StoreLinq logo - zakelijke opslagoplossingen en storage beheer
Foto van Paul Visser

Paul Visser

Virtualisatie / Storage Specialist

ONTAP-features die ik standaard aanzet op de primary laag

Een aanvaller die je productie-data versleutelt is vervelend. Een aanvaller die eerst je snapshots wist en daarna versleutelt, is een ramp. Immutability is daarom geen extra optie — het is de laag die het verschil maakt.

Protectie: de ONTAP-features die ik altijd aanzet

Welke ONTAP‑features zet ik standaard aan op de primary laag, en hoe configureer ik ze?

In mijn eerdere blog toonde ik mijn gebruikelijke referentiestructuur: drie lagen die logisch van elkaar gescheiden zijn, met datastromen die slechts in één richting lopen. Mooi op papier, maar een architectuur is pas zo sterk als de laag waarop alles rust. Dus laten we inzoomen op die bewuste laag van je primaire ONTAP-omgeving.

Wat me telkens weer opvalt als ik bij een klant binnenkom, is dat de technologie er meestal al is. ONTAP heeft de meeste beschermingslagen gewoon aan boord. Maar ze staan niet aan. Of ze staan half aan. Of ze zijn ooit door iemand geconfigureerd die inmiddels al twee banen verder is, en niemand durft er nog aan te komen.

Mijn werk is daarom zelden “installeren”. Het is vooral bewust aanzetten, goed inregelen en misschien wel het belangrijkst: daadwerkelijk testen. Hieronder loop ik met je mee door de features die ik standaard activeer en waarom.

Snapshots: saai, en toch de belangrijkste laag

Laten we beginnen bij het fundament. Snapshots. Niet sexy, niet vernieuwend, maar als het hier misgaat, helpen de overige maatregelen je nauwelijks.

Toch zie ik het maar al te vaak. Omgevingen waar snapshots of helemaal uitstaan, of draaien op een standaardschema dat al jaren niemand meer heeft bekeken. “Die staan toch goed?” Totdat iemand op een woensdagochtend belt omdat een share leeg is, en dan blijkt dat je drie uur terug kunt, maar de aanval is al sinds vrijdag bezig.

Ik werk daarom altijd met meerdere lagen tegelijk:

  • Korte, frequente snapshots voor je kritieke volumes: denk aan elk uur, 24 uur bewaard. Hiermee kun je razendsnel terug bij snelle detectie.
  • Dagelijkse snapshots met enkele weken retentie. Want soms ontdek je een aanval pas later. Veel later.
  • Wekelijks of maandelijks voor de echt kritieke datasets met langere retentie.

Het schema stem ik altijd af op het soort workload. Een fileshare met duizenden kleine wijzigingen vraagt iets anders dan een databasevolume of een VMware-datastore. Eén schema voor alles werkt simpelweg niet. Dat is een belofte aan jezelf dat het ergens een keer pijn gaat doen.

Nog iets wat ik niet vaak genoeg kan zeggen: een snapshot waar je nog nooit iets uit hersteld hebt, is geen snapshot. Het is een aanname. Plan eens per kwartaal een test-restore. Het is een uur werk en je slaapt erna beter.

SnapLock: snapshots die niemand kan wissen, ook jij niet

Goed, je hebt snapshots. Maar wat als een aanvaller beheerrechten heeft en gewoon je snapshots wist voordat hij begint met versleutelen? Dat is precies wat moderne ransomwaregroepen doen. Ze weten dat snapshots hun grootste vijand zijn.

Hier komt immutability om de hoek. Met SnapLock (of Snapshot Locking, afhankelijk van je versie) maak je snapshots echt onveranderbaar. Niet “moeilijk te verwijderen”, maar onmogelijk. Ook voor de senior storagebeheerder met adminrechten. Niet via de CLI, niet via System Manager, niet via de API. Punt.

Snapshots alleen zijn niet genoeg. Moderne ransomware-aanvallers richten zich juist op de herstelpunten zelf. SnapLock maakt de onderste laag onveranderbaar: niet via de CLI, niet via System Manager, niet via de API. Dat is precies waar de slag wordt gewonnen of verloren.
Meerdere snapshot-lagen geven je een fijnmazig herstelvenster. SnapLock zorgt dat de onderste laag niet meer te wissen is — ook niet door iemand met volledige rechten.

Mijn aanpak hierbij is altijd:

  • Bepaal eerst welke datasets dit echt nodig hebben. Niet alles hoeft immutable te zijn. Het kost capaciteit en het beperkt je flexibiliteit, dus kies bewust.
  • Kies tussen Compliance-mode (de strengste variant, met bescherming op disk-niveau en geen mogelijkheid om files vroegtijdig te verwijderen) en Enterprise-mode (iets meer manoeuvreerruimte, met een audited privileged delete-procedure voor de compliance-administrator). De keuze hangt af van je compliance-eisen en van je risicotolerantie.
  • Documenteer de retentieperiodes en bespreek ze met de business. Want “we kunnen deze data niet eerder weggooien” is een gesprek dat je liever vooraf voert dan achteraf.

Dit is geen instelling die je terloops aanvinkt. Het is een keuze met gevolgen. Maar het is wel het verschil tussen “we hebben snapshots” en “we hebben snapshots waar een aanvaller niet bij kan”.

Autonomous Ransomware Protection: laat de storage zelf opletten

ONTAP kan tegenwoordig zelf detecteren wanneer er iets vreemds gebeurt. ARP gebruikt AI-modellen om I/O-patronen te analyseren: plotselinge bursts van writes, ongebruikelijke encryptiepatronen, volumes die zich ineens heel anders gedragen dan normaal.

Wat ik bij elke klant aanraad:

  • Zet ARP aan op NAS-volumes en dan vooral daar waar gebruikersdata staat. Statistisch gezien begint een ransomwareaanval daar het vaakst. Goed om te weten: vanaf ONTAP 9.17.1 ondersteunt ARP ook SAN-workloads, dus de scope is breder dan alleen file shares.
  • Controleer welke ONTAP-versie je draait, want het gedrag verschilt. In ONTAP 9.10.1 tot en met 9.15.1 begint ARP in learning mode (ook wel “dry-run”) en moet hij eerst leren wat “normaal” is in jouw omgeving. Sla je deze stap over, dan kun je rekenen op false positives, en niets ondermijnt vertrouwen in een securitytool sneller dan een paar valse alarmen op een vrijdagmiddag. Vanaf ONTAP 9.16.1 is ARP/AI op FlexVol-volumes direct actief zonder learning period, en vanaf 9.18.1 geldt dat ook voor FlexGroup-volumes. Het machine learning-model is dan vooraf getraind, dus die kalibratie hoef je zelf niet meer te doen.
  • Laat ARP een extra snapshot maken zodra het iets verdachts ziet. Dit is goud waard. Je hebt dan een herstelpunt op precies het moment dat de detectie afging, vaak veel waardevoller dan je reguliere schema.
  • Koppel de alerts aan je SIEM of monitoring. Anders blijven ze hangen op de storage en ziet niemand ze.

Dat laatste punt is waar ik de meeste fouten zie. ARP wordt aangezet, vinkje gezet, project afgerond. En daarna ziet niemand de alerts ooit. Een alert die niemand leest is geen bescherming; dat is een logje voor het naoorlogse onderzoek.

RBAC en Multi-Admin Verification: niet alles hoeft één persoon te kunnen

Een groot deel van de schade bij een ransomware-incident komt niet van de versleuteling zelf, maar van wat een aanvaller met beheerrechten kan aanrichten. Snapshots wissen. Replicatie uitzetten. Retention policies aanpassen. In een paar commando’s kan iemand jaren aan herstelmogelijkheden vernietigen.

MAV is een van die features waar mensen aanvankelijk over mopperen. Tot de dag waarop een verkeerd commando op het verkeerde moment automatisch wordt tegengehouden. Dan is het ineens de beste feature die je hebt aangezet.
Snapshots verwijderen, replicatie stopzetten of SnapLock aanpassen vraagt met MAV altijd om een tweede paar ogen. Klinkt omslachtig — precies de bedoeling.

Daarom hoort een strakke rechtenstructuur bij de absolute basis:

  • RBAC met fijnmazige rollen. Niet iedereen krijgt automatisch adminrechten. Operations, monitoring en deep-admin zijn aparte werelden. Behandel ze ook zo.
  • Geen gedeelde accounts. Elke beheerder werkt onder eigen naam. Anders weet je achteraf wel wat er gebeurd is, maar niet wíé het deed.
  • Multi-Admin Verification (MAV, beschikbaar vanaf ONTAP 9.11.1) voor onomkeerbare acties. Snapshots verwijderen, SnapLock-policies aanpassen, replicatie stopzetten: dat kan alleen nog met goedkeuring van een tweede beheerder. Klinkt omslachtig, en is het ook, en dat is precies het punt.
  • Serviceaccounts strikt apart, met minimale rechten per toepassing.

MAV is een van die features die mensen aanvankelijk vervelend vinden. “Moet ik nu voor alles iemand bellen?” Nee, alleen voor de dingen waar je echt geen weg meer terug hebt. En je zou verbaasd zijn hoeveel ongelukken, niet eens kwaadwillig, gewoon menselijke fouten op het verkeerde moment, daarmee worden voorkomen.

Een praktische kanttekening: MAV kan in de praktijk schuren met externe tooling die zelf snapshots beheert, zoals SnapCenter, CommVault of AIQUM. Plan vooraf hoe je query-rules inricht om legitieme automation niet vast te laten lopen op approval-requests. Daar valt nog wel een aparte blog over te schrijven.

Versleuteling: niet voor ransomware, wel voor de variant erna

Versleuteling beschermt je niet direct tegen ransomware. Een aanvaller die jouw data versleutelt, geeft geen ene zier om of die data al door jou versleuteld was. Maar de moderne aanval is allang niet meer alleen versleuteling.

Steeds vaker zie je double extortion: aanvallers stelen je data eerst, versleutelen daarna en dreigen met publicatie als je niet betaalt. Daar helpt versleuteling wel tegen: gestolen data die zij niet kunnen lezen, heeft geen chantagewaarde.

Wat ik standaard activeer:

  • NetApp Volume Encryption (NVE) of NetApp Aggregate Encryption (NAE) voor data at rest. NVE versleutelt per volume met een unieke sleutel; NAE doet het op aggregate-niveau en is vereist als je aggregate-level deduplicatie wilt gebruiken.
  • Cluster Peer Encryption (CPE) voor data in flight, beschikbaar vanaf ONTAP 9.6. Dit is wat in de praktijk vaak “Encrypted SnapMirror” wordt genoemd: het versleutelt het replicatieverkeer tussen je primaire en secundaire omgeving. NVE en NAE doen dat zelf niet, want SnapMirror zit boven de WAFL-laag.
  • Een externe key manager (via KMIP) waar mogelijk. Sleutels en gegevens apart houden: niet alles op één plek. Een externe key manager hoort idealiter op een ander storage system te staan dan je data.

Op moderne AFF-systemen kost dit nauwelijks performance en bij de meeste compliance-frameworks is het inmiddels een eis. Er is eerlijk gezegd geen goede reden meer om het uit te laten.

Netwerk-hardening: je beheerlaag is een doelwit

Je kunt de mooiste storage-configuratie hebben, maar als je managementinterfaces vanaf elke willekeurige werkplek bereikbaar zijn, doe je het zware werk voor niets. En dit zie ik vaker dan ik wil toegeven.

Mijn baseline:

  • Dedicated managementnetwerk, los van data- en gebruikersverkeer.
  • Toegang tot beheerinterfaces via jump hosts, niet rechtstreeks vanaf werkplekken. Ja, het is een extra stap. Daarvoor is het bedoeld.
  • Firewallregels op je LIFs: alleen de IP-ranges die het echt nodig hebben.
  • SSH-keys boven wachtwoorden, met fatsoenlijke rotatie.
  • Oude protocollen uit. Geen Telnet, geen HTTP zonder TLS, geen verouderde SSL.

Klassieke netwerkhygiëne, niets revolutionairs. Maar specifiek voor je storagelaag verdient het extra aandacht. Een gecompromitteerde management-LIF geeft iemand de sleutels tot je hele datafundament. Dat is een avond die je niet wilt meemaken.

Logging: het saaiste hoofdstuk, en je beste vriend bij forensisch onderzoek

Tot slot, en ik beloof je, dit is het minst leuke onderdeel: logging. Zonder logging weet je achteraf simpelweg niet wat er gebeurd is. En zonder centrale logging weet je het alleen op de storage zelf, waar een aanvaller met voldoende rechten ook bij kan.

Wat ik standaard inricht:

  • Cluster audit logging aan op alle clusters voor beheeracties. Voor file-access auditing op NAS gebruik je daarnaast FPolicy of ONTAP audit logging voor CIFS/NFS, afhankelijk van wat je precies wilt zien.
  • Logs naar een centrale SIEM of log-collector, buiten de storageomgeving. Want logs die op het aangevallen systeem staan, zijn geen logs meer; dat zijn cadeaus voor de aanvaller.
  • Minimaal 90 dagen retentie, liever langer. Sommige aanvallers wachten geduldig.
  • Periodieke review: niet alleen kijken als er al iets misgaat.

Niemand wordt ’s ochtends wakker met zin om door auditlogs te scrollen. Maar op de dag dat het misgaat, is dit het verschil tussen “we weten wat er is gebeurd” en een hoop schouderophalen tegenover de directie.

Mijn baseline-checklist, op één pagina

Als ik bij een nieuwe klant binnenstap, loop ik deze lijst standaard door:

  • Snapshot-policies per workloadtype, meerdere retentielagen
  • SnapLock of immutability op kritieke datasets
  • ARP ingeschakeld op NAS-volumes (en eventueel SAN vanaf ONTAP 9.17.1), met learning mode afgerond op oudere versies of direct actief vanaf 9.16.1
  • Alerts daadwerkelijk gekoppeld aan monitoring of SIEM
  • RBAC met gescheiden rollen, geen gedeelde accounts
  • Multi-Admin Verification voor onomkeerbare acties
  • NVE of NAE voor data at rest, Cluster Peer Encryption voor SnapMirror-verkeer
  • Managementnetwerk gescheiden, toegang via jumphosts
  • Audit logging aan, logs centraal verzameld
  • Test-restores ingepland, minimaal per kwartaal
Dit is de lijst die ik letterlijk op papier meeneem naar een eerste klantgesprek. Tien punten, tien vragen, tien gesprekken. Aan het eind weten we beide waar we staan.
Tien punten die ik bij elke nieuwe klant doorloop. Niets revolutionairs — wel het verschil tussen voorbereid zijn en het hopen.

Niets hiervan is op zichzelf revolutionair. Maar samen vormen ze een baseline waar verrassend veel omgevingen niet aan voldoen. En dat is precies het verschil tussen een vervelend incident en een existentiële crisis.

Wat komt er in de volgende blog?

In de volgende blog duik ik dieper in de detectielaag. Hoe werkt automatische ransomware-detectie nu echt? Wat zie je in de praktijk? En hoe voorkom je dat je team alert-moe wordt na de derde valse melding? Ik laat zien hoe ik ARP in productie tune, en welke signalen je echt serieus moet nemen.

Wil je weten waar je omgeving staat ten opzichte van deze baseline? Een korte design-review geeft je binnen een dagdeel een helder beeld van de gaten. Neem gerust contact op via storelinq.nl.

Dit is deel 3 van de blogserie “Ransomware-bestendige NetApp-omgeving bouwen: mijn standaardontwerp als consultant.” Lees deel 1 en deel 2 terug voor de context.