Categories
Les catastrophes surviennent sans prévenir, et les erreurs humaines arrivent. Tout le monde sait que, peu importe la sécurité du NAS ou du cloud Stockage, les sauvegardes restent essentielles. Sinon, si un fichier est supprimé accidentellement, il n’y a pas de retour en arrière. Il est perdu pour toujours.
Comment sauvegarder ? Copier données sur un disque dur externe est-il suffisant ? Chaque fois que nous discutons des sauvegardes, il est utile de revoir la stratégie de sauvegarde 3-2-1-1-0. Voici ce que signifie 3-2-1-1-0 :
- 3 : Conservez au moins trois copies de votre données (l’original données + deux sauvegardes).
- 2 : Utilisez deux types différents de supports Stockage (par exemple, disques durs, NAS, cloud Stockage) pour les sauvegardes.
- 1 : Stockez au moins une sauvegarde hors site (dans un emplacement physique différent de l’original données, par exemple dans le cloud ou sur des appareils Stockage à un autre endroit).
- 1 : Conservez une sauvegarde hors ligne et inaccessible pour vous protéger contre les ransomwares.
- 0: Il ne devrait y avoir aucune sauvegarde non vérifiée (testez et vérifiez régulièrement les sauvegardes pour vous assurer qu’elles sont utilisables).
Un concept clé est « avoir au moins une sauvegarde hors ligne ». C’est comme sauvegarder données sur un disque dur externe et ensuite le débrancher, plutôt que de le laisser connecté. Si l’ordinateur est infecté par un virus ou un ransomware, le disque dur externe sera isolé de l’environnement non sécurisé, tout comme la banque de semences sur l’Arche de Noé.
Dans le contexte de la sauvegarde de données dans un environnement en réseau, « hors ligne » ne signifie pas nécessairement débrancher physiquement un câble ; cela peut également signifier placer la sauvegarde dans un état de « pas de connexion réseau », ce qui atteint le même effet.
La raison est simple et facile à comprendre, mais la mise en œuvre manuelle peut être assez fastidieuse. Surtout si les tâches ci-dessus doivent être réalisées en quelques heures ou effectuées une fois par jour, cela consommerait une quantité importante de main-d’œuvre et de temps.
Heureusement, QNAP propose une solution de sauvegarde complète qui ne nécessite qu’une configuration unique pour automatiser toutes les tâches ci-dessus selon un calendrier régulier. De nombreux utilisateurs connaissent déjà le Hybrid Backup Sync (HBS 3) de QNAP, qui peut gérer les tâches de synchronisation et de sauvegarde à la fois sur les Stockage locaux et sur plusieurs services cloud, répondant pleinement aux exigences pratiques de la stratégie 3-2-1-1-0.
Airgap+, la solution que nous introduisons maintenant, améliore davantage le Sécurité de cette approche. Comme son nom l’indique, Airgap+ fait référence à la création d’un “air gap”, qui est une “séparation ou barrière” délibérée dans la connexion réseau. Sauf nécessité absolue, les nœuds de sauvegarde doivent être maintenus hors ligne. Il s’agit d’une stratégie de défense intuitive et efficace.
(Légende : Airgap+ déconnecte les connexions réseau inutiles via le QHora Routeur, et ne les reconnecte que pendant les sauvegardes.)
Utilisons un exemple plus intuitif pour expliquer ce concept. Imaginez que vous dirigez un cabinet comptable. Naturellement, le cabinet est ouvert au public, et chaque jour, toutes sortes de clients ou divers visiteurs viennent pour des consultations. À l’intérieur du cabinet, il y a de nombreux dossiers et fichiers comptables des clients. Pour des raisons de Sécurité, des “copies” de ces dossiers et fichiers doivent être stockées dans un emplacement physique séparé. C’est pourquoi il y a également un entrepôt situé près du cabinet, physiquement isolé de celui-ci.
Pourquoi l’isolation est-elle nécessaire ? Cela n’a guère besoin d’explication. C’est comme lorsque nous ne laissons pas toutes nos clés au même endroit lorsque nous sortons. Premièrement, cela répartit le risque ; deuxièmement, cela empêche les autres de deviner leurs emplacements. Comme le dit le proverbe, ne mettez pas tous vos œufs dans le même panier.
Cependant, même avec une séparation physique, il existe encore des risques opérationnels pratiques. Par exemple, imaginez si l’entreprise avait une pancarte évidente indiquant : “Notre entrepôt est situé à la rue XX, étage X,” ou si tout le personnel ayant accès à l’entreprise pouvait également accéder librement à l’entrepôt, et même sans horaires d’accès restreints. Dans ce cas, la Sécurité de l’entrepôt serait significativement compromise.
Ça semble ridicule, n’est-ce pas ? Qui afficherait ouvertement des informations sensibles dans un espace public ? Eh bien, il y a plus d’utilisateurs avec une faible sensibilisation à la cybersécurité que vous ne le pensez. La vérité est que tout le monde n’est pas ingénieur réseau, et il ne devrait pas être attendu qu’ils comprennent tous les détails techniques de la cybersécurité. Cependant, si vous êtes responsable de la protection d’importants données ou occupez un rôle d’administrateur réseau dans une entreprise, vous devez comprendre clairement que, tant qu’il y a des IP et des ports exposés, c’est comme laisser la porte d’entrée de votre maison ouverte et non verrouillée, facilitant l’accès aux malware ou aux acteurs malveillants.
Ce que fait Airgap+, c’est gérer le contrôle d’accès entre différents nœuds, ainsi que traiter les tâches de sauvegarde, de transfert de données ou de réplication. En déconnectant le réseau pendant les périodes non essentielles, il garantit que le personnel de l’entreprise ne peut pas accéder directement à l’entrepôt, et que le NAS principal et le NAS de sauvegarde ne peuvent pas être connectés. Ils ne peuvent se connecter et communiquer qu’à des moments désignés ou lorsqu’il y a un besoin spécifique. C’est similaire à la façon dont une banque ferme à 15h30. Naturellement, en dehors des heures d’ouverture, aucun étranger n’est autorisé à entrer.
Si vous disposez de trois ou plus de dispositifs NAS pour répondre à l’exigence « 3 » de la stratégie 3-2-1-1-0, Airgap+ peut mettre en œuvre l’« isolation » de manière plus efficace. Imaginez ajouter une « salle de courrier » entre l’entreprise et l’entrepôt pour stocker temporairement les dossiers. Le personnel de l’entreprise ne connaît que l’emplacement de la salle de courrier, tandis que seul le personnel de la salle de courrier connaît l’emplacement exact de l’entrepôt. Cela masque efficacement la véritable localisation de l’entrepôt et met en œuvre plusieurs couches de protection pour sécuriser le données.
Lorsqu’elle est appliquée aux sauvegardes NAS, le NAS principal exposé à l’extérieur est comme le cabinet comptable, le Bridge NAS agit comme la salle de courrier, et le NAS de sauvegarde est l’entrepôt. Le NAS principal ne se connecte au Bridge NAS qu’à des moments programmés, et le Bridge NAS se synchronise avec le NAS de sauvegarde à des moments désignés. Il n’y a aucune situation où « les trois dispositifs sont connectés en même temps », et le NAS principal ne sait pas où se trouve le NAS de sauvegarde. Utiliser efficacement la séparation temporelle et le contrôle des connexions pour créer un « espace pare-feu » est l’essence d’Airgap+, à la fois littéralement et en application pratique.
(Légende : Lorsque le NAS principal doit synchroniser le données avec le Bridge NAS, une connexion est établie, et le NAS de sauvegarde n’est pas impliqué à ce stade.)
(Légende : Le Bridge NAS synchronise ensuite le données avec le NAS de sauvegarde tandis que le NAS principal n’est plus impliqué. La connexion avec le NAS principal a été déconnectée.)
Mettre en œuvre Airgap+ n’est pas difficile. Tout ce dont vous avez besoin, ce sont deux dispositifs QNAP NAS ou plus et un QHora Routeur spécialement conçu pour gérer les connexions. Premièrement, le QHora Routeur peut s’intégrer parfaitement avec les dispositifs QNAP NAS pour s’aligner directement sur les politiques Sécurité ; deuxièmement, il Aide empêche les utilisateurs d’adopter des Routeur avec des Sécurité inférieurs, ce qui pourrait entraîner d’autres problèmes.
À ce stade, certains lecteurs avisés auront peut-être déjà réalisé : n’est-ce pas essentiellement une forme flexible et sécurisée de Stockage à froid ? En effet, il s’agit simplement de l’une des nombreuses façons dont la gamme de produits de QNAP peut Aide mettre en œuvre le Stockage à froid. D’autres techniques et approches seront abordées dans de futures discussions.
Alors, existe-t-il des difficultés ou des obstacles à adopter immédiatement Airgap+ ? Pour commencer, il est assez courant qu’une entreprise possède deux ou plusieurs appareils NAS. En fait, tout NAS QNAP prenant en charge Hybrid Backup Sync (HBS 3) est déjà compatible avec cette fonctionnalité. Ce qui doit vraiment être fait, c’est le déploiement d’un Routeur QHora équipé de QuRouter 2.4.2 ou ultérieur. Une fois cela en place, le cadre peut être mis en œuvre immédiatement.
Bien sûr, le QHora Routeur n’a pas été conçu uniquement pour Airgap+. C’est un Routeur complet de niveau entreprise, et il est même plus abordable que certains Routeur phares pour le gaming. De plus, le QHora Routeur permet également une gestion de réseau virtuel plus unifiée et cohérente. Ses applications sont très diverses et ne se limitent certainement pas à l’assistance pour la sauvegarde.
Une dernière remarque. Le concept de « air gap » dans la gestion de réseau n’est pas nouveau. Vous pourriez l’atteindre en déconnectant manuellement un Routeur, en débranchant un câble réseau ou même en éteignant un NAS. Mais soyons honnêtes, ce n’est tout simplement pas pratique. L’automatisation, y compris l’opération sans surveillance, le contrôle à distance et les tâches programmées, est essentielle pour répondre véritablement aux exigences de la stratégie de sauvegarde 3-2-1-1-0. Ce n’est qu’à ce moment-là que les entreprises peuvent réduire leurs coûts. Après tout, si nous nous trouvons souvent impatients en attendant qu’un gros fichier se copie, à quel point est-il réaliste de compter sur des opérations manuelles ?
Laissez simplement Airgap+ s’en charger !
