Categories
Katastrophen treten ohne Vorwarnung auf, und menschliche Fehler passieren. Jeder weiß, dass Backups unerlässlich sind, egal wie sicher NAS oder Cloud-Speicher sind. Andernfalls, wenn eine Datei versehentlich gelöscht wird, gibt es kein Zurück mehr. Sie ist endgültig verloren.
Wie sichert man Daten? Reicht es aus, Daten auf ein externes Festplattenlaufwerk zu kopieren? Jedes Mal, wenn wir über Backups sprechen, lohnt es sich, die 3-2-1-1-0 Backup-Strategie zu überdenken. Hier ist, was 3-2-1-1-0 bedeutet:
- 3: Bewahren Sie mindestens drei Kopien Ihrer Daten auf (das Original Daten + zwei Backups).
- 2: Verwenden Sie zwei verschiedene Arten von Speicher Medien (z. B. Festplattenlaufwerke, NAS, Cloud-Speicher) für Backups.
- 1: Speichern Sie mindestens ein Backup außerhalb des Standorts (an einem anderen physischen Standort als das Original Daten, z. B. in der Cloud oder auf Speicher Geräten an einem anderen Standort).
- 1: Bewahren Sie ein Offline- und unzugängliches Backup auf, um sich vor Ransomware zu schützen.
- 0: Es sollten keine unverifizierten Backups vorhanden sein (testen und verifizieren Sie Backups regelmäßig, um sicherzustellen, dass sie verwendbar sind).
Ein Schlüsselkonzept ist “mindestens ein Offline-Backup zu haben”. Es ist, als würde man Daten auf ein externes Festplattenlaufwerk sichern und es dann abstecken, anstatt es verbunden zu lassen. Wenn der Computer mit einem Virus oder Ransomware infiziert wird, ist das externe Festplattenlaufwerk von der unsicheren Umgebung isoliert, ähnlich wie die Saatgutbank auf der Arche Noah.
Im Kontext von Daten-Backups in einer vernetzten Umgebung bedeutet “offline” nicht unbedingt, ein Kabel physisch abzustecken; es kann auch bedeuten, das Backup in einen Zustand “ohne Netzwerkverbindung” zu versetzen, was denselben Effekt erzielt.
Der Grund ist einfach und leicht zu verstehen, aber die manuelle Umsetzung kann ziemlich mühsam sein. Besonders wenn die oben genannten Aufgaben innerhalb weniger Stunden abgeschlossen oder täglich durchgeführt werden müssen, würde dies einen erheblichen Aufwand an Arbeitskraft und Zeit erfordern.
Glücklicherweise bietet QNAP eine umfassende Backup-Lösung, die nur eine einmalige Einrichtung erfordert, um alle oben genannten Aufgaben regelmäßig zu automatisieren. Viele Benutzer sind bereits mit QNAP’s Hybrid Backup Sync (HBS 3) vertraut, das Synchronisations- und Backup-Aufgaben über lokale Speicher und mehrere Cloud-Dienste gleichzeitig verwalten kann und die praktischen Anforderungen der 3-2-1-1-0-Strategie vollständig erfüllt.
Airgap+, die Lösung, die wir jetzt einführen, verbessert die Sicherheit dieses Ansatzes weiter. Wie der Name schon sagt, bezieht sich Airgap+ auf die Schaffung einer “Luftlücke”, also einer bewussten “Trennung oder Barriere” in der Netzwerkverbindung. Sofern nicht unbedingt erforderlich, sollten Backup-Knoten offline gehalten werden. Dies ist eine intuitive und effektive Verteidigungsstrategie.
(Bildunterschrift: Airgap+ trennt unnötige Netzwerkverbindungen über die QHora Router und stellt sie nur während der Backups wieder her.)
Lassen Sie uns ein intuitiveres Beispiel verwenden, um dieses Konzept zu erklären. Stellen Sie sich vor, Sie führen ein Buchhaltungsbüro. Natürlich ist das Büro für die Öffentlichkeit zugänglich, und jeden Tag kommen alle möglichen Kunden oder verschiedene Besucher zu Beratungen. Im Büro gibt es zahlreiche Kundenbuchhaltungsunterlagen und -dateien. Aus Gründen der Sicherheit müssen “Kopien” dieser Unterlagen und Dateien an einem separaten physischen Ort aufbewahrt werden. Deshalb gibt es auch ein Lagerhaus in der Nähe des Büros, das physisch vom Büro isoliert ist.
Warum ist Isolation notwendig? Das bedarf kaum einer Erklärung. Es ist wie wenn wir nicht alle unsere Schlüssel an einem Ort lassen, wenn wir ausgehen. Erstens verteilt es das Risiko; zweitens verhindert es, dass andere ihre Standorte erraten. Wie das Sprichwort sagt: Legen Sie nicht alle Eier in einen Korb.
Selbst bei physischer Trennung gibt es immer noch praktische betriebliche Risiken. Stellen Sie sich zum Beispiel vor, das Unternehmen hätte ein offensichtliches Schild mit der Aufschrift: “Unser Lager befindet sich in der XX-Straße, Etage X,” oder wenn alle Personen, die Zugang zum Unternehmen haben, auch freien Zugang zum Lager hätten, sogar ohne eingeschränkte Zugangszeiten. In diesem Fall wäre die Sicherheit des Lagers erheblich gefährdet.
Klingt absurd, oder? Wer würde sensible Informationen offen in einem öffentlichen Raum veröffentlichen? Nun, es gibt mehr Nutzer mit schwachem Bewusstsein für Cybersicherheit, als Sie vielleicht denken. Die Wahrheit ist, nicht jeder ist ein Netzwerkingenieur, noch sollte von ihnen erwartet werden, alle technischen Details der Cybersicherheit zu verstehen. Wenn Sie jedoch dafür verantwortlich sind, wichtige Daten zu schützen oder eine Rolle als Netzwerkadministrator in einem Unternehmen innehaben, müssen Sie klar verstehen, dass, solange es exponierte IPs und Ports gibt, es so ist, als würde man die Haustür offen und unverschlossen lassen, was es malware oder böswilligen Akteuren leicht macht, einzubrechen.
Was Airgap+ tut, ist die Verwaltung der Zugriffskontrolle zwischen verschiedenen Knoten sowie die Durchführung von Backup-, Daten-Übertragungs- oder Replikationsaufgaben. Durch die Trennung des Netzwerks während nicht wesentlicher Zeiten wird sichergestellt, dass das Personal im Unternehmen keinen direkten Zugang zum Lager hat und die primäre NAS und die Backup-NAS nicht verbunden werden können. Sie können nur zu festgelegten Zeiten oder bei einem spezifischen Bedarf verbunden und kommuniziert werden. Es ist ähnlich wie bei einer Bank, die um 15:30 Uhr schließt. Natürlich sind außerhalb der Geschäftszeiten keine Außenstehenden erlaubt.
Wenn Sie drei oder mehr NAS-Geräte haben, um die Anforderung „3“ in der 3-2-1-1-0-Strategie zu erfüllen, kann Airgap+ die „Isolation“ effektiver umsetzen. Stellen Sie sich vor, Sie fügen ein „Postzimmer“ zwischen der Firma und dem Lager hinzu, um Aufzeichnungen vorübergehend zu speichern. Das Personal in der Firma kennt nur den Standort des Postzimmers, während nur das Personal des Postzimmers den genauen Standort des Lagers kennt. Dies verbirgt effektiv den tatsächlichen Standort des Lagers und implementiert mehrere Schutzebenen, um die Daten zu sichern.
Bei der Anwendung auf NAS-Backups ist das primäre NAS, das nach außen exponiert ist, wie die Buchhaltungsfirma, das Bridge-NAS fungiert als Postzimmer, und das Backup-NAS ist das Lager. Das primäre NAS verbindet sich nur zu geplanten Zeiten mit dem Bridge-NAS, und das Bridge-NAS synchronisiert sich zu festgelegten Zeiten mit dem Backup-NAS. Es gibt keine Situation, in der „alle drei Geräte gleichzeitig verbunden sind“, und das primäre NAS weiß nicht, wo sich das Backup-NAS befindet. Die effektive Nutzung von Zeittrennung und Verbindungskontrolle zur Schaffung eines „Firewall-Raums“ ist das Wesen von Airgap+, sowohl wörtlich als auch in der praktischen Anwendung.
(Bildunterschrift: Wenn das primäre NAS die Daten mit dem Bridge-NAS synchronisieren muss, wird eine Verbindung hergestellt, und das Backup-NAS ist in dieser Phase nicht beteiligt.)
(Bildunterschrift: Das Bridge-NAS synchronisiert dann die Daten mit dem Backup-NAS, während das primäre NAS nicht mehr beteiligt ist. Die Verbindung zum primären NAS wurde getrennt.)
Die Implementierung von Airgap+ ist nicht schwierig. Alles, was Sie benötigen, sind zwei oder mehr QNAP-NAS-Geräte und ein QHora-Router, das speziell für die Verwaltung von Verbindungen entwickelt wurde. Erstens kann das QHora-Router nahtlos mit QNAP-NAS integriert werden, um direkt mit Sicherheit-Richtlinien übereinzustimmen; zweitens kann es Hilfe verhindern, dass Benutzer Router mit niedrigeren Sicherheit verwenden, was zu anderen Problemen führen könnte.
An dieser Stelle haben einige aufmerksame Leser vielleicht schon erkannt: Ist dies nicht im Wesentlichen eine flexible und sichere Form von kaltem Speicher? Tatsächlich ist dies nur eine von vielen Möglichkeiten, wie QNAP’s Produktpalette kaltes Speicher implementieren kann. Andere Techniken und Ansätze werden in zukünftigen Diskussionen behandelt.
Gibt es also irgendwelche Schwierigkeiten oder Hürden bei der sofortigen Einführung von Airgap+? Zunächst einmal ist es ziemlich üblich, dass ein Unternehmen zwei oder mehr NAS Geräte besitzt. Tatsächlich ist jedes QNAP NAS, das Hybrid Backup Sync (HBS 3) unterstützt, bereits mit dieser Funktion kompatibel. Was wirklich getan werden muss, ist die Bereitstellung eines QHora Router mit QuRouter 2.4.2 oder höher. Sobald dies eingerichtet ist, kann das Framework sofort implementiert werden.
Natürlich wurde das QHora Router nicht ausschließlich für Airgap+ entwickelt. Es ist ein voll ausgestattetes, unternehmensgerechtes Router und sogar erschwinglicher als einige Flaggschiff-Gaming-Router. Darüber hinaus ermöglicht das QHora Router auch eine einheitlichere und konsistentere Verwaltung virtueller Netzwerke. Seine Anwendungen sind sehr vielfältig und definitiv nicht nur zur Unterstützung von Backups gedacht.
Ein letzter Hinweis. Das Konzept einer “Air Gap” im Netzwerkmanagement ist nicht neu. Sie könnten dies erreichen, indem Sie ein Router manuell trennen, ein Netzwerkkabel ausstecken oder sogar ein NAS ausschalten. Aber seien wir ehrlich, das ist einfach nicht praktikabel. Automatisierung, einschließlich unbeaufsichtigtem Betrieb, Fernsteuerung und geplanten Aufgaben, ist entscheidend, um die Anforderungen der 3-2-1-1-0-Sicherungsstrategie wirklich zu erfüllen. Nur so können Unternehmen Kosten senken. Schließlich, wenn wir oft ungeduldig darauf warten, dass eine große Datei kopiert wird, wie realistisch ist es, sich auf manuelle Vorgänge zu verlassen?
Überlassen Sie es einfach Airgap+!
