、ファイルとフォルダーのセキュリティ設定、アクセスベースの列挙など、すべての機能がNetApp ONTAPで既に利用可能であるため、ライセンスを購入せずにクラスターを構築して高可用性を実現しますMMC管理コンソール。

バックアップ

大規模な組織と中小企業の両方で、作業ファイルは誰でも使用できるようにパブリックファイルストレージに配置されます。 ストレージの一元化により、複数の人が同じファイルで共同作業するのが便利になりますが、これにはそのような情報を保護する責任も伴います。 当然、暗号化ウイルスに対抗するには、3-2-1スキームに従って定期的にバックアップする必要があります。 バックアップは、メインシステムから分離しておくことが重要です。



NetApp FAS / ONTAPストレージシステムには、これらのスナップショットに基づいたパフォーマンスとレプリケーションに影響を与えないスナップショットがあります。これにより、NAS環境とSAN環境の両方でNetAppストレージシステムテクノロジーを使用する幅広いバックアップシステムと統合できます。

• Veeam Backup＆Replication
• CommVault Simpana
• NetApp SnapManager / SnapCenter。
• NetApp SnapCreator（無料のフレームワーク）
• Veritas NetBackup
• Veritas BackupExec
• シンクソート
• アクロニス
• IBM Spectrum Protect（Tivoli）
• EMC Networker
• HP Data Protector
• クレドリスDM
• カタログECX / DPX
• Arcserve UDP
• その他

これらのバックアップシステムの1つであるVeeam Backup＆Replicationを詳しく見ていきましょう。VeeamBackup＆Replicationは、管理インターフェイスが簡単でシンプルなため、信頼と尊敬を得ています。 しかし、これはこの製品のすべての利点ではなく、NetApp FAS、ONTAP Select、ONTAP Cloud、およびAltaVaultシステム間のスナップショットとレプリカの管理方法を知っているだけではありません。 また、データストレージは、そのようなバックアップの正常性と回復可能性をテストするために、いずれかのサイトでデータを複製できます。 クローン作成は、NetApp FAS / ONTAPシステムでのスナップショットと同様、非常に便利なテクノロジーであり、パフォーマンスにも影響せず、スナップショットを削除する最初の瞬間にストレージスペースを実際に占有しません。 また、クローンデータのサイズに関係なく、作成にかかる時間は1秒未満です。

スナップショットのレスキュー

しかし、完全な回復は、第一に非常に時間がかかる可能性があり、第二に、15分ごとではなくバックアップを実行できるため、RPOが増加します。 ここで、バックアップがスナップショットであることがどれほど重要かが明らかになります。これは、NASまたはSANストレージからのバックアップよりもはるかに頻繁に実行でき、したがって、スナップショットからそのようなデータをはるかに速く復元できるため、RPO値が大幅に低下します そして、ここで、そのようなスナップショットが時計のように機能し、ストレージ全体の動作を遅くせず、削除および統合のアーキテクチャ上の問題がないことが重要であることが明らかになります。 同時に、スナップショットはバックアップの代替ではなく、完全バックアップ戦略への重要な追加です。 したがって、スナップショットを作成する手順は、情報に対する最新の変更をキャプチャするのに十分な頻度で実行できます。



スナップショットはデータの完全なコピーではなく、ブロックレベルでの新しいデータの違いであり、フルバックアップよりも効率的にストレージスペースを使用する一種の逆増分バックアップです。 それでも、このスペースが使用されると、より多くの変更、より多くの情報がスナップショットに入ります。 古いスナップショットの自動削除の構成されたスケジュールにより、ストレージリソースのより合理的な使用が可能になり、高価なNASストレージのすべての利用可能なスペースを使い果たすことがなくなります。 バックアップは、古いバージョンの情報のはるかに長いコピーを保存します。

SAN環境

NetApp ONTAPスナップショットは、NAS環境とSAN環境の両方で同等に効果的であり、同様にアーキテクチャ的に設計されており、同じインターフェイス、構成、削除、およびリカバリ速度を備えているため、データ破損の場合のロールバックが高速化されます。

スナップショットとNetApp FabricPoolテクノロジー

スナップショットとコールドデータをSSDドライブからオブジェクトストレージ内の低速ディスクに透過的にシフトできるFabricPoolテクノロジーについても言及する必要があります。



NetApp TR4572システムを使用したランサムウェアウイルスへの対処方法については、別のドキュメントがあります 。

スナップショットが機能しない方法

多くの人はすでにスナップショットのさまざまな実装に出くわしており、実際にはスナップショットがどのように機能しないかをすでに知っています。

• スナップショットが存在するだけでディスクサブシステムの負荷が増加することはありません。
• 単に多数のスナップショットから負荷を増やすべきではありません。
• ゆっくりと作成および削除しないでください。また、このプロセスはディスクサブシステムのパフォーマンスに影響を与えません。
• マスタデータを損傷するために削除しないでください。
• どれだけのデータであっても、スナップショットの削除または統合によって情報が破損する可能性がわずかにない限り、すべてが迅速かつ瞬時に機能する必要があります。

NetAppリポジトリ用のONTAPオペレーティングシステムのスナップショットは、 この方法では機能しません 。 これらは、1993年にWAFLファイルシステムの一部として、最初にONTAPオペレーティングシステムに実装されました。ご覧のとおり、これらのテクノロジーは長期にわたってテストされています。 ちなみに、スナップショットという言葉自体はNetAppの登録商標であり、スナップショットテクノロジーは特許を取得しています。 WAFLスナップショットがどのように機能するかという問題を調査するために、ディストリビューターまたはインテグレーターから要求できるONTAPストレージイメージからテスト期間に無料で仮想マシンをダウンロードできます。



mysupport.netapp.com/NOW/cgi-bin/software/?product=ONTAP+Select&platform=Deploy+Install

回復の自動化

ストレージスナップショットをオペレーティングシステムと統合すると、ストレージ管理者からルーチンを削除して個々のファイルを復元できます。 ユーザー自身が、標準のOSツールを使用して、Windowsコンピューターからスナップショットから直接ファイルを復元できるようにします。

スナップショットレプリケーション

すでにリポジトリにあり、確立されたバックアップ戦略で構成されている古いスナップショットを削除するだけでは、リソースが大幅に浪費されます。 結局、スナップショットを使用して、スナップショットを2番目、3番目などに複製できます。 ストレージシステム。 第一に、スナップショットがすでにあります。それを使用してはいけません。第二に、毎回データセット全体よりもデルタを送信する方がはるかに有益です。第三に、スナップショットは逆増分バックアップのように機能します。 すなわち 4番目のONTAPスナップショットは逆増分バックアップに似ていますが、従来の増分バックアップまたは逆の場合のように、リカバリ前、レプリケーション中、またはリカバリ中にボンディングまたは統合を必要としません。増分バックアップ。 しかし、魔法はありません。データ複製中のスナップショットはターゲット変更システムから引き出されてリモートシステムに送信されます。これにより、レプリカ中に追加の読み取り操作が発生しますが、これは毎回すべてを読み取る完全バックアップと比較してはるかに優れていますデータ全体。

ワーム

Write Once Read ManuまたはWORMテクノロジーは、スナップショットに基づいて構築されたNetApp SnapLockなど、他の商品名でも知られているため、昇格した特権を持つストレージシステムのユーザーを含む変更から長期間データをブロックできます。 そのため、ファームウェア、スイッチ、ルーターなどのさまざまなデバイスの構成を保存できます。 この種のファイルは、デバイスの寿命中に変更されることはめったにありません。WORM対応ストレージは、感染していない重要なインフラストラクチャ設定ファイルを見つけるための信頼できる場所であり、変更することはできませんが、読み取ることはできます。 このプロパティを使用して、インフラストラクチャの主要コンポーネントの構成とファームウェアをダウンロードできます。

NASアンチウイルス保護

そしてもちろん、 ストレージ側でファイルをチェックする機能も不要ではありません 。 NetApp FAS / ONTAPシステムは、NASストレージ上の企業データをスキャンする幅広いアンチウイルスシステムと統合されます。 最も有名なアンチウイルススキャンシステムがサポートされています：

• シマンテック
• トレンドマイクロ
• コンピューター仲間
• マカフィー
• ソフォス
• カスペルスキー

RansomWare感染の指標としてのスナップショット

前述のように、スナップショットはそれ自体にブロックデルタを保存します。以前の状態と現在の状態、つまり現在の状態との差 そして、実際のデータに対してより多くの変更が加えられるほど、スナップショットは多くなります。 さらに、元のデータを圧縮してストレージスペースを節約できる圧縮およびデータ重複排除テクノロジーについても言及する価値があります。 そのため、一部のデータは圧縮されません。 たとえば、写真、ビデオ、または音声データ、およびまだ圧縮されていないデータはどれですか？ 正しい暗号化されたファイル。 そして、スナップショットのスケジュールを設定し、重複排除と圧縮を行うことを想像してください。 スナップショットは削除され、古いスナップショットは削除され、データは圧縮され、スペース消費はかなり測定され安定しています。 そして、スナップショットが突然以前よりもはるかに多くのスペースを占有し始め、重複排除と圧縮はもはや効果的ではありません。 これらは、暗号化ウイルスのサイレントで悪意のある操作の指標です：データは、最初に大きく変化し（スナップショットは以前と比べてボリュームが増加します）、次に、重複除去と圧縮が結果を提供しなくなりました（書き込まれていることを意味します）非圧縮情報、たとえば、元のファイルは暗号化されたバージョンに置き換えられます）。 これらの2つの間接的なインジケータは、不合理なストレージスペース消費につながります。これは、NetAppモニタリングインターフェイスのスペース消費グラフで確認できます。

ファイルスクリーニングFpolicy

FpolicyおよびONTAPディレクトリセキュリティAPIは、ファイルを分析し、構成されたポリシーに応じて、SMB / CIFSプロトコルの許可、許可、書き込み、または操作を可能にするメカニズムです。 ファイル分析は、ファイル拡張子（ONTAPのFpolicy組み込み機能）に基づいて、またはコンテンツに従って実行できます。これら2つのメカニズムを使用する特殊なソフトウェアが必要です。

無料のCleondis SnapGuard Light Edition

無料製品のCleondis SnapGuard Light Edition（SGLE）は、CIFS / SMBボールでの検出だけでなく、NetApp ONTAPプラットフォームのスナップショットを使用した暗号化ウイルスからの回復も目的としています 。 SGLEは、ファイルの暗号化を開始するランサムウェアウイルスの悪意のあるパターンを認識し、さらなる被害から感染し、既存のウイルス対策システムと完全に互換性のあるクライアントを停止します。

無料のProlion DataAnalyzer-light

無料のProlion DataAnalyzer-light製品は、SMB / CIFS ballを使用してNetApp ONTAPプラットフォームでランサムウェアウイルスを検出する機能を提供します 。

ヴァロニス

Varonisは、暗号化を追跡し、感染したユーザーをNAS（CIFS / SMB）から切断するだけでなく、暗号化されたファイルを見つけて回復できる非常に強力な産業用ソリューションです。

SMB1およびWannaCry / Petya

WannaCry / Petyaウイルスは、WindowsマシンのSMB1プロトコルの脆弱性を使用しますが、この脆弱性はNetApp ONTAPシステムには存在しません。 ただし、Windowsに到達すると、ウイルスはNASストレージにあるファイルを暗号化できるため、スケジュールに従ってスナップショットを構成することをお勧めします。 NetAppでは、感染を防ぐために、Windows WorkstationクライアントでSMB1を無効にし、SMB v2またはv3プロトコルの新しいバージョンにアップグレードすることをお勧めします。



新しいバージョンのウイルスは、Windowsホスト上のVSSのシャドウコピーを無効にすることができますが、NetApp NASのスナップショットスケジュールが構成され、ストレージ自体でオン/オフされるため、VSSをオフにしてもスナップショットの動作に影響しません。





PS。 また、 セキュリティ強化のためのONTAPセキュリティ設定について説明しているドキュメント（NetApp ONTAP 9のセキュリティ強化ガイド）も参照してください 。



RansomWare、 Megatradeなどのウイルスによるデータの大量感染により、ウクライナのNetAppの公式ディストリビューターは 、既存および将来の顧客向けに次のアクションを開始します。

• NAS、SnapRestore、仮想ストレージコンソールのONTAPスナップショットを構成する
• ONTAP用の無料のRansomWare感染監視ソフトウェア（CIFS / SMB）のインストール
• CIFS / SMB用のアンチウイルスシステムとのONTAP統合の構成
• SANアクセスでのONTAPスナップショットの使用に関するトレーニング

おわりに

結論として、スナップショットは交換ではなく、バックアップ戦略の重要な部分であり、データをより速く、より頻繁にバックアップし、より速く復元できることに注意する価値があります。 WAFLスナップショットは、クローン作成、SnapLock、およびバックアップストレージへのデータ複製の基盤であり、システムの速度を低下させず、統合と接着を必要とせず、データバックアップの効果的な手段です。 NetApp FAS / ONTAPエンタープライズストレージシステムには、最悪の事態に備えるための複数のテクノロジーと統合があります。 さて、最近の出来事の文脈では、上記の技術は、さまざまなマルウェアから情報を保護するためにも非常に重要になります。



英語翻訳：

ランサムウェアから企業のストレージシステムを保護する方法



テキストのエラーに関するメッセージをLANに送ってください。 反対の記事に関するコメント、追加、質問はコメントしてください。