Autonomous Ransomware Protection을 통한 데이터 보호 - FSx for ONTAP
ARP 작동 방식ARP가 찾는 대상ARP를 통해 의심되는 공격에 대응하는 방법

Autonomous Ransomware Protection을 통한 데이터 보호

Autonomous Ransomware Protection(ARP)는 Windows 또는 Linux 클라이언트가 손상될 경우 랜섬웨어 및 맬웨어 공격으로부터 데이터를 보호하고 모니터링하는 NetApp ONTAP AI 기반 기능입니다. ARP는 기계 학습을 사용하여 FSx for ONTAP 파일 시스템을 파악하고 비정상적인 활동을 사전에 탐지합니다. ARP는 Amazon FSx for NetApp ONTAP을 사용할 수 있는 모든 AWS 리전의 모든 신규 및 기존 FSx for ONTAP 파일 시스템에 사용할 수 있습니다.

ARP 작동 방식

ARP는 ONTAP CLI 또는 REST API를 사용하여 볼륨 단위로 활성화하거나 SVM의 모든 새 볼륨에 대해 기본값으로 활성화할 수 있습니다. ARP 활성화에 대한 자세한 내용은 Autonomous Ransomware Protection 활성화 섹션을 참조하세요.

ARP의 AI는 포괄적인 데이터세트를 기반으로 훈련되었기 때문에 FlexVol 볼륨에 대해 ARP를 실행하기 위해 학습 기간이 필요하지 않으며, 따라서 즉시 활성 모드로 시작됩니다. 또한 ARP AI에는 최신 위협에 대한 지속적인 보호 및 복원력을 보장하는 자동 업데이트 기능이 있습니다. 활성 모드에서 ARP는 볼륨에 수신되는 데이터와 활동을 모니터링하여 잠재적 랜섬웨어 및 맬웨어 공격을 식별합니다. 자세한 내용은 ARP가 찾는 대상 섹션을 참조하세요. ARP가 비정상적인 활동을 감지하면 ONTAP 스냅샷이 자동으로 생성되어 잠재적 공격의 발생 시점에 최대한 가깝게 데이터를 복구할 수 있습니다. 스냅샷의 접두사는 Anti_ransomware_backup이므로 식별하기 쉽습니다. 공격 확률이 보통인 것으로 확인되면 ONTAP은 관리자의 검토를 위해 이벤트 관리 시스템(EMS) 메시지를 생성합니다. 자세한 내용은 ARP를 통해 의심되는 공격에 대응하는 방법Autonomous Ransomware Protection에 대한 EMS 알림 이해하기(을)를 참조하세요.

대부분의 워크로드에서 ARP의 성능 오버헤드는 최소 수준입니다. 볼륨에 읽기 집약적인 워크로드가 있는 경우 NetApp은 해당 볼륨을 파일 시스템당 150개 이하로 보호할 것을 권장합니다. 이 수를 초과하면 해당 워크로드의 IOPS가 최대 4%까지 떨어질 수 있습니다. 볼륨에 쓰기 집약적인 워크로드가 있는 경우 NetApp은 이러한 볼륨을 파일 시스템당 60개 이하로 보호할 것을 권장합니다. 그렇지 않으면 해당 워크로드의 IOPS가 최대 10%까지 떨어질 수 있습니다. 성능에 대한 자세한 내용은 Amazon FSx for NetApp ONTAP 성능 섹션을 참조하세요.

FSx for ONTAP 파일 시스템에 ARP를 활성화하는 데 드는 추가 비용은 없습니다.

ARP가 찾는 대상

ARP는 Windows 또는 Linux 클라이언트가 손상되었다는 징후를 찾습니다. 특히 ARP는 볼륨에서 다음과 같은 유형의 활동을 찾습니다.

  • 엔트로피의 변화. 파일 내 데이터의 무작위성 차이를 의미합니다.

  • 파일 확장자 유형의 변화. 새 확장자가 일반적으로 사용되는 확장자 유형과 일치하지 않는 것을 의미합니다. 기본값은 볼륨에서 이전에 관찰되지 않았던 파일 확장자를 가진 파일이 20개 발견되는 것입니다.

  • 파일 IOPS의 변화. 암호화된 데이터와 관련된 비정상적인 볼륨 활동이 급증하는 것을 의미합니다.

필요하다면 볼륨에 대한 랜섬웨어 탐지 파라미터를 수정할 수 있습니다. 예를 들어 볼륨이 여러 유형의 파일 확장자를 호스팅하는 경우입니다. 자세한 내용은 NetApp 설명서 센터의 ONTAP Autonomous Ransomware Protection 공격 감지 파라미터를 참조하세요.

참고

ARP는 자격 증명을 가진 악의적인 관리자가 FSx for ONTAP 파일 시스템에 액세스하는 것을 막지 못합니다. AWS는 AWS Backup, ONTAP 스냅샷 및 SnapLock을 포함한 계층화된 보안 접근 방식을 권장합니다.

ARP를 통해 의심되는 공격에 대응하는 방법

ARP가 공격을 탐지하면 복구 지점으로 사용할 수 있는 스냅샷이 생성됩니다. 이 스냅샷은 잠기지 않으므로 일반적인 수단으로 삭제할 수 있습니다. 공격의 심각도에 따라 영향을 받는 볼륨, 공격 확률, 공격 타임라인을 보여주는 EMS 알림도 생성됩니다. 새 스냅샷이 생성되거나 볼륨에서 새 파일 확장자가 관찰될 때 알림을 받길 원하면 이러한 알림을 보내도록 ARP를 구성할 수 있습니다. 자세한 내용은 NetApp 설명서 센터의 ARP 알림 구성 섹션을 참조하세요.

보고서를 생성하면 의심되는 공격에 대한 자세한 정보를 볼 수 있습니다. 보고서를 검토한 후 거짓 긍정 공격 또는 의심되는 공격으로 인해 알림이 생성되었는지 ONTAP에 알려줄 수 있습니다. 알림에 의심스러운 공격으로 표시하는 경우 공격 범위를 확인한 다음 ARP에서 생성한 스냅샷으로 데이터를 복구해야 합니다. 공격을 거짓 긍정으로 표시하면 ARP에서 생성한 스냅샷이 자동으로 삭제됩니다. 자세한 내용은 Autonomous Ransomware Protection 알림 대응 섹션을 참조하세요.

ONTAP CLI 및 REST API에서 파일 시스템의 EMS 메시지와 볼륨 상태를 모니터링하는 것이 좋습니다. ARP의 EMS 메시지에 대한 자세한 내용은 Autonomous Ransomware Protection에 대한 EMS 알림 이해하기 섹션을 참조하세요.

주제