Categories
Katastrofy zdarzają się bez ostrzeżenia, a błędy ludzkie są nieuniknione. Wszyscy wiedzą, że niezależnie od tego, jak bezpieczny jest Serwer NAS lub chmura Pamięć masowa, kopie zapasowe są nadal niezbędne. W przeciwnym razie, jeśli plik zostanie przypadkowo usunięty, nie ma odwrotu. Jest stracony na zawsze.
Jak tworzyć kopie zapasowe? Czy kopiowanie dane na zewnętrzny twardy dysk wystarczy? Za każdym razem, gdy omawiamy kopie zapasowe, warto przypomnieć sobie strategię 3-2-1-1-0. Oto, co oznacza 3-2-1-1-0:
- 3: Zachowaj co najmniej trzy kopie swoich dane (oryginalne dane + dwie kopie zapasowe).
- 2: Użyj dwóch różnych rodzajów nośników Pamięć masowa (np. twarde dyski, Serwer NAS, chmura Pamięć masowa) do tworzenia kopii zapasowych.
- 1: Przechowuj co najmniej jedną kopię zapasową poza siedzibą (w innej lokalizacji fizycznej niż oryginalne dane, np. w chmurze lub na urządzeniach Pamięć masowa w innej lokalizacji).
- 1: Zachowaj jedną kopię zapasową offline i niedostępną, aby chronić przed ransomware.
- 0: Nie powinno być żadnych niezweryfikowanych kopii zapasowych (regularnie testuj i weryfikuj kopie zapasowe, aby upewnić się, że są użyteczne).
Jednym z kluczowych pojęć jest “posiadanie co najmniej jednej kopii zapasowej offline”. To jak tworzenie kopii zapasowej dane na zewnętrznym twardy dysk, a następnie odłączenie go, zamiast pozostawienia podłączonego. Jeśli komputer zostanie zainfekowany wirusem lub ransomware, zewnętrzny twardy dysk będzie odizolowany od niebezpiecznego środowiska, podobnie jak bank nasion na Arce Noego.
W kontekście tworzenia kopii zapasowej dane w środowisku sieciowym, “offline” niekoniecznie oznacza fizyczne odłączenie kabla; może również oznaczać umieszczenie kopii zapasowej w stanie “braku połączenia z siecią”, co osiąga ten sam efekt.
Powód jest prosty i łatwy do zrozumienia, ale ręczne wdrożenie tego może być dość uciążliwe. Zwłaszcza jeśli powyższe zadania muszą zostać wykonane w ciągu kilku godzin lub codziennie, pochłonie to znaczną ilość siły roboczej i czasu.
Na szczęście QNAP oferuje kompleksowe rozwiązanie do tworzenia kopii zapasowych, które wymaga jedynie jednorazowej konfiguracji, aby zautomatyzować wszystkie powyższe zadania w regularnym harmonogramie. Wielu użytkowników już zna aplikację Hybrid Backup Sync (HBS 3) firmy QNAP, która może zarządzać zadaniami synchronizacji i tworzenia kopii zapasowych w lokalnych Pamięć masowa oraz w wielu usługach chmurowych jednocześnie, w pełni spełniając praktyczne wymagania strategii 3-2-1-1-0.
Airgap+, rozwiązanie, które właśnie wprowadzamy, dodatkowo zwiększa Zabezpieczenia tego podejścia. Jak sama nazwa wskazuje, Airgap+ odnosi się do tworzenia „air gap”, czyli celowego „oddzielenia lub bariery” w połączeniu sieciowym. O ile nie jest to absolutnie konieczne, węzły kopii zapasowych powinny być utrzymywane w trybie offline. Jest to intuicyjna i skuteczna strategia obronna.
(Podpis: Airgap+ odłącza niepotrzebne połączenia sieciowe za pomocą QHora Router, a ponownie je łączy tylko podczas tworzenia kopii zapasowych.)
Użyjmy bardziej intuicyjnego przykładu, aby wyjaśnić tę koncepcję. Wyobraź sobie, że prowadzisz firmę księgową. Oczywiście firma jest otwarta dla klientów, a każdego dnia różni klienci lub odwiedzający przychodzą na konsultacje. Wewnątrz firmy znajduje się wiele dokumentów i zapisów księgowych klientów. Ze względów Zabezpieczenia „kopie” tych dokumentów i zapisów muszą być przechowywane w oddzielnej fizycznej lokalizacji. Dlatego w pobliżu firmy znajduje się magazyn, fizycznie odizolowany od firmy.
Dlaczego izolacja jest konieczna? Nie wymaga to większych wyjaśnień. To tak, jakbyśmy nie zostawiali wszystkich kluczy w jednym miejscu, wychodząc z domu. Po pierwsze, zmniejsza to ryzyko; po drugie, zapobiega innym odgadnięciu ich lokalizacji. Jak mówi przysłowie, nie wkładaj wszystkich jajek do jednego koszyka.
Jednak nawet przy fizycznym oddzieleniu nadal istnieją praktyczne ryzyka operacyjne. Na przykład, wyobraź sobie, że firma miałaby oczywisty znak z napisem: “Nasz magazyn znajduje się na ulicy XX, piętro X,” lub gdyby wszyscy pracownicy mający dostęp do firmy mogli również swobodnie wchodzić do magazynu, nawet bez ograniczonych godzin dostępu. W takim przypadku Zabezpieczenia magazynu byłoby znacząco zagrożone.
Brzmi absurdalnie, prawda? Kto otwarcie publikowałby wrażliwe informacje w przestrzeni publicznej? Cóż, jest więcej użytkowników o słabej świadomości w zakresie cyberbezpieczeństwa, niż mogłoby się wydawać. Prawda jest taka, że nie każdy jest inżynierem sieciowym i nie powinno się od nich oczekiwać zrozumienia wszystkich technicznych szczegółów cyberbezpieczeństwa. Jednak jeśli jesteś odpowiedzialny za ochronę ważnych dane lub pełnisz rolę administratora sieci w firmie, musisz jasno rozumieć, że tak długo, jak istnieją odsłonięte adresy IP i porty, jest to jak pozostawienie otwartych i niezabezpieczonych drzwi wejściowych do domu, co ułatwia malware lub złośliwym aktorom włamanie się.
Airgap+ zarządza kontrolą dostępu między różnymi węzłami, a także obsługuje zadania związane z tworzeniem kopii zapasowych, transferem dane lub replikacją. Poprzez odłączenie sieci w okresach nieistotnych zapewnia, że personel w firmie nie może bezpośrednio uzyskać dostępu do magazynu, a główne Serwer NAS i zapasowe Serwer NAS nie mogą być połączone. Mogą się one łączyć i komunikować tylko w wyznaczonych godzinach lub w przypadku konkretnej potrzeby. To podobne do tego, jak bank zamyka się o 15:30. Naturalnie, poza godzinami pracy, żadni obcy nie mają wstępu.
Jeśli masz trzy lub więcej urządzeń Serwer NAS, aby spełnić wymaganie „3” w strategii 3-2-1-1-0, Airgap+ może skuteczniej wdrożyć „izolację”. Wyobraź sobie dodanie „pokoju pocztowego” między firmą a magazynem do tymczasowego przechowywania dokumentów. Pracownicy firmy znają jedynie lokalizację pokoju pocztowego, podczas gdy tylko personel pokoju pocztowego zna dokładne położenie magazynu. To skutecznie ukrywa prawdziwą lokalizację magazynu i wprowadza wiele warstw ochrony w celu zabezpieczenia dane.
W przypadku zastosowania do kopii zapasowych Serwer NAS, główny Serwer NAS wystawiony na zewnątrz jest jak firma księgowa, Bridge Serwer NAS działa jak pokój pocztowy, a zapasowy Serwer NAS to magazyn. Główny Serwer NAS łączy się z Bridge Serwer NAS tylko w zaplanowanych momentach, a Bridge Serwer NAS synchronizuje się z zapasowym Serwer NAS w wyznaczonych godzinach. Nie ma sytuacji, w której „wszystkie trzy urządzenia są połączone jednocześnie”, a główny Serwer NAS nie zna lokalizacji zapasowego Serwer NAS. Efektywne wykorzystanie separacji czasowej i kontroli połączeń do stworzenia „przestrzeni zaporowej” jest istotą Airgap+, zarówno w sensie dosłownym, jak i praktycznym.
(Podpis: Gdy główny Serwer NAS musi zsynchronizować dane z Bridge Serwer NAS, nawiązywane jest połączenie, a zapasowy Serwer NAS nie bierze udziału na tym etapie.)
(Podpis: Następnie Bridge Serwer NAS synchronizuje dane z zapasowym Serwer NAS, podczas gdy główny Serwer NAS nie bierze już udziału. Połączenie z głównym Serwer NAS zostało przerwane.)
Wdrożenie Airgap+ nie jest trudne. Wszystko, czego potrzebujesz, to dwa lub więcej urządzeń QNAP Serwer NAS oraz QHora Router specjalnie zaprojektowany do zarządzania połączeniami. Po pierwsze, QHora Router może bezproblemowo integrować się z QNAP Serwer NAS, aby bezpośrednio dostosować się do polityk Zabezpieczenia; po drugie, Pomoc zapobiega użytkownikom korzystania z Router o niższym poziomie Zabezpieczenia, co mogłoby prowadzić do innych problemów.
W tym momencie niektórzy bystrzy czytelnicy mogli już zauważyć: czy to nie jest w istocie elastyczna i bezpieczna forma zimnego Pamięć masowa? Rzeczywiście, jest to tylko jeden z wielu sposobów, w jaki linia produktów QNAP może Pomoc wdrożyć zimny Pamięć masowa. Inne techniki i podejścia zostaną omówione w przyszłych dyskusjach.
Czy istnieją jakiekolwiek trudności lub przeszkody w natychmiastowym wdrożeniu Airgap+? Na początek, dość powszechne jest, że firma posiada dwa lub więcej urządzeń Serwer NAS. W rzeczywistości każde urządzenie QNAP Serwer NAS, które obsługuje Hybrid Backup Sync (HBS 3), jest już kompatybilne z tą funkcją. To, co naprawdę trzeba zrobić, to wdrożenie Router QHora wyposażonego w QuRouter 2.4.2 lub nowszy. Gdy to zostanie zrealizowane, ramy mogą zostać wdrożone od razu.
Oczywiście, QHora Router nie został stworzony wyłącznie dla Airgap+. Jest to w pełni funkcjonalny, klasy korporacyjnej Router, a przy tym jest nawet bardziej przystępny cenowo niż niektóre flagowe gamingowe Router. Dodatkowo, QHora Router umożliwia bardziej zintegrowane i spójne zarządzanie wirtualną siecią. Jego zastosowania są bardzo różnorodne i zdecydowanie nie ograniczają się tylko do wspomagania tworzenia kopii zapasowych.
Ostatnia uwaga. Koncepcja „air gap” w zarządzaniu siecią nie jest nowa. Można ją osiągnąć, ręcznie odłączając Router, odłączając kabel sieciowy lub nawet wyłączając Serwer NAS. Ale bądźmy szczerzy, to po prostu niepraktyczne. Automatyzacja, w tym operacje bez nadzoru, zdalne sterowanie i zaplanowane zadania, jest niezbędna, aby naprawdę sprostać wymaganiom strategii tworzenia kopii zapasowych 3-2-1-1-0. Tylko wtedy firmy mogą obniżyć koszty. W końcu, jeśli często niecierpliwimy się, czekając na skopiowanie dużego pliku, jak realistyczne jest poleganie na operacjach manualnych?
Zostaw to Airgap+!
