Amazon FSx for NetApp ONTAP已成為需要於 AWS 上部署企業級 SMB 儲存解決方案的組織中廣受歡迎的選擇。無論是支援雲端遷移、協作平台、合作夥伴入口網站、併購計畫、工程儲存庫,還是業務關鍵型應用程式,FSx for NetApp ONTAP 都能讓團隊以大規模方式儲存和共享檔案。
共用儲存環境極易淪為惡意軟體、勒索軟體、武器化文件及敏感資料的散佈據點。一旦惡意或不符合規範的檔案進入共用儲存庫,在傳統端點控制措施來得及介入之前,使用者、應用程式、自動化工作流程及備份系統便可能存取該檔案。
隨著企業將更多工作負載遷移至 AWS,保護儲存於這些儲存庫中的檔案,其重要性已與保障基礎架構本身同樣重要。
MetaDefender Security™透過NetApp Vscan與 Amazon FSx for NetApp ONTAP 整合,在惡意軟體、主動式內容、敏感資訊及進階威脅影響下游使用者與系統之前,即對檔案進行檢查。
為何內建的 ONTAP 控制功能並非完整的安全防護層
Vscan 將檔案掃描任務轉移至外部伺服器處理。ONTAP 僅提供連線功能;其安全性價值完全取決於外部伺服器對每個檔案的處理方式。若後端缺乏功能完善的掃描器,Vscan 框架便會將檔案事件傳遞給任何已註冊的伺服器。
ONTAP 內建控制功能在哪些方面表現出色:
- 封鎖特定檔案副檔名(.exe、.bat、已知的勒索軟體副檔名)
- 在共用資料夾層級執行配額與存取政策
- 提供檔案操作的稽核日誌
以下是 ONTAP 內建控制功能無法獨立執行的事項:
- 檢查檔案內容是否包含嵌入式惡意軟體、巨集或混淆腳本
- 偵測寫入某卷的 PII(個人可識別資訊)、PHI(受保護健康資訊)或 PCI(支付卡產業)資料
- 在隔離環境中執行未知檔案,以評估其行為
- 將惡意檔案重建為乾淨且可用的版本
當檔案來自您無法控制的來源時,此漏洞的影響尤為顯著:例如合作夥伴上傳、供應商入口網站、雲端同步任務,以及併購公司所提供的資料。只要共享的 FSx 卷宗中出現一份被用作攻擊工具的文件,該共享資源的所有使用者便能立即存取該文件,而端點代理程式甚至還來不及偵測到它。
MetaDefender Storage Security 解決方案如何與 Amazon FSx for NetApp ONTAPStorage Security
MetaDefender Storage Security 透過NetApp Vscan與 Amazon FSx for NetApp ONTAPStorage Security 。當新建立或修改的檔案寫入受保護的 SMB 共用資料夾時,Vscan 會將掃描請求轉發至MetaDefender Storage Security 檢查,用戶才能與該內容進行互動。
MetaDefender Storage Security 運用多項資安技術Storage Security 檔案,包括:
- Metascan™Multiscanning:30 多種反惡意軟體引擎、啟發式分析及機器學習技術。
- Deep CDR™ 技術:透過檢查、淨化及重新生成安全且可用的檔案,預先中和 200 多種檔案類型的活性內容,且不會中斷業務運作。
- Proactive DLP™技術:可偵測、遮蔽並保護 125 種以上檔案類型的敏感資料。
- Adaptive Sandbox:具備 99.9% 零日漏洞偵測率的動態行為分析,可對可疑檔案及未知威脅進行快速且深入的檢測。
根據政策及掃描結果,組織可識別威脅、清理檔案、偵測敏感資料,並實施安全控制措施,且無需變更使用者存取儲存空間的方式。
整合元件
典型的部署包含:
- Amazon FSx for NetApp ONTAP
- Amazon EC2 Windows 執行個體(與 FSx 位於同一 VPC/子網)
- OPSWAT 連接器
- MetaDefender 儲存安全
- MetaDefender Core™
為支援 Vscan 的通訊與驗證Server 連接器的 WindowsServer 必須加入與儲存虛擬機器 (SVM) 相同的 Active Directory 網域。
四種您今天就能部署的生產環境應用案例
1. Amazon FSx 的即時惡意軟體掃描
這是預設的部署方式,也是安全性最高的模式。組織可自動檢查新建立及修改的檔案,當這些檔案寫入 SMB 共用資料夾時即會進行檢查。
這有助於預防:
- 透過共用資料夾散佈惡意軟體
- 勒索軟體有效載荷的傳播
- 受感染夥伴的上傳內容
- 儲存於檔案共用資料夾中的惡意電子郵件附件
透過在使用者存取檔案之前先對其進行檢查,組織能降低威脅在儲存環境中擴散的可能性。
2. 針對Cloud 與併購專案的大規模掃描
在整合新收購的環境或將資料遷移至 AWS 時,企業往往會繼承數百萬個安全狀態不明的檔案。
MetaDefender Storage Security 透過 SMB 協定,以 NetApp ONTAP 儲存來源Storage Security 至 FSx SVM,並依照一次性或定期排程讀取現有檔案,將威脅隔離至獨立路徑;藉此防止應用程式或使用者日後存取受感染的檔案。
此按需執行任務功能可直接透過 MDSS 介面進行設定,且其運作與 Vscan 的即時掃描設定相互獨立。
MetaDefender Storage Security 對現有檔案儲存庫執行排程或一次性掃描,以識別:
- 惡意軟體
- 休眠型勒索軟體
- 高風險檔案類型
- 敏感資訊
這有助於確保歷史內容在納入生產工作負載之前經過檢查。
3. 運用 Deep CDR™ 技術Secure 協作
許多組織會收到來自外部來源的文件,包括供應商、客戶、律師事務所、醫療服務提供者及商業夥伴。
Deep CDR™ 技術能將檔案還原為乾淨且可用的版本,同時移除巨集、嵌入式物件、腳本及其他潛在危險元素等動態內容。
此方法有助於防範傳統基於簽名的安全工具可能漏檢的零日文件攻擊。
常見的使用情境包括:
- 法律文件審閱
- 理賠處理
- 供應商入駐流程
- 財務文件交換
- 外部協作入口網站
4. 透過Proactive DLPDLP™實現合規與資料保護
對於須遵守 GDPR、HIPAA、PCI DSS 及其他隱私權規範的組織而言,Proactive DLP™ 技術有助於識別並管控儲存於檔案儲存庫中的敏感資料。
管理員可以設定政策來偵測:
- 個人可識別資訊(PII)
- 受保護的健康資訊(PHI)
- 財務紀錄
- 憑證與機密資訊
- 自訂的商業敏感資料模式
組織隨後可根據業務需求,採取諸如通知、隔離、內容遮蔽工作流程或政策執行等措施。
MetaDefender Storage Security 解決方案為 Amazon FSx for NetApp ONTAPStorage Security 哪些優勢
MetaDefender Storage Security 專為保障儲存基礎架構Storage Security 。透過 Vscan 與 Amazon FSx for NetApp ONTAP 整合,該解決方案新增了四項 ONTAP 內建控制功能所不具備的能力:
1. MetascanMultiscanning
系統會同時使用多個反惡意軟體引擎檢查檔案,藉此提升偵測範圍,並降低對單一資安供應商的依賴。
2. Deep CDR™ 技術
從受支援的檔案類型中移除潛在不安全的動態內容,同時保留檔案的可使用性。
3.Proactive DLP
在敏感資訊造成合規風險之前,即可對其進行偵測與分類。
4.Adaptive Sandbox
對於未知或可疑的檔案,可進行進階行為分析,以識別企圖規避偵測的威脅及前所未見的惡意軟體。
部署需求
若要將MetaDefender Storage Security Amazon FSx for NetApp ONTAP 搭配部署,組織應確保:
- Amazon FSx for NetApp ONTAP 已正式上線
- 已啟用 SMB 存取
- 提供 WindowsServer 或更新版本
- WindowsServer 加入與 SVM 相同的 Active Directory 網域
- 已安裝 NetApp ONTAP 防毒連接程式
- 已安裝OPSWAT 連接器
- Core 部署並取得授權的MetaDefender Storage Security MetaDefender Core
為何企業會選擇MetaDefender Storage Security 保護 Amazon FSx 和 AWS 儲存系統
資安團隊日益意識到,儲存庫已成為一個關鍵的攻擊面。
惡意軟體、勒索軟體、敏感資料外洩以及基於文件的威脅,通常源自檔案傳輸,而非終端裝置遭入侵。
當設定為 Vscan 強制模式時MetaDefender Storage Security 最關鍵的環節Storage Security 此漏洞:即在寫入時,於每個新檔案或修改過的檔案傳送至任何下游使用者之前,先對其進行檢查。 Metascan™Multiscanning、Deep CDR™ 技術、Proactive DLP™ 以及Adaptive Sandbox 共同應對僅靠簽名式偵測無法涵蓋的威脅;包括零日漏洞攻擊、敏感資料外洩,以及沒有已知惡意簽名的武器化文件。
企業無需僅在檔案已分發後才依賴終端控制措施,而是可以在儲存層級本身進行檢查、淨化、分類及執行政策。
保護所有儲存於您的 Amazon FSx for NetApp ONTAP 卷上的檔案
常見問題
MetaDefender Storage SecuritySecurity™是否原生支援 Amazon FSx for NetApp ONTAP?
是的。MetaDefender Storage Security 與 AWS FSx for NetApp ONTAP 完全Storage Security 利用 NetApp 的 Vscan 框架進行整合。該解決方案已通過 AWS 驗證,並被列為適用於保護在Amazon FSx for NetApp ONTAP 上運行的檔案儲存環境的支援解決方案。
MetaDefender Storage Security ONTAP 的哪種機制——Vscan 還是 FPolicy?
MetaDefender Storage Security Vscan;這是 NetApp 的防病毒掃描框架。
Vscan 整合功能是否支援 NFS 共用資料夾?
僅支援針對 SMB/CIFS 共用資料夾透過 Vscan 進行即時掃描。在 FSx for ONTAP 上執行 NFS 工作負載的組織,仍可透過MetaDefender Storage Security按需批次掃描功能來保護其檔案儲存庫。OPSWAT 詳細說明了 NFS 環境中受支援的掃描方法。
如果在寫入檔案的過程中,MetaDefender Storage Security 無法使用,會發生什麼情況?
行為取決於您的 Vscan 即時檢查政策模式。在強制模式下,ONTAP 會阻擋客戶端存取,直到掃描器做出回應為止;任何未經檢查的檔案都無法傳送至使用者手中。在非強制模式下,若掃描器無法使用,ONTAP 仍會允許存取。請根據您的安全性需求選擇模式,並將此決策記錄在案。
何謂 Deep CDR™ 技術?它與防毒掃描有何不同?
Deep CDR™ 技術透過移除所有活躍內容(包括巨集、嵌入式物件、腳本及超連結),將檔案重建為結構上純淨的版本,無論該內容是否被標記為惡意。防毒掃描是透過簽名來識別已知威脅;Deep CDR™ 技術則是在潛在威脅執行之前便予以移除,包括沒有已知簽名的零日漏洞。這兩種方法相輔相成。
部署MetaDefender Storage Security 變更應用程式或使用者存取 FSx 卷宗的方式?
不。MetaDefender Storage Security 透過 Vscan 以透明Storage Security 。應用程式和使用者仍可如常存取 SMB 共用資料夾。使用者唯一能察覺的變化,是當檔案因威脅偵測或違反 Proactive DLP™ 技術政策而遭封鎖時,會收到「存取遭拒」的回應。
