如何把你的NAS变得更安全|全新QTS安全中心设置全攻略|异常文件活动监控
提示:本篇文章2187字符,阅读大约需要6分钟。
写在前面
近两年如雨后春笋般涌现的NAS厂商和系统开发商,为我们贡献了花样繁多的品牌NAS。其中既有只做NAS硬件的天钡NAS,也有从系统开发做起的飞牛fnOS。
不可否认,近几年的NAS市场确实是欣欣向荣,这也倒逼很多传统NAS厂商开始降价并加速更新产品的推出,这对于消费者来说是一件非常好的事情,毕竟市场竞争加剧,意味着更多的选择和更高的性价比。这其中我们也看到了很多小厂推出了非常优秀的产品。
但隐藏在这片繁荣市场的背后,是新兴NAS厂商对用户数据安全以及NAS系统安全的整体重视程度不足。虽然威胁数据安全的案例并不是频繁发生,但我们确实会看到普通用户在使用某些厂商的NAS时发生数据损坏甚至完全丢失的案例,而且这种情况也更常见于NAS需要换机时(常见于售后维修更换主板);而更重要的是,这些NAS系统普遍都缺乏基本的安全防护和病毒查杀功能,这也是为什么本薇当前暂时不建议把fnOS作为主力NAS系统使用的主要原因。
因此从数据安全角度考虑,本薇当前仍然更推荐各位将主力NAS选购放在传统厂商。可以参考本薇的做法,绝对重要的数据(比如照片、工作文档、虚拟机备份等)存放在威联通NAS中,然后不重要的影视剧等等这类数据存放在自己DIY的NAS中,这个时候搭配使用fnOS尤其是它强大的影视墙功能,就是非常不错的选择,这样就可以达成数据安全和成本的平衡。
上一期我们测试了威联通全新推出的QTS 5.2.0的开关机速度和系统响应速度,这一期本薇就带大家一起来看看5.2.0系统的另一项重大升级——安全中心。
威联通TS-464C2
虽然发布时间已经超过两年,威联通TS-464系列仍然是本薇当前时间点最推荐的品牌NAS之一。配合全新发布的QTS 5.2.0,烦人的转圈圈一去不复返。尤其是TS-464C2这一型号,N5105、可扩充内存加上双2.5G网口的配置,性能完全可以满足家用NAS需求。搭配优秀的QTS系统,除了可以部署常见的docker应用和虚拟机应用,你也可以搭配相关监控应用化身家庭监控中心,你甚至可以通过诸多支持HDMI输出的应用,将其暂时变为一台桌面办公设备也未尝不可。这么来看大促时期两千出头的价格,是非常值得入手的。
当然硬件解码、相册AI人脸识别、HBS3备份中心这些家用NAS必备的功能,你想要的它全都有。
全新的安全中心设置
异常文件活动监控
我们先来看一下QTS 5.2.0新增的异常文件活动监控,目前还处于beta阶段。
异常文件活动监控原理很简单,QTS系统通过收集NAS日常使用时发生的文件变更的数据,然后得到一个相应的阈值。而勒索病毒或者其他恶意软件攻击NAS数据的一个显著特征就是,把你的数据进行加密或者直接删除,然后你只有向勒索者支付赎金才能获得密钥。而一旦NAS遭受类似于勒索病毒的攻击时,文件活动显然会在短时间内超出正常范围,也就是QTS帮我们分析好的阈值。这个时候,系统除了进行警报外,你也可以通过提前设置为文件活动超过阈值时,NAS自动应用此卷禁用计划快照、为此卷创建新快照和将此卷设置为只读模式三种模式,来最大程度减少损失保护数据安全。
这三种模式对数据安全的保护各有侧重点,QTS系统也设置了中阈值和高阈值两种情况,你可以单独设置每种状况发生时系统采取的响应措施,既可以单独一种,也可以多种搭配使用。
三种模式总的来说,将此卷设置为只读模式一般来说安全性最高,局限性也最大,本薇建议在文件活动超出高阈值的状况下使用。它的机制也很简单粗暴:只读模式完全阻止任何对卷的写操作,包括创建、修改和删除文件。这意味着无论是勒索病毒还是其他恶意软件,都无法加密或篡改卷中的数据。因此它的安全性最高,但是局限性就在于,这种模式一般常常在备份卷或是归档数据中使用,而对于需要频繁读写的卷,比如进行日常拷卡操作时,很容易被误伤到;
其次,剩余两种此卷禁用计划快照和为此卷创建新快照安全性都差不多,可以应用在中阈值设置中。先简单介绍一下两种模式的机制:
此卷禁用计划快照:禁用自动生成的快照,防止病毒在入侵后加密或删除这些快照(因为在生成新快照时会更加方便病毒找到快照存储位置),减少快照被破坏的可能性。另外计划快照本身也可能会因为定时生成新快照而删掉了旧快照,如果处理不及时,反而会造成一些较新变更的数据的损失。
为此卷创建新快照:创建快照提供了一种可恢复的“历史记录”,即便勒索病毒感染了系统,也可以通过恢复快照将卷恢复到未感染状态。
这两种模式共同的局限性在机制里面也很好地体现到了,就是快照本身并不是绝对安全的,一方面它并不能阻止病毒对数据本身的攻击;另一方面,快照本身如果存取位置不够安全,也有可能被病毒找到并加密或者直接删除。
因此,本薇选择在超出中阈值时将两种模式搭配使用,超出高阈值时选择三种模式共同生效,以最大程度保护数据安全。
AIO一键完成NAS各项安全设置
威联通的安全中心非常好用的一点就在于整合了QTS系统上所有的安全应用。包括安全检查、病毒防护、恶意软件防护和防火墙四项功能。在安全中心概述这一栏可以一键开启NAS全部的安全防御,并查看NAS当前的安全状态。
安全中心概述当然如果需要对每项进行详细设置,点击对应选项,安全中心也可以引导你直接跳转到相应的设置项,进行对应的设置。
病毒查杀:
这里主要需要设置的是一个计划任务,本薇进行了如下设置:每周一凌晨四时开始全盘扫描,如果扫描到病毒,采取隔离操作,等待人工鉴别;
添加扫描作业设置全局扫描设置每周在NAS闲置时扫描一次文件设置文件筛选设置隔离感染病毒恶意软件删除工具:
主要设置项也是启用定期扫描即可;
恶意软件删除工具设置防火墙设置:
本薇这里主要在本地局域网使用这台NAS,所以只使用了默认设置。
设置基础防火墙配置文件另外,阻止的这五万多个访问主要就来自于我家光猫对于内网设备的扫描,但是默认防火墙设置只允许同网段设备进行自动发现NAS,所以光猫的访问一直被拒绝。
只允许同一网段的设备自动扫描NAS一键设置安全策略
安全中心另一个比较值得称道的点就在于可以一键设置各项安全策略。而且威联通已经帮你区分好了各种安全组策略的适用场景,比如如果你只在本地局域网使用NAS,那么你只需要使用基本安全策略即可;但如果你需要将NAS数据开放到外部网络访问时,就可以一键更改为中等或者高等安全策略。
然后再通过一键扫描,搭配系统引导,就可以非常方便的完成各项安全设置。
扫描安全策略比如本薇现在的安全设置项就完全符合基本安全策略的要求。
当前NAS所有设置符合基本安全策略但一旦更改为中等安全策略,通过一键扫描,系统提示本薇有五项安全设置需要更改,并可通过高中低三种重要性进行排序。
然后点击建议设置助手,就可以一键应用部分设置。
根据设置助手可以将相关选项改为建议设置项一键应用安全策略建议其余手动修改项也均有相应的系统引导,非常方便。
手动设置项均有系统引导而当本薇认为其中通过邮件提示系统更新这项安全策略意义不大,可以选择忽略,这样系统下次扫描时就会忽略这项安全建议。
可以忽略掉低风险设置项总结
QTS 5.2.0全新带来的安全中心和异常文件活动监控功能是非常强大的,尤其是对于企业应用环境是不可或缺的。而对于普通消费者来说,我们可以针对比较珍贵的数据进行高安全性设置,以防万一。毕竟NAS和硬盘有价,有些承载着重要意义的数据是无价的。
最后的最后,还是老生常谈,任意一个系统,任意一种安全措施都不能保证数据的绝对安全,要想尽可能降低数据损失的风险,就不能只依赖一台NAS来存放数据,无论是向冷存储设备还是向云端备份数据都是必不可少的。
这就是本期的全部内容了,如果这篇文章对您有帮助的话,欢迎您在评论区多多讨论,也欢迎关注、点赞、打赏一键三连,您的支持对我非常重要。
我是冥冰薇,点个关注不迷路,我们下期再见。
关注图作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
dusttop1
校验提示文案
dusttop1
校验提示文案