✎說到資訊安全(Information Security),一定要提及的就是:C.I.A.(這裡指的可不是中央情報局或聯想到史諾登Snowden☉д⊙),是正經的理論機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),三項安全目標1.2.:
- 機密性:避免未經授權的存取,且不會意外洩漏敏感的資料。如家庭照、私密照外流即是機密性受到影響。
- 完整性:避免非經授權的使用者或處理程序篡改資料。如網站內容、傳送的訊息遭到竄改,即是完整性受到影響。
- 可用性:讓資料隨時保持可用狀況。如機器因過多使用者連線超出負載、遭受DDos攻擊或資料被勒索病毒鎖住,即是可用性受到影響。
✎但太過依賴理論,與現實脫節也不行。參考center for internet security(網際網路安全中心)發佈的CIS Controls Version 7第七版指南3.4.:
前兩項是硬體軟體資產庫存和控制即是資產分級,第三項是漏洞管理,第四是最高權限管理,第五是安全性組態配置,第六是事件日誌的維護監控分析。
第七是電子郵件和瀏覽器的防護,第八是惡意軟件防禦即防毒軟體,第九是網絡端口和服務的限制和控制,第十是數據恢復能力,第十一是網絡設備的安全組態配置⋯⋯
關鍵第一點當然是數位資產分級,若自己都不知道那些資料對自己重要,那些沒那麼重要又何談資料保護、安全呢?接著大致綜整後重要性是:
- 即時更新,填補漏洞。
- 使用安全性的組態配置,而不是預設配置。
- 然後才是防毒軟體。
✎接著就來看華芸的解決方案
機型:AS4002T
- 首先回應第一點即時更新:
可在每次登入ADM時,或是依時間排程檢查ADM版本並進行ADM的更新,ADM更新同時會一併對相容/不相容的APP進行更新。
也能設定email、簡訊,在發生以下四種類別的事件時進行通知,讓維護者可以快速判別進行處理。
- 訊息
- 錯誤
- 警告
- 緊急
- 接著來看其他功能:
單一安全機制避無可免會有弱點,藉由多層安全機制來相互補強,由外而內層層阻絕侵入,提高一擊直達核心的難度,即是縱深防禦(Defense in Depth)的策略。而華芸的縱深資料防護分為三層:
- 第一層為防範來自網際網路的攻擊
- 1. 防火牆
- 2. ADM Defender
- 第二層為確保連線(數據傳輸)安全+使用者權限控制
- 3. VPN連線
- 4. SSL憑證連線
- 5. 自動登出
- 6. 檔案/資料夾/App獨立賦權
- 7. 兩步驟認證
- 第三層為資料安全
- 8. MyArchive連線備份
- 9. AES-256資料夾加密
- 10. 防毒軟體
第一層級
針對外部網路安全防禦有防火牆及 ADM Defender 設定,以避免來自網際網路的惡意攻擊。
登入進ADM桌面會看到偏好設定的選項。點進去後會看ADM Defender,裡面有防火牆,開啟它來阻擋亂入的網路連線。
網路防護則有四個規則可以進行設定:信任清單是透過加入來達成不會受黑名單影響的設置,自動黑名單則是可以透過時間內用戶登入失敗次數來讓系統自動封鎖用戶端的IP,黑名單可以透過手動方式輸入IP或是透過地區定義來限制使用者登入,最後白名單的功能則與黑名單相反。
這裡以黑名單裡之IP地理位置做個小實驗,先選擇哪一洲再進一步選擇哪個國家。
設置完成後可以看到新加坡被拉進黑名單裡了
接下來,實驗組透過VPN至新加坡,嘗試登入手機的AiData,會發現它會一顯示載入中,無法成功登入。
對照組則是沒有做其他設定直接登入AiData,會發現他一下子就成功登入了
多數人家中都不是固定ip,手機ip也非固定的,綁信任清單不實際,相較能依國家地區封鎖的功能就很實用,建議搭配自動黑名單與白名單一同設定。
第二層級
針對系統安全連線設定提供 VPN 加密連線(IPSec/L2TP)、SSL 憑證連線、逾時自動登出系統機制;針對使用者控制有資料夾、檔案、應用程式獨立分權設定,個別登入的兩步驟驗證。
說到這裡,還記得開頭講的三項安全目標嗎~?
控管使用者帳號與密碼即是最常見的機密性管制措施,僅給予使用者執行任務(達到目標)所需要的「最低權限」,因此也被稱為「最低權限原則」。
NAS能集中管理使用者權限,並能獨立依據資料夾、個別檔案、應用程式給予權限。
資料夾/檔案存取權限規則:
DA禁止存取
RW讀取&寫入
RO唯讀
控管了使用者帳號,若帳號(身份)被冒用那⋯⋯?因此像Google、Facebook都開始支援「多重因素認證」,要求除了帳號密碼,還要其他因素才能登入帳號,如簡訊、認證碼、指紋、硬體金鑰等。
控管使用者帳號與密碼即是最常見的機密性管制措施,僅給予使用者執行任務(達到目標)所需要的「最低權限」,因此也被稱為「最低權限原則」。
NAS能集中管理使用者權限,並能獨立依據資料夾、個別檔案、應用程式給予權限。
資料夾/檔案存取權限規則:
DA禁止存取
RW讀取&寫入
RO唯讀
控管了使用者帳號,若帳號(身份)被冒用那⋯⋯?因此像Google、Facebook都開始支援「多重因素認證」,要求除了帳號密碼,還要其他因素才能登入帳號,如簡訊、認證碼、指紋、硬體金鑰等。
華芸也不落其後,為了方便使用者了解而名之「兩步驟認證」。它採用Google Authenticator這個應用程式產生的認證碼進行身分確認,比採用簡訊認證安全的多5.。可惜尚未支援硬體金鑰。
假若今天有惡意人士透過監聽你和NAS間的通訊(如中間人攻擊),幸好你因為採用了兩步驟認證使他無法成功登入,不過中間傳遞的資料可就沒這麼幸運了。゚ヽ(゚´Д`)ノ゚。
因此~要~開VPN,建立虛擬私人網路,可不只是用來翻牆而以矣!
但VPN就是需要事先設定好,若今天架設網站、FTP伺服器,使用的人數又多,若還要一位一位每個裝置都要設定⋯⋯心累我哀哉MIS╮(╯_╰)╭
這時就靠SSL/TSL憑證技術啦,除了與伺服器間的通訊會加密,也能確保伺服器的真實性。而華芸憑證管理員6.已經整合好了,並支援Let's Encrypt。
這時就靠SSL/TSL憑證技術啦,除了與伺服器間的通訊會加密,也能確保伺服器的真實性。而華芸憑證管理員6.已經整合好了,並支援Let's Encrypt。
預設使用者閒置「自動登出時間」為1小時。若要提高安全性,進入偏好設定→一般裡頭可以縮短自動登出的時間,減少使用公用電腦忘記登出之意外狀況產生損害的可能性。
第三層級
針對內部資料的防護有MyArchive 離線備份、AES-256 bit 資料夾加密及防毒軟體以隔離木馬程式惡意植入的檔案。
雖說有了防毒軟體,萬一還是中鏢了......不巧又是「勒索軟體」呢!?
如同「資安意識7.」平常就要有「備份意識」。最理想的狀況是遵循「備份321原則8.」,而NAS不但能備份將電腦、手機裡的資料,還能個別同步至雲端空間(Google Drive、Dropbox、OneDrive等),更能UrBackup備份Windows系統!
若NAS中的檔案遭到損毀,使用「iSCSI LUN 快照」即可迅速回復資料9.,服務不斷線。所以也記得要設定排程(好多設定0_0)。
如同「資安意識7.」平常就要有「備份意識」。最理想的狀況是遵循「備份321原則8.」,而NAS不但能備份將電腦、手機裡的資料,還能個別同步至雲端空間(Google Drive、Dropbox、OneDrive等),更能UrBackup備份Windows系統!
若NAS中的檔案遭到損毀,使用「iSCSI LUN 快照」即可迅速回復資料9.,服務不斷線。所以也記得要設定排程(好多設定0_0)。
最後大絕招:使用華芸獨家MyArchive功能10.,設定排程轉移重要資料到 MyArchive 硬碟裡,再定期將硬碟送到安全的地點集中收藏11.。即使NAS掛了重要資料還在MyArchive硬碟,還原出廠設定→匯入系統備份檔→插入MyArchive硬碟→復原完成!
MyArchive功能同時達到無限容量擴充和異地資料備份的目的。(還會用AES-256加密整個硬碟)
心得小結
補充:資訊安全基礎原則1.
原則1:天下沒有絕對安全的系統
原則2:安全目標為確保資訊的機密性、完整性與可用性
原則3:資訊安全需要縱深防禦的策略
原則4:資訊安全的機制不能過度依賴人的因素
原則5:電腦安全有賴於系統的功能需求與保證需求的達成
原則6:不公開安全機制並不保證更安全
原則7:資訊安全的等級取決於風險管理的考量
原則8:安全控制措施以預防、偵測與回應攻擊為主
原則9:複雜不利於安全
原則10:恐懼、不確定性與懷疑,無助於推動安全
原則11:保護系統需要人員、流程與技術的相互配合
原則12:公開弱點有助於安全
補充:Dr. ASUSTOR
華芸有內建Dr. ASUSTOR,初心者可以先照它的建議進行設定。
參考資料
1. 侯永昌,〈資訊安全基礎原則〉,
ftp://im1.im.tku.edu.tw/Prof_Hou/�q�l�ӰȦw��/��T�w����¦��h.ppt。
2. 〈A01-002資訊安全概論〉,
3. Center for Internet Security, CIS Controls Version 7,
4. 行政院國家資通安全會報技術服務中心,〈政府組態基準(GCB)實作研習活動〉,
http://download.nccst.nat.gov.tw/attachfilegcb/01.107年GCB實作研習活動_政府組態基準(GCB)政策說明(含例外管理方式).pdf,頁4。
5. 周峻佑,iThome,〈透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用〉,https://www.ithome.com.tw/news/112845。
7. 周峻佑,iThome,〈使用者資安意識倒退嚕!75%會在多個應用系統配置相同密碼〉,
8. Trend Labs 趨勢科技全球技術支援與研發中心,〈世界備份日( World Backup Day):三二一原則〉,https://blog.trendmicro.com.tw/?p=4707。
9. ASUSTOR,〈虛擬化儲存〉,
https://www.asustor.com/admv2?type=3&subject=17&sub=62&lan=zh_tw。
10. ASUSTOR,〈MyArchive (我的珍藏)〉,
https://www.asustor.com/admv2?type=2&subject=9&sub=75&lan=。
ASUSTOR,〈ADM 2.7〉,https://www.asustor.com/adm/adm2_7。
ASUSTOR,〈資料備份與還原〉,
https://www.asustor.com/admv2?type=2&subject=4&sub=118&lan=zh_tw。
ASUSTOR, Using MyArchive,
https://www.asustor.com/en/online/College_topic?topic=255.
小山豬的記事本,〈ASUSTOR - SSL憑證 免費申請使用〉,http://jypchome.blogspot.com/2018/10/asustor-ssl.html。
小治,T客邦,〈QNAP / Synology 兩大廠NAS 防範勒索病毒大作戰,從兩階段驗證、資料夾加密、異地備份一次完整學完〉,https://www.techbang.com/posts/62556-qnap-synology-two-factory-nas-to-prevent-ransomware-virus-detailed-teaching-rely-on-nas-to-help-establish-backup-strategy-security-reconstruction-data。
5. 周峻佑,iThome,〈透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用〉,https://www.ithome.com.tw/news/112845。
6. ASUSTOR,〈憑證管理員〉,
7. 周峻佑,iThome,〈使用者資安意識倒退嚕!75%會在多個應用系統配置相同密碼〉,
9. ASUSTOR,〈虛擬化儲存〉,
https://www.asustor.com/admv2?type=3&subject=17&sub=62&lan=zh_tw。
10. ASUSTOR,〈MyArchive (我的珍藏)〉,
https://www.asustor.com/admv2?type=2&subject=9&sub=75&lan=。
11. ASUSTOR,〈Don’t WannaCry! 華芸讓你有備無患〉,https://www.asustor.com/news/news_detail?id=16266。
12. NIST,〈CVE-2018-11343 Detail〉,https://nvd.nist.gov/vuln/detail/CVE-2018-11343。
13.羅正漢,iThome,〈【臺灣資安大會直擊】提高品牌信任度從產品資安事件應變做起,群暉PSIRT率先跟上國際腳步〉,https://www.ithome.com.tw/news/121855。
ASUSTOR,〈資料備份與還原〉,
https://www.asustor.com/admv2?type=2&subject=4&sub=118&lan=zh_tw。
ASUSTOR, Using MyArchive,
https://www.asustor.com/en/online/College_topic?topic=255.
ASUSTOR,〈華芸科技推出最新 ADM 3.0.3 因應 WPA 2重大漏洞〉,
ASUSTOR,〈使用 iSCSI 與 ASUSTOR NAS 連線〉,
小山豬的記事本,〈ASUSTOR - SSL憑證 免費申請使用〉,http://jypchome.blogspot.com/2018/10/asustor-ssl.html。
硬是要學,〈5分鐘幫網站免費申請 SSL 憑證,4 步驟超簡單安裝到好 (網站管理員必讀)〉,
amigoccs,iT邦幫忙,〈在 ADM(Asustor), DSM(Synology), 與 QTS(QNAP) 啟用資安設定,強化 NAS 安全。amigoccs 〉,
hhjau,批踢踢實業坊,〈華芸 AS5002T 試用分享〉,
https://www.ptt.cc/bbs/Storage_Zone/M.1425003000.A.D82.html。
https://www.ptt.cc/bbs/Storage_Zone/M.1425003000.A.D82.html。