こんにちは。SB C&Sでプリセールスエンジニアをしている笠原です。

企業でのIT利用率の増加に伴い、サイバー攻撃への対策強化が求められる中で、近年はストレージ機能によるランサムウェア対策が注目されるなど、ストレージの機能拡張は非常に重要になっています。

本記事では、NetAppのデータ管理ソフトウェア(ストレージOS)であるONTAPの最新版「ONTAP 9.11.1」のアップデート内容について、特に注目したい項目をピックアップして紹介していきます。

新プラットフォームのサポート

ONTAP 9.11.1では新たなハードウェアとしてFAS9500をサポートしています。

FASシリーズの中では最もハイエンドなモデルとなり、8Uの高さとなります。

FAS9000のスペックと比較するとCPUのコア数は72コアから128コアへ、RAM/NVRAM容量は倍になるなど、各コンポーネントが大幅に増加しています。

重量も100kgの大台となっていて存在感があります。
パフォーマンスとしてはワークロードにより異なりますが、約50%向上しています。
 

セキュリティ強化

セキュリティ面についてもいくつかアップデートが行われています。

Multi-Admin-Verify(MAV)

今回のアップデートで新たに追加された、Zero Trustの考えを導入した機能となります。

その名の通り、特定の操作をする際に複数の管理者がその操作を承認することで処理が実行されるという設定ができます。

例えば、ある管理者がボリュームを削除しようとした時に、別の管理者にそのボリュームを削除してもよいか確認を取ります。

これにより、以下のような操作を防ぐことができます。
・管理者自身の不正なボリューム削除（内部犯行）
・管理者権限を盗まれた際のボリューム削除
・誤操作によるボリューム削除

設定についてはONTAP System Managerから行うことができ、以下のような設定をします。
①承認する管理者のグループを作成
②承認を必要とする操作の決定
③承認する管理者の人数、承認までの時間などのルールを設定

Anti-Ransomwareのアップデート

ONTAP 9.10.1よりAnti-Ransomwareという機能が登場しています。

NAS環境のワークロードを分析して、ランサムウェア攻撃の危険性がある挙動を検知して警告することや、脅威を検知した場合、Snapshotによりデータを保護することで復旧できるように備えるといった機能です。

Anti-Ransomware機能について詳細が気になる方は以下の記事をチェックしてください。

これで安心！ONTAPのランサムウェア対策機能でセキュリティを強化しよう！ パート①

これで安心！ONTAPのランサムウェア対策機能でセキュリティを強化しよう！ パート②

このAnti-Ransomware機能はONTAP 9.11.1にて以下のアップデートが行われました。

・検出力の強化
急激なファイル操作(作成、削除、名前変更)からランサムウェア攻撃を検出する設定ができるようになりました。それぞれのファイル操作が何%行われたら検出するかという設定ができます。

・Snapshot数と保持期間の制御
脅威が検知された際に取得するSnapshotについて、頻度や保持期間などがカスタマイズ可能になりました。

FlexGroupでSnapLockをサポート

FlexGroupとは複数のFlexVolをまとめて一つの大きなボリュームとして構成したものであり、大規模なボリュームが必要となる環境で利用されます。

SnapLockとはFlexVolを変更不可にして保護する機能で、ランサムウェア対策として利用することができます。

ONTAP 9.11.1より、このSnapLockがFlexVolだけではなくFlexGroupボリュームにも対応し、大規模な環境でもボリュームを保護できるようになりました。

SVM-DR Quick Resync

SVM-DRとはレプリケーションする際にボリュームだけでなくSVMの設定ごとレプリケーションする機能です。これによってDR用のSVMの起動にかかるステップを減らすことができます。

通常再同期する際に全てのデータをソース側へ再転送しますが、リハーサルからの復旧などの理由によりベースライン(転送済みのデータ)が双方に残っている場合、前回からの差分のみ転送することで迅速に再同期を行う機能としてONTAP 9.11.1よりSVM-DR Quick Resyncが追加されました。

これにより本番環境に戻るまでの時間を短縮できます。

再同期を迅速に行うために再同期中はストレージ効率化機能を無効化するため、デスティネーション側で容量が逼迫しないかという注意が必要です。(同期後に有効になります)

設定はCLIまたはGUIから行うことができます。

System Manager

ONTAPの管理ツールあるSystem Managerもアップデートが行われました。

Aggregateの構成を手動で作成可能に

これまでONTAPはSystem Managerからアグリゲートを作成する際に、推奨された構成でしか作成できませんでしたが、RAID構成やディスク数などを手動で設定できるようになりました。

弊社への問い合わせとしてアグリゲートの構成を間違えて構築し、初期化してやり直すという話は珍しくありません。今回のアップデートによってアグリゲートの設定が視覚的にできるようになり、そのミスも減るのではないかと思います。

File System AnalyticsがSVMレベルの表示に対応

こちらの機能はONTAP 9.9.1より実装されている機能で、どのユーザーがどれくらいアクセスしているか、どのボリュームにどれくらいアクセスがあるかといったデータを取得できる機能です。

ONTAP 9.11.1では取得できるデータがボリューム単位だけではなく、SVM単位で可能になりました。

ファイルへのアクセス分析を有償の外部ツールではなく、ストレージの組み込み機能として利用したいといったケースは多く、今後さらに注目されていく機能ではないかと思います。

INSIGHTSメニューからより適切に機器管理をするための情報を提示

INSIGHTSというメニューが追加されました。メニューを開くとクラスタの状態や推奨事項が表示されます。

画面キャプチャにあるように、ランサムウェア対策がなされていない場合は注意が促されます。またログインバナーメッセージの設定やNTPサーバーの追加が推奨されます。

他には、容量が逼迫している場合は推奨事項として不要なファイルを削除するなどの対処法をが提示されます。

その他のSystem Managerアップデート

他にもSystem Managerでは以下のようなアップデートがありました。

• ボリュームのエクスポートや共有設定を省略してボリュームの作成が可能に
• SANイニシエータグループ（igroup）の管理画面にて、ホストとの接続ステータスの表示が可能に
• SnapMirrorの保護ボリューム作成時に、手動で作成した保護ポリシーの適用が可能に
• 監査ログの表示、送信先の設定、イベントフィルターを実施可能に
• ファームウェアの自動更新の設定が可能に(アップデートのタイミングは設定可能)
• System Managerにて確認可能なハードウェアとハードウェア内の情報が追加
• 言語が手動で選択可能に

---

まとめ

NetAppはCLIで設定することが多いイメージがありましたが、視覚的に設定したいという需要に応じてGUI(System Manager)での設定が充実してきている印象を受けました。

また、ゼロトラストの考え方をストレージに導入したMulti-Admin-Verifyを搭載し、ONTAP 9.10.1に引き続きランサムウェア対策のアップデートが強化されるなど、セキュリティ面にも力を入れていると感じました。

その他、以下の機能もアップデートが行われています。

• SVM Data Mobility
• SnapMirror
• MetroCluster
• FlexGroup
• Fabric Pool
• ONTAP S3
• SAN機能
• Flex Cache
• ONAP REST API

ONTAPのリリースノートはこちらで確認できます。(アクセスにはパートナーサイトへのログインが必要です)
https://docs.netapp.com/ja-jp/ontap/release-notes.html

詳細を確認したい方は是非、弊社へお問い合わせください。

【SB C&S NetAppプロモーションTwitterアカウント】

NetAppに関するさまざまな情報を公開しています。
皆様フォロー宜しくお願いいたします。

@sbcas_netapp_pr

TwitterアプリからはこちらのQRコードもどうぞ。