Test: NetApp Ontap 9.10.1

NetApp mit Ransomware-Schutz

22. November 2022, 7:00 Uhr | Christoph Lange/am
Anti-Ransomware-Funktion mit Anomalie-Erkennung
Die Anti-Ransomware-Funktion mit Anomalie-Erkennung lässt sich über den NetApp System Manager aktivieren.
© Christoph Lange

Mit Ontap 9.10.1 stellt NetApp erstmals Anti-Ransomware-Funktionen bereit, die direkt in das Storage-Betriebssystem integriert sind. Im LANline-Test schauten wir uns die neuen Schutzmechanismen in einer Ontap-Lab-Umgebung genauer an und prüften, wie sie bei Angriffen Datenverluste verhindern können.

Für einen möglichst umfassenden Schutz vor Ransomware-Angriffen sollten Unternehmen ein mehrstufiges Sicherheitsnetz aufspannen. Auf keinen Fall fehlen darf ein passiver Schutz durch Backup-Verfahren, die sicherstellen, dass sich die Daten bei einem erfolgreichen Ransomware-Angriff aus dem Backup wiederherstellen lassen. Einen zusätzlichen Schutz bieten die von Storage- und Backup-Herstellern entwickelten aktiven Verfahren, die Ransomware-Attacken frühzeitig erkennen und automatisch Schutzmaßnahmen ergreifen können. Der Storage-Spezialist NetApp hat mit Ontap 9.1.10 die Anti-Ransom­ware-Funktionen direkt in das Storage-­Betriebssystem integriert. Die Features sind Teil einer kompletten Anti-Ransomware-Suite, die auch die SaaS-Lösung Cloud Secure für NetApp-Systeme in der Cloud oder im eigenen RZ umfasst.

Ontap 9.10.1 verwendet Machine-Learning-Funktionen (ML), um Anomalien bei den im Filesystem und auf dem Storage-Layer durchgeführten Aktivitäten erkennen zu können. So müssen zum Beispiel für eine Verschlüsselung von Dateien in der Regel bestimmte Aktionen ausgeführt werden. Wenn die ML-Software der Meinung ist, dass es sich hierbei um einen potenziellen Angriff handelt, stehen mehrere Tools zur Verfügung, um die Attacke abzuwehren und verschlüsselte oder gelöschte Daten aus dem Backup schnell wiederherzustellen. Unter anderem erstellt Ontap mit Hilfe einer Auto Response Policy automatisch einen Snapshot des betroffenen Speicherbereichs. Die Snapshots sind unveränderlich und lassen sich deshalb von Ransomware nicht verschlüsseln. Damit steht bereits nach wenigen Sekunden ein Backup des angegriffenen Volumes zur Verfügung, in dem die meisten Daten noch nicht verschlüsselt sind.

Die Wiederherstellung von verschlüsselten Daten aus den Backup-Snapshots lässt sich mit Hilfe von Ansible-Playbooks weitgehend automatisieren. Der Systemverwalter kann zum Beispiel vorgeben, dass sich das durch den Angriff kompromittierte Volume durch den automatisch erstellten Anti-Ransomware-Snapshot ersetzen und das ursprüngliche Volume für weitere Analysen in einer Quarantäne-Umgebung mounten lässt.

Mit Hilfe der in Ontap integrierten FPolicy-Funktionen ist das Speichersystem zudem in der Lage, bekannte Ransomware-Dateitypen auf Dateisystemebene zu blockieren und dadurch eine Verschlüsselung der Dateien zu verhindern. Für besonders kritische Geschäftsdaten können Unternehmen zudem die Snaplock-Funktion von Ontap nutzen, mit der sich die primären Daten im Dateisystem im unveränderlichen Worm-Format speichern und dadurch vor Ransom­ware-Angriffen schützen lassen.

Mit Cloud Secure bietet NetApp eine Lösung, die den in Ontap integrierten Anti-Ransomware-Schutz erweitert. Sie ist Teil der Cloud Insights Suite von NetApp und verwendet Agenten, die auf den Speichersystemen mit Hilfe der FPolicy-Funktionen fortlaufend alle File-Zugriffe analysieren und die Ergebnisse in die Cloud übertragen. Die Software verwendet KI-Mechanismen (künstliche Intelligenz) und kann mit Hilfe von User Behavioral Analytics (UBA) das Auftreten von Anomalien sowie potenziell schädliches Verhalten von Benutzern und Prozessen erkennen und automatisch Gegenmaßnahmen ergreifen.

Um die Anti-Ransomware-Funktionen zu testen, nutzten wir eine Testumgebung mit dedizierten Ontap-Systemen, die NetApp zur Verfügung gestellt hat. Neben einem mit Hilfe von VMs simulierten Ontap-9.10.1-Cluster bestand sie aus einem Domain-Controller, einem Windows-Admin-Rechner und einem Linux-System mit den Ansible-Komponenten.

Im ersten Schritt konfigurierten wir eine Snapshot-Policy, die alle zehn Minuten einen neuen Snapshot erstellt und 300 Versionen vorhält, sodass im Backup gut zwei Tage vorhanden sind. Zur selben Policy fügten wir einen zweiten Schedule hinzu, der alle acht Stunden einen Snapshot erstellt und 500 Versionen umfasst, womit diese Sicherungen knapp ein halbes Jahr zurückreichen. Maximal unterstützt Ontap pro Volume 1.023 Snapshots. Das kurze Zehn-Minuten-Intervall sorgt dafür, dass sich im Falle eines Ransomware-Angriffs alle Daten aus dem letzten regulären Snapshot vor Beginn der Attacke wiederherstellen lassen. Nachdem wir diesen Basisschutz eingerichtet hatten, ging es daran, die Anti-Ransomware-Funktion zu aktivieren, mit der das Speichersystem Anomalien erkennen kann. Sobald Ontap einen Angriff vermutet, lässt sich innerhalb weniger Sekunden automatisch ein Snapshot erstellen, sodass in diesem Backup die meisten Dateien noch unverschlüsselt vorhanden sind.

Die Anti-Ransomware-Funktion muss zunächst im Lernmodus ausgeführt werden, damit sie die normalen Zugriffsaktivitäten möglichst vollständig erfassen kann. ­NetApp empfiehlt hierfür eine Dauer von sieben bis 30 Tage. Falls man während der Lernphase außergewöhnliche Aktivitäten wie zum Beispiel eine Datenmigration durchführen muss, lässt sich der Lernprozess vorübergehend anhalten und nach Abschluss der Sonderaktion fortsetzen. Wenn der aktive Modus aktiv ist und die ML-­Engine ungewöhnliche Aktivitäten erkennt, erstellt Ontap automatisch einen Snapshot und erzeugt eine Alarmmeldung. Das Anti-Ransomware-Feature ist Bestandteil des Security and Compliance Software Bundle und lässt sich für einzelne Volumes oder automatisch für alle neu angelegten Volumes aktivieren. Die Verwaltung erfolgt über den Ontap-System-Manager.


  1. NetApp mit Ransomware-Schutz
  2. Ungewöhnliche Verschlüsselung erkennen

Verwandte Artikel

NetApp GmbH

Storage

Backup