Ilość danych cyfrowych rośnie z dnia na dzień. Nie ma już prawie na świecie osób prywatnych ani firm, które pracują lub żyją bez danych cyfrowych. W obu przypadkach utrata danych byłaby ogromną stratą – ekonomiczną i emocjonalną. Wiedzą o tym również cyberprzestępcy, dlatego od kilku lat oprócz ilości danych stale rośnie również liczba ataków hakerskich. Rozwiązanie chroniące prywatne lub biznesowe dane przed całkowitą utratą jest proste i oczywiste: kopie zapasowe! I w dzisiejszych czasach to już żadne czary mary. Po zrozumieniu podstawowych informacji (takich jak definicja kopii zapasowej, czym dokładnie jest kopia zapasowa i jakie są różnice między synchronizacją a RAID), można określić i wdrożyć odpowiednie rozwiązanie do tworzenia kopii zapasowych dla własnych potrzeb. Gdy już raz skonfigurujemy nasze rozwiązanie dla kopii zapasowych, życie jest zdecydowanie bardziej spokojne – ponieważ w razie nieszczęśliwego wypadku lub ataku jesteśmy zabezpieczeni.
1. Dlaczego kopie zapasowe są ważne?
W dobie ataków ransomware i hakerów pytanie o właściwą strategię tworzenia kopii zapasowych – czy to w domu, czy w firmie – staje się coraz bardziej aktualne. Nie ma już żadnych wątpliwości co do konieczności tworzenia kopii zapasowych danych w firmach.
W raporcie “Sytuacja bezpieczeństwa IT w Niemczech 2021” Federalnego Stowarzyszenia Technologii Informacyjnych, w okresie sprawozdawczym 2019 zarejestrowano 114 milionów nowych złośliwych wariantów programów. To około 320 000 nowych wariantów dziennie. W okresie sprawozdawczym 2021 było ich już 144 miliony, czyli 394 000 nowych wariantów dziennie. Wzrost o dobre 22% w ciągu dwóch lat.
W ramach badania GDPI Snapshot (Global Data Protection Index) przeprowadzonego wśród 1000 decydentów IT z firm na całym świecie, 30% ankietowanych firm stwierdziło, że w 2018 r. doznało utraty danych. Szkody te wyniosły średnio 882 000 euro rocznie na firmę. Oznacza to, że koszty utraty danych są prawie dwukrotnie wyższe niż koszty przestojów.
A powodów utraty danych w sektorze prywatnym również jest wiele. Co minutę 113 smartfonów zostaje skradzionych lub zgubionych. Jeden na dziesięć komputerów jest co miesiąc infekowany wirusami. Ogólnie rzecz biorąc, 42% obywateli Niemiec straciło już elektronicznie przechowywane dane. Mimo to, zaledwie 1/4 z nich wykonuje kopię zapasową rzadziej niż raz w roku. Odzyskiwanie danych jest naprawdę drogie.
Te liczby pokazują , jak często takie awarie zdarzają się podczas pracy i jak ogromne szkody mogą spowodować. Aby zminimalizować ryzyko utraty danych i przestoju firmy połączonego z druzgocącymi stratami finansowymi, konieczna jest szybka reakcja. Aby użytkownicy mogli to zagwarantować, potrzebują skutecznego, odpowiedniego rozwiązania do tworzenia kopii zapasowych.
2. Co to jest kopia zapasowa?
Termin backup oznacza zabezpieczenie danych. Dane są przechowywane na innym nośniku danych i stamtąd można je przywrócić. Może to być konieczne np. z powodu usterki lub przypadkowego usunięcia. Kopia zapasowa danych może być tworzona automatycznie przez oprogramowanie lub ręcznie przez użytkownika. Zapobiega więc utracie danych. Istnieją różne metody i opcje tworzenia kopii zapasowej.
5 metod tworzenia kopii zapasowych
Szczególnie popularne jest 5 poniższych metod tworzenia kopii zapasowych:
- Pełna kopia zapasowa
- Różnicowa kopia zapasowa
- Kopia zapasowa przyrostowa
- Migawki
- Backup oparty na zasadzie generowania
Pełny backup lub pełna kopia zapasowa obejmuje zapisanie wszystkich wybranych danych i konfiguracji. Są one zapisywane w pliku kopii zapasowej na docelowym nośniku danych.
Różnicowa kopia zapasowa wymaga jako punktu wyjścia pełnej kopii zapasowej. W przypadku kopii zapasowej różnicowej tworzona jest kopia zapasowa tylko tych danych, które zostały dodane lub zmienione od czasu pierwszej pełnej kopii zapasowej.
Przyrostowa kopia zapasowa jest również oparta na pełnej kopii zapasowej. Różni się ona od różnicowej kopii zapasowej tym, że nowe kopie zapasowe wykorzystują jako punkt odniesienia poprzednią wersję kopii zapasowej, a nie pierwszą wersję kopii zapasowej. Oznacza to, że kolejne kopie zapasowe danych zajmują znacznie mniej miejsca i przepustowości. Ceną za oszczędność miejsca na dysku jest jednak to, że żadna wersja w łańcuchu kopii zapasowych (np. codziennie o godz. 19.00) nie może być wadliwa, ponieważ wszystkie wersje opierają się na sobie.
Różnica między migawką a zwykłą kopią danych polega na tym, że migawka jest wirtualna, a kopia danych fizyczna. Migawka jest zrzutem metadanych wybranego pliku. Migawkę można traktować jako rodzaj schematu, który opisuje jak wygląda plik X w czasie Y. Sam plik nie jest kopiowany, a jedynie jego opis.
Sprawdzoną strategią zabezpieczania danych cyfrowych jest również tworzenie kopii zapasowych z wykorzystaniem zasady pokoleniowej lub zasady dziadek-ojciec-syn. W przeciwieństwie do pozostałych metod backupu opisuje jednak schemat rotacji, który nie jest związany z żadnym z opisanych powyżej typów backupu.
3 sposoby na stworzenie kopii zapasowej
Istnieją 3 popularne sposoby tworzenia kopii zapasowej:
- Do chmury
- Na zewnętrznych dyskach twardych
- Na serwer NAS
Backup w chmurze jest obecnie wykorzystywany w wielu firmach. Łatwość obsługi i elastyczna możliwość rozbudowy przestrzeni dyskowej to główne powody popularności. Z kolei wielu użytkowników prywatnych nadal tworzy kopie zapasowe swoich danych ręcznie na zewnętrznych dyskach twardych. Rozwiązania chmurowe są wykorzystywane w domu głównie do synchronizacji danych zamiast tworzenia kopii zapasowych. Istnieje jednak duża różnica między synchronizacją a tworzeniem kopii zapasowej (patrz rozdział 3).
Trzecim sposobem tworzenia kopii zapasowej są serwery NAS. Są one dostępne jako małe modele dla domu lub jako duże serwery w obudowie do szafy rack dla firm. Dzięki temu dane ze wszystkich urządzeń są automatycznie backupowane centralnie w macierzy RAID. Dużą zaletą serwerów NAS jest to, że dane są zapisywane lokalnie, czy to w domu, czy w firmie. W ten sposób pełna suwerenność danych pozostaje u użytkownika, który nadal może mieć do nich elastyczny zdalny dostęp, podobnie jak w przypadku chmury. Jeśli chodzi o NAS, należy zwrócić uwagę na różnicę między backupem a RAID.
W kolejnych dwóch częściach wyjaśnione są bardziej szczegółowo wspomniane różnice pomiędzy backupem i synchronizacją oraz backupem i RAID.
3. Kopia zapasowa vs. synchronizacja
Synchronizację i backup można odróżnić od siebie w czterech głównych punktach:
- Okres
- Kierunek procesu
- Format pliku
- Cel użycia
1. Okres: Synchronizacja plików odbywa się stale. Jeśli użytkownik zmieni dane np. na swoim komputerze, to zmienia się to natychmiast w chmurze lub na NAS-ie. Z kolei kopia zapasowa jest zawsze wykonywana w określonym momencie. Oznacza to, że zmiany w kopii zapasowej nie są natychmiast przenoszone do drugiego systemu, ale dopiero o określonej wcześniej godzinie, np. codziennie wieczorem o 19.00.
2. Kierunek procesu : Dzięki synchronizacji zmiany danych na jednym z dwóch urządzeń są natychmiast przenoszone na drugie – bez względu na to, po której stronie coś zostało zmienione. Proces ten nazywany jest synchronizacją dwukierunkową. Jest ona szczególnie pomocna, jeśli baza danych w dwóch różnych lokalizacjach ma być automatycznie utrzymywana w identycznym stanie, nawet jeśli różni użytkownicy zdalnie edytują dokumenty lub arkusze kalkulacyjne. Z kolei backup odbywa się zawsze tylko w jednym kierunku. Urządzenie 1 zawsze tworzy kopię zapasową danych do innej lokalizacji.
3. Format pliku: Podczas synchronizacji, formaty plików są zawsze takie same zarówno w źródle danych (np. PC) jak i w miejscu docelowym danych (chmura lub NAS). Jeśli więc użytkownik przechowuje dziesięć plików JPG na komputerze, to synchronizacja przenosi dziesięć plików JPG do chmury lub na NAS. Z kolei backup często odbywa się w skompresowanym “kontenerze”. Na NAS-ie lub w chmurze kończy się tylko jeden plik kontenera, w którym zagnieżdżonych jest dziesięć plików JPG i przechowywanych w sposób skompresowany. Dzięki tej metodzie dane na NAS-ie lub w chmurze wymagają znacznie mniej miejsca do przechowywania. Należy jednak zauważyć, że nie są one od razu pobierane w oryginalnym formacie, lecz muszą być najpierw rozpakowane w celu przetworzenia.
4. Cel : Wreszcie, celem synchronizacji jest utrzymanie dostępności danych. Natomiast backup służy ochronie danych.
4. Backup a RAID
Szczególnie w dyskusji na temat backupu danych za pomocą NAS-a, wielokrotnie zdarza się, że użytkownikom zaleca się wykonanie backupu za pomocą RAID. Jednak te trzy terminy (NAS, backup, RAID) są często mylone, tworząc fałszywe, zwodnicze poczucie bezpieczeństwa. Bo jeśli użytkownicy zapisują swoje dane tylko na NAS-ie pracującym w macierzy RAID, to nadal NIE MAJĄ backupu!
Aby przybliżyć się do problemu, po zdefiniowaniu backupu należy przyjrzeć się również definicjom NAS i RAID.
Czym jest NAS?
NAS jest skrótem od “Network Attached Storage”. NAS to urządzenie do przechowywania danych podłączone do sieci. Jest to komputer/serwer, który zapewnia dostęp do sieci dysków twardych przez sieć.
Czym jest RAID?
RAID to skrót od “Redundant Array of Independent Drives” lub przestarzały od “Redundant Array of Inexpensive Disks”. Oznacza on sieć dysków twardych składającą się z dwóch lub więcej dysków pracujących równolegle. Mogą to być dyski HDD (Hard Drive Disks), a także SSD (Solid State Drives). Istnieją różne typy RAID. Każdy typ RAID jest zoptymalizowany dla konkretnej sytuacji. Nie są one standaryzowane. Może się więc zdarzyć, że firmy opracują własne numery i implementacje RAID. Jednak najczęściej spotykane typy RAID to:
- RAID 0
- RAID 1
- RAID 5
- RAID 6
- RAID 10
Z wyjątkiem RAID 0, w każdym RAID przechowywane dane są dublowane. Lustrzane odbicie danych sprawia, że są one nadmiarowe, tzn. dane są dostępne kilka razy. RAID służy zatem do organizacji kilku fizycznych urządzeń pamięci masowej, które znajdują się w NAS-ie i mogą być organizowane za pośrednictwem oprogramowania w celu nadmiarowego przechowywania danych.
Wybór odpowiedniej macierzy RAID jest ważnym elementem, jeśli chodzi o wydajność. Jednak minimalna odporność na błędy lub nadmiarowość powinna być obecna w każdej macierzy RAID. Dlatego użytkownicy NAS powinni zrezygnować z macierzy RAID typu JBOD, Basic lub RAID 0.
Jakie są rodzaje RAID? Jak wybrać właściwy dla mojego NAS-a?
Uwaga: Nie istnieje właściwa konfiguracja RAID. Ponieważ konfiguracja RAID jest zawsze kompromisem między wydajnością, kosztami, pojemnością i odpornością na błędy. To, który typ RAID jest właściwy, zależy od aplikacji i wzoru dostępu.
RAID 1 jest szczególnie przydatna dla małych systemów pamięci masowej. Wydajność macierzy RAID 1 jest bardzo dobra w porównaniu z innymi typami RAID z mirroringiem.
RAID 5 jest uniwersalnym urządzeniem, które może być używane do wielu różnych zastosowań, o ile nie używa się zbyt wielu dysków twardych. Wydajność, koszt/pojemność i odporność na błędy są tutaj zrównoważone. Ten typ RAID jest idealny dla dostępu sekwencyjnego, który nie jest szczególnie wymagający.
Dla przykładu, RAID 6 sprawdza się dobrze w przypadku solidnych archiwów lub przechowywania kopii zapasowych. Wydajność zapisu jest najniższa, wydajność odczytu jest dobra, a nadmiarowość jest wyższa niż w przypadku RAID 5, co czyni go idealnym do tego celu.
Dla przykładu, RAID 10 jest najlepszym wyborem dla baz danych OLTP lub systemów poczty elektronicznej i ogólnych zastosowań losowego zapisu. Można jednak wykorzystać tylko 50% surowej przestrzeni dyskowej, dlatego macierz RAID 10 jest stosunkowo droga w przeliczeniu na dostępny TB.
RAID F1 to specjalny typ, dostępny tylko w niektórych modelach Synology NAS, przeznaczony do stosowania w macierzach RAID składających się w całości z dysków SSD. Równomierne obciążenie zapisem zapobiega jednoczesnej awarii wszystkich dysków SSD. Z perspektywy wydajności macierz RAID F1 jest porównywalna z macierzą RAID 5. W porównaniu z RAID 5 informacje o parzystości są również rozdzielane na wszystkie dyski, ale dodatkowe dane o parzystości są zapisywane na automatycznie wybranym dysku.
Firma Synology opracowała również własny typ RAID dla swoich serwerów NAS: SHR (Synology Hybrid RAID). SHR to zautomatyzowany system zarządzania RAID. Jest on szczególnie przydatny dla użytkowników, którzy nie znają typów RAID, ponieważ upraszcza zarządzanie pamięcią masową i optymalizuje jej pojemność. W ten sposób SHR umożliwia bardziej elastyczne wykorzystanie pamięci masowej, gdy użytkownicy korzystają z dysków twardych o różnych rozmiarach. Odpowiedni typ macierzy RAID jest wybierany automatycznie w tle na podstawie liczby dysków twardych. Użytkownicy nie muszą więc zajmować się tematem i samodzielnie wybierać odpowiedniego typu RAID.
Użyj darmowego asystenta online “Kalkulator RAID”, aby znaleźć odpowiedni typ RAID.
5. Backup vs. RAID vs. NAS: werdykt
Zgodnie z opisem, RAID służy jedynie do zapewnienia dostępności danych i nieprzerwanej pracy – nawet jeśli dysk twardy ulegnie awarii. Ponieważ jeśli tak się stanie, nie ma to znaczenia. Wszystkie dane nadal znajdują się na pozostałych dyskach (z wyjątkiem RAID 0). Ten uszkodzony dysk twardy można wtedy wymienić w trakcie pracy bez konieczności przerywania jej ciągłości. Jeśli jednak jakiś plik zostanie przypadkowo usunięty, RAID nie pomoże. RAID nie pomoże również, gdy dojdzie do cyberataku na nasz serwer NAS. W obu przypadkach dane na wszystkich dyskach w macierzy RAID zostają naruszone, uszkodzone lub usunięte. Odzyskanie danych jest wtedy najczęściej już niemożliwe. Inaczej jest w przypadku kopii zapasowej. Ponieważ ta – zgodnie z opisem – kopiuje dane i trzyma je “na zapas”
Z jednej strony NAS to sprzęt, w którym znajdują się dyski twarde, a z drugiej strony oferuje oprogramowanie do kontroli i zarządzania dyskami twardymi. Dyski twarde mogą być zorganizowane w różne grupy RAID. Każda macierz RAID ma inne zalety i wady (np. w zakresie prędkości odczytu/zapisu lub nadmiarowości danych). RAID nie stanowi jednak kopii zapasowej, ponieważ odzyskanie danych nie jest koniecznie gwarantowane. W macierzy RAID dane są tylko dublowane, a nie tworzone oddzielne kopie zapasowe. Uszkodzone lub utracone dane nie mogą być odzyskane. Kopia zapasowa oznacza dodatkowe zapisanie danych na oddzielnym nośniku danych (np. na serwerze NAS).
Szukasz odpowiedniego rozwiązania do tworzenia kopii zapasowych dla swojej firmy i chciałbyś uzyskać poradę? Skontaktuj się z nami. Sklep Synology.
Nakivo Backup & Replication to kompleksowe rozwiązanie do ochrony danych, które umożliwia odzyskanie danych po ataku Ransomware bez utraty danych lub płacenia okupu.
Odzyskiwanie danych po ataku Ramsomware z kopii zapasowej za pomocą rozwiązania do tworzenia kopii zapasowych Nakivo Backup & Replication
- Natychmiastowe odzyskiwanie granularne
- Natychmiastowe odzyskiwanie maszyn wirtualnych
- Natychmiastowa weryfikacja kopii zapasowych
- Niezmienna pamięć lokalna i w chmurze
- Automatyczne przełączanie awaryjne do repliki
Kluczowe funkcje NAKIVO Backup & Replication
| Solidne kopie zapasowe | Zastosuj regułę tworzenia kopii zapasowych 3-2-1, aby mieć dostępną kopię zapasową do odzyskania |
| Niezmienne dane kopii zapasowej | Zapobiegaj nadpisywaniu i szyfrowaniu danych kopii zapasowych przez oprogramowanie ransomware, korzystając z lokalnego niezmiennego repozytorium opartego na systemie Linux lub włączając blokadę obiektów S3 dla kopii zapasowych w Amazon S3 |
| Wzmocnione urządzenie wirtualne | Wdróż rozwiązanie jako wstępnie skonfigurowaną maszynę wirtualną i włącz niezmienność kopii zapasowych wysyłanych do repozytorium (przez określony czas) |
| Kopie zapasowe na osobnych nośnikach | Twórz kopie zapasowe kopiując je bezpośrednio na odłączane urządzenia USB, NAS lub urządzenia taśmowe, aby odizolować je od możliwych ataków ransomware |
| Natychmiastowa weryfikacja | Natychmiast przetestuj aktualność kopii zapasowej i repliki i przygotuj się na odzyskiwanie danych po ataku ransomware |
| Szybsze odzyskiwanie | Błyskawicznie przywracaj pełne maszyny fizyczne i wirtualne lub korzystaj z przywracania granularnego, aby odzyskać pliki i obiekty aplikacji |
| Elastyczne zasady przechowywania | Twórz tysiące punktów przywracania, korzystając ze schematu przechowywania danych GFS, aby skutecznie odzyskiwanie dane pataku ransomware |
| Site Recovery | Zautomatyzuj i zorganizuj odzyskiwanie po awarii aby zapewnić nieprzerwaną dostępność i odporność |
Potrzebujesz niezawodnego, kompleksowego rozwiązania do ochrony danych, aby zminimalizować wpływ ataków ransomware, odzyskać dane i zapewnić ciągłość biznesową.
Pobierz wersję próbną nowej wersji oprogramowania Nakivo Backup & Replication!
CO NOWEGO W WERSJI 10.5 ?
 |  |
| Monitorowanie VMware | Wzmocnione urządzenie wirtualne |
| Uzyskaj pełny wgląd w wydajność i stan infrastruktury VMware vSphere. Korzystając z jednego pulpitu nawigacyjnego, monitoruj wykorzystanie procesora, pamięci RAM i dysku przez hosty i maszyny wirtualne VMware vSphere, a także wykorzystanie dysków w magazynach danych VMware vSphere. Pulpit nawigacyjny udostępnia dane zarówno w czasie rzeczywistym, jak i historyczne, co pozwala analizować trendy wydajności, badać problemy z wydajnością i przewidywać przyszłe potrzeby w zakresie przetwarzania i przechowywania. | Hardened Virtual Appliance (VA) oferuje prosty sposób na wdrożenie NAKIVO Backup & Replication i ochronę danych przed oprogramowaniem ransomware. Wdróż rozwiązanie jako wstępnie skonfigurowany VA z systemem Ubuntu Server i chroń dane kopii zapasowej przed usunięciem i szyfrowaniem przez oprogramowanie ransomware. Kopie zapasowe wysyłane do repozytorium wdrożonego jako część urządzenia wirtualnego mogą być niezmienne przez określony czas. Nawet superużytkownik nie może modyfikować ani usuwać kopii zapasowych ani znosić niezmienności. |
Skontaktuj się z nami!
+48 91 885 46 30
W ostatnim czasie rodzaje wirusów ransomware stały się bardziej zróżnicowane. Złośliwe oprogramowania atakują systemy niezależnie od organizacji lub rozmiaru systemu, od międzynarodowych firm i liderów branży po małe indywidualne jednostki czy systemy informacyjne.
Raport izraelskiej branży bezpieczeństwa Check Point wskazał, że w trzecim kwartale roku 2020 globalne ataki ransomware wzrosły aż o 50%. Średnia dzienna aktywność ataku wzrosła o 50% w porównaniu z pierwszą połową tego roku, a nowa ofiara pojawiała się co 10 sekund. Oczywiście zagrożenie dla bezpieczeństwa informacji się pogłębia.
Oprócz wprowadzenia z wyprzedzeniem środków ostrożności i reagowania na sytuacje awaryjne w przypadku ataku, wcześniejsze utworzenie mechanizmu tworzenia kopii zapasowych jest nadal jedynym sposobem zapobiegania katastrofom.
Posiadanie kopii zapasowych powoduje, że jeśli dane zostaną zaszyfrowane przez oprogramowanie ransomware, pliki niezainfekowane nadal będą dostępne do codziennego użytku, a co za tym idzie przywrócenie poprzedniej kopii umożliwi działalność jednostki bez zakłóceń.
Opracuj strategię tworzenia kopii zapasowych
Obecnie przedsiębiorstwa stają przed wieloma wyzwaniami w zakresie tworzenia kopii zapasowych. Gdy personel IT przedsiębiorstwa zaczyna planować lub ponownie analizować istniejące strategie tworzenia kopii zapasowych, zaleca się najpierw przeprowadzić inwentaryzację danych, aby potwierdzić zawartość i zakres danych, które mają być objęte kopią zapasową.
Krok pierwszy to sprawdzenie środowiska, w którym wykorzystywane są dane. Obecnie, gdy infrastruktura IT staje się coraz bardziej zróżnicowana i złożona, większość firm znajduje się już w środowisku hybrydowym, w którym współistnieją fizyczne, wirtualne, a nawet chmurowe rozwiązania. Personel IT musi zarządzać zadaniami tworzenia kopii zapasowych z różnych platform, takich jak platforma fizyczna, wirtualna i chmura.
Dlatego przed sformułowaniem strategii tworzenia kopii zapasowych należy przeprowadzić inwentaryzację nie tylko danych ale też urządzeń, takich jak serwery, komputery PC, laptopy i inne urządzenia fizyczne lub z platform SaaS, maszyn wirtualne i podjąć decyzję, dla których z nich będziemy tworzyć kopie zapasowe.
Krok drugi to ewaluacja informacji czyli spis usług, które będą używane do i wyszczególnienie, które dane są najbardziej krytyczne i wymagają kopii zapasowej. Na przykład w przypadku serwerów plików, systemów ERP, systemów zasobów ludzkich, maszyn wirtualnych usług podstawowych i serwerów fizycznych wykorzystywanych w podstawowych operacjach biznesowych, a także kluczowych urządzeń, takich jak komputery PC kadry kierowniczej, należy ustanowić regularny mechanizm harmonogramu tworzenia kopii zapasowych. Ze względu na wagę usługi warto opracować odpowiednie RTO (docelowy czas odzyskiwania) i RPO (cel punktu odzyskiwania).
Następnie dane można dalej podzielić na dane „zimne” lub „gorące”. Standard danych gorących i zimnych zależy głównie od tego, czy dane te są często używane. Na przykład większość korporacyjnych systemów ERP, systemów pocztowych i serwerów plików to gorące dane. Korporacyjne systemy ERP to usługi, do których pracownicy muszą mieć dostęp każdego dnia, a ilość danych będzie się ciągle zmieniać.
Inaczej będziemy klasyfikować dane w przypadku systemu monitorowania obrazu wdrożonego w przedsiębiorstwie, gdzie dane obrazu muszą być codziennie archiwizowane lecz jeśli jednak nie wystąpi określone zdarzenie, nie będzie potrzeby dostępu. Tego typu dane o niskiej częstotliwości dostępu są idealnym przykładem zimnych danych.
Po zinwentaryzowaniu platformy źródłowej, urządzeń i ważności danych można ustawić częstotliwość tworzenia kopii zapasowych, liczbę wersji do wykonania kopii zapasowej oraz docelowe urządzenie kopii zapasowej dla różnych danych. Gorące i zimne dane będą wymagały różnych poziomów tworzenia kopii zapasowych. Gorące dane wymagają urządzenia pamięci masowej ze stosunkowo wysokim parametrem IOPS. Zimne dane wymagają stosunkowo niskiego IO. Podstawowa kwestia dla wszystkich przedsiębiorstw to upewnienie się, że pojemność pamięci masowej jest wystarczająca do wyznaczonych celów.
Zasada tworzenia kopii zapasowych 3-2-1
Po zakończeniu przeglądu firma może potwierdzić, czy aktualnie wybrany sprzęt do tworzenia kopii zapasowych spełnia wymagania, a następnie sporządzić odpowiedni plan tworzenia kopii zapasowych i wybrać najbardziej efektywny plan wdrożenia w ramach dostępnego budżetu.
Zaleca się aby przy wdrażaniu planów tworzenia kopii zapasowych firmy przyjęły „zasadę 3-2-1”, co oznacza, że ważne pliki muszą być przechowywane w 3 kopiach, pliki są przechowywane na co najmniej 2 różnych nośnikach, z czego 1 z nich znajduje się poza siedzibą firmy.
Ponadto przedsiębiorstwa powinny również tworzyć kopie zapasowe wielu wersji danych krytycznych i wybrać pakiet usług, który obsługuje tworzenie kopii zapasowych na lokalnych urządzeniach pamięci masowej, zewnętrznych urządzeniach pamięci masowej i przestrzeni w chmurze publicznej. Ponadto firma powinna zarezerwować wystarczającą ilość miejsca na przechowywanie kopii zapasowych wielu wersji, aby zapewnić jak najlepszą ochronę krytycznych danych.
Przykładowo, gdy przedsiębiorstwo tworzy kopię zapasową serwera plików, do którego pracownicy mają dostęp każdego dnia, może zapisywać kopie zapasowe wielu wersji na lokalnym serwerze NAS za pomocą funkcji migawki, a następnie kopiować pliki migawek na zdalny serwer NAS. Trzecia kopia zapasowa danych może być poddana deduplikacji i skompresowana.
Oprócz regularnego wykonywania kopii zapasowych jest jeszcze jedna rzecz, na którą należy zwrócić uwagę w obliczu oprogramowania ransomware: kopie zapasowe muszą być utrzymywane w trybie offline. Ponieważ obecne warianty oprogramowania ransomware już próbowały zaatakować i usunąć wszelkie dostępne pliki i dane kopii zapasowych, niektóre złośliwe oprogramowanie mogą nawet ponownie zaszyfrować te pliki kopii zapasowych. Dlatego bardzo ważne jest również przechowywanie zaszyfrowanej kopii zapasowej danych w trybie offline oraz regularne utrzymywanie i testowanie integralności danych.
Wyobraźmy sobie rzeczywisty scenariusz aplikacji: jeśli strategia tworzenia kopii zapasowych w przedsiębiorstwie polega na zaplanowaniu replikacji migawki codziennie o 12:00 oraz o 17:00 i 18:00, to nawet jeśli ich system zostanie zaatakowany przez oprogramowanie ransomware o 13:00, będzie można przywrócić niezainfekowaną wersję pliku z migawki zrobionej godzinę wcześnie.
Dobrym przykładem korzyści z posiadania dobrego planu tworzenia kopii zapasowych jest również sytuacja, gdzie firma wykonuje zdalne kopie zapasowe a ich lokalna pracownia komputerowa tymczasowo ulegnie awarii. W tym przypadku serwer pomocniczy może przejąć i otworzyć plik kopii zapasowej, aby natychmiast zapewnić usługi dostępu i uniknąć ryzyka przerwania usługi.
Zarządzanie kopiami zapasowych i odzyskiwanie danych po awarii
Warto przypomnieć, że dla pracowników działu IT przedsiębiorstwa, sposób zarządzania zadaniami tworzenia kopii zapasowych jest również ważnym punktem, który należy wziąć pod uwagę podczas planowania. Szczególnie teraz, kiedy istnieje wiele danych z heterogenicznych urządzeń i platform, którymi należy zarządzać. Idealne oprogramowanie do tworzenia kopii zapasowych powinno zapewniać ujednolicony interfejs do łatwego zarządzania oraz dostosowane raporty wyjściowe, aby ułatwić późniejsze śledzenie i zarządzanie danymi.
Kluczowe jest monitorowanie zadań tworzenia kopii zapasowych danych pod kątem nietypowych warunków użytkowania, generowanie fałszywych alarmów w przypadku wystąpienia nietypowych zachowań lub dostarczanie danych do odpowiednich jednostek w celu przeprowadzenia audytów bezpieczeństwa informacji.
Jednocześnie odzyskiwanie i integralność danych mają również kluczowe znaczenie dla tworzenia kopii zapasowych danych.
Oprócz wdrażania planów tworzenia kopii zapasowych danych w wielu wersjach i wielu miejscach docelowych, firmy powinny również regularnie przywracać i testować stan kopii zapasowych. Jest to niezbędne, aby zapewnić integralność oraz dostępność danych.
Ważne jest także, aby regularnie sprawdzać korzystanie z mechanizmów odtwarzania po awarii oraz uczestniczyć w szkoleniach edukacyjnych.
Firma powinna wiedzieć jak reagować w przypadku gdy krytyczne dane zostały usunięte przez oprogramowanie ransomware i z jakich źródeł należy pobrać kopię zapasową oraz wiedzieć, w jaki sposób sprawdzić czy informacje o kopii zapasowej są kompletne. Dzięki ćwiczeniom na wypadek awarii możemy dodatkowo upewnić się, że dane są naprawdę bezpieczne.
W obliczu stale zmieniającego się oprogramowania ransomware przedsiębiorstwa muszą zachować elastyczność oraz dostosowywać swoje reakcje w każdym momencie.
Reasumując wszystkie zebrane powyżej informacje, firmy powinny regularnie wykonywać kopie zapasowe plików. Jest to pozytywne działanie mające na celu ochronę ważnych danych. Zaleca się, aby najpierw dokonały rozeznania w zakresie inwentaryzacji danych, pamiętały o zasadzie „kopii zapasowej 3-2-1” i sformułowały dla siebie najbardziej odpowiednią strategię tworzenia kopii zapasowych i przywracania danych. Poprzez ćwiczenia pokazujące w jaki sposób poradzić sobie z krytyczną sytuacją utraty danych czy ataku ransomware, każda firma jest w stanie stworzyć odpowiednią linię obrony dla swojego środowiska.
Potrzebujesz pomocy w tym zakresie? Szukasz rozwiązania do bezpiecznego przechowywania danych? Skontaktuj się z nami.
Jak podaje portal BleepingComputer.com firma QNAP ponownie ostrzega klientów przed nowym oprogramowaniem ransomware. Należy zabezpieczyć swoje urządzenia NAS podłączone do internetu w celu ochrony przed trwającymi i powszechnymi atakami za pomocą nowego wirusa ransomware DeadBolt.
„DeadBolt szeroko atakuje wszystkie NAS wystawione w Internecie bez jakiejkolwiek ochrony i szyfrowania danych użytkowników w celu okupu za Bitcoiny” – podała firma w wydanym oświadczeniu.
Jeśli Twój serwer NAS jest podłączony do internetu oraz na jego pulpicie wyświetla się komunikat : „Usługa administracji systemu może być bezpośrednio dostępna z zewnętrznego adresu IP za pośrednictwem następujących protokołów: HTTP” jest narażony na atak ze strony złośliwego oprogramowania.
Wszyscy użytkownicy QNAP są zachęcani do „natychmiastowej aktualizacji QTS do najnowszej dostępnej wersji”, aby zablokować nadchodzące ataki ransomware DeadBolt.
QNAP zaleca również klientom natychmiastowe wyłączenie przekierowania portów na routerze i funkcji UPnP serwera QNAP NAS, wykonując następujące czynności:
- Wyłącz funkcję Port Forwarding routera: Przejdź do interfejsu zarządzania routera, sprawdź ustawienia Virtual Server, NAT lub Port Forwarding i wyłącz ustawienie przekierowania portu usługi zarządzania NAS (domyślnie port 8080 i 433).
- Wyłącz funkcję UPnP serwera QNAP NAS: Przejdź do myQNAPcloud w menu QTS, kliknij opcję „Automatyczna konfiguracja routera” i usuń zaznaczenie opcji „Włącz przekazywanie portów UPnP”.
Możesz również skorzystać z tego szczegółowego przewodnika krok po kroku, aby wyłączyć połączenia SSH i Telnet, zmienić numer portu systemowego i hasła urządzeń oraz włączyć ochronę IP i dostępu do konta.
Na forum portalu BleepingComputer znajduje się również temat wsparcia dla ransomware DeadBolt, w którym można znaleźć więcej informacji na temat ataków i skorzystać z pomocy innych użytkowników QNAP.
Nowe powierzchnie oprogramowania ransomware DeadBolt
Jak poinformował wczoraj BleepingComputer, grupa oprogramowania ransomware DeadBolt zaczęła atakować użytkowników QNAP 25 stycznia, szyfrując pliki na zhakowanych urządzeniach NAS i dodając rozszerzenie .deadbolt.
Osoby atakujące nie zrzucają notatek z żądaniem okupu na zaszyfrowane urządzenia, ale zamiast tego przechwytują strony logowania, aby wyświetlić ekrany ostrzegawcze z napisem „OSTRZEŻENIE: Twoje pliki zostały zablokowane przez DeadBolt”.
Ekran okupu prosi ofiary o zapłacenie 0,03 bitcoina (około 1100 USD) na unikalny adres Bitcoin wygenerowany dla każdej ofiary ataku, twierdząc, że klucz deszyfrujący zostanie wysłany na ten sam adres blockchain w polu OP_RETURN po przejściu płatności.
W tej chwili nie ma żadnych potwierdzeń, że cyberprzestępcy faktycznie spełnią swoją obietnicę wysłania działającego klucza deszyfrującego po zapłaceniu okupu.
Te trwające ataki ransomware DeadBolt dotyczą tylko nie zabezpieczonych urządzeń NAS, a biorąc pod uwagę, że atakujący twierdzą również, że używają błędu dnia zerowego, zaleca się odłączenie ich od Internetu.
Gang DeadBolt prosi również QNAP o zapłacenie 50 bitcoinów (około 1,85 miliona dolarów) za zero-day i główny klucz deszyfrujący do odszyfrowania plików wszystkich ofiar.
Dzisiejsze ostrzeżenie jest trzecim ostrzeżeniem wydanym przez firmę QNAP w celu ostrzegania klientów o atakach ransomware wymierzonych w ich urządzenia NAS z dostępem do Internetu w ciągu ostatnich 12 miesięcy.
Wcześniej ostrzegano ich przed atakami ransomware eCh0raix w maju i atakami ransomware AgeLocker w kwietniu.
Firma wezwała również wszystkich użytkowników QNAP NAS do zabezpieczenia urządzeń NAS narażonych na dostęp do Internetu 7 stycznia, jednocześnie ostrzegając ich o aktywnym oprogramowaniu ransomware i atakach typu brute-force.
W dniu wczorajszym firma QNAP oficjalnie udostępniła QuTS hero h5.0, najnowszą wersję systemu operacyjnego dla QNAP NAS opartego o system plików ZFS. Dzięki wykorzystaniu nowego jądra Linux 5.10 system został wzbogacony o dodatkowe zabezpieczenia, obsługę WireGuard VPN, natychmiastowe klonowanie migawek i bezpłatną obsługę exFAT. Serwer NAS z systemem QuTS hero to rozwiązanie zapewniające wyjątkowe bezpieczeństwo w zakresie przechowywania/tworzenia kopii zapasowych, wirtualizacji lub wspólnej edycji multimediów.
Kluczowe nowe aplikacje i funkcje w QuTS hero h5.0:
- Większe bezpieczeństwo:
Obsługa protokołu TLS 1.3, automatyczna aktualizacja systemu operacyjnego i aplikacji oraz udostępnianie kluczy SSH do uwierzytelniania w celu bezpiecznego dostępu do NAS. - Obsługa WireGuard VPN:
Nowy QVPN 3.0 integruje lekką i niezawodną sieć WireGuard VPN i zapewnia użytkownikom łatwy w użyciu interfejs do konfiguracji i bezpiecznej łączności. - Dedykowany ZIL – SLOG:
Przechowywanie danych ZIL i danych z pamięci podręcznej odczytu (L2ARC) na różnych dyskach SSD w celu balansowania obciążeniami odczytu i zapisu, poprawia ogólną wydajność systemu oraz wykorzystanie i żywotność dysku SSD, co jest szczególnie korzystne do optymalizacji pamięci masowej flash. - Natychmiastowe klonowanie:
System umożliwia natychmiastowe klonowanie migawek na dodatkowy serwer NAS. QuTS hero pomaga w zarządzaniu kopiowanymi danymi i ich analizie bez zakłócania operacji serwera produkcyjnego. - Bezpłatna obsługa exFAT:
exFAT to system plików, który obsługuje pliki do 16 EB i jest zoptymalizowany pod kątem pamięci flash (takiej jak karty SD i urządzenia USB), co przyspiesza przesyłanie i udostępnianie dużych plików multimedialnych. - DA Drive Analyzer z diagnostyką wspomaganą sztuczną inteligencją:
DA Drive Analyzer wykorzystuje opartą na chmurze sztuczną inteligencję ULINK do przewidywania żywotności dysków, pomagając użytkownikom w planowaniu wymiany dysków z wyprzedzeniem w celu ochrony przed przestojami serwera i stratami danych. - Ulepszone rozpoznawanie obrazu dzięki Edge TPU:
Dzięki wykorzystaniu Edge TPU dla QNAP (silnik oparty na sztucznej inteligencji do rozpoznawania obrazu), QuMagie może szybciej rozpoznawać twarze i obiekty, podczas gdy w aplikacji QVR Face przyśpiesza działanie analityki wideo do natychmiastowego rozpoznawania twarzy.
Co wybrać? QuTS hero h5.0 czy QTS?
| QuTS hero | QTS | |
| System plików | ZFS | Ext4 |
| Pamięć podręczna SSD | Pamięć podręczna odczytu | Pamięć podręczna odczytu/zapisu Pamięć podręczna odczytu Pamięć podręczna zapisu |
| Liniowa kompresja | Tak (kompresja LZ4, idealna dla plików RAW i dokumentów) | Nie |
| Liniowa deduplikacja | Tak (wymagane co najmniej 16 GB pamięci RAM) | Nie |
| HBS z QuDedup do zdalnego tworzenia kopii zapasowych | Tak | Tak |
| Ochrona przed awarią zasilania (sprzęt) | Zasilacz bezprzerwowy (UPS) | Zasilacz bezprzerwowy (UPS) |
| Ochrona przed awarią zasilania (oprogramowanie) | ZIL Copy-On-Write (usługa kontynuowana po przywróceniu zasilania) | Nie (ryzyko uszkodzenia na poziomie systemu plików w przypadku utraty zasilania i przestoju systemu, wymagane działąnie funkcji „Sprawdź system plików”) |
| Zarządzanie uprawnieniami | Bogate listy ACL (14 typów) | Listy ACL POSIX (3 typy) + określone uprawnienia specjalne |
| Zwiększanie pojemności | Możliwość zwiększania pojemności grupy RAID Wymiana dysków na napędy o większej pojemności Dołączenie modułów rozszerzających/JBOD | Dodanie dysk do grupy RAID Możliwość zwiększania pojemności pamięci RAID Wymiana dysków na napędy o większej pojemności Dołączenie modułów rozszerzających/JBOD |
| Bezpieczeństwo danych | Ulepszone (samonaprawianie i kopiowanie przy zapisie) | Standardowe |
| Ogólna wydajność | Wymaga wydajniejszego procesora i większej ilości pamięci | Ulepszona |
| Zalecana konfiguracja dysku SSD dla aplikacji do edycji wideo | Należy użyć pul SSD Uwaga: Podczas tworzenia folderów/jednostek LUN wymagane ustawienie rozmiaru bloku na 128 kB | Edycja (z plików oryginalnych / RAW): Należy użyć pul SSD Postprodukcja: Należy włączyć pamięć podręczną odczytu/zapisu Uwaga: Podczas tworzenia wolumenów wymagane ustawienie rozmiaru bloku na 32 kB lub 64 kB i wybór opcji „All I/O” jako trybu pamięci podręcznej. |
Szukasz rozwiązania odpowiedniego dla swoich potrzeb? Nie wiesz który serwer i z jakim systemem wybrać? Skontaktuj się z nami.
20 września 2021 roku ruszył proces składania wniosków o dofinansowanie transformacji cyfrowej dla sektora małych i średnich przedsiębiorstw. Program ma na celu wdrożenie nowych technologii cyfrowych w MŚP, które pomogą w złagodzeniu skutków wystąpienia COVID-19 oraz ograniczeniu ryzyka wystąpienia problemów gospodarczych i społecznych wynikających z pandemii.
Kto może otrzymać dofinansowanie?
Wsparcie mogą otrzymać mikro-, małe i średnie przedsiębiorstwa, które prowadzą działalność gospodarczą na terytorium Rzeczypospolitej Polskiej potwierdzoną wpisem do odpowiedniego rejestru.
Na co można przeznaczyć dofinansowanie?
Dofinansowanie można przeznaczyć na:
- zakup usług programistycznych lub/i zakup oprogramowania gotowego, w tym w formie licencji (z wyłączeniem standardowego oprogramowania biurowego czy księgowego) w celu opracowania lub wprowadzenia rozwiązania cyfryzacyjnego – komponent obligatoryjny projektu;
- zakup środków trwałych, w tym maszyn i urządzeń, sprzętu komputerowego lub związanego z przesyłem lub magazynowaniem danych, środków niskocennych, lub/i zakup usług doradczych (w tym branżowych, technologicznych, biznesowych, prawnych) lub/i zakup usług szkoleniowych w celu wdrożenia rozwiązania cyfryzacyjnego – komponent fakultatywny projektu.
Ile może wynosić dofinansowanie?
KWOTA JAKĄ MOŻESZ OTRZYMAĆ MAKSYMALNIE:
255 000 zł
CAŁKOWITY KOSZT PROJEKTU MUSI ZAMKNĄĆ SIĘ W KWOCIE:
300 000 zł
Wsparcie wyniesie do 85% wartości projektu, co oznacza, że wkład przedsiębiorstwa to co najmniej 15% całkowitego kosztu projektu.
Pula środków w konkursie 110 000 000,00 zł
Dokumenty możesz pobrać ze strony Polskiej Agencji Rozwoju Przedsiębiorczości – PARP.
Zakończenie przyjmowania wniosków – 20 października 2021.
Jak my możemy Ci pomóc?
Firma Storage IT Sp. z o.o. rozumiejąc różne potrzeby, oczekiwania, jak również możliwości firnansowe danego przedsiębiorstwa oferuje bezpłatną pomoc oraz doradztwo w doborze optymalnego rozwiązania spełniającego określone wymagania klienta.
Oferowane przez nas rozwiązania obejmują:
- Systemy NAS
- Serwery Aplikacji
- Systemy SAN
- Dyski twarde
- Oprogramowanie do prowadzenia kopii zapasowych
- Monitoring video
- Systemy sieciowe
- Przełączniki KVM
- Profesjonalne systemy audio-wideo
- Inteligentne zarządzanie energią w serwerowniach
Jesteśmy certyfikowanym partnerem QNAP oraz Synology, autoryzowanym partnerem firmy ATEN.
Oprócz bezpłatnego doradztwa proponujemy atrakcyjne warunki sprzedaży oraz pełne wsparcie techniczne w całym cyklu życia produktu.
Zapraszamy do kontaktu z nami – Storage IT Sp. z o.o.
W ostatnich latach nastąpiła dramatyczna eskalacja cyberataków. Według raportu The New York Times w 2019 r. zaatakowano ponad 200 000 organizacji przy użyciu oprogramowania ransomware, co stanowi wzrost o 41% w porównaniu z rokiem poprzednim. Pandemia Covid-19 również sprzyja cyberatakom. Szacuje się, że w okresie od stycznia do czerwca 2020 zanotowano w Polsce ponad 5200 ataków, oszustw czy włamań.
W tym artykule podpowiemy jak zadbać o bezpieczeństwo danych z serwerem Synology.
Ważna rzecz o której należy pamiętać już na wstępie! Większość ustawień, które będą wymienione w tym tekście może być modyfikowana tylko przez konto użytkownika z uprawnieniami administratora.
KROK 1: Bądź na bieżąco i włącz powiadomienia
Firma Synology regularnie publikuje aktualizacje DSM, aby zapewnić stałą poprawę funkcjonalności oraz wydajności swoich urządzeń, a także usuwać luki w zabezpieczeniach produktów.
W praktyce wygląda to tak, że zawsze kiedy pojawi się luka w zabezpieczeniach, zespół reagowania Synology (PSIRT) przeprowadza ocenę i dochodzenie w ciągu 8 godzin. Następnie wydaje poprawkę w ciągu kolejnych 15 godzin, aby zapobiec potencjalnym szkodom spowodowanym atakami typu zero-day.
W przypadku większości użytkowników zdecydowanie zalecane jest skonfigurowanie automatycznych aktualizacji DSM. Należy tu dodać, że automatyczne aktualizacje obsługują tylko drobne aktualizacje DSM. Duże aktualizacje wymagają niestety ręcznej instalacji.
Wiele urządzeń Synology ma opcję uruchomienia Virtual DSM w programie Virtual Machine Manager, aby móc utworzyć zwirtualizowaną wersję systemu operacyjnego DSM. Virtual DSM pozwala utworzyć środowisko przejściowe, aby następnie zreplikować lub spróbować odtworzyć w nim swoje środowisko produkcyjne. Następnie należy wykonać test aktualizacji, instalując najnowszą wersję DSM na Virtual DSM i sprawdzić kluczowe funkcje wymagane w bieżącym wdrożeniu przed kontynuowaniem aktualizacji w środowisku głównym.
Inną ważną rzeczą, którą należy wziąć pod uwagę, jest bycie na bieżąco z aktualizacjami, gdy się pojawiają. Serwer Synology NAS pozwala na skonfigurowanie powiadomień na serwerze Synology NAS i otrzymywanie powiadomień e-mailem, SMS-em na urządzeniu mobilnym lub za pośrednictwem przeglądarki internetowej, gdy wystąpią określone zdarzenia lub błędy. Usługa DDNS firmy Synology, pozwala na otrzymywanie powiadomień o utracie połączenia z siecią zewnętrzną. Natychmiastowe działanie po otrzymaniu powiadomienia jest ważnym elementem zapewniania długoterminowego bezpieczeństwa danych.
Firma zachęca również swoich klientów do założenia konta na stronie Synology, aby być na bieżąco z najnowszymi aktualizacjami zabezpieczeń i funkcji.
KROK 2: Uruchom doradcę do spraw zabezpieczeń
Security Advisor Doradca ds. zabezpieczeń to domyślnie zainstalowana aplikacja, która może skanować serwer NAS pod kątem typowych problemów z konfiguracją DSM. Aplikacja podaje sugestie dotyczące dalszych działań, które mogą być konieczne do zapewnienia bezpieczeństwa serwera Synology NAS. Może wykrywać np. typowe nieprawidłowości, takie jak pozostawienie otwartego dostępu SSH, nieprawidłowe działania związane z logowaniem czy modyfikację plików systemowych DSM.
KROK 3: Konfiguracja podstawowych funkcji zabezpieczeń DSM
Serwer Synology pozwala na konfigurację wielu ustawień zabezpieczeń w Panelu sterowania > zakładka Zabezpieczenia. Bezpieczeństwo
Automatyczne blokowanie adresów IP – jak to zrobić?
Otwórz Panel sterowania i przejdź do Zabezpieczenia> Automatyczne blokowanie. Włącz automatyczne blokowanie, aby automatycznie blokować adresy IP klientów, którzy nie logują się w określonej liczbie razy w określonym okresie. Administratorzy mogą również umieszczać na czarnej liście określone adresy IP, aby zapobiec potencjalnym atakom typu brute force lub denial-of-service.
Skonfiguruj liczbę prób w oparciu o środowisko użytkowania i typ użytkowników, których urządzenie będzie regularnie obsługiwać. Należy pamiętać, że większość domów i firm ma tylko jeden zewnętrzny adres IP dla swoich użytkowników, a adresy IP są często dynamiczne i zmieniają się po określonej liczbie dni lub tygodni.
Ochrona konta
Podczas gdy funkcja Automatyczne blokowanie umieszcza na czarnej liście adresy IP, ochrona konta chroni konta użytkowników, blokując dostęp niezaufanych klientów. Jak to zrobić?
Wybierz Panel sterowania> Bezpieczeństwo> Ochrona konta. Możesz włączyć ochronę konta, aby chronić konta przed niezaufanymi klientami po określonej liczbie nieudanych logowania. Zwiększa to bezpieczeństwo Twojego DSM i zmniejsza ryzyko, że konta padną ofiarą ataków siłowych ze strony ataków rozproszonych.
Włącz HTTPS
Włączony protokół HTTPS pozwala szyfrować i zabezpieczać ruch sieciowy między serwerem Synology NAS a podłączonymi klientami. Chroni to przed typowymi formami podsłuchiwania lub atakami typu man-in-the-middle. Jak to zrobić?
Wybierz Panel sterowania> Sieć> Ustawienia DSM. Zaznacz pole wyboru Automatycznie przekierowuj połączenia HTTP na HTTPS. Teraz połączysz się z DSM przez HTTPS. Na pasku adresu zauważysz, że adres URL Twojego urządzenia zaczyna się od „https: //” zamiast „http: //”. Zauważ, że domyślny numer portu dla https to 443, podczas gdy http domyślnie używa portu 80. Jeśli wcześniej stosowałeś pewne ustawienia zapory lub sieci, może być konieczne ich zaktualizowanie.
Zaawansowane: dostosuj reguły zapory
Zapora służy jako wirtualna bariera, która filtruje ruch sieciowy ze źródeł zewnętrznych zgodnie z zestawem reguł. Jak dostosować reguły zapory? Wybierz kolejno Panel sterowania> Zabezpieczenia> Zapora, aby skonfigurować reguły zapory, zapobiec nieautoryzowanemu logowaniu i kontrolować dostęp do usług. Możesz zdecydować, czy zezwolić lub odmówić dostępu do określonych portów sieciowych za pomocą określonych adresów IP. Jest to dobry sposób na przykład, aby zezwolić na zdalny dostęp z określonego biura lub zezwolić na dostęp tylko do określonej usługi lub protokołu.
KROK 4: HTTPS, część 2 – Let’s Encrypt
Certyfikaty cyfrowe odgrywają kluczową rolę we włączaniu protokołu HTTPS, ale często są drogie i trudne w utrzymaniu, szczególnie dla użytkowników prywatnych. DSM ma wbudowaną obsługę Let’s Encrypt. Jest to bezpłatna i zautomatyzowana organizacja wystawiająca certyfikaty, aby umożliwić każdemu łatwe zabezpieczenie połączeń. Jak uzyskać certyfikat?
Jeśli masz już zarejestrowaną domenę lub korzystasz z DDNS, przejdź do Panel sterowania> Bezpieczeństwo> Certyfikat. Kliknij Dodaj nowy certyfikat> Uzyskaj certyfikat z Let’s Encrypt. W przypadku większości użytkowników należy zaznaczyć opcję „Ustaw jako certyfikat domyślny”. * Wpisz nazwę domeny, aby otrzymać certyfikat.
* Po otrzymaniu certyfikatu upewnij się, że cały ruch przechodzi przez HTTPS (zgodnie z krokiem nr 3).Jeśli skonfigurowałeś swoje urządzenie do świadczenia usług za pośrednictwem wielu domen lub subdomen, musisz skonfigurować, który certyfikat jest używany przez każdą usługę w Panelu sterowania> Bezpieczeństwo> Certyfikat> Konfiguruj
KROK 5: Wyłącz domyślne konto administratora
Wspólne nazwy użytkowników administratora mogą narazić serwer Synology NAS na ataki złośliwych stron, w szczególności ataki siłowe wykorzystujące typowe kombinacje nazwy użytkownika i hasła. Podczas konfigurowania NAS należy unikać popularnych nazw, takich jak „admin”, „administrator”, „root”.* Zalecane jest również ustawienie silnego i unikatowego hasła zaraz po skonfigurowaniu serwera Synology NAS i wyłączenie domyślnego konta administratora systemu **.
Jak to zrobić? Jeśli obecnie logujesz się przy użyciu konta użytkownika „admin”, przejdź do Panel sterowania> Użytkownik i utwórz nowe konto administracyjne. Następnie zaloguj się przy użyciu nowego konta i wyłącz domyślnego administratora systemu.
*„Root” nie jest dozwoloną nazwą użytkownika.
** W przypadku skonfigurowania przy użyciu nazwy użytkownika innej niż „admin” konto domyślne będzie już wyłączone.
KROK 6: Siła hasła
Silne hasło chroni system przed nieautoryzowanym dostępem. Hasło powinno być złożone z różnych liter, cyfr i znaków specjalnych w sposób, który zapamięta tylko użytkownik.
Używanie wspólnego hasła do wielu kont jest również zaproszeniem dla hakerów. Jeśli konto zostanie przejęte, hakerzy mogą łatwo przejąć kontrolę nad innymi kontami. Dzieje się to regularnie w przypadku witryn internetowych i innych usługodawców. Zalecamy zarejestrowanie się w publicznych usługach monitorowania, takich jak Have I Been Pwned lub Firefox Monitor.
Ważne! Jeśli masz problemy z zapamiętaniem złożonych i unikalnych haseł do różnych kont, najlepszym rozwiązaniem może być menedżer haseł (taki jak 1Password, LastPass lub Bitwarden). Musisz tylko zapamiętać jedno hasło – hasło główne – a menedżer haseł pomoże Ci utworzyć i wypełnić dane logowania do wszystkich pozostałych kont.
Jeśli jesteś administratorem serwera Synology NAS, który obsługuje uwierzytelnianie* możesz dostosować zasady haseł użytkowników, aby zaostrzyć wymagania dotyczące bezpieczeństwa haseł dla wszystkich nowych kont użytkowników. Wybierz Panel sterowania> Użytkownik> Zaawansowane i zaznacz pole wyboru: Zastosuj reguły siły hasła w sekcji Ustawienia hasła. Zasady zostaną zastosowane do każdego użytkownika, który utworzy nowe konto.
*Podobne opcje są również dostępne w pakietach LDAP Server i Directory Server.
KROK 7: Weryfikacja dwuetapowa
Weryfikacja dwuetapowa pozwala na dodanie dodatkowej warstwy zabezpieczeń do konta. Producent zdecydowanie zaleca włączenie weryfikacji dwuetapowej. Aby wymusić dwuetapową weryfikację na koncie DSM i koncie Synology, potrzebne będzie urządzenie mobilne i aplikacja uwierzytelniająca, która obsługuje protokół Time-based One-Time Password (TOTP). Logowanie będzie wymagało zarówno poświadczeń użytkownika, jak i ograniczonego czasowo 6-cyfrowego kodu pobranego z aplikacji Microsoft Authenticator, Authy lub innych aplikacji uwierzytelniających, aby zapobiec nieautoryzowanemu dostępowi.
W przypadku konta Synology, jeśli zgubi się telefon z aplikacją uwierzytelniającą,* można użyć kodów zapasowych dostarczonych podczas konfiguracji uwierzytelniania dwuetapowego do zalogowania. Ważne jest, aby zabezpieczyć te kody, pobierając je gdzieś lub drukując. Kody muszą być bezpieczne ale dostępne.
W przypadku utraty identyfikatora w systemie DSM w ostateczności można zresetować weryfikację dwuetapową. Zresetować konfigurację mogą tylko użytkownicy należący do grupy administrators.
Jeśli wszystkie konta administratora nie są już dostępne, należy zresetować poświadczenia i ustawienia sieciowe na urządzeniu.
Jak to zrobić?Przytrzymaj przycisk sprzętowy RESET na serwerze NAS przez około 4 sekundy (usłyszysz sygnał dźwiękowy), a następnie uruchom program Synology Assistant, aby ponownie skonfigurować urządzenie.**
* Niektóre aplikacje uwierzytelniające obsługują metody tworzenia kopii zapasowych i przywracania oparte na kontach innych firm. Oceń swoje wymagania dotyczące bezpieczeństwa w porównaniu z wygodą i opcjami odzyskiwania po awarii.
** SHA, VMM, automatyczne montowanie zaszyfrowanego folderu współdzielonego, wiele ustawień zabezpieczeń, konta użytkowników i ustawienia portów zostaną zresetowane.
KROK 8: Zmień domyślne porty
Chociaż zmiana domyślnych portów HTTP (5000) i HTTPS (5001) w DSM na porty niestandardowe nie może zapobiec ukierunkowanym atakom, może powstrzymać typowe zagrożenia, które atakują tylko wstępnie zdefiniowane usługi.
Jak zmienić domyślne porty? Przejdź do: Panel sterowania> Sieć> Ustawienia DSM i dostosuj numery portów. Dobrym pomysłem jest również zmiana domyślnego portu SSH (22), jeśli regularnie używasz dostępu do powłoki systemowej.
Można również wdrożyć odwrotne proxy, aby ograniczyć potencjalne kierunki ataków tylko do określonych usług internetowych oraz aby zwiększyć bezpieczeństwo. Zwrotne proxy działa jako pośrednik w komunikacji między (zwykle) serwerem wewnętrznym a klientami zdalnymi, ukrywając pewne informacje o serwerze, takie jak jego rzeczywisty adres IP.
KROK 9: Wyłącz SSH / telnet, gdy nie jest używany
Zaawansowani użytkownicy, którzy często wymagają dostępu do powłoki systemowej, powinni pamiętać o wyłączeniu SSH / telnet kiedy nie jest używany. Dostęp roota jest domyślnie włączony, a SSH / telnet obsługuje tylko logowanie z kont administratora, hakerzy mogą siłą wymusić hasło, aby uzyskać nieautoryzowany dostęp do systemu.
Jeśli chcesz, aby usługa terminalowa była dostępna przez cały czas, zalecamy ustawienie silnego hasła i zmianę domyślnego numeru portu SSH (22) w celu zwiększenia bezpieczeństwa. Możesz również rozważyć wykorzystanie VPN i ograniczenie dostępu SSH tylko do lokalnych lub zaufanych adresów IP.
KROK 10: Zaszyfruj foldery udostępnione
DSM obsługuje szyfrowanie AES-256 folderów współdzielonych, aby zapobiec wyodrębnianiu danych z zagrożeń fizycznych. Administratorzy mogą szyfrować nowo utworzone i istniejące foldery współdzielone.
Jak zaszyfrować istniejące foldery współdzielone? Przejdź do Panel sterowania> Folder współdzielony i Edytuj folder. Skonfiguruj klucz szyfrowania na karcie Szyfrowanie, a DSM rozpocznie szyfrowanie folderu. Zdecydowanie zalecamy zapisanie wygenerowanego pliku klucza w bezpiecznej lokalizacji, ponieważ zaszyfrowanych danych nie można odzyskać bez użytego hasła lub pliku klucza.
KROK 10 plus: Integralność danych
Bezpieczeństwo danych jest nierozerwalnie związane ze spójnością i dokładnością danych – integralnością. Bezpieczeństwo danych jest warunkiem wstępnym dla integralności danych, ponieważ nieautoryzowany dostęp może prowadzić do ich naruszenia lub utraty, sprawiając, że krytyczne dane staną się bezużyteczne.
Aby zapewnić dokładność i spójność danych, można podjąć dwa kroki: włączyć sumę kontrolną danych i uruchomić S.M.A.R.T. testy regularnie.
Podsumowanie
Zagrożenia internetowe stale ewoluują, co sprawia, że bezpieczeństwo danych musi być równie różnorodne. Wraz z wprowadzaniem większej liczby połączonych urządzeń w domu i w pracy, cyberprzestępcom łatwiej jest wykorzystywać luki w zabezpieczeniach i uzyskać dostęp do sieci. Bezpieczeństwo to proces, który należy stale udoskonalać.