Categories
在軍事領域中,「縱深防禦 (DiD, Defense in Depth)」,也被稱為「彈性防禦」或「深層防禦」,採取全面深入的多重防禦策略或先制攻擊,不是直接阻止敵人前進,而是延遲其行進速度。這種策略通過放棄一些地區來換取時間,增加敵人的資源消耗,使其攻擊失去優勢,迫使其撤退到原先的攻擊起點,甚至提供我方反擊逆轉局勢的機會。
雖然大規模的戰爭似乎離多數世人已非常遙遠,但縱深防禦的原則如今卻廣泛應用於諸多非軍事領域,特別是安全相關的地方,包括核電廠和資訊安全。它意味著在事故發生之前採取多重保障以防止事故發生,並在事故發生後採取多種措施以減少損失。
在網路資訊安全方面,縱深防禦有時與「分層式安全性」概念互相關聯使用。這是因為單一的安全技術無法應對網路所面臨的所有攻擊。通過使用多層次的安全解決方案。當攻擊者突破一層防線或危及網路組織的一部分時,可以限制並減輕整體損害,並通過資料備份迅速進行災難恢復。
隨著企業組織擴展其 IT 架構的規模,縱深防禦策略變得越來越重要。作為網路儲存技術領域的領導品牌,QNAP 已經歷多年發展,提供全方位的安全控制,從「管理安全控制」、「實體安全控制」和「技術安全控制」,提供了連線保護、危害誘捕、權限保護、傳輸保護、安全評估以及災難恢復等完整解決方案。
|
| 系統內建 | 安裝軟體套件 |
|
連線保護 |
| |
|
危害誘捕 |
| |
|
權限保護 |
| |
|
傳輸保護 |
| |
|
安全評估 |
|
|
|
災難復原 |
|
|
[第一層] 連線保護:QVPN、QuWAN、QuFirewall
當 QNAP 的使用者遠端連線至 NAS的那一刻,如何安心並高效率的在網路上安全連線並傳輸檔案,就是確保資訊安全的第一道門檻。
QVPN Service:安心的安全檔案傳輸
VPN 在公共網路中確保了存取網路資源和服務的安全性,防止網路流量被攔截。QVPN 服務結合了 VPN 伺服器和 VPN 用戶端,可建立連接到遠端伺服器或協力廠商供應商的 VPN 用戶端,以便存取內容或服務。QVPN 服務支援開源的 OpenVPN 服務,並整合了市場上熱門的 OpenVPN 服務,如 ExpressVPN™、NordVPN®、Surfshark®、Astrill®等,提供更多樣化的 VPN 連接選擇,確保安全的虛擬私人網路。
通過 QVPN Service 設置 QNAP 設備,可以連接到遠端 VPN 伺服器,使存取遠端資源更加安全,並消除地理限制。此連接也可進一步設置為 QNAP 設備的預設閘道器,將所有外發網路流量重新定向至 VPN。QVPN 設備用戶端支援 QBelt 等通訊協定,可通過 VPN 連接至 QNAP 設備。連接記錄將被保留,用於查看歷史使用資料,並且內建的速度測試功能可幫助評估 VPN 連線速度。
使用 QNAP 設備作為 VPN 伺服器時,可以選擇 WireGuard®、PPTP、OpenVPN、L2TP/IPsec 以及 QNAP 專屬的 QBelt VPN 通訊協定。WireGuard® 提供更快、更穩定的 VPN 連接。即使非 IT 專業的遠程工作者,也能透過簡單易用的介面輕鬆設置 VPN 通道,以簡化的方式安全存取位於辦公室的 QNAP 設備。
QuWAN:為中小企業打造全新的敏捷IT架構
軟體定義網路 (SDN, Software-Defined Network) 已經改變了傳統網路控制資料流程的方式。它將網路設備的「控制面」分離出來,集中到統一的外部伺服器作為集中控制器,從而集中管理封包轉發路徑中的所有設備。這使網路系統管理員能夠擁有全域視野,使整個網路變得像一個巨大的可程式化軟體,可以隨時根據不同的業務需求進行動態調整。其中最著名的 SDN 導入案例是 Google 用來連接全球各地資料中心的 B4 廣域網路 (WAN),使頻寬利用率提高三倍,接近 100%,網路更穩定,管理更簡單。
除了提高頻寬和便於管理外,基於策略進行佈署的資訊安全,一直是非常適合應用 SDN 的領域。在傳統企業網路架構下,多個地點的連接通常需要連接到總部,這往往會遇到頻寬不足的瓶頸問題。只不過,市面上的企業級 VPN 設備價格昂貴且部署耗時,對一般中小企業來說難以承擔。
利用 QNAP SD-WAN (QuWAN) 通過先進的虛擬化技術,自動配置所有對外連接的廣域網路服務,快速建立網狀式虛擬私有網路 (Auto Mesh VPN)。這使得多個分點單位可以靈活地在任何一個分點形成組網,實現低成本、高靈活性的網路部署架構,並優化網路頻寬,使企業員工更容易地加入公司內網的系統來使用。同時,網路分段有助於限制內部資料和資料暴露給公司以外的用戶。
軟體定義網路也有利於安全分析和負載平衡。QuWAN 採用深度封包檢測技術 (DPI,Deep Packet Inspection),可以檢測應用層的終端服務,有效辨識封包來源的網站、設備以及潛在病毒等。同時,它可以自訂重要的商務應用,為其分配較高的頻寬優先權,提供流暢的網路體驗。另外,具備 L7 防火牆功能可自動檢測惡意封包,將特定應用列為黑名單予以阻隔,保障企業網路安全性。
myQNAPcloud Link:既簡單又安全的遠端連線服務
myQNAPcloud Link 是 QNAP 所提供的遠端連線服務,讓您可以在網際網路上,透過 myQNAPcloud 網站 (www.myqnapcloud.com)連線至 QNAP 裝置。不需要任何複雜的路由器設定,只需要安裝 myQNAPcloud Link App,並在您的裝置上註冊 QNAP ID,您就可以在 myQNAPcloud 網站登入您的 QNAP ID,並連線到您的 QNAP 裝置。
QuFirewall:QNAP設備專屬防火牆
在網路世界中,安全威脅無處不在。僅仰賴設置在局域網邊緣的網路型「邊界」防火牆設備,並不能全面保障安全。QuFirewall 是內置於 QNAP 設備的防火牆應用程式,可在 QTS、QuTS hero、QNE Network 及 QuTScloud 等 作業系統中使用。
隨著零信任網路 (Zero Trust Networks) 概念的流行,可以在 QNAP 設備上安裝並啟用 QuFirewall,建立主機型「微邊界」防火牆,用於保護重要資料和服務。同時,結合 QNAP 設備上的其他安全功能,如用戶認證和許可權設置等,可以使設備更加穩固且具有高度抵抗力,以對抗駭客和惡意軟體等各種威脅。
[第二層] 危害誘捕:ADRA NDR
在資訊安全領域,行為分析是一項關鍵技術,它可以幫助我們在檢測到異常流量和攻擊行為時,及時觸發安全系統並阻止攻擊的執行。
QNAP 在 QGD 系列存取端交換器中引入了基於訂閱模式的 NDR (網路檢測與回應,Network Detection & Response),通過高效且不降低速度的 Threat Watch 選擇性地快速篩查部分網路流量,並利用 Threat Trap類比常見網路服務的誘捕機制,早期發現目標式勒索軟體等惡意軟體的內網滲透活動。再結合威脅深度分析、威脅關聯分析以及精準小範圍自動封鎖受感染設備等應對措施,封鎖目標式勒索軟體等惡意軟體在內網的傳播,確保企業組織的資訊安全,使其免受危害。
[第三層] 權限保護:委派管理、AD/LDAP、兩階段驗證
在資訊安全領域中,除了技術上的安全控制以防止資料外洩、網路攻擊以及其他威脅,管理上的安全控制也是至關重要的。所謂管理安全控制指的是由系統管理員和安全團隊所設定的原則,用於控制對內部系統、公司資源以及其他敏感資料和應用程式的存取權限,以避免將系統、設備和應用程式暴露在不必要的人為風險中。這也是資訊安全中不可或缺的一部分。
委派管理 (Delegated administration) :角色分工
最低許可權存取原則指的是僅向用戶授予其角色所需的系統和資源存取權限。這種方法有助於最小化未經授權的用戶執行攻擊或存取敏感性資料時對網路其他部分的風險。
隨著組織規模的增長,員工和設備數量也隨之增加。讓有限的 IT 管理人員管理不斷增長的帳戶和設備數量,將導致繁重的工作負擔,可能影響日常工作效率,並導致頻繁出錯。當員工僅需要執行 NAS 部分功能或工作的許可權時,給予超出所需的許可權範圍,可能導致 NAS 和資料的安全風險。當系統管理員不在辦公室或無法立即處理工作時,沒有其他人員擁有適當的許可權來提供幫助,尤其在緊急情況下可能導致災難發生。
因此,細緻地委派「適度的許可權」能夠提高工作效率、確保資料安全,並促進團隊合作。通過授予有限的許可權來執行應用任務和資料存取,不僅可以分擔 IT 管理工作,各部門經理對資料的控制更高,組織因分責分權而獲得更高的生產力和資料安全性。
AD/LDAP:許可權集中控管
QNAP 提供的 LDAP 協議支援將 QNAP NAS 添加到基於 LDAP 的目錄服務,例如 OpenLDAP。這意味著 IT管理員不再需要在網路中的每台伺服器上建立和管理重複的帳戶。相反,所有帳戶都通過 LDAP 伺服器進行集中認證,用戶可以使用同一組 LDAP 帳戶密碼存取已整合到 LDAP 伺服器的 QNAP NAS 資料,這大大減少了 IT 管理員的部署時間並提高了企業生產力。
對企業來說,搭建一台 LDAP 伺 服器意味著額外的硬體支出。幸運的是,QNAP 官方網站的 QPKG 頁面提供了 OpenLDAP 的套件,安裝後,QNAP NAS 就可以轉變為 LDAP 伺服器。按照同樣的邏輯,其他支援 LDAP 協議的伺服器可以加入升級為 LDAP 伺服器的 QNAP NAS,由它提供統一認證的帳戶。
另一選擇是付費租用 JumpCloud 的雲端 LDAP 服務,這樣 QNAP NAS 可以成為混合雲資料運行中心,提供雲端目錄服務 (Directory as a Service),將原本由 LDAP 伺服器提供的服務集中在雲端。從 JumpCloud 的網站上,可以提供集中化的全球同事登錄機制,無需在世界各地培訓協調各地 IT 同事,分別建立一致的 LDAP 伺服器。
這不僅讓用戶可以使用 JumpCloud 的一組帳戶和密碼登錄全球同一域內的各種辦公室設備,如印表機和所有 NAS 上的公共資料夾等,或者 Office 365、AWS 或 G Suite 等 100 多種雲端服務,還可以用於授權使用辦公室 WiFi,或登入公司內部的各種本地雲系統。
兩階段驗證:確定身份
兩階段驗證要求在允許存取網路或應用程式之前對使用者或設備的身份進行多種形式的驗證。這種多重要素驗證 (MFA) 通常包括採用嚴格的密碼要求 (即複雜、難以猜測和經常更改的密碼)、建立嚴格的設備控制措施,以及通過外部設備和工具驗證身份 (例如輸入來自移動設備的驗證代碼)。研究表明,與僅依賴知識因素的登錄方法相比,多重要素驗證能夠更好地抵禦惡意攻擊。如今,僅僅依靠高強度密碼策略或使用複雜密碼,已不足以完全保護 NAS 免受未經授權的存取。
通過在移動設備上安裝 QNAP Authenticator 應用程式並為 NAS 設置兩步驗證,支援基於時間的一次性密碼 (TOTP)、一次性密碼 (OTP)、掃描 QR code,或一鍵核准登錄,可以顯著提升資料安全性,有效防禦網路惡意攻擊。
[第四層] 傳輸保護:SMB 加密、最新等級自我加密硬碟
「實體安全控制」是確保 IT 系統免受篡改、盜竊或未經授權存取等威脅的重要手段,而資料加密則是其中一種保護敏感資訊的方式。加密是將可讀的文本轉換為不可理解的密文的過程,以防止未經授權者或惡意方存取,這對網路安全至關重要。QNAP 提供了一系列方案,涵蓋了從資料傳輸到存儲在硬碟上的各個方面。
SMB (Server Message Block) 是一種用於網路檔案共用的協定,允許應用程式在電腦上讀寫檔,或向網路中的伺服器程式請求服務。SMB 協議利用 TCP/IP 或其他網路通訊協定進行檔共用和存取遠端伺服器上的檔案夾或其他資料,包括應用程式讀取、創建和更新遠端伺服器上的檔案。SMB 3.0 提供了點到點的加密,以提高安全性並避免資料在不受信任的網路連接中被竊聽的風險。其主要優點在於無需額外的部署成本、特定的硬體或 WAN 加速器,以及進一步加強 Internet 協議安全性 (IPSec)。
QTS 5.0 支援 AES-NI 硬體加速,使 SMB 3 傳輸協定中的封包簽章、傳輸加密和解密效率,比無 AES-NI 硬體加速時快了多達 5 倍。在保護重要資料的同時,系統性能仍然保持高效。QuTS hero h5.1.0 支援最新的 AES-128-GMAC 簽章加速 (僅適用於 Windows 11®和 Windows Server 2022® 用戶端),顯著提高了 SMB 3.1.1 傳輸協定中資料包簽章的效率,CPU 使用率更佳,提供了最佳的性能和保護組合。
自我加密硬碟 (SED,Self Encrypting Drive) 通過其內置的加密處理器為整個硬碟進行加密,為資訊安全提供了最後一道保障。除了支援 TCG-OPAL 和 TCG-Enterprise 協定外,QTS 5.2 還新增了對符合 TCG-Ruby SED 標準的機械硬碟和固態硬碟的支援,並提供了針對 NVMe 和其他新型磁片技術的規範,更符合當前企業和資料中心的需求,也更易於滿足法規合規要求,如 GDPR、HIPPA 和 HITECH。
[第五層] 安全評估:Security Center、Notification Center
預防重於治療,QTS 5.2 新增的 Security Center 做為 QNAP NAS 的安全中心,透過整合檔案活動監控、主動防護措施、掃描 NAS 安全狀態、即使警示通知、整合掃毒軟體,可主動分析與監控 NAS 系統狀態、檔案活動與潛在的網路安全威脅,並進行安全風險評估,協助使用者採取立即防護措施,避免資料遺失與資安漏洞。透過 Security Center,使用者可一站整合更多安全性設定,安裝安全性應用程式,閱讀 QNAP 資安通報,並依需求選擇或自訂安全性等級項目。
除此之外,Security Center 追加新功能「異常檔案活動監控」,隨時監控檔案活動,密切偵測NAS檔案活動狀態和異動風險,使用者可透過視覺化的監控界面,快速掌握特定時間內的檔案平均異動量。同時,使用者可自訂檔案變更數超過臨界值的防護措施,如立即保護 (唯讀模式)、立即備份 (擷取快照)、立即阻斷 (暫停快照排程) 以因應警示事件,讓加密勒索軟體威脅、惡意軟體攻擊、或人為因素所導致的資料遺失風險與傷害降到最低,讓掌控 NAS 安全更加省時省力,面面俱到。
如須更加廣泛的系統即時資訊,現有 QTS 的 Notification Center 整合了所有 QTS 系統事件、警示及通知於單一應用程式中,可集中管理所有通知,而不須在個別應用程式中逐項設定,隨時輕鬆掌握 NAS 的狀態,並可透過單一視窗,快速進行通知相關配置並查看系統記錄。全新優化的通知機制,使用者可視需求選擇單一通知方式,或搭配使用多種方式,確保重要通知絕不漏接。有了可靈活自訂的通知規則,可彈性控制接收通知的頻率及管道。在「通知佇列與歷史記錄」中,可瀏覽等待傳送中或已經傳送之通知,確保絕不錯過所有有關 NAS 的重要狀態資訊。
[第六層] 災難補救:SnapShot、SnapSync、Backup、Malware Remover、ADRA NDR
資料的儲存、分享、備份與還原一直是 QNAP NAS 的優勢所在。搭載自動更新最新惡意軟體定義檔的功能,並能在存取交換器上直接隔離受惡意軟體影響的裝置,大大提高了對惡意軟體的防禦能力,將攻擊控制在最小範圍,並能快速完成災難補救。
快照功能就如同照相一樣,能夠記錄下任一時間點的系統狀態與資料,作為未來還原的備份。相較於傳統備份,快照使用更少的儲存空間。當 NAS 資料毀損或電腦受到加密勒索軟體威脅時,可利用快照檔案快速還原,確保重要資料不受損失。SnapSync 則使用區塊層級異地備援方式,即時將資料從一台 QuTS hero NAS 備份到另一台 QuTS hero NAS,減少備份時間,降低資料損失風險。
Hybrid Backup Sync 是一套免授權、確保企業運作不間斷的多重服務檔案備份、復原及同步解決方案。無論是本地、遠端或雲端備份,Hybrid Backup Sync 都能執行雙向備份、復原和同步資料到本機儲存空間、雲端服務或遠端伺服器,提供全方位的資料保護。
Malware Remover 能夠定時掃描 NAS,檢查並下載最新的惡意軟體定義檔,當受到攻擊時,能夠移除惡意程式碼,並且還原受惡意程式影響的系統設定及檔案,提升 NAS 的資安防護層級。而 ADRA NDR 則確保未中毒裝置不受影響,無需切斷所有網路連線,透過 QNAP NAS 將資料恢復到先前完整的時間點,大幅降低等待資安調查所需的時間成本和人力資源,迅速恢復員工工作電腦與公司業務所需的服務。
最重要的防線:資安意識
追根究底,再完善的資安技術,都只是「工具」,最後能否發揮實際功效,還是決定於使用者是否具備足夠的資安意識去有效的使用。資安意識指的是對資訊安全風險的認知和了解,以及採取適當的措施來保護資訊免受威脅和攻擊。隨著資訊科技的快速發展,資安風險也在不斷增加。在這樣的情況下,提高資安意識成為了保護資料的最重要防線。
QNAP 作為一家具有業界領導地位的 NAS 製造商,不僅致力於提供高效、靈活的儲存解決方案,還重視提升使用者的資訊安全意識。通過其先進的技術和功能,QNAP 不斷改進並加強了使用者對資安的認知和防護能力。
首先,QNAP 的儲存設備提供了多層次的資料保護機制,例如快照功能和備份系統,使用戶可以輕鬆地備份和還原資料,從而保護其重要資料免受惡意軟體和故障的威脅。這鼓勵使用者意識到資料安全的重要性,並培養良好的資訊管理習慣。
其次,QNAP 提供了強大的安全功能,如 VPN 服務、防火牆應用程式和 LDAP 雲端整合,這些功能有助於加密資料傳輸、限制存取權限,以及集中管理用戶身份驗證。通過使用這些功能,用戶可以更好地保護其資料免受未授權存取和網路攻擊的風險,進一步提升了資訊安全意識。
此外,QNAP 提供了資料加密、威脅檢測和定期更新等功能,這些功能幫助用戶保持其系統和資料庫的安全性,並時刻保持對最新威脅的警覺。通過這些措施,使用者能夠更好地了解和應對不同類型的資安威脅,提高他們的資訊安全水平。
最後,QNAP 通過其先進的技術和全面的安全功能,積極提升使用者對資安的認知和防護能力。這不僅使用戶能夠更好地保護自己的資料和系統,還有助於建立一個更加安全和可靠的網路儲存環境。
