NAS真的不安全嗎?華華世界芸中有道——ASUSTOR「縱深資料防護」!
https://4.bp.blogspot.com/-9Sw4YeWacu0/XBhcodPfYLI/AAAAAAACaBk/DFyzmMV_Z_QEAfG4L6LNDCSH7wBrsoobQCLcBGAs/s640/Asustor-watermark.png對小夜來說要不要部署NAS,最後的考量就是——對資訊安全的擔憂!相信你也有同感?所以這次很高興能向廠商借到實機體驗。在有限的時間與篇幅內,首先扼要提點資安概念,接著檢視華芸的資安解決方案,最後提出心得小結。
✎說到資訊安全(Information Security),一定要提及的就是:C.I.A.(這裡指的可不是中央情報局或聯想到史諾登Snowden☉д⊙),是正經的理論機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),三項安全目標1.2.:
機密性:避免未經授權的存取,且不會意外洩漏敏感的資料。如家庭照、私密照外流即是機密性受到影響。
完整性:避免非經授權的使用者或處理程序篡改資料。如網站內容、傳送的訊息遭到竄改,即是完整性受到影響。
可用性:讓資料隨時保持可用狀況。如機器因過多使用者連線超出負載、遭受DDos攻擊或資料被勒索病毒鎖住,即是可用性受到影響。
✎但太過依賴理論,與現實脫節也不行。參考center for internet security(網際網路安全中心)發佈的CIS Controls Version 7第七版指南3.4.:
https://3.bp.blogspot.com/-siXeYnmi6oA/XBZP89xFeiI/AAAAAAACZ9E/Fv4HzAS35lUs_oRXLVB1UpyMkfnzqkA0ACEwYBhgL/s400/Screenshot%2B2018-12-16%2Bat%2B21.13.22.png
前兩項是硬體軟體資產庫存和控制即是資產分級,第三項是漏洞管理,第四是最高權限管理,第五是安全性組態配置,第六是事件日誌的維護監控分析。第七是電子郵件和瀏覽器的防護,第八是惡意軟件防禦即防毒軟體,第九是網絡端口和服務的限制和控制,第十是數據恢復能力,第十一是網絡設備的安全組態配置⋯⋯
關鍵第一點當然是數位資產分級,若自己都不知道那些資料對自己重要,那些沒那麼重要又何談資料保護、安全呢?接著大致綜整後重要性是:
1.即時更新,填補漏洞。
2.使用安全性的組態配置,而不是預設配置。
3.然後才是防毒軟體。
✎接著就來看華芸的解決方案
機型:AS4002T
首先回應第一點即時更新:
https://1.bp.blogspot.com/-Du1Tsqy2YAs/XBZ6_9RuAnI/AAAAAAACZ9Y/Xfcix5K8TKELKKuokZzGwL1hz99CX5PygCEwYBhgL/s640/Screenshot%2B2018-12-16%2Bat%2B18.19.42.png
https://1.bp.blogspot.com/-tWlCnEX6CPE/XBhd713YKRI/AAAAAAACaBw/s5xOsKpsu_8XEnyd19i0f-5qk6R5tNBWQCEwYBhgL/s400/asustor-update.gif
可在每次登入ADM時,或是依時間排程檢查ADM版本並進行ADM的更新,ADM更新同時會一併對相容/不相容的APP進行更新。
也能設定email、簡訊,在發生以下四種類別的事件時進行通知,讓維護者可以快速判別進行處理。
1.訊息
2.錯誤
3.警告
4.緊急
接著來看其他功能:
https://4.bp.blogspot.com/-L5nscpiaH8o/XBYnAsLlf9I/AAAAAAACZ8s/qAijZ2p6J_sOHionjapa_Jk_kZQjOpa0wCLcBGAs/s640/Screenshot%2B2018-12-16%2Bat%2B18.18.47.png
單一安全機制避無可免會有弱點,藉由多層安全機制來相互補強,由外而內層層阻絕侵入,提高一擊直達核心的難度,即是縱深防禦(Defense in Depth)的策略。而華芸的縱深資料防護分為三層:
第一層為防範來自網際網路的攻擊
1. 防火牆
2. ADM Defender
第二層為確保連線(數據傳輸)安全+使用者權限控制
3. VPN連線
4. SSL憑證連線
5. 自動登出
6. 檔案/資料夾/App獨立賦權
7. 兩步驟認證
第三層為資料安全
8. MyArchive連線備份
9. AES-256資料夾加密
10. 防毒軟體
第一層級
https://lh3.googleusercontent.com/DD2ZzWthn1fk27BzjMhMBz5I_gyxi3-Nn5nDX2yQfBv3MBUo7fCHee9pnZpjHhHgKrmRccDvTpiQsDCOd3st1GRkOppKeArjrO3j2Y01XdYKOpZWarWdZk0DyVoaIaoLYNcDA4-aDru93fHfzw
登入進ADM桌面會看到偏好設定的選項。點進去後會看ADM Defender,裡面有防火牆,開啟它來阻擋亂入的網路連線。
https://lh6.googleusercontent.com/RAsjluD-2gsWkKQoEnMF-2BtA1rf9m5-uW7ISPWzjA63u8hLn5i_7HyFDsZU4SY-Bnrr528zoT7ya39DXfr08-vprG6Myw-f3YCFSItDszwH2AQ7cFnob5WISc1UnFFpZ9be3NNFl-JAJoS4Fw
網路防護則有四個規則可以進行設定:信任清單是透過加入來達成不會受黑名單影響的設置,自動黑名單則是可以透過時間內用戶登入失敗次數來讓系統自動封鎖用戶端的IP,黑名單可以透過手動方式輸入IP或是透過地區定義來限制使用者登入,最後白名單的功能則與黑名單相反。
這裡以黑名單裡之IP地理位置做個小實驗,先選擇哪一洲再進一步選擇哪個國家
https://lh4.googleusercontent.com/0Sjo8oPhTCZ0jlPXbHPQnRYGE9kg4n9yh6fXCI5JB2cSAjiLmyR5nuUbxY-31hf-uH1rEz0-REba2gLAUAuB8XzYBKFrbygRp3Vkq84g4T9_9tQTB0KBBzCywhCwOUrJlseEiyHWfneWP101yA
設置完成後可以看到新加坡被拉進黑名單裡了
https://lh6.googleusercontent.com/0VxfbiSpalhd_nQbWz7RX6E7nlAITEFk3tbvQL4Zzeltux82T7J9XRKnnciOcU49rmLc3jXgYt_gcleDErs658pAeSCpnV2p377qCFimcFq9NgkF-Tx07hwnT7kq4Or07XTjtT7ql2elBmoz_w
接下來,實驗組透過VPN至新加坡,嘗試登入手機的AiData,會發現它會一顯示載入中,無法成功登入。
https://lh3.googleusercontent.com/8P8Gm0ZYOEJJc6CQyMPlw4pRskl4lKN9QzbnTQkNP4bPDHnGYkpyaVrFBNIyk1KenXqI_L8ZUDE-W6lRICtI_jap7oL6MmHkObvvwKr0Sfhy7h29IAD1ZLwivnm-eTF5HEWQfBS7TZ86L9_O7Q
對照組則是沒有做其他設定直接登入AiData,會發現他一下子就成功登入了
https://lh5.googleusercontent.com/0aPpGpunmDIy5jZJE8ZTH2qgatvWm3b72-PjaOML6QDIKKWCWazYZReifseaZsZBg86XaLXQnAVVpmBVmIx8JaWtQXQBGkR4IFXY6kEpZYkuOZ1hpkpExOoScYaIWTXOyKB3Vzo8fBmjrx9J7A
多數人家中都不是固定ip,手機ip也非固定的,綁信任清單不實際,相較能依國家地區封鎖的功能就很實用,建議搭配自動黑名單與白名單一同設定。
第二層級
說到這裡,還記得開頭講的三項安全目標嗎~?
控管使用者帳號與密碼即是最常見的機密性管制措施,僅給予使用者執行任務(達到目標)所需要的「最低權限」,因此也被稱為「最低權限原則」。
NAS能集中管理使用者權限,並能獨立依據資料夾、個別檔案、應用程式給予權限。
資料夾/檔案存取權限規則:
DA禁止存取
RW讀取&寫入
RO唯讀
https://3.bp.blogspot.com/-a1qf1DNVcXY/XBcGLAft5SI/AAAAAAACZ-M/2R8b8jqlFewYnI18btLxx5CJgrsSwY4vwCEwYBhgL/s400/Webp.net-gifmaker.gif
控管了使用者帳號,若帳號(身份)被冒用那⋯⋯?因此像Google、Facebook都開始支援「多重因素認證」,要求除了帳號密碼,還要其他因素才能登入帳號,如簡訊、認證碼、指紋、硬體金鑰等。
華芸也不落其後,為了方便使用者了解而名之「兩步驟認證」。它採用Google Authenticator這個應用程式產生的認證碼進行身分確認,比採用簡訊認證安全的多5.。可惜尚未支援硬體金鑰。
https://3.bp.blogspot.com/-9crq5lBiDKc/XBe5JzQK0EI/AAAAAAACaBU/UPwWeDje0JYTYbSsLuZbRC_jIIqliEjOwCLcBGAs/s400/asustor-twostep.gif
假若今天有惡意人士透過監聽你和NAS間的通訊(如中間人攻擊),幸好你因為採用了兩步驟認證使他無法成功登入,不過中間傳遞的資料可就沒這麼幸運了。゚ヽ(゚´Д`)ノ゚。因此~要~開VPN,建立虛擬私人網路,可不只是用來翻牆而以矣!
https://1.bp.blogspot.com/-Vu6Y4PfkOX4/XBcJzvT90XI/AAAAAAACZ-c/A2gdeCV5eqQuzARqxL8sSeEX4Cqaa2BywCLcBGAs/s400/asustor-vpn.gif
但VPN就是需要事先設定好,若今天架設網站、FTP伺服器,使用的人數又多,若還要一位一位每個裝置都要設定⋯⋯心累我哀哉MIS╮(╯_╰)╭
這時就靠SSL/TSL憑證技術啦,除了與伺服器間的通訊會加密,也能確保伺服器的真實性。而華芸憑證管理員6.已經整合好了,並支援Let's Encrypt。
https://3.bp.blogspot.com/-SQGfbGjr6-Q/XBhg8DhaJLI/AAAAAAACaCI/KGmdPltHMDcbluT95smKT9zuP-IKc0SpQCLcBGAs/s400/asustor-ssl.png
預設使用者閒置「自動登出時間」為1小時。若要提高安全性,進入偏好設定→一般裡頭可以縮短自動登出的時間,減少使用公用電腦忘記登出之意外狀況產生損害的可能性。
https://lh5.googleusercontent.com/61FIM255TfgK1flTKMgHKgh-QwpyjPWuKc2bVl7OEuD7LRshOnzRCLH5PfEY_5TnnenJRAlXazfayZChKGv_EwEjEIlZXgpaYNf2j1kmAKbJrUswg6VsbbGdWcnEwGXwSwZlRqjyazrlzduCvg
第三層級
說了這麼多,可可可是資安威脅不是只來自外部呀!若有使用者下載到病毒或木馬怎麼辦?
所以記得初次設定時就要從App Central下載Avast Anti-Virus來保護資料的安全。
https://1.bp.blogspot.com/--jM9lFYXBxY/XBcLh5Cv3AI/AAAAAAACZ-o/Yjxz7FH3Fk4gKwu6e9XiqS7_z5_YPN1FACLcBGAs/s400/asustor-antivirus.gif
雖說有了防毒軟體,萬一還是中鏢了......不巧又是「勒索軟體」呢!?
如同「資安意識7.」平常就要有「備份意識」。最理想的狀況是遵循「備份321原則8.」,而NAS不但能備份將電腦、手機裡的資料,還能個別同步至雲端空間(Google Drive、Dropbox、OneDrive等),更能UrBackup備份Windows系統!
若NAS中的檔案遭到損毀,使用「iSCSI LUN 快照」即可迅速回復資料9.,服務不斷線。所以也記得要設定排程(好多設定0_0)。
https://1.bp.blogspot.com/-Y169JKlHhnM/XBcUhV63rGI/AAAAAAACZ-0/9ECSMwr5cpMBywqTFNSXj7oSTDDRyrCFgCLcBGAs/s400/asustor-myarchive.gif
若遭到攻擊的是NAS系統,即ADM淪陷了怎麼辦!?
最後大絕招:使用華芸獨家MyArchive功能10.,設定排程轉移重要資料到 MyArchive 硬碟裡,再定期將硬碟送到安全的地點集中收藏11.。即使NAS掛了重要資料還在MyArchive硬碟,還原出廠設定→匯入系統備份檔→插入MyArchive硬碟→復原完成!
MyArchive功能同時達到無限容量擴充和異地資料備份的目的。(還會用AES-256加密整個硬碟)
https://4.bp.blogspot.com/-efOuokF2bP4/XBiODdBcjfI/AAAAAAACaCY/6IeMpKob14MNMPdSxshQbHaOSzaS4QL3gCLcBGAs/s400/asustor-MyArchive.gif
心得小結
天下沒有絕對安全的系統。1. 每個人有空都要為自己做數位資產分級,尤其打算使用NAS的人強烈建議要做的前置作業,順道評估自己是否有需要入手,分類出那些資料是最重要的不想遺失洩漏,那些即使遺失外洩也不會太痛。接著依不同重要性分級進行不同的備份處理,如:NAS本身即可設定RAID保護資料、與雲端空間同步、定期進行MyArchive硬碟備份,甚至利用MyArchive硬碟設計氣隙(Air gap)隔離,讓機密性很大程度的提高,要使用時又不會太繁雜。若要同時啟用RAID與MyArchive,得用2bay以上的機型,本次體驗的就不適合。因此三項安全目標中,只有可用性在面臨惡意人士針對時會無法達成(本來抵禦DDos就需要專業的資安設備或與ISP合作進行進階流量分析)。實務上的即時更新、安全性的組態配置和防毒軟體皆沒有問題。在上述分類與設定皆確實做好,我覺得沒有理由要太過擔心資安問題。本次測試綁定USB作為MyArchive硬碟的實體金鑰只能單獨使用,即設定MyArchive解密方法時無法選擇多重因素認證,希望可以改進並支援FIDO裝置,包含登入的時候。最後安全無上限,這邊只著墨到產品本身,而沒有論及華芸本身的流程方法,發生問題時如何解決12.?如漏洞管理,有無資安事件應變團隊13.等。本次體驗先到這裡打住,NAS新人一枚,還請多多指教。
補充:資訊安全基礎原則1.
原則1:天下沒有絕對安全的系統
原則2:安全目標為確保資訊的機密性、完整性與可用性
原則3:資訊安全需要縱深防禦的策略
原則4:資訊安全的機制不能過度依賴人的因素
原則5:電腦安全有賴於系統的功能需求與保證需求的達成
原則6:不公開安全機制並不保證更安全
原則7:資訊安全的等級取決於風險管理的考量
原則8:安全控制措施以預防、偵測與回應攻擊為主
原則9:複雜不利於安全
原則10:恐懼、不確定性與懷疑,無助於推動安全
原則11:保護系統需要人員、流程與技術的相互配合
原則12:公開弱點有助於安全
補充:Dr. ASUSTOR
https://2.bp.blogspot.com/-CtQjsl9txgY/XBiVv81ZT5I/AAAAAAACaCk/llRQQdOJgyg7fXLPC_AFhYgGVySV4yDfgCLcBGAs/s640/Screenshot%2B2018-12-18%2Bat%2B13.55.05.png
華芸有內建Dr. ASUSTOR,初心者可以先照它的建議進行設定。
參考資料
1. 侯永昌,〈資訊安全基礎原則〉,
ftp://im1.im.tku.edu.tw/Prof_Hou/%B9q%A4l%B0%D3%B0%C8%A6w%A5%FE/%B8%EA%B0T%A6w%A5%FE%B0%F2%C2%A6%AD%EC%ABh.ppt。
2. 〈A01-002資訊安全概論〉,
https://avp.toko.edu.tw/docs/class/1/%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E6%A6%82%E8%AB%96.pdf。
3. Center for Internet Security, CIS Controls Version 7,
https://www.cisecurity.org/controls/。
4. 行政院國家資通安全會報技術服務中心,〈政府組態基準(GCB)實作研習活動〉,
https://download.nccst.nat.gov.tw/attachfilegcb/01.107%E5%B9%B4GCB%E5%AF%A6%E4%BD%9C%E7%A0%94%E7%BF%92%E6%B4%BB%E5%8B%95_%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96(GCB)%E6%94%BF%E7%AD%96%E8%AA%AA%E6%98%8E(%E5%90%AB%E4%BE%8B%E5%A4%96%E7%AE%A1%E7%90%86%E6%96%B9%E5%BC%8F).pdf,頁4。
5. 周峻佑,iThome,〈透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用〉,https://www.ithome.com.tw/news/112845。
6. ASUSTOR,〈憑證管理員〉,
https://www.asustor.com/admv2?type=2&subject=10&sub=121&lan=zh_tw。
7. 周峻佑,iThome,〈使用者資安意識倒退嚕!75%會在多個應用系統配置相同密碼〉,
https://www.ithome.com.tw/news/127104。
8. Trend Labs 趨勢科技全球技術支援與研發中心,〈世界備份日( World Backup Day):三二一原則〉,https://blog.trendmicro.com.tw/?p=4707。
9. ASUSTOR,〈虛擬化儲存〉,
https://www.asustor.com/admv2?type=3&subject=17&sub=62&lan=zh_tw。
10. ASUSTOR,〈MyArchive (我的珍藏)〉,
https://www.asustor.com/admv2?type=2&subject=9&sub=75&lan=。
11. ASUSTOR,〈Don’t WannaCry! 華芸讓你有備無患〉,
https://www.asustor.com/news/news_detail?id=16266。
12. NIST,〈CVE-2018-11343 Detail〉,
https://nvd.nist.gov/vuln/detail/CVE-2018-11343。
13.羅正漢,iThome,〈【臺灣資安大會直擊】提高品牌信任度從產品資安事件應變做起,群暉PSIRT率先跟上國際腳步〉,https://www.ithome.com.tw/news/121855。
ASUSTOR,〈ADM 2.7〉,https://www.asustor.com/adm/adm2_7。
ASUSTOR,〈資料備份與還原〉,
https://www.asustor.com/admv2?type=2&subject=4&sub=118&lan=zh_tw。
ASUSTOR,〈華芸科技推出最新 ADM 3.0.3 因應 WPA 2重大漏洞〉,
https://www.asustor.com/news/news_detail?id=17951。
ASUSTOR,〈使用 iSCSI 與 ASUSTOR NAS 連線〉,
https://download.asustor.com/coll ... uction_to_iSCSI.pdf。
小山豬的記事本,〈ASUSTOR - SSL憑證 免費申請使用〉,https://jypchome.blogspot.com/2018/10/asustor-ssl.html。
硬是要學,〈5分鐘幫網站免費申請 SSL 憑證,4 步驟超簡單安裝到好 (網站管理員必讀)〉,
https://www.soft4fun.net/tech/we ... 8IHeV05QncA1cr9YRRc。
小治,T客邦,〈QNAP / Synology 兩大廠NAS 防範勒索病毒大作戰,從兩階段驗證、資料夾加密、異地備份一次完整學完〉,
https://www.techbang.com/posts/6 ... reconstruction-data
amigoccs,iT邦幫忙,〈在 ADM(Asustor), DSM(Synology), 與 QTS(QNAP) 啟用資安設定,強化 NAS 安全。amigoccs 〉,
https://ithelp.ithome.com.tw/articles/10148077?sc=pt。
hhjau,批踢踢實業坊,〈華芸 AS5002T 試用分享〉,
https://www.ptt.cc/bbs/Storage_Zone/M.1425003000.A.D82.html。
頁:
[1]