תגית: Ransom

מה חדש ב ONTAP 9.12.1

הפוסט הקודם שלי התמקד ב BlueXP, והיה יותר אסטרטגי. הפעם אני רוצה להיות קצת יותר טקטי ולרדת חזרה לקרקע ולעדכן אתכם במה חדש בגרסה העדכנית ביותר של מערכת ההפעלה של נטאפ ONTAP 9.12.1 שהוכרזה גם היא במסגרת אינסייט אך נשכחה קצת במסגרת חגיגות החוויה הכחולה.

כמובן שזו סקירה לא מלאה אלא רק של ההיי-לייטס והסקרנים מוזמנים לקרוא את הrelease notes.

אבטחת מידע

שדרגנו את יכולת ה Onbox Anti-Ransomware. האיומים משתכללים כל הזמן ואיתם צריך לשכלל את מנגנוני ההגנה.

שדרוג ראשון שהוספנו כבר בגרסה הקודמת זה MAV או multi admin verification. כמו שרובכם זוכרים, הסנפשוטים של נטאפ הם מסוג immutable כך שלא ניתן לשנות או למחוק את התוכן שלהם. מנגנון MAV מקשיח אותם ומוסיף את היכולת לקבוע כי כל פעולה של מחיקת סנפשוט מחייבת אישור של יותר מאדמין אחד, כך, קצת בדומה לנוהל שיגור בצוללת בסרטים, צריך יותר מממפתח אחד לירות טיל או יותר ממנהל אחד למחוק מידע חיוני בארגון.

אנחנו קושרים את זה ביחד עם העדכון של snaplock שיוצא בגרסה הקרובה שיאפשר לנו לנעול סנשפוטים גם בצד המקור ולא רק בצד העותק המרוחק כפי שהיה עד היום. בכל מקום שבו אנו חשופים לרגולציה קשיחה כדוגמת SEC17 או כל מקום בו אנחנו רוצים ליישם time lock על מידע, נשתמש בסנפלוק וכל מקום בו אנחנו רק רוצים להקשיח את ההגנה שלנו מפני מחיקה זדונית, אפשר ליישם MAV .דרך אגב, זה כנראה מקום טוב להזכיר שסנפלוק כבר לא מחייב אגריגייט יעודי ובכך שיפרנו משמעותית את הגמישות.

נגעתי בזה בפוסט הקודם אבל שווה לזכור שהוספנו לתוך BlueXP וכלי ניהול אחרים דשבורד יעודי לאבטחת מידע שמוזן גם על ידי מידע שנאסף מ autosupport, משירותים כמו Cloud Secure וכו' על מנת לאפשר לנו שקיפות כלפי מוכנות הארגון שלנו לאירועים.

מתחת לפני השטח הוספנו MFA  ל CLI ושידרגנו את היכולת לשמר לוגים כדי להקשות על העלמה של פעולות זדוניות ככה שה audit trail שלנו שלם ומלא יותר.

בפוסט שפרסמתי בדיוק לפני שנה דיברתי על F-Policy ממשק  F-Policy חדש עם מעל 3000 סיומות קבצים בעיתיות וכמובן שאפשר להוסיף סיומות יחודיות או חדשות. הממשק הזה הוא כמובן ממשק GUI שמעדכן את יכולות ה CLI שהיו עד היום עבור כלי זה, מתוך אותה תפיסה של החוויה הכחולה שרוצה לאפשר לנו לצרוך ולנהל שירותים גם בלי "לדעת נטאפ" ובלי להתחבר ישירות למערכות לנהל אותן. זו יכולת מאד חזקה, חינמי מבחינת רישוי ותקורת ביצועים ולא מספיק מאיתנו משתמשים בה.

ביצועים

כמו בכל גרסה כללנו שיפורי ביצועים משמעותיים ואחרי שבפעם הקודמת התמקדנו בעולמות ה SAN, הפעם השיפור המרכזי הוא בעולם ה NAS וספציפית NFS בעיקר באמצעות שדרוג נוסף ליכולת שלנו למקבל תהליכים במערכות.

במסגרת 9.12 אנחנו מוסיפים גם גידול משמעותי בכמות ה Volums שנתמכת בקלאסטר, ומדובר בעליה של סדרי גודל, ובאותה נשימה הגדלנו משמעותית גם את הגודל המקסימלי של כל Volume וכל LUN. השיפור בכמות הווליומים משמעותי ללקוחות קונטיינרים או לקוחות שמאמצים VVoL והגודל המקסימלי של Volume/LUN  רלוונטי יותר ללקוחות הקצת יותר מסורתיים שלנו.

ללקוחות שמאמצים את FlexGroup על מנת ליצור מרחבי אחסון עוד יותר גדולים מאשר ה Volume הגדול ביותר שלנו או על מנת לפרוס את עומסי העבודה בין הבקרים בקלאסטר, הכנסנו יכולת רידוד אוטומטית על מנת לשפר עוד יותר את המנגנונים שמאפשרים לנו "לשטח" את המידע לרוחב הGroup. התהליך נעשה באופן אינטליגנטי ולא סתם מרדד אלא מנתח את היחס בין נפח לעומס עבודה והסיבה ליצירת חוסר האיזון ויודע להבדיל בין מקרה למקרה. אם הזכרתי למעלה SnapLock וכאן FlexGroups אז כדאי להזכיר כמובן שמעכשיו הם נתמכים ביחד בצורה מלאה יותר.

גמישות

כבר שנים שאנחנו מאפשרים NFS+SMB וזה זמן מה שנחנו תומכים ב S3, ב 9.12 אנחנו מוסיפים את היכולת לגשת לאותו מידע גם כקובץ וגם כאובייקט.

שיפרנו גם את היכולת לנייד SVM  שלם בין מערכות וקלאסטרים, תלוי פרוטוקול יש מקרים שבהם הסשן אפילו לא ירצד ויש מקרים שבהם הסשן של הלקוח יתנתק אבל ה Share נשאר חי והלקוח יכול להתחבר מייד, ברוב המקרים הקליינט של הלקוח יעשה את זה עבורו באופן אוטומטי ומיידי. יעיל במקרה שצריך להזיז סביבה שלמה נניח בין מערכות SSD למערכות NL-SAS ולהיפך.

גם ה FlexCache הישן והמוכר עובר שדרוג משמעותי בגרסה 9.12. אם בעבר הכלי הזה נועד ספציפית להאצה של ביצועי קריאה בעותקים מרוחקים אבל כתיבה היתה מתאגרת כי היה צריך לכתוב ישירות לעותק המקורי, המרוחק, עכשיו אנחנו מאפשרים לנהל נעילות ברמה טובה יותר ומאפשרים לבצע גם את הכתיבות בעותק המרוחק ולתת למערכות ברקע לנהל ביניהן את סנכרון ההעתקים כך שהפיצ'ר הזה יכול היום לענות לאתגרים נוספים בסביבות מבוזרות.

אני מרגיש שהכנסתי כאן הרבה מאד מידע וזה זמן טוב לעצור. למי שמעדיף להאזין לפודקסט במקום לקרוא:

מקווה שנהנתם וכמו תמיד אשמח לשמוע מה דעתכם,

שלכם,

ניר מליק

WannaCry and Dell EMC world

It my party and i'll #WannaCry if I want to

מתקפת הסייבר הענקית בסופ"ש האחרון הזכירה לי סיפור על חברת תיירות ישראלית גדולה שהיתה בזמנו לקוחה שלי. בשבוע שלפני פסח כלומר באחד השבועות הכי עמוסים בעולם התיירות הישראלי, הוצפנו מספר תיקיות בארגון בעקבות חדירה של כופרה לארגון (ransomware) ובין התיקיות המוצפנות היתה תיקיה אחת חשובה במיוחד לפעילות הארגון ואנשי הIT היו תחת לחץ נוראי למצוא פתרון מהיר לבעיה.

השתלשלות האירועים תישמע מוכרת להרבה מאד אנשי IT, לחברה היה פתרון גיבוי מיושן שלא נבדק כמו שצריך כי הוא התבסס על NDMP ושחזור מדגמי של NDMP  הוא לא תענוג גדול, מערכת האחסון שלהם עמדה בפני שדרוג ולא נשאר להם מקום כדי לשמור עומק משמעותי של snapshots, כמו גופי IT רבים בעולם הם עבדו קשה עם מעט מאד כוח אדם ולא היה להם זמן לכתוב נהלים ולתרגל "מקרים ותגובות" לאירועים סייבר שונים כי הם היו עסוקים עד מעל לראש בחיי היום-יום, בקיצור, לא היה שם שום דבר מיוחד, הם היו גוף IT סטנדרטי.

ביום האירוע, מרוב לחץ, במקום לבצע שחזור מתוך snapshot כלומר, במקום להציג את snapshot הצידה ולהעתיק מתוכו את המידע הנדרש, הם ביצעו revert to snap לעותק הנקי היחיד שהיה להם. התהליך היה פשוט ונוח, לקח להם שעה להחליט לבצע את זה וחצי דקה לבצע את זה בפועל וזהו, הם חזרו חצי יום אחורה בזמן לתיקיה נקיה מווירוסים והכל עבד ואושר גדול ו… הם לא מצאו את patient zero, הם לא ניתקו את התחנות המזוהמות מהרשת, התיקייה הקריטית הוצפנה מחדש ועכשיו בלי גיבוי תקין ובלי סנפשוט לחזור אליו, לא הייתה להם שום ברירה אחרת מלבד לשלם את דמי הכופר.  אמא שלי היתה אומרת "היה שמח".

כמו שאני מדגיש לא פעם כשאני כותב על נושאי אבטחת מידע, זה לא תחום ההתמחות שלי אבל יש כמה דגשים שכל איש תשתיות אמור להכיר:

  1. יש להקפיד ולעדכן את כלל המערכות באופן קבוע
  2. יש לגבות ולבדוק את תקינות הגיבוי
  3. יש לחנך את העובדים שלנו
  4. יש לכתוב נהלי חירום ולתרגל אותם באופן קבוע

כמובן שזה המקום להשוויץ שבמערכות Infinidat אפשר להריץ 100,000 snapshots בלי לפגוע בביצועים וכמעט בלי לצרוך נפח וכל אחד מהסנפשוטים ניתן להפוך ל read/write ככה שאפשר ליצור עומק מאד משמעותי של נקודות שחזור אפשריות וממש אין צורך לבצע revert ולוותר עליהן במקרה שחזור.

DellEMC world

בשבוע שעבר נערך כנס Dell EMC world השנתי בוגאס, לראשונה במתכונת המאוחדת לאחר הרכישה הענקית. אלו ההכרזות המרכזיות בעולם האחסון ולטעמי יותר מעניין מה לא נכלל בהן מאשר מה שכן.

VMAX – הוכרזה גרסאת High-End חדשה, 950F, שאמורה לספק שדרוג ביצועים משמעותי בעיקר בגלל שימוש במעבדים עדכניים יותר ותוספת זיכרון. מעניין לציין שנעדרה כל התיחסות לדגמי VMAX שאינם מבוססי All Flash, לאן הם נעלמו מהרדאר? DellEMC  טוענים כאן ל6 תשעיות זמינות ו the register מזכירים נכון שאנחנו באינפינידט כבר מזמן מדברים על 7 תשעיות אז כולכם מוזמנים לבדוק אותנו במבחן השוואתי.

XtremeIO – גם כאן כלול שדרוג חומרה שמספק שיפור ביצועים אבל נסיגה מוחלטת מהכרזת יכולות NAS ובשעה טובה הוכרזה יכולת מובנית לרפליקציה אבל וזה אבל גדול, זו הכרזה על יכולת עתידית כלומר גם עכשיו אחרי ההכרזה הזו לקוחות XtremeIO צריכים כלי חיצוני לרפליקציה. Xterme היו מהחלוצים בעולם ה All Flash  , מהחלוצים לספר לנו עד כמה מערכות All Flash יותר יעילות ממערכות היברידיות אבל אם יורדים לפרטים הקטנים אז העיסק נעשה קצת יותר מורכב, בשביל לקיים קלאסטר מלא של 8 בריקים צריך זו מתגי אינפיניבנד אז זו לא מערכת זולה ופשוטה במיוחד, בשביל לספק 2.8PB של נפח אחסון, בקלאסטר מלא של 8 בריקים, הם צריכים להתבסס על יחס של 3:1 וגם צורכים כפול מכמות חשמל שצורכת מערכת מלאה של אינפינידט שמספקת 2.8PB לפני דחיסה אז מה בדיוק כל כך יעיל וזול כאן? שימו לב שלא מדובר כאן על סתם FUD או לכלוך כי אני עובד אצל יצרן מתחרה אלא הכל אחד לאחד מדף המוצר שלהם עצמם

Isilon – גם בגזרה זו אין רבולוציה אלא אבולוציה, שוב מדובר על שיפור ביצועים, בעיקר באמצעות שדרוגי חומרה וגם כאן אין למשל איזכור לנסיגה מיכולות ה iSCSI.

Unity – מרגיש כמו תקליט שבור, שוב שדרוג חומרה קל בגרסאות All Flash בלי שינוי משמעותי בתוכנה. העובדה שעדיין, ב 2017, בדור רביעי של מערכות "unified" עדיין ניתן לבצע דחיסה רק לשירותי קבצים ולא לשירות Block מזכירה לנו כי בקרביים, ה Unity עדיין נשענת על ארכיטקטורה נפרדת של קלריון וסלרה לשירותים השונים, האריזה נוצצת והולכת ומתהדקת מדור לדור אבל זו עדיין לא באמת מערכת Unified  אלא רק "Unified" או כמו שאבי דיכטר קורא לזה, מערכת "יעני" Unified.

Faster Than All Flash

אם אתם זוכרים אז בפעם הקודמת סיפרתי לכם על מבצע ה Faster Than All Flash שלנו שבו אנחנו מציעים ללקוחות לבחון אותנו בשטח, בתנאי אמת, עם real live hand grenades ולהציב אותנו ראש בראש מול מוצרי All Flash, במידה ולא נעמוד בתחרות ולא נספק ביצועים טובים מהם תחת עומסי עבודה אמיתיים ולא איזה בנצ'מארק סינטטי, אנחנו נתרום 10,000$ לארגון צדקה לבחירתו של הלקוח.

מי שרוצה מוזמן להקשיב לבריאן סטובר שלנו מדבר על העובדה של All Flash הוא לא הפתרון היחיד לאתגרי האחסון שלכם ולמה אנחנו חושבים שהפתרון שלנו יותר נכון:

זה הכל להפעם חברים,

בפעם הבאה סיכום של IDC storage transformation בפרנקפורט, סיכום של VeeamON בניו אורלינס ומסלול טיול מומלץ בטרנסילבניה (לא צוחק!)

שלכם,

ניר מליק