使用 SnapLock 和 Amazon FSx for NetApp ONTAP 满足合规要求

关键要点

如需使用 SnapLock 来满足美国证券交易委员会SEC的合规要求，金融服务行业的客户必须在某些保护措施下存储其电子书和记录。这些法规如 17 CFR 24017a4 和 17 CFR 24018a6重点在于能够检索原始的、未修改的记录版本。

SnapLock 如何帮助满足合规义务

为了满足合规要求，SnapLock 提供了一系列技术配置和部署选项，助力企业遵循 SEC 的要求。主要涵盖以下技术要求：1 记录的不可变存储2 自动验证记录的完整性和准确性3 对所有管理员对记录进行的操作进行审计日志记录4 以相同保护措施存储的冗余记录系统5 能在监管机构要求时立即访问记录

SnapLock 如何保护文件

从应用程序或最终用户的视角来看，SnapLock 卷看起来与使用网络文件系统NFS或服务器消息块SMB的其他共享存储无异。将文件放置在 SnapLock 卷的 WORM 保护下，可以由用户或应用程序显式执行，也可以由 SnapLock 卷本身自动完成通过自动提交功能。

SnapLock 卷可以部署在两种模式下：合规模式和企业模式。合规模式不允许在保留期未满时删除文件，而企业模式则允许提早删除文件，因此建议仅在测试目的或满足其他组织保留要求时使用企业模式。

SnapLock Compliance 卷的基本配置

假设您已经创建了一个包含 SnapLock Compliance 卷的 Amazon FSx for NetApp ONTAP 文件系统，并在 Amazon 虚拟私有云VPC 中运行。请确保为您的 SnapLock Compliance 卷设置适当的最大保留期。

使用 EC2 实例的终端挂载卷并进行设置。

bash sudo mkdir /snaplockvolume sudo mount t nfs svmnfsdnsname/snaplockvolumename /snaplockvolume

然后设置文件的保留期为五分钟，并提交文件到 WORM。

bash echo Hello world! gt /snaplockvolume/testtxt touch a t date d5 minutes YmdHM /snaplockvolume/testtxt chmod w /snaplockvolume/testtxt

在五分钟内尝试删除文件，将收到权限拒绝的错误。

金融服务记录存储系统的架构选项

本文提出了两种配置架构，可以使用 SnapLock 策略帮助实现合规存储： 独立架构：不需要文档管理应用，适于直接使用 SnapLock。 后端存储架构：为文档管理应用提供支持，可以用作归档。

这两种架构都需要高可用性和耐用性，建议实现多可用区AZ部署，以确保在不可用情况下仍能访问记录。独立架构更加易于部署和维护，而后端存储架构则可以支撑更多高级管理功能。

选择哪种架构？

选择架构时，应根据组织需求权衡复杂性与功能性的差异。若您不依赖文档管理应用且希望以较简单的方式存储记录，则可以选择独立架构；若需高级文档管理功能如版本控制和细粒度访问控制，则可选择后端存储架构。

其他因素

虽然本文已经介绍使用 SnapLock 的合规存储系统的基本组成部分，但未来系列文章中将涉及更多领域，例如： 法律保留：相关于法律行动的单独保留保护。 事件驱动的保留：在写入文件时无法预知保留长度的策略。 迁移与混合架构：在现有 SnapLock 卷与 AWS 间迁移和同步数据。

清理

如果您希望删除本示例中的资源，待保留期结束后，请在 FSx for ONTAP 用户指南中查阅 “清理资源” 部分。

结论

SnapLock 和 FSx for ONTAP 为受监管的金融服务客户和其他受监管行业的客户提供了合规的存储解决方案。SnapLock 的 WORM 功能确保了敏感数据的安全性和访问能力，支持高度合规的记录存储架构。