資料的安全性與可用性,與企業營運息息相關。在多數人的心中,網路附加儲存(Network Attached Storage,NAS)能夠為資料帶來的安全性與可用性主要包含在兩個層面,一是資料備份及災難復原,相關的功能可能包含藉由備份軟體把員工個人電腦上的資料備份到NAS儲存設備中,或是透過遠端備份功能,例如RTRR(Real-Time Remote Replication)即時把資料備份至遠端的NAS設備,或利用Rsync等工具執行排程備份至遠端Rsync伺服器中。
其次是建立系統連線、資料存取,以及儲存檔案的安全。例如為不同工作群組建立共用資料夾並分別指定適當存取權限;透過加密連線存取可提供資料傳輸與系統連線時的保護;以及硬碟加密功能降低因硬碟失竊而產生的資料竊取風險等等。
勒索病毒猖獗成挑戰
但不管是哪一個層面,圍繞的範疇都是在如何確保資料存取以及共享過程中,具有安全的權限管控,預防傳輸過程的外洩疑慮,同時能夠因應天災人禍造成的檔案毀損與系統設備故障所帶來的損失,而非因為不當入侵的資安事件。但是QNAP系統解決方案事業處副總經理李曜琮發現,中小企業面臨的挑戰,除了傳統的資料保護需求、專業人力不足的煩惱之外,其實還有勒索病毒帶來的威脅。
|
▲QNAP系統解決方案事業處副總經理李曜琮指出,檔案快照搭配Qtier自動分層儲存技術加上混合雲的應用,可讓整體架構更為彈性。 |
「我們發現,勒索病毒在中小企業發生的頻率很頻繁,這類病毒會鎖定檔案進行加密,並且勒索贖金。勒索病毒不僅僅會鎖定個人PC上的檔案,也很有可能會侵犯到NAS儲存設備,由於NAS儲存設備在辦公室的應用中,目的就是為了進行檔案的儲存與分享,也因此,原先已儲存在NAS設備上的檔案也可能因而被鎖住。」
儘管資安業者大聲疾呼,企業應該教育使用者避免點擊可疑連結、檢查電子郵件的寄件者與內容、確實做好軟體更新以及備份重要資料,不過中小企業的災情仍然不斷傳出。
他提到,如果企業內部環境是將NAS設備作為平時協同作業的儲存與共享平台,而且湊巧沒有額外的備份機制,唯一有機會能解套的方案,就是善用多重備份版本功能,通常這會搭配快照技術來執行。「會被勒索病毒鎖住的檔案通常都是常用的檔案,這個時候只要往前多追幾個版本,多半都還可以找到沒被鎖住之前的檔案,只是會有些在此期間內更動的資料會遺失,但通常都是在企業可接受的範圍內。」
李曜琮繼續說明,假設企業平時就有啟動這個功能,那麼在移除勒索病毒之後,就可以追到幾天前尚未被鎖住檔案的快照版本,並且加以還原。「但是這並不代表資料不會遺失,檔案資料仍有幾天的落差需要追回,只是中小企業環境相對單純,資料補齊相對也沒有那麼複雜。另外,在這種作法下,代價就是必須預留較大的儲存空間。」
混合雲應用 成本低廉高彈性
隨著雲端運算日益成熟,雲端服務也不斷推陳出新,包含電子郵件、雲端儲存與共享,以及備份方案都已十分普遍。對於缺乏專業IT人力的中小企業而言,雲端服務確實是一個不錯的選項。
|
▲ 有了多重備份版本,不同時間點的檔案可備份至本地或遠端空間,在需要時即可輕易回復至任一時間點。 |
「我們確實也聽到質疑的聲音,如果公有雲端服務已經能符合企業需求,為何還需要購買NAS儲存設備?其實答案就在速度與效能,以及企業到底需不需要自己管控資料。」他繼續說明,對企業來說,雲端服務固然有成本上的優勢,也能免於維護與管理,但別忘了,同步編輯與修改檔案仍在瓶頸,特別是大檔案傳輸的速度絕對不見得會比在企業內網傳輸還要快。但是,在企業內部以NAS設備建構私有雲儲存固然能夠有較好的效能與速度表現,能自行管控資料,一旦遇上在外工作的行動工作者要存取(Access)時,防火牆的保護機制卻又會限制人員存取,除非請IT人員來協助。
兩全其美的作法是讓NAS儲存設備扮演中間橋樑的角色,對內可以提供一個很好的速度,對外又能與公有雲介接,讓資料選擇性的同步到公有雲上,如此一來,行動工作者就可以連上公有雲存取,並運用各種API進行自動化處理,提高工作效率。
「另一種混合雲應用模式,則是善用雲端空間來進行備份,因為雲端是現今最便宜的備份媒體。」李曜琮指出,檔案快照搭配Qtier自動分層儲存技術加上混合雲的應用,可讓整體架構更為彈性。在Qtier的三層架構中,資料可被分為Hot、Warm以及Cold三種層級,備份後的資料會自動被儲存在成本低、大容量的磁碟階層,讓企業享有效能與成本(TCO)的效益。而更「冷」的資料,就可以放在雲端的空間。一般來說,把資料放上雲端空間的速度會比資料下載的速度要快,如果這些資料並沒有頻繁的使用需求,歸檔到雲端空間是相對便宜的選擇。
虛擬化技術整合為關鍵
針對中小企業希望在NAS上執行x86應用,同時也能做為資料保護方案,QNAP建議可採用TS-563系列,該系列主要有兩款產品,分別為TS-563-2G以及TS-563-8G,差別就在基本系統預載記憶體不同。共同之處在於其搭載了AMD x86 G-Series四核心,2個Gigabit網路埠(最高可擴充為4個GbE埠或2個GbE埠+2個10GbE埠),並支援SATA 6Gb/s硬碟傳輸與SSD快取技術,可快速有效處理多工任務。為了因應日後企業成長的應用需求,TS-563系列還能將記憶體擴充至16GB。
另外,TS-563系列也有雙重虛擬應用解決方案,如果企業需要獨立的作業系統來安裝軟體或運行應用服務、且須與主系統(Host)安全隔離,就可以選擇Virtualization Station(虛擬機工作站),這項功能可以在NAS上建立虛擬機器,分配固定的資源來執行虛擬機作業系統(Guest OS)。若是想要快速部署應用程式服務,則可以透過軟體容器工作站 (Container Station)中的容器(Container)技術實現輕量級的虛擬化。他強調,雖然各家業者多多少少在NAS上都已經支援虛擬化技術,但是整合性是一個關鍵,也是各家虛擬化技術能力的差異所在。