Amazon Web Services ブログ

新着情報 – 規制コンプライアンスとランサムウェア対策を目的として Amazon FSx for NetAPP ONTAP が WORM 保護のサポート提供を開始

Amazon FSx for NetApp ONTAP は 2021 年後半にリリースされました。FSx for ONTAP では、ONTAP ファイルシステムの一般的な機能、パフォーマンス、API に加えて、AWS の俊敏性、スケーラビリティ、セキュリティ、および耐障害性をすべてフルマネージドサービスとして利用できます。

7月13日、WORM (Write Once Read Many) を提供するボリュームを作成する ONTAP の機能である SnapLock のサポートが追加されました。指定された保存期間内のファイルの変更や削除を防止する SnapLock ボリュームは、規制要件への準拠に加えて、ビジネスの重要なデータをランサムウェア攻撃やその他の悪意のある改ざんまたは削除の試みから保護するために使用できます。FSx for ONTAP は、SnapLock Compliance モードをサポートする唯一のクラウドベースのファイルシステムです。FSx for ONTAP は WORM データの階層化もサポートするので、すべての SnapLock ボリュームの低コストストレージを実現できます。

SnapLock でのデータの保護
データ保護の追加レイヤーを提供する SnapLock は、組織の全体的なデータ保護戦略の一部と考えることができます。ボリュームを作成して SnapLock を有効にする際、次のいずれかの保持モードを選択します。

Compliance – このモードは、SEC Rule 17a-4(f)FINRA Rule 4511CFTC Regulation 1.31 などの指令に対処するために使用します。このモードを使用すると、保存期間が終了するまでいずれのユーザーからも WORM ファイルが削除されることを防止できます。このモードのボリュームは、ボリューム上のすべての WORM ファイルの保存期間が終了するまで、名前を変更することや削除することができません。

Enterprise – このモードは、Compliance モードでボリュームを作成する前に、組織のデータ保持ポリシーを強制することや、保存設定をテストするために使用されます。このモードを使用すると、ほとんどのユーザーに対して WORM データの削除を禁止しながら、必要に応じて、承認されたユーザーに削除の実行を許可できます。このモードのボリュームは、有効な保存期間内の WORM ファイルが含まれていても削除することができます。

デフォルトの保存期間も選択できます。この期間は、各ファイルが WORM 状態にコミットされた後に保持する必要がある期間を示します。100 年の期間を指定することや、無期限のオプションも使用することもできます。特定のファイルまたは特定のファイルツリーにカスタムの保存期間を設定することもできます。この保存期間は、目的のファイルが WORM 状態にコミットされた時点で適用されます。

ファイルは読み取り専用 (Linux では chmod -w、Windows では attrib +r) になると WORM 状態にコミットされます。ボリュームごとの自動コミット期間 (5 分~10 年) を設定して、その期間内に変更されなかったファイルを自動的にコミットできます。また、Compliance モードで Legal Hold を開始して、法的な目的で特定のファイルを保持することもできます。

もう 1 つ、データ保護とコンプライアンスに関する興味深いオプションもあります。SnapLock を有効にせずに 1 つのボリュームを作成し、SnapLock を有効にしてもう 1 つのボリュームを作成した後、NetApp SnapVault を使用して最初のボリュームから 2 番目のボリュームに定期的にレプリケートできます。これでボリューム全体のスナップショットコピーが作成されます。このコピーは、必要に応じて数か月、数年、または数十年にわたって保持できます。

興味深いオプションといえば、FSx for ONTAP のボリュームデータの階層化を利用して、高性能 SSD ストレージにアクティブなファイルを保持し、アクセス頻度の低いデータ用にコストが最適化されたストレージにその他のファイルを保存できます。

SnapLock ボリュームの作成
数回のクリック操作だけで、新しいボリュームを作成して SnapLock を有効にできます。通常通り、ボリューム名、サイズ、パスを入力します。

先に説明したように、容量プールを利用することもできます (これはデフォルトで [自動] に設定されています。冷却期間は 10 日に設定しています)。

[詳細] セクションまでスクロールして [有効] をクリックし、[Enterprise] 保存モードを選択します。また、保存期間を設定して 9 日後に自動コミットを有効にし、他のオプションはそのままにしておきます。

タグを追加し、[ボリュームを作成] をクリックして次に進みます。

少し待つと、ボリュームが使用可能な状態になります。

この時点で、通常の方法でマウントし、ファイルを作成すれば、後の処理は SnapLock に任せることができます。

知っておくべきこと
このパワフルな新機能について理解しておくべきことをいくつか記載しておきます。

既存のボリューム – この機能を既存のボリュームに対して有効にすることはできませんが、SnapLock が有効なボリュームを新規作成して、そのボリュームにデータをコピーまたは移行することはできます。

ボリュームの削除 – 前述したように、保存期間が切れていない WORM ファイルが含まれている SnapLock Compliance ボリュームを削除することはできません。これを設定するときは、削除が必要以上の期間禁止されるボリュームを作成しないように注意してください。

料金 – SnapLock ボリュームの使用には、1 か月あたり 1 GB の追加ライセンス料金がかかります。詳細については、「 Amazon FSx for NetApp ONTAP の料金」ページを参照してください。

リージョン – この機能は、Amazon FSx for NetApp ONTAP が利用可能なすべての AWS リージョンで利用できます。

Jeff;

原文はこちらです。