【客座文章】善用多層次防禦，6招教你提升 NAS 整體安全性（下）

 作者  群暉科技產品經理于家琦、資深開發研究員李宜謙、資深開發研究員蔡家豪

在上期的文章中，我們談到 NAS 的基本安全性防護措施，選用有良好漏洞修補機制的廠商並關注更新版本，網路傳輸時對於加密封包也要加以把關，讓企業擁有安全的資料儲存環境。在這期的文章中，將與各位分享我們對於NAS安全性功能的看法，及如何妥善運用其保護公司重要資產不受資安威脅。

現今的資料攻防戰已不被限制於系統本身漏洞，任何一個位於網際網路上的裝置都要注意其安全，避免有心人士的入侵；且根據統計，有超過 80％資料外洩事件是源自於公司內部之中，每一次連線與帳號開通也都考驗資安人員的防護能力，要保障連線來源的可靠性、帳號權限與安全性。

此外，在勒索軟體的威脅持續來襲下，也讓我們重新體認資料備份的重要性，這雖已是老調重彈，但仍是不可或缺的企業智慧資產防線。接下來，我們就針對這幾個方面，分享重要防護概念與工具。

善用密碼複雜度，提高駭客破解難度

企業內部的資安外洩事件頻傳，如沒有制訂完善的文件存取機制，或管理者帳號、密碼安全性等等，導致企業每年都編列龐大預算，卻無法有效杜絕商業機密、客戶資料外洩事件發生。

所以，除了上期我們所提到的兩大防護重點，資安人員保護資料安全的第三步驟，就應該從強化儲存設備中的帳號、密碼管理做起，避免員工使用容易被破解的密碼，便能降低資安威脅事件發生的機率。

而一套符合資安規範的密碼設定機制，必須要能提供密碼強度限制規則的選項，如在密碼中排除使用者名稱及描述、需混合大小寫、需含數字、需含特殊字元、最短密碼長度等等。

因此，注重資訊安全的各式IT應用系統，應在帳號管理功能中，提供易破解密碼字典、兩步驟驗證等機制，避免同仁使用到容易被猜測的密碼組合，增加駭客組織破解密碼的難度，以及強化管理員身份辨識等。

若能落實此種機制，亦能提升企業整體的資安防護等級。

做好特權帳號的管理，並防杜對於不當IP位址連線

在駭客入侵企業管道增多的趨勢下，即便資訊人員提高密碼複雜度，也無法保證能完全杜絕帳號、密碼外洩的問題，一旦管理者帳號被駭客竊取，即讓駭客可以假冒系統管理員身份，任意存取各種機密資料。為了避免此種情形發生，群暉科技建議資安人員保護資料安全的第四步驟，即是改變過去以單一帳號存取所有服務的作法，針對不同應用服務特性，給予相對應的專屬帳號與密碼。

此種作法最大好處，在於可避免高權限帳號被駭客取得之後，即能在企業內部網路中暢行無阻的窘境。不可否認，此舉或許會增加帳號管理難度，但從整體資訊安全的角度看，反而是保護機密資料的最佳作法。

另外，還有一項非常有效、卻容易被忽略的設定，便是要嚴格限制可存取應用服務的帳號與IP位址，例如，當公司確認行銷部不應存取業務部資料夾時，便該將相關帳號、IP位址加入禁止讀取名單之列，甚至搭配防火牆的設定機制，避免內部外洩機密，以降低外部入侵時可能造成的損失。

在管理企業的機密資料時，應嚴格限制使用者帳號可存取資料及服務，可按各部門給予不同的權限，避免從公司內部洩出機密，以及降低受到外部入侵所可能造成的損失。圖片來源／群暉科技

啟用掃毒與入侵偵測，提高資安防護等級

各大資安公司極力推動資安教育，多數企業用戶都會在用戶端安裝防毒軟體，網路閘道端也會部署防火牆、入侵偵測等資安設備，而此種潮流也開始吹向儲存設備。在部分專為企業用戶設計的高階儲存設備中，都開始提供檔案層級防毒與入侵偵防護機制，避免儲存設備在提供檔案交換服務時，也成為散播病毒、惡意程式的平臺。

為此，群暉科技建議資安人員保護資料安全的第五步驟，即是啟用防毒軟體及入侵偵測防護機制。除了NAS廠商提供的專屬防毒軟體，也可加裝資安權威第三方的程式，交叉驗證，以防受害。針對網路入侵行為，現也有主動與被動機制，提供雙重的保護，例如：Intrusion Detection/Prevention（IDP），以及對於惡意程式、IP位址的阻隔保護。

以IDP為例，這類資安系統可以透過流量偵測，監測或阻擋外界的入侵，以保護NAS本身，以及與NAS連接的所有裝置。

另作業系統遭到駭客入侵的事件層出不窮，對於儲存設備而言，也應該要具備可診斷出作業系統是否被惡意竄改的能力，避免企業誤用到駭客組織散播的惡意程式。而且，在發現可疑IP位址一再嘗試登入系統且失敗時，也應有自動阻擋（auto-block）功能，讓用戶享受便利的雲端儲存服務時，也能兼顧資安。

善用備份功能 對抗勒索軟體

在地震、颱風、火警等突發事件的預防機制下，多數企業都體認到建置備份或異地備援機制的重要，現今籠罩在勒索軟體的侵襲時，我們也要再次強調備份的必要。在資安威脅事件橫行的年代，群暉科技建議資安人員保護資料安全的最後步驟，即是善用儲存設備中的資料快照、多版本備份功能，規畫完善的資料保護機制，把風險降至最低。

現今的先進 Btrfs 檔案系統即支援檔案的快照功能，讓用戶可再短至 5 分鐘的時間間距來拍攝快照，並抄寫至異地，確保即時的資料備份及歷史版本還原點，當勒索軟體或其他資安病毒來襲時，讓用戶資料妥善保護、不遺失。

另外，在公有雲端服務日益成熟，租用雲端空間價格慢慢滑落的狀態下，儲存設備若支援遠端資料同步公有雲端平臺，例如：Amazon S3、Microsoft Azure、HiDrive、IBM SoftlLayer、Rackspace等時，還能降低企業自建料中心的成本，可一口氣達成保護機密資料安全、提升工作效益、降低營運成本的目標。

防禦入侵需主動、被動的防護兼備，除了偵測外部的攻擊病毒與可疑 IP位址，也應謹慎診斷儲存設備的作業系統或第三方軟體，確認是否遭惡意程式侵害，以免在不知情的狀況下，執行了竄改過後的軟體，而讓重要資料外洩或損失。圖片來源／群暉科技