Co to jest SnapLock?

SnapLock to funkcja systemu ONTAP, która pozwala zapisywać dane w trybie WORM – czyli Write Once, Read Many. W praktyce oznacza to, że po zapisaniu i objęciu danych retencją nie można ich zmienić ani usunąć przed upływem określonego czasu.

Najprościej mówiąc: SnapLock tworzy warstwę ochrony dla danych, które muszą pozostać niezmienne. To może dotyczyć dokumentów regulacyjnych, archiwów, logów, kopii bezpieczeństwa albo danych, które mają być zabezpieczone przed przypadkowym lub celowym usunięciem.

Po co stosuje się SnapLock?

Nie wszystkie dane w firmie są takie same. Część można normalnie edytować, przenosić i usuwać. Ale są też zbiory, które przez określony czas muszą pozostać dokładnie w takiej formie, w jakiej zostały zapisane.

SnapLock jest używany wszędzie tam, gdzie ważna jest niezmienność danych. Najczęściej chodzi o:

  • zgodność z regulacjami i politykami retencji,
  • ochronę przed celowym usunięciem danych,
  • zabezpieczenie przed skutkami błędu administratora,
  • budowę bardziej odpornego środowiska backupowego,
  • ochronę danych przed ransomware.

Jak działa SnapLock?

SnapLock działa na poziomie systemu ONTAP. Administrator tworzy odpowiedni wolumen SnapLock i określa zasady retencji. Gdy plik lub snapshot zostanie objęty ochroną WORM, nie można go zmodyfikować ani usunąć przed końcem tego okresu.

To bardzo ważne: SnapLock nie polega tylko na ograniczeniu uprawnień użytkownika. To nie jest zwykła blokada „na poziomie aplikacji”. Ochrona jest realizowana przez sam system storage, dzięki czemu dane są zabezpieczone znacznie mocniej niż przy zwykłym katalogu tylko do odczytu.

Co oznacza WORM?

WORM oznacza Write Once, Read Many, czyli „zapisz raz, odczytuj wiele razy”. Taki model jest przydatny tam, gdzie dane po zapisaniu mają zostać zachowane w niezmienionej postaci.

W praktyce oznacza to, że:

  • dane można zapisać,
  • można je później odczytywać,
  • ale nie można ich swobodnie nadpisać ani usunąć przed końcem retencji.

Dzięki temu SnapLock nadaje się nie tylko do zgodności formalnej, ale też do ochrony danych, które mają być odporne na manipulację.

Rodzaje SnapLock

SnapLock występuje w dwóch głównych wariantach:

  • SnapLock Compliance,
  • SnapLock Enterprise.

SnapLock Compliance jest przeznaczony do najbardziej rygorystycznych scenariuszy, w których dane mają być przechowywane w sposób szczególnie restrykcyjny i formalny.

SnapLock Enterprise daje większą elastyczność administracyjną, ale nadal zapewnia niezmienność danych w okresie retencji.

Najprościej można to ująć tak: Compliance jest bardziej „regulacyjny”, a Enterprise bardziej „operacyjny”, choć oba tryby opierają się na tej samej idei WORM.

SnapLock a ransomware

SnapLock jest dziś ważny nie tylko w kontekście zgodności, ale również cyberbezpieczeństwa. Jeżeli dane albo ich kopie są objęte ochroną WORM, atakujący nie może ich po prostu nadpisać, zaszyfrować lub skasować w standardowy sposób.

To dlatego SnapLock coraz częściej pojawia się w architekturach ochrony backupu i cyber vault. W praktyce dobrze uzupełnia funkcje takie jak Snapshot, SnapRestore oraz SnapMirror.

W takim modelu snapshot może służyć do szybkiego odzyskania danych, a SnapLock dba o to, żeby wybranych kopii nie dało się usunąć ani zmienić przed czasem.

SnapLock a snapshoty

SnapLock można łączyć ze snapshotami, co ma bardzo duże znaczenie praktyczne. Snapshot sam w sobie jest bardzo szybkim sposobem wykonania kopii punktu w czasie, ale w niektórych scenariuszach potrzebna jest dodatkowa ochrona przed jego usunięciem.

Dlatego warto patrzeć na te technologie razem:

  • Snapshot pozwala szybko uchwycić stan danych,
  • SnapRestore pozwala szybko je odtworzyć,
  • SnapLock może zadbać o niezmienność wybranych danych lub kopii przez określony czas.

To połączenie jest szczególnie wartościowe wtedy, gdy potrzebujemy zarówno szybkiego odzyskiwania, jak i silnej ochrony przed manipulacją.

SnapLock a replikacja

SnapLock dobrze współpracuje z mechanizmami replikacji. W środowisku ONTAP naturalnym uzupełnieniem jest SnapMirror, który pozwala przenosić dane lub kopie na drugi system.

Dzięki temu można budować architekturę, w której dane są nie tylko niezmienne lokalnie, ale również replikowane do innej lokalizacji. W bardziej zaawansowanych scenariuszach można łączyć ochronę retencyjną z rozwiązaniami wysokiej dostępności lub odrębnej lokalizacji, takimi jak MetroCluster albo – w zależności od potrzeb – innymi mechanizmami ochrony danych w portfolio NetApp.

To ważne rozróżnienie: SnapLock odpowiada za niezmienność, a replikacja odpowiada za dostępność kopii w innym miejscu. Razem dają znacznie mocniejszy efekt niż osobno.

SnapLock a zgodność regulacyjna

SnapLock jest często wykorzystywany w środowiskach, gdzie firma musi udowodnić, że określone dane były przechowywane w formie niezmienialnej przez wymagany czas. Dotyczy to na przykład dokumentacji finansowej, logów systemowych, dokumentów formalnych czy danych objętych polityką retencji.

W takich zastosowaniach kluczowe jest to, że retencja nie opiera się tylko na dobrej woli administratora albo polityce w aplikacji. Ograniczenie jest egzekwowane przez platformę storage.

Retencja w SnapLock

Jednym z najważniejszych pojęć w SnapLock jest retencja, czyli czas, przez jaki dane mają pozostać niezmienne. Można definiować okresy domyślne i konkretne zasady dla danych objętych ochroną.

W praktyce oznacza to, że po objęciu pliku ochroną WORM można przedłużyć jego czas retencji, ale nie można go dowolnie skrócić tylko dlatego, że ktoś zmienił zdanie.

To właśnie retencja odróżnia zwykłą ochronę logiczną od prawdziwego modelu WORM.

Legal Hold i dodatkowe scenariusze ochrony

SnapLock obsługuje również scenariusze typu Legal Hold, czyli zatrzymanie danych na potrzeby postępowania, audytu albo dochodzenia. W takim przypadku dane mogą być przechowywane w trybie niezmiennym przez czas wynikający z wymagań formalnych, a nie tylko ze zwykłej polityki retencji.

To sprawia, że SnapLock jest użyteczny nie tylko dla działu IT, ale także dla obszarów compliance, bezpieczeństwa i zarządzania ryzykiem.

Na jakich macierzach działa SnapLock?

SnapLock jest funkcją systemu ONTAP, więc dotyczy macierzy działających na tej platformie. Oznacza to, że SnapLock występuje w rodzinach takich jak:

  • FAS,
  • AFF,
  • ASA.

Nie jest to funkcja macierzy E-Series działających pod kontrolą innej architektury ochrony danych i systemu SANtricity OS. SnapLock należy do świata ONTAP.

SnapLock a ONTAP One

SnapLock warto łączyć także z opisem ONTAP One, ponieważ jest jedną z istotnych funkcji pokazujących, że ONTAP to nie tylko system udostępniania danych, ale też platforma ich ochrony, zgodności i cyberodporności.

Z punktu widzenia klienta biznesowego SnapLock pokazuje bardzo praktyczną korzyść: nie chodzi tylko o przechowywanie danych, ale o możliwość wykazania, że przez wymagany czas nikt ich nie zmienił i nie usunął.

SnapLock a inne technologie ONTAP

SnapLock ma największy sens wtedy, gdy patrzy się na niego jako element większej układanki. Dobrze uzupełnia technologie takie jak:

Dzięki temu można budować środowisko, które jednocześnie zapewnia wydajność, szybkie odtwarzanie, replikację, kontrolę administracyjną i niezmienność danych.

Kiedy warto wybrać SnapLock?

SnapLock ma sens szczególnie wtedy, gdy:

  • część danych musi być przechowywana w formie niezmiennej,
  • firma ma wymagania audytowe, regulacyjne lub formalne,
  • ważna jest ochrona kopii przed ransomware,
  • potrzebne jest połączenie retencji z replikacją i szybkim odtwarzaniem,
  • organizacja chce ograniczyć ryzyko usunięcia danych przez administratora lub atakującego.

Podsumowanie

SnapLock to funkcja ONTAP służąca do przechowywania danych w trybie WORM, czyli w formie niezmienialnej przez określony czas. Pozwala chronić pliki i snapshoty przed zmianą lub usunięciem, wspiera zgodność regulacyjną i zwiększa odporność środowiska na ransomware.

Najprościej można to podsumować tak: Snapshot pomaga szybko uchwycić stan danych, SnapRestore pomaga go szybko odtworzyć, SnapMirror pomaga przenieść kopię do innej lokalizacji, a SnapLock dba o to, żeby wybranych danych lub kopii nie dało się naruszyć przed końcem wymaganej retencji.

Zobacz również