SnapLock — защита данных от изменений
NetApp SnapLock — встроенная в ONTAP NetApp технология неизменяемого хранения данных, реализующая WORM-хранение (Write Once Read Many) и предназначенная для защиты данных от изменений в течение заданного срока хранения, включая защиту от преднамеренного удаления и последствий ransomware атак.
Как работает SnapLock
WORM-хранение
В основе SnapLock лежит WORM-хранение (Write Once Read Many). Данные записываются один раз и далее доступны только для чтения до окончания периода хранения. Ни администратор, ни системные процессы не могут изменить или удалить эти данные раньше установленного срока. Такой подход формирует неизменяемое хранение данных на уровне файловой системы, а не только на уровне резервных копий.
Политики хранения
Для каждого WORM-тома задается политика хранения, определяющая минимальный и максимальный срок удержания данных. После фиксации файла срок хранения становится обязательным к исполнению. Даже при компрометации учетных записей или попытках ручного вмешательства политика продолжает действовать.
Журналы аудита
SnapLock ведет журналирование всех операций доступа и административных действий. Аудит фиксирует попытки изменения политик, обращения к WORM-данным и процедуры привилегированного удаления в допустимых режимах. Эти журналы используются для внутреннего контроля и подтверждения соответствия требованиям регуляторов.
Механизм защиты
Механизм защиты данных от изменений реализован на уровне ONTAP NetApp. Ограничения встроены в файловую систему, а не вынесены во внешние инструменты. За счет этого SnapLock остается эффективным даже при наличии расширенных прав у злоумышленника или администратора.
Режимы работы
Compliance mode
SnapLock Compliance применяется в сценариях, где требуется абсолютная неизменяемость. Данные невозможно удалить или изменить до окончания retention-периода при любых условиях. Этот режим используется для выполнения требований финансовых регуляторов, архивного хранения и юридически значимых данных.
Enterprise mode
SnapLock Enterprise ориентирован на корпоративные среды, где необходим баланс между защитой и операционной гибкостью. В этом режиме допускается процедура privileged delete с обязательным аудитом и при соблюдении заданных политик. Такой подход подходит для внутренних архивов и операционных данных с регламентированным контролем.
Чем отличается SnapLock от обычных резервных копий?
Резервные копии защищают данные от потери, но не гарантируют защиту данных от изменений. Бэкапы можно удалить, перезаписать или зашифровать при успешной атаке на систему управления. SnapLock обеспечивает неизменяемое хранение данных на уровне первичного хранилища или реплик. Даже при успешной ransomware атаке WORM-тома остаются доступными только для чтения.
Защита SnapLock от ransomware атак
SnapLock изначально проектировался как механизм защиты данных от изменений и логично закрывает ключевой вектор ransomware атак — шифрование и удаление данных. WORM-тома нельзя зашифровать повторной записью, нельзя удалить до окончания retention-периода и нельзя изменить их содержимое. В результате атакующий теряет возможность уничтожить резервные или архивные копии, даже получив административный доступ.
Платформы, работающие на SnapLock
Технология доступна на всех актуальных платформах NetApp:
Для использования SnapLock требуется лицензия ONTAP One, поскольку механизм встроен в базовую архитектуру ONTAP NetApp.
Рекомендации по внедрению SnapLock
При проектировании защиты данных от изменений SnapLock рекомендуется использовать совместно с Tamperproof Snapshot, чтобы зафиксировать точки восстановления, устойчивые к шифровальщикам. Для сценариев восстановления после инцидентов целесообразна интеграция с SnapVault и SnapMirror, что упрощает возврат данных без нарушения WORM-логики. Отдельное внимание стоит уделять регулярному аудиту доступа к WORM-томам и проверке корректности политик хранения. Для оперативного выявления аномалий рекомендуется настройка автоматических механизмов защиты, включая ARP (Autonomous Ransomware Protection), дополняющих SnapLock на уровне поведенческого анализа.
FAQ
SnapLock применяется для хранения критичных бизнес-данных: финансовых документов, логов, архивов, отчетности и конфиденциальной информации, где требуется защита данных от изменений в течение фиксированного срока.
В SnapLock задается retention-период для WORM-тома. После записи данные становятся доступными только для чтения и не подлежат удалению или изменению до окончания срока хранения.
Доступны два режима: SnapLock Compliance с жесткой блокировкой данных и SnapLock Enterprise, допускающий контролируемое удаление через privileged delete с обязательным аудитом.
SnapLock реализует WORM-хранение, при котором данные нельзя изменить или удалить в течение retention-периода. Обычные резервные копии не обладают такой защитой и могут быть уничтожены при атаке.
Да. SnapLock предотвращает изменение и удаление защищенных данных, что лишает ransomware атак возможности зашифровать или уничтожить WORM-копии.
SnapLock встроен в платформы NetApp FAS, AFF и ONTAP Select. Для работы требуется лицензия ONTAP One.
Предыдущая статья