メインコンテンツへスキップ

ONTAP でランサムウェア感染の拡大を防ぐために、どのような対策を取ることができますか?

  1. 最後の更新
  2. PDFとして保存
Views:
22
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

環境

  • ONTAP 9.10.1
  • ONTAP Autonomous Ransomware Protection(ARP)

回答

セキュリティチームと協力して、ランサムウェア攻撃の発生源を特定し、対策を講じてください。

フェーズ1:検出と初期対応

  • ARPを使用して異常なファイルアクティビティを検出:ARPはワークロードの動作を監視し、検出時にアラートやスナップショットをトリガーできます。
  • CIFS / NAS監査を事前に有効化して、異常なファイル共有アクティビティを追跡します。
  • ARPイベントとFPolicyを統合するData Infrastructure Insightsを使用して、ARPアラートと異常なクライアントアクセスアクティビティを監視します。

フェーズ2:ランサムウェアのさらなる拡散を防ぐための封じ込め対策

  • 新規クライアントアクセス(新規セッション)の受付を停止する
    • CIFS
      1. 既存のCIFS共有を確認する:vserver cifs share show
      2. CIFS共有アクセスを停止する:vserver cifs share delete
    • NFS
      • アクティブなNFSロックを特定する: vserver locks show -vserver <vserver> -volume <volume> -protocol nfs*

注: 

多数のロックを保持しているクライアントは感染源となる可能性が高く、優先的にブロックする必要があります。

  • 特定のクライアントからのアクセスをブロックする
    • 既存のエクスポートポリシーを変更するか、新しい拒否ルールを作成します:
      • vserver export-policy rule modify -clientmatch <client IP or subnet> -rorule none -rwrule none
      • vserver export-policy rule create -clientmatch <client IP or subnet> -rorule none -rwrule none

注:

NFSは強力なセッションレベルの切断機能を提供しないため、エクスポートポリシーの制限を適用した後でも、既存のクライアントI/Oが一定期間継続する可能性があります。I/Oを完全に停止するには、ボリューム分離(セクション4を参照)を推奨します。

  • 既存のCIFSセッションを終了する
    1. アクティブなCIFSセッションとロックを特定する:
      • vserver cifs session show -vserver <vserver>
      • vserver locks show -vserver <vserver> -volume <volume> -protocol cifs
    2. 特定のセッションを終了する(ユーザー/クライアント/ファイルアクセス別):
  • CIFS / NFS サービスを停止します
    • vserver cifs stop -vserver <vserver>
    • vserver nfs stop -vserver <vserver>
  • ボリューム分離:
    • 影響を受けるボリュームをオフラインにして、すべてのI/Oを停止します: volume offline -vserver <vserver> -volume <volume>
  • データLIF分離:
    1. データLIFを識別する: network interface show -role data
    2. データLIFを無効にする: network interface modify -status-admin down -vserver <vserver> -lif <data LIF>

警告

クラスター間LIFは、クラスター間通信に使用される専用の論理インターフェースであり、SnapMirror/SnapVaultレプリケーション、NDMPバックアップ、クラスタピアリング、外部オブジェクトストレージへのデータ転送(例:FabricPool/クラウド)を可能にします。LIFが無効になっている場合、クラスター間LIFを介した接続が失敗します。
  • (オプション)クラスタ間 LIF の分離: 
    • 侵害された可能性のあるデータの複製や拡散を阻止する。
      1. クラスター間LIFを特定する:network interface show -role intercluster
      2. クラスター間LIFを無効にする:network interface modify -status-admin down -vserver <vserver> -lif <intercluster LIF>

フェーズ3:影響評価

以下のログを使用して、影響を受ける範囲を特定します:

フェーズ4:リカバリ

ARP によって生成された Snapshot コピー を使用して、イベント発生前のデータを復元します。

追加情報

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.