About Me

I am public blog

Hello word I am Public Blog

Menu
Categories
最新消息

NAS 還在手動拔網路線?Airgap+ 打造自動化離線備份

1 min read

天有不測風雲,人有旦夕手誤。大家都知道,再怎麼安全的 NAS 或雲端空間,還是需要備份,不然如果不小心把某個檔案刪掉了,就只能跟它說掰掰。

怎麼備份?找顆硬碟來拷貝資料就夠了嗎?每次談到備份,就要複習一下 3-2-1-1-0 這個備份策略。3-2-1-1-0 是指:

  • 3:保留至少 3 份 資料副本(原始資料 + 2 份備份)。
  • 2:使用 2 種不同儲存媒介(例如硬碟、NAS、雲端儲存等)存放備份。
  • 1:至少有 1 份備份存放在異地(遠離原始資料的物理位置,例如雲端或另一地點的儲存設備)。
  • 1:保留一份離線備份,使其無法被存取。隔絕勒索軟體。
  • 0:應該有 0 次未驗證的備份(定期檢查備份是否可用)。

其中有個很重要的概念,就是「至少有一份離線備份」。好比我們平常用外接硬碟備份完資料後,會把它拔起來,而不是一直插在電腦上。假若電腦中了毒或被勒索軟體入侵,這顆外接硬碟就會像諾亞方舟的種子庫一樣,隔離於不安全的環境之外。

套用到網路環境的資料備份,「離線」指的不一定是實體接頭的拔除,而是使其成為「沒有網路連線」的狀態,也能達成同樣效果。

原因淺顯易懂,但是手動實作起來確實也夠麻煩。尤其是以上的工作如果要在幾小時內、或是每天都要進行一次,會浪費不少人力及時間成本。

好在 QNAP 已經提供了完善的備份解決方案,只要設定一次,就能定時全自動完成以上工作。大家已經都很熟悉 QNAP 的 Hybrid Backup Sync (HBS 3),它可以一次管理包含本機及眾多雲端服務的同步備份工作,完全能滿足 3-2-1-1-0 的實務需求。

而這次我們要介紹的 Airgap+,則是更為增強了此種作法的安全性。Airgap+ 從字面上來看,就是創造一個「Air gap」,也就是一個網路連線上的「空隙、閘門」。除非必要,不然就讓備份節點斷網,是很直覺有效的防禦概念。

(圖說:Airgap+ 透過 QHora 路由器來斷開非必要的連線,只需要在備份時再將連線接上就好。)

我們用一個較為直覺的例子來解釋這個概念。假設您開了一間會計事務所,事務所當然是對外開放的,每天都會有形形色色的客戶或閒雜人等來洽公。事務所裡,存放著非常多客戶的帳本卷宗,為了安全起見,這些帳本會需要另一個物理實體空間來存放「複本」,所以這間事務所附近還有一間倉庫,與事務所本身隔離開來。

為什麼需要隔離開來?就不必多做解釋了。這就跟出門時會把鑰匙放在不同的地方一樣,一來分散風險,二來也可以避免讓別人猜到,雞蛋本來就不該都放同一個籃子裡。

只是,就算隔離開了,仍然會存在一些實務操作上的風險。比如,事務所裡直接大喇喇的放一個告示牌「我們的倉庫在xx路幾號幾樓」,或是讓可以進出事務所的所有人員也都能進出倉庫等,甚至不設門禁時間,想必這個倉庫的安全性會大打折扣。

聽起來好像很扯對吧?有誰會大喇喇地在公開場域公佈這些敏感資訊?是的,資安意識薄弱的使用者們,比你我認知的還要多。事實上,本來就不是每個人都是網路工程師,都需要知道這些資安防護的技術細節;但是若您有重要的資料要保護,或身任公司的網管相關職位,就不能不清楚:只要有外露的 IP 及埠口,就等於家裡的大門打開沒鎖一樣,很容易讓惡意程式或人士趁虛而入。

Airgap+ 做的事,就是管理不同節點間的門禁及備份、資料搬移或複製任務。在不必要的時間讓連線斷開,事務所的所有人員無法直接來往倉庫,主 NAS 與備份 NAS 無法連線,只有在特定的時間或需求發生時,它們才能互通有無。好比銀行只營業到下午三點半,其它時間自然沒有外人能進入。

如果您有三台以上的 NAS 可以滿足 3+2+1+1+0 的「3」,那麼 Airgap+ 還能實施更高效的「隔離」。試想,如果在事務所跟倉庫中間還存在著一個「收發室」暫存卷宗,事務所的人員只知道收發室在哪,倉庫的位置也只有收發室的人員知悉,等於是隱藏了真正的目的地,多管齊下來保護資料的安全。

套用在 NAS 的備份上。對外的主 NAS 就等於是會計事務所,中繼的橋接用 Bridge NAS 是收發室,備份用的 NAS 才是倉庫。主 NAS 會在限定的時間與橋接 NAS 建立連線,橋接 NAS 再於指定的時間與備份 NAS 同步資料,不存在「三者同時連線」這回事,主 NAS 也不會知道備份 NAS 在哪裡,有效的利用時間區隔及連線管制來建立起「防火空間」,是 Airgap+ 在字面及應用上的精髓所在。

(圖說:當主 NAS 與橋接 NAS 需要同步資料時,建立連線,此時沒備份 NAS 的事)

(圖說:之後再讓橋接 NAS 與備份 NAS 同步資料,此時沒主 NAS 的事了,斷開與主 NAS 的連線。)

要實現 Airgap+ 亦不困難。只要有兩台以上的 QNAP NAS,加上專門用來管控連線的 QHora 路由器即可。一來是 QHora 路由器才可以與 QNAP NAS 無縫整合,直接銜接資安規則,二來也可以避免使用者採用資安係數較低的路由器,肇生其它問題。

行文至此,一定有聰明的讀者想到了:這不就是要實現彈性又安全的冷儲存嗎?其實這只是 QNAP 產品線中實現冷儲存的眾多方法之一。其它技巧及作法,日後再述。

那麼,如果要馬上導入 Airgap+,是否存在什麼難度或門檻呢?首先,公司裡有兩台以上的 NAS 是很稀鬆平常的事,基本上只要是能運行 Hybrid Backup Sync (HBS 3) 的 QNAP NAS,都可以直接相容此機能。真正需要做的,是導入搭載 QuRouter 2.4.2 (或以上版本) 的 QHora 路由器 ,就可馬上實現此框架。

當然了,QHora 路由器不是只為了 Airgap+ 而生,它是功能很完整的企業級路由器,成本甚至比某些旗艦電競路由器還來得實惠。此外 QHora 路由器可以實現更統一、一致性更高的虛擬網路管理,應用十分多元,絕對不只是用來協助備份工作而已。

最後補充一點。「Air gap」在網通的管理上其實並不是什麼新觀念,您手動將路由器斷線、或是把網路線拔掉、甚至是開關 NAS 都能實現 Air gap,但是這麼做不切實際啊!無人值守、遠端控制、排程自動化工作才能夠真正應付 3-2-1-1-0 的需求,也才能真正幫企業節省成本。如果我們連拷貝一個大檔案都會常常不耐煩、嫌等太久,那麼這些事還能倚賴人工嗎?

交給 Airgap+ 吧!

By QNAP marketing team

Leave a comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *