ONTAPのセキュリティ機能を活用した効果的な封じ込め対応

NetAppのONTAP機能においては、サイバーレジリエンスを強化するためのARP/AI（Autonomous Ransomware Protection)やSnapRestore機能について注目される場合が多いですが、インシデント対応においては「復旧」もさることながら「封じ込め」も非常に重要な要素になります。

封じ込めは被害の拡大を防ぎ、証拠を保全しながら通常業務の早期回復を目指すフェーズで、特にサイバー攻撃や内部不正が発生した際、ストレージレイヤでの迅速な対応は情報資産を守る上で不可欠な内容となります。

ONTAPでは、この封じ込めを支援する多彩な機能が備わっていますので、本ブログで紹介できればと思います。

なお、NISTから発行されたNIST SP800-160 Vol.2ではサイバーレジリエンスを目標や構成要素を実現する技術について記載されておりますので、こちらの内容を元に「封じ込め」を行うにあたって、ONTAPにあるどういった技術が対応しているかを含めて記載致します。

資産・機能・データを論理/物理的に分割し、厳格な境界と最小権限のインターフェースで接続することで、侵害や故障の横展開を抑え、被害半径を縮小する手法になります。

VLAN/ゾーニング、マイクロセグメンテーション、サンドボックス、エアギャップ等で実現し、継続・復旧を容易にするような設計を行う事になります。

ONTAPの機能について

• SVM（Storage VM）によるマルチテナンシー：データプレーン/ネームスペース/管理を分離
• IPspace・Broadcast Domain・VLAN：ネットワーク/ルーティング分離
• LIFのファイアウォール/サービスポリシー・フェイルオーバグループ
• NAS: Export Policy（NFS）/Share ACL + ABE（SMB）/qtreeセキュリティスタイル
• SAN: igroup・LUNマスキング・portset（アクセスできるターゲットポートを制限）
• (SANはportsetで到達可能ポートを最小化、FCはファブリック側でゾーニング)
• 監視/統制: FPolicy（ファイルアクセスの監視/ブロック）、Vscanのポリシー分離

以下図の実装例

• テナント/業務/プロトコルでSVMを分け、IPspaceも分離
• 管理用LIFとデータLIFはネットワーク物理/論理的に分ける

運用中に構成・配置・経路を自動・迅速に変え、曝露面を縮小しつつ攻撃や故障を迂回して運用継続を図る手法です。SVMのCluster切り替えによるサービス移動、LIFの切替、Volume再割当、アドレス/ポート可変化等で予測困難性と回復力を高めることができます。

ONTAPの機能について

• Volume mov：SVM内におけるAggregate間のVolumeの無停止データ移設）
• Volume Rehost：SVM間におけるVolumeのオフライン移動
• LIF migrate：LIFの現在使用しているPortのオンライン変更
• SVM-DR：SVM単位の切り替え
• SVM DataMobility でSVM単位の移設/引越し

リソースの移動や再配置については、クラスタ間やクラスタ内で使える機能が異なるので、以下の表を参照頂ければと思います。

攻撃者を誤誘導・混乱させて時間と資源を消耗させ、行動を露呈させる回復力技術。偽資産・偽データ・ハニートークン/ポットで不確実性を高め、検知・遅延・封じ込めを支援します。隔離環境へ誘導し、対応判断の余地と回復時間を確保します。(証拠収集の時間稼ぎも含む)

ONTAPの機能について

• Volume Rehost：SVM間におけるVolumeのオフライン移動(本番Volumeの移動し、ダミーの再配置)
• NAS監査ログ（SMB/NFS）：SIEM連携を行いつつ、ダミー領域への共有/ディレクトリへのアクセスを検知
• アクセスベース列挙（ABE）やExport Policy/LIFのService Policyを活用：誤って正規ユーザの目に触れにくくする
• QoS：攻撃者のアクセスに時間を掛けるようにし、その際に調査を進める