Categories
Le catastrofi arrivano senza preavviso e gli errori umani accadono. Tutti sanno che, indipendentemente da quanto sia sicuro il NAS o il cloud Archiviazione, i backup sono comunque essenziali. Altrimenti, se un file viene eliminato accidentalmente, non c’è modo di recuperarlo. È perso per sempre.
Come eseguire il backup? Copiare dati su un disco rigido esterno è sufficiente? Ogni volta che discutiamo di backup, vale la pena rivedere la strategia di backup 3-2-1-1-0. Ecco cosa significa 3-2-1-1-0:
- 3: Conservare almeno tre copie dei propri dati (l’originale dati + due backup).
- 2: Utilizzare due tipi diversi di supporti Archiviazione (ad esempio, dischi rigidi, NAS, cloud Archiviazione) per i backup.
- 1: Conservare almeno un backup fuori sede (in una posizione fisica diversa dall’originale dati, ad esempio nel cloud o su dispositivi Archiviazione in un’altra posizione).
- 1: Conservare un backup offline e inaccessibile per proteggersi dagli attacchi ransomware.
- 0: Non ci dovrebbero essere backup non verificati (testa e verifica regolarmente i backup per assicurarti che siano utilizzabili).
Un concetto chiave è “avere almeno un backup offline”. È come eseguire il backup di dati su un disco rigido esterno e poi scollegarlo, invece di lasciarlo connesso. Se il computer viene infettato da un virus o ransomware, il disco rigido esterno sarà isolato dall’ambiente non sicuro, proprio come la banca dei semi sull’Arca di Noè.
Nel contesto del backup di dati in un ambiente di rete, “offline” non significa necessariamente scollegare fisicamente un cavo; può anche significare mettere il backup in uno stato di “nessuna connessione di rete”, ottenendo lo stesso effetto.
La ragione è semplice e facile da capire, ma implementarla manualmente può essere piuttosto complicato. Soprattutto se i compiti sopra devono essere completati entro poche ore o eseguiti una volta al giorno, richiederebbe una quantità significativa di manodopera e tempo.
Fortunatamente, QNAP offre una soluzione di backup completa che richiede solo una configurazione iniziale per automatizzare tutti i compiti sopra su una pianificazione regolare. Molti utenti sono già familiari con Hybrid Backup Sync (HBS 3) di QNAP, che può gestire attività di sincronizzazione e backup tra Archiviazione locali e più servizi cloud contemporaneamente, soddisfacendo pienamente i requisiti pratici della strategia 3-2-1-1-0.
Airgap+, la soluzione che stiamo introducendo, migliora ulteriormente il Sicurezza di questo approccio. Come suggerisce il nome, Airgap+ si riferisce alla creazione di un “air gap”, ovvero una deliberata “separazione o barriera” nella connessione di rete. Salvo necessità assoluta, i nodi di backup dovrebbero essere mantenuti offline. Questa è una strategia di difesa intuitiva ed efficace.
(Didascalia: Airgap+ disconnette le connessioni di rete non necessarie tramite il QHora Router, e le riconnette solo durante i backup.)
Utilizziamo un esempio più intuitivo per spiegare questo concetto. Immagina di gestire uno studio contabile. Naturalmente, lo studio è aperto al pubblico e ogni giorno vari clienti o visitatori entrano per consulenze. All’interno dello studio ci sono numerosi registri contabili e file dei clienti. Per motivi di Sicurezza, “copie” di questi registri e file devono essere conservate in una posizione fisica separata. Ecco perché c’è anche un magazzino situato vicino allo studio, fisicamente isolato dallo studio.
Perché è necessaria l’isolamento? Non c’è quasi bisogno di spiegarlo. È come non lasciare tutte le chiavi nello stesso posto quando si esce. Primo, si riduce il rischio; secondo, si impedisce agli altri di indovinare le loro posizioni. Come si suol dire, non mettere tutte le uova nello stesso paniere.
Tuttavia, anche con una separazione fisica, ci sono ancora rischi operativi pratici. Ad esempio, immagina se l’azienda avesse un cartello evidente che dice, “Il nostro magazzino si trova in Via XX, Piano X,”, oppure se tutto il personale che ha accesso all’azienda potesse anche accedere liberamente al magazzino, senza nemmeno orari di accesso limitati. In tal caso, la Sicurezza del magazzino sarebbe significativamente compromessa.
Sembra ridicolo, vero? Chi pubblicherà apertamente informazioni sensibili in uno spazio pubblico? Eppure, ci sono più utenti con una scarsa consapevolezza della sicurezza informatica di quanto si possa pensare. La verità è che non tutti sono ingegneri di rete, né dovrebbero essere tenuti a comprendere tutti i dettagli tecnici della sicurezza informatica. Tuttavia, se sei responsabile della protezione di importanti dati o ricopri un ruolo di amministratore di rete in un’azienda, devi capire chiaramente che, finché ci sono IP e porte esposti, è come lasciare la porta di casa aperta e non chiusa a chiave, rendendo facile per malware o attori malintenzionati entrare.
Ciò che fa Airgap+ è gestire il controllo degli accessi tra diversi nodi, oltre a gestire attività di backup, trasferimento di dati o replica. Disconnettendo la rete durante i periodi non essenziali, garantisce che il personale dell’azienda non possa accedere direttamente al magazzino e che il NAS primario e il NAS di backup non possano essere connessi. Possono connettersi e comunicare solo in orari designati o quando c’è una necessità specifica. È simile a come una banca chiude alle 15:30. Naturalmente, al di fuori dell’orario lavorativo, non è consentito l’accesso agli estranei.
Se hai tre o più dispositivi NAS per soddisfare il requisito “3” nella strategia 3-2-1-1-0, Airgap+ può implementare l’“isolamento” in modo più efficace. Immagina di aggiungere un “ufficio postale” tra l’azienda e il magazzino per archiviare temporaneamente i documenti. Il personale dell’azienda conosce solo la posizione dell’ufficio postale, mentre solo il personale dell’ufficio postale conosce l’esatta posizione del magazzino. Questo nasconde efficacemente la vera posizione del magazzino e implementa più livelli di protezione per mettere in sicurezza il dati.
Quando applicato ai backup NAS, il NAS principale esposto all’esterno è come lo studio contabile, il Bridge NAS funge da ufficio postale e il backup NAS è il magazzino. Il NAS principale si connette al Bridge NAS solo in orari programmati, e il Bridge NAS si sincronizza con il backup NAS in orari designati. Non c’è mai una situazione in cui “tutti e tre i dispositivi sono connessi contemporaneamente”, e il NAS principale non sa dove si trovi il backup NAS. Utilizzare efficacemente la separazione temporale e il controllo delle connessioni per creare uno “spazio firewall” è l’essenza di Airgap+, sia letteralmente che in applicazione pratica.
(Didascalia: Quando il NAS principale deve sincronizzare il dati con il Bridge NAS, viene stabilita una connessione, e il backup NAS non è coinvolto in questa fase.)
(Didascalia: Il Bridge NAS quindi sincronizza il dati con il backup NAS mentre il NAS principale non è più coinvolto. La connessione con il NAS principale è stata disconnessa.)
Implementare Airgap+ non è difficile. Tutto ciò di cui hai bisogno sono due o più dispositivi QNAP NAS e un QHora Router specificamente progettato per gestire le connessioni. Innanzitutto, il QHora Router può integrarsi perfettamente con i dispositivi QNAP NAS per allinearsi direttamente con le politiche Sicurezza; in secondo luogo, può Guida impedire agli utenti di adottare Router con un livello inferiore di Sicurezza, che potrebbe portare ad altri problemi.
A questo punto, alcuni lettori attenti potrebbero già aver realizzato: non è essenzialmente una forma flessibile e sicura di cold Archiviazione? In effetti, questo è solo uno dei tanti modi in cui la gamma di prodotti QNAP può Guida implementare cold Archiviazione. Altre tecniche e approcci saranno trattati in discussioni future.
Quindi, ci sono difficoltà o ostacoli nell’adottare immediatamente Airgap+? Per cominciare, è abbastanza comune per un’azienda avere due o più dispositivi NAS. Infatti, qualsiasi NAS QNAP che supporta Hybrid Backup Sync (HBS 3) è già compatibile con questa funzione. Ciò che realmente deve essere fatto è il deployment di un Router QHora dotato di QuRouter 2.4.2 o successivo. Una volta che questo è in atto, il framework può essere implementato immediatamente.
Certo, il QHora Router non è stato costruito esclusivamente per Airgap+. È un Router completo di livello enterprise, ed è persino più conveniente di alcuni Router di punta per il gaming. Inoltre, il QHora Router consente anche una gestione della rete virtuale più unificata e coerente. Le sue applicazioni sono molto diverse e sicuramente non si limitano ad assistere con il backup.
Un’ultima nota. Il concetto di “air gap” nella gestione della rete non è nuovo. Si potrebbe ottenerlo scollegando manualmente un Router, staccando un cavo di rete o persino spegnendo un NAS. Ma diciamoci la verità, non è affatto pratico. L’automazione, inclusa l’operazione non presidiata, il controllo remoto e le attività programmate, è essenziale per soddisfare veramente le esigenze della strategia di backup 3-2-1-1-0. Solo allora le aziende possono ridurre i costi. Dopotutto, se spesso ci troviamo impazienti aspettando che un file di grandi dimensioni venga copiato, quanto è realistico fare affidamento su operazioni manuali?
Lascia fare tutto ad Airgap+!
