在〈遠距事務所 part 3-雲端硬碟〉一文中提到了NAS與其他儲存方案的比較,而〈勒索病毒連下兩城,NAS還能用嗎?〉一文中,進一步提到了NAS的風險與轉移前應該考量的一些因素。
如果目前沒有打算從NAS移轉到公有雲或其他儲存方案,該如何提升安全性、做好萬全準備?
備份321
定義
備份321已經是流傳已久的原則,指的是3份備份、分別儲存在2種不同儲存介質、1份異地備份。透過備份321法則,幾乎可以確保資料不會毀損、遺失。困難
雖然備份321的原則看起來好像很簡單,但實際執行起來卻很困難。對於非專業的用戶而言更是近乎不可能的任務,因為成本過於高昂。
舉例而言,假設某用戶的資料主要是用NAS存取,而NAS若有組建RAID 1以上的磁碟陣列,基本上就有了第一份備份。而用戶再利用隨身硬碟將資料拷貝出來,可以達成第二份備份。但第三份備份就有點困難,更別提要用第2種介質。因為綜觀目前市面上的儲存介質,除硬碟之外,大概只剩DVD和磁帶。然而磁帶對於一般用戶而言太難取得;DVD雖然還買的到,但最大的雙層DVD也只能存不到10GB的資料,且燒錄的時間也非常久。總歸一句,就是花錢、花時間。
因此,如果你的資料的價值,沒有高到你願意用備份321的高規格處理,退而求其次,就是盡量做好NAS的安全設定,以及定期用外接硬碟冷備份。
NAS的基本安全調整
由於NAS的廠牌非常多,我在〈遠距事務所 part 3-雲端硬碟〉一文中也有介紹過其中兩家,因此以下將以我目前正在使用的Synology NAS的介面做示範,其他廠牌應該都有一樣的功能,讀者可以上官網或從使用者手冊中找到相應的功能。
使用路由器
雖然很多NAS本身就有附帶管理port的功能介面,但直接把NAS接在小烏龜 (中華電信的終端數據機,俗稱小烏龜,也可以泛指固網的終端數據機)後面,風險還是很高。由於幾乎不可能期待小烏龜擔任好一個路由的角色,因此很多人戲稱這種直接將NAS接在小烏龜之後的行為為「裸奔」。也由於NAS直連網路,萬一預設的PORT沒改、密碼簡單、沒預防暴力破解,基本上被攻破也只是遲早的事情。
也因此,如果有使用路由器,就可以在NAS前面多增加一道屏障。雖然路由器不比防火牆,但就如同門鎖一般,脫慢速度、增加麻煩,就能很大機率降低被攻破的風險。
此外,使用路由器還能管理區域網路,控制區域網路內所有設備的連線,進一步降低NAS被「內賊」攻破的風險,算是一舉兩得。
設定登入白名單
目前多數NAS系統都有登入白名單的功能。白名單的作用,是建立「原則禁止登入,例外允許登入」的規則,可以有效減少被暴力破解的機率。以Synology NAS為例,是用IP Address建立白名單。只須進入「控制台→連線能力/安全性→允許/封鎖清單」頁面,新增允許存取的IP Address。
使用IP Address白名單對外網(網際網路)固然有用,但對內網(區域網路)卻不太有用。由於區域網路的IP Address大多都是透過DHCP伺服器隨機派發,可能每次設備開機的IP Address都不一樣,因此較不適合做為白名單的判斷基礎。而MAC Address具有唯一性與不易變更的特性,因此若有使用路由器,可以在路由器的DHCP頁面自訂裝置的固定IP,讓路由器判斷MAC Address後給予固定的IP Address,NAS再依據IP Address建立白名單,達成只讓特定裝置登入NAS的效果。
NAS的其他安全調整
更改管理後台PORT
這個做法的效果眾說紛紜,因為其實用port scanner就可以輕易發現正在運行服務的埠號。
但就如同前面提到的門鎖比喻,更改NAS後台的預設埠號,雖然無法抵擋針對性的攻擊,但可以拖慢攻擊者。多浪費攻擊者一秒的時間,就多一分倖存的機會。
以Synology NAS為例,只需進入「控制台→系統/登入入口→網頁服務/DSM連接埠」更改掉原先預設的埠號(5000和5001)即可。
關閉DDNS或其他快速連線服務
使用路由器、將NAS放在內網之中固然比較安全,但若使用者在外需要取用資料,還是會有所不便。因此有必要搭配路由器的VPN功能,以解決這個問題。(相關文章:遠距事務所 part 4-VPN)
有了VPN之後,NAS內建的對外連線功能就可以關閉,進一步降低NAS被外部存取的機會。以Synology而言,對外連線功能叫做QuickConnect,當然也可以自訂DDNS,效果大同小異。只需進入「控制台→連線能力/外部存取→QuickConnect/DDNS」頁面,取消或關閉功能即可。在關閉之前,NAS可能會要求你填寫email或其他備援聯絡方式,避免不慎關閉,只需照著指示填寫完畢即可。
增加備援措施
快照
快照 (Snapshot),就是在某個時間點,將硬碟當下的狀態儲存起來,以作為將來還原的根據。依SNIA的定義,快照只保存當下資料區塊的metadata,並在還原時指向原資料區塊,以達成還原的效果。相較於鏡像或增量備份,快照的速度較快且所占容量極小。
Synology NAS可以透過套件中心安裝Snapshot Replication套件,定時建立快照。
但快照也不是萬用,若病毒或攻擊者取得NAS的管理權限或root權限,將快照紀錄刪除後再將檔案加密,就無法透過快照還原資料。這部分就必須搭配前面的路由器以及白名單防範。
冷備份
由於NAS幾乎是全天候連網,而有連網的時候就有被攻擊的機會。因此準備離網的「冷備份」還是有其必要。
建立冷備份最快速、簡便的方式,就是用外接硬碟拷貝資料。透過USB介面進行複製,依資料量不同,大概可以在30分鐘~數小時內完成,每半個月或一個月進行一次,應該不會造成太大負擔。
結語
任何設備連網,就有被攻擊的可能,而攻擊的手法也會不斷推陳出新。因此,在享受資料自主權利的同時,伴隨的義務就是必須自己確保資料的安全。
如果你覺得使用NAS的門檻還是太高,仍然可以隨時付費轉換到公有雲,但轉換前務必考慮清楚後續的隱藏成本 (相關文章:勒索病毒連下兩城,NAS還能用嗎?);如果你還是決定繼續使用NAS,在不花錢請專業資安人員的前提下,自己多花一點時間學習如何設定是必要的。天下沒有白吃的午餐,任何解決方案都是有利有弊。
在這個離不開電子資料的年代,提升自己的資安知識,我想已經是每個人無可迴避的義務。
