亚马逊AWS官方博客

新增功能 — Amazon FSx for NetAPP ONTAP 现在支持 WORM 保护以实现监管合规性和勒索软件保护



Amazon FSx for NetApp ONTAP 已于 2021 年底推出。借助 FSx for ONTAP,您可以获得 ONTAP 文件系统的常用功能、性能和 API,以及 AWS 的敏捷性、可扩展性、安全性和弹性,所有这些都以完全托管服务的形式提供。

今天,我们又增添了对 SnapLock 的支持,SnapLock 是一项 ONTAP 功能,让您可以创建提供一次写入多次读取(WORM)功能的卷。SnapLock 卷可防止在指定的保留期内修改或删除文件,并且有助于满足监管要求并保护关键业务数据免受勒索软件攻击和其他恶意更改或删除企图的侵害。FSx for ONTAP 是唯一一个支持 SnapLock 合规模式的基于云的文件系统。FSx for ONTAP 还支持将所有 SnapLock 卷的 WORM 数据分层存储到成本较低的存储中。

使用 SnapLock 保护数据
SnapLock 为您的数据提供了一层额外保护,可以将其视为组织整体数据保护策略的一部分。创建卷并启用 SnapLock 时,可以选择以下保留模式之一:

合规 — 此模式用于满足美国证券交易委员会规则 17a-4(f)FINRA 规则 4511美国商品期货交易委员会第 1.31 条等规定。您可以使用此模式来确保 WORM 文件在其保留期到期之前无法被任何用户删除。对于处于此模式的卷,在其中所有 WORM 文件的保留期到期之前,无法为其重命名,也无法将其删除。

企业 — 此模式用于强制执行组织数据留存策略,或在合规模式下创建卷之前测试保留设置。您可以使用此模式来防止大多数用户删除 WORM 数据,同时允许授权用户在必要时执行删除操作。即使处于此模式的卷包含处于有效保留期的 WORM 文件,也可以将其删除。

您还可以选择默认保留期。此期限表示每个文件提交到 WORM 状态后必须保留的时长,可以长达 100 年,还有一个“无限”选项。您还可以为特定文件或特定文件树设置自定义保留期,在将这些文件提交到 WORM 状态时,会对其应用该设置。

文件在变为只读状态时会被提交到 WORM 状态(在 Linux 上为 chmod -w,在 Windows 上为 attrib +r)。您可以配置每个卷的自动提交期限(5 分钟到 10 年),以自动提交在此期间保持不变的文件,也可以在合规模式下启动合法保留,以便出于法律目的保留特定文件。

还有另一个有趣的数据保护和合规选项。您可以在未启用 SnapLock 的情况下创建一个卷,在启用 SnapLock 的情况下创建另一个卷,然后使用 NetApp SnapVault 定期从第一个卷复制到第二个卷。这将为您提供整个卷的快照副本,您可以根据需要将这些副本保留数月、数年或数十年。

说到有趣的选项,您可以利用 FSx for ONTAP 卷数据分层,将活动文件保留在高性能 SSD 存储上,将其他文件保留在针对不经常访问的数据进行成本优化的存储上。

创建 SnapLock 卷
我只需点击几下即可创建新卷并启用 SnapLock。我像往常一样输入卷名、大小和路径:

正如我之前提到的,我还可以使用容量池(默认情况下设置为自动,我设置了 10 天的冷却期):

我向下滚动到高级部分,单击启用,然后选择企业保留模式。我还设置了我的保留期,在 9 天后启用自动提交,其他选项保持不变:

我添加了一个标签,然后单击创建卷继续:

当我稍事休息后再返回时,我的卷已经准备就绪,可以使用了:

这时,我可以按照常规方式挂载卷,创建文件,然后让 SnapLock 执行它的工作!

注意事项
关于这个强大的新功能,还有以下几个注意事项:

现有卷 — 您无法为现有卷启用此功能,但可以创建一个启用 SnapLock 的新卷,然后将数据复制或迁移到该卷。

删除卷 — 如前所述,如果 SnapLock 合规卷包含保留期未到期的 WORM 文件,则无法将其删除。设置此值时要小心,以免创建持续时间超过所需时间的卷。

定价 — 使用 SnapLock 卷需按 GB/月额外收取许可费;请查看 Amazon FSx for NetAPP ONTAP 定价页面了解更多信息。

区域 — 此功能适用于所有推出 Amazon FSx for NetApp ONTAP 的 AWS 区域。

Jeff