Amazon FSx for NetApp ONTAP已成为需要在 AWS 上部署企业级 SMB 存储的组织的热门选择。无论是支持云迁移、协作平台、合作伙伴门户、并购项目、工程代码库,还是业务关键型应用程序,FSx for NetApp ONTAP 都能帮助团队大规模地存储和共享文件。
共享存储环境很容易成为恶意软件、勒索软件、恶意文档和敏感数据的传播源。一旦恶意文件或不符合合规要求的文件进入共享存储库,在传统终端控制措施来得及介入之前,用户、应用程序、自动化工作流和备份系统就可能访问到这些文件。
随着企业将更多工作负载迁移到 AWS,保护存储在这些存储库中的文件与保障基础设施本身的安全同样重要。
MetaDefender Security™通过NetApp Vscan与 Amazon FSx for NetApp ONTAP 集成,在恶意软件、活动内容、敏感信息和高级威胁影响下游用户和系统之前,对其进行检测。
为什么 ONTAP 的内置控制措施并非完整的安全防护层
Vscan 将文件扫描任务卸载至外部服务器。ONTAP 仅提供连接功能;其安全性完全取决于外部服务器对每个文件的具体处理方式。如果背后没有功能强大的扫描器,Vscan 框架会将文件事件传递给任何已注册的服务器。
ONTAP 内置控制功能在哪些方面表现出色:
- 屏蔽特定文件扩展名(.exe、.bat、已知的勒索软件扩展名)
- 在共享级别上实施配额和访问策略
- 提供文件操作的审计日志
ONTAP 内置控制功能无法独立完成的任务:
- 检查文件内容中是否包含嵌入的恶意软件、宏或混淆脚本
- 检测写入卷中的 PII(个人身份信息)、PHI(受保护的健康信息)或 PCI(支付卡行业)数据
- 在隔离环境中执行未知文件,以评估其行为
- 将恶意文件重建为干净、可用的版本
当文件来自您无法控制的外部来源时,这一漏洞的影响最为显著:例如合作伙伴上传的文件、供应商门户、云同步任务以及被收购公司的数据。在共享的 FSx 卷上,只要存在一份被恶意利用的文档,该共享的每位用户都能立即访问该文档,而端点代理甚至还未检测到它。
MetaDefender Storage Security 如何与 Amazon FSx for NetApp ONTAPStorage Security
MetaDefender Storage Security 通过NetApp Vscan与 Amazon FSx for NetApp ONTAPStorage Security 。当新创建或修改的文件写入受保护的 SMB 共享时,Vscan 会将扫描请求转发给MetaDefender Storage Security 检查,之后用户才能访问相关内容。
MetaDefender Storage Security 利用多种安全技术Storage Security 文件Storage Security ,包括:
- Metascan™Multiscanning:30 多种反恶意软件引擎、启发式分析及机器学习技术。
- Deep CDR™ 技术:通过检查、净化和重建安全可用的文件,预先中和 200 多种文件类型中的活跃内容,且不会中断业务运营。
- 主动式 DLP™技术:可检测、屏蔽和保护 125 多种文件类型的敏感数据。
- Adaptive Sandbox:动态行为分析,零日漏洞检测率高达99.9%,可对可疑文件和未知威胁进行快速、深入的检测。
基于策略和扫描结果,企业可以识别威胁、清理文件、检测敏感数据并实施安全控制,而无需改变用户访问存储的方式。
集成组件
典型的部署包括:
- 适用于 NetApp ONTAP 的 Amazon FSx
- Amazon EC2 Windows 实例(与 FSx 位于同一 VPC/子网中)
- OPSWAT 连接器
- MetaDefender 存储安全
- MetaDefender Core™
Server WindowsServer 必须加入与存储虚拟机 (SVM) 相同的 Active Directory 域,以支持 Vscan 的通信和身份验证。
四种可立即部署的生产用例
1. Amazon FSx 的实时恶意软件扫描
这是默认的部署方式,也是安全性最高的模式。组织可以在新创建或修改的文件写入 SMB 共享时,自动对其进行检查。
这有助于预防:
- 通过共享文件夹传播恶意软件
- 勒索软件有效载荷的传播
- 感染伴侣的上传内容
- 存储在文件共享中的恶意电子邮件附件
通过在用户访问文件之前对其进行检查,企业可以降低威胁在存储环境中扩散的可能性。
2.Cloud 并购项目的批量扫描
在接入新收购的环境或将数据迁移至 AWS 时,企业通常会继承数百万个安全状况不明的文件。
MetaDefender Storage Security 通过 SMB 以 NetApp ONTAP 存储源的Storage Security 到 FSx SVM,按一次性或定期计划读取现有文件,并将威胁隔离到单独的路径中;从而防止应用程序或用户今后访问受感染的文件。
此按需任务功能可直接通过 MDSS 界面进行配置,其运行与 Vscan 的实时扫描配置相互独立。
MetaDefender Storage Security 对现有文件存储库执行定时或一次性扫描,以识别:
- 恶意软件
- 休眠型勒索软件
- 高风险文件类型
- 敏感信息
这有助于确保历史内容在纳入生产工作负载之前经过检查。
3. 借助 Deep CDR™ 技术Secure 协作
许多组织都会收到来自外部来源的文件,包括供应商、客户、律师事务所、医疗服务提供商和商业合作伙伴。
Deep CDR™ 技术可在移除宏、嵌入对象、脚本及其他潜在危险元素等活动内容的同时,将文件重建为干净且可用的版本。
这种方法有助于防范基于文档的零日攻击,而传统基于签名的安全工具可能会忽略此类攻击。
常见的使用场景包括:
- 法律文件审查
- 理赔处理
- 供应商入驻
- 财务文件交换
- 外部协作门户
4. 借助Proactive DLPDLP™实现合规与数据保护
对于受《通用数据保护条例》(GDPR)、《健康保险流通与责任法案》(HIPAA)、《支付卡行业数据安全标准》(PCI DSS)及其他隐私要求约束的组织,Proactive DLP™ 技术有助于识别和管控存储在文件存储库中的敏感数据。
管理员可以配置策略来检测:
- 个人身份信息(PII)
- 受保护的健康信息(PHI)
- 财务记录
- 凭据和密钥
- 自定义业务敏感数据模式
随后,组织可根据业务需求采取通知、隔离、信息遮蔽工作流或策略执行等措施。
MetaDefender Storage Security 为 Amazon FSx for NetApp ONTAPStorage Security 哪些优势
MetaDefender Storage Security 专为保障存储基础设施Storage Security 。它通过 Vscan 与 Amazon FSx for NetApp ONTAP 集成,增加了四项 ONTAP 内置控制功能所不具备的能力:
1. MetascanMultiscanning
通过同时使用多个反恶意软件引擎对文件进行扫描,从而提高检测覆盖率,并减少对单一安全厂商的依赖。
2. Deep CDR™ 技术
在确保文件可用的前提下,从受支持的文件类型中移除潜在的不安全活动内容。
3.Proactive DLP)
在敏感信息引发合规风险之前,即可对其进行检测和分类。
4.Adaptive Sandbox
对于未知或可疑的文件,可进行高级行为分析,以识别规避检测的威胁和此前未见的恶意软件。
部署要求
要将MetaDefender Storage Security Amazon FSx for NetApp ONTAP 结合部署,企业应确保:
- Amazon FSx for NetApp ONTAP 已投入运行
- 已启用 SMB 访问
- 提供 WindowsServer 或更高版本
- 该 WindowsServer 加入与 SVM 相同的 Active Directory 域
- 已安装 NetApp ONTAP 防病毒连接器
- 已安装OPSWAT 连接器
- Core 部署并授权使用MetaDefender Storage Security MetaDefender Core
为何企业选择MetaDefender Storage Security 保护 Amazon FSx 和 AWS 存储
安全团队越来越认识到,存储库已成为一个关键的攻击面。
恶意软件、勒索软件、敏感数据泄露以及基于文档的威胁,往往源于文件传输,而非终端系统遭到入侵。
当配置为 Vscan 强制模式时MetaDefender Storage Security 最关键的环节——写入时Storage Security 这一安全漏洞,在每个新文件和修改后的文件到达任何下游用户之前对其进行检查。 Metascan™Multiscanning、Deep CDR™ 技术、Proactive DLP™ 以及Adaptive Sandbox 共同应对仅靠基于特征码的检测无法覆盖的威胁;包括零日漏洞利用、敏感数据外泄以及没有已知恶意特征码的武器化文档。
与其在文件已经分发后仅依赖终端控制措施,企业不妨在存储层本身对文件进行检查、清理、分类并执行策略。
保护存储在 Amazon FSx for NetApp ONTAP 卷上的每一份文件
常见问题
MetaDefender Storage SecuritySecurity™是否原生支持 Amazon FSx for NetApp ONTAP?
是的。MetaDefender Storage Security 与 AWS FSx for NetApp ONTAP 完全Storage Security 利用 NetApp 的 Vscan 框架实现集成。该解决方案已通过 AWS 验证,并被列为受支持的解决方案,用于保护在Amazon FSx for NetApp ONTAP 上运行的文件存储环境。
MetaDefender Storage Security ONTAP 的哪种机制——Vscan 还是 FPolicy?
MetaDefender Storage Security Vscan——NetApp 的防病毒扫描框架。
Vscan 集成是否支持 NFS 共享?
仅支持对 SMB/CIFS 共享通过 Vscan 进行访问时扫描。在 FSx for ONTAP 上运行 NFS 工作负载的组织仍可通过MetaDefender Storage Security按需批量扫描功能来保护其文件存储库。OPSWAT 详细介绍了 NFS 环境中受支持的扫描方法。
如果在写入文件的过程中MetaDefender Storage Security 无法使用,会发生什么情况?
行为取决于您的 Vscan 实时扫描策略模式。在强制模式下,ONTAP 会阻止客户端访问,直到扫描器做出响应为止;任何未经检查的文件都不会到达用户手中。在非强制模式下,如果扫描器不可用,ONTAP 仍会允许访问。请根据您的安全要求选择相应模式,并记录该决策。
什么是 Deep CDR™ 技术?它与杀毒扫描有何不同?
Deep CDR™ 技术通过移除所有活动内容(包括宏、嵌入对象、脚本和超链接),将文件重建为结构纯净的版本,无论这些内容是否被标记为恶意。杀毒扫描通过特征码识别已知威胁;而 Deep CDR™ 技术则在潜在威胁执行之前将其清除,包括没有已知特征码的零日漏洞利用。这两种方法相辅相成。
部署MetaDefender Storage Security 是否Storage Security 更改应用程序或用户访问 FSx 卷的方式?
不。MetaDefender Storage Security 通过 Vscan 以透明Storage Security 。应用程序和用户仍可像往常一样访问 SMB 共享。用户唯一能察觉的变化是,当文件因威胁检测或违反 Proactive DLP™ 技术策略而被阻止时,会收到“访问被拒绝”的响应。
