隨著網路攻擊逐年攀升,許多 NAS 用戶越來越重視使用 NAS 的網路安全以及 NAS 的資料安全。然而使用者必須要知道的是,一邊使用方便聯網裝置的同時,一方面也需承受連上網路後潛藏的網路風險,除了網路的風險之外,大如微軟 Windows 作業系統也存在不少安全性漏洞,藉此讓駭客有機可乘,但是基本上只要設備與系統廠商定期釋出系統更新,而使用者也都能透過妥善的安全性設定和定期更新系統,就可以抵禦絕大部分的網路攻擊。因此唯有靠使用者與廠商勤維護、更新,共同努力才能有辦法創造安全又便利的使用體驗。
Synology 於日前發表 2021 年更新版的 NAS 作業系統 DSM 7.0 ,以安全、便利性為基礎,秉持 Secure by Design 的理念,強化延伸各大功能與系統,讓你的 NAS 安全性獲得更好的保障。選擇自動更新的 Synology NAS 用戶,現在應該已經套用了全新 DSM 7.0 系統了,而尚未更新的用戶,也可以從 Synology 下載中心下載更新檔,手動執行更新。筆者特別整理出 DSM 7.0 在使用者、系統以及資料保護三方面的安全性更新上的幾個重點,一起來看看 DSM 7.0 在各個面向有何顯著提升呢?
目錄一、使用者安全性提升:Secure SignIn 雙重驗證 (核准登入、OTP 驗證碼)
二、系統安全性提升:系統自動備份至 Synology 帳戶與 Active Insight
同場加映:內部專責資安團隊 24 小時弱點修復、與國際組織合作
一、使用者安全性提升:Secure SignIn 雙重驗證 (核准登入、OTP 驗證碼)這次 DSM 7.0 針對安全性升級項目共分為 3 大面向。首先是使用者安全性的部分,在 DSM 7.0 升級後的新帳號,將由設定精靈引導使用者創建管理帳號且停用 admin 帳號,並強化首次登入 DSM 創建 admin 帳號的密碼規則,也就是密碼都被強制規定要使用強密碼,減少 NAS 被暴力破解的機會;而且,除了帳號、密碼登入外,新增了多種雙重驗證的登入選項,包括透過核准登入、硬體安全性金鑰以及 OTP 登入,增加帳號的安全性,避免帳號密碼遭竊產生的資安風險。
先從核准登入來說,這是透過 Synology Secure SignIn 行動應用程式提供的功能。先在 Android 或 iOS 裝置上安裝 App,接著綁定至 NAS,完成後每次登入 NAS 輸入帳號密碼後,只要再按下手機上的「核准」就能登入系統,等於有密碼與手機雙重的安全保證。
接著是硬體安全性金鑰,這是搭配 USB 硬體鎖、Windows Hello 與 macOS Touch ID 的硬體登入功能,除了帳號密碼之外,還需要透過電腦刷指紋才能登入系統,安全性更勝手機或 OTP 的方式,不過需要搭配 Windows Hello 與 macOS Touch ID 才能使用。
最後是由 Synology Secure SignIn 提供的 OTP 認證碼,使用上與核准登入相似,密碼輸入完畢後,核准密碼是按下確認,但 OTP 則是會顯示 6 位數的臨時認證碼讓使用者輸入。這功能就跟常見的 Google Authenticator 相似。
這次強化的 3 種安全性登入方式都是為了降低資安風險,當然如果要輸入帳號密碼外,還要二階段認證太麻煩,也可以僅使用核准登入、硬體安全性金鑰以及 OTP 登入做為登入方式,也比傳統的帳號密碼安全許多。不過站在資安的角度,還是建議使用雙重驗證開啟二階段驗證比較穩妥。
▲因為安全上的考量,現在大多會建議停用 Admin 帳號,並且將所有帳號使用強密碼並綁定 OTP 等認證。
▲為了保障帳號安全,使用者需要使用強密碼,如果不知道如何設計強密碼,也可以透過密碼產生器產生密碼。
▲Synology Secure SignIn 可讓帳號更安全,登入輸入帳密後,會要輸入 Synology Secure SignIn 上的 OTP 認證碼。
▲如果覺得輸入 Synology Secure SignIn 的 OTP 認證碼太麻煩,也可以選擇核准登入模式,只要點選手機 App 上的同意就能登入。
▲左邊是 Synology Secure SignIn 的 OTP 認證碼,輸入完帳號後,輸入 6 碼數字就能登入。右邊則是核准模式,手機會跳出登入裝置的帳號、系統、時間等資訊,選擇核准就能快速登入。
▲管理員可以強制所有帳號都使用雙重驗證,強化資料與帳號安全。
▲用戶可以自行選擇雙重驗證的模式,不論核准登入或是 OTP 都很值得使用。
二、系統安全性提升:系統自動備份至 Synology 帳戶與 Active Insight
在系統安全性方面,在 DSM 7.0 中使用者還可以設定讓系統自動將設定檔備份至 Synology 帳戶,或手動將其匯出到本地端電腦,藉此儲存使用者、群組、檔案服務等設定,並在日後需要還原 NAS 時, 登入 Synology 帳戶後就能輕鬆選擇備份的版本進行還原。
▲啟動自動定期備份 DSM 系統到 Synology 帳戶之前需先登入 Synology 帳戶
▲完成系統自動備份設定後,如有需要還原系統,可以透過 Synology 帳戶或是儲存在電腦中的設定進行還原。
此外, DSM 7.0 值得一提的還有 Active Insight,這是 Synology 的一款雲端服務,可自動即時監控、資源分析、異常診斷,也會提供故障排除建議。只要透過瀏覽器開啟 Active Insight 網頁或是專屬手機 App 就能快速了解 NAS 的狀況。收集的資訊除了即時狀態外,也能拉長到一年內的歷史數據,藉此分析長期使用變化。
▲出門在外,如何管理、監控 NAS 呢?只要透過 Active Insight 使用瀏覽器或是 App 就能快速管理並了解所有機器的狀態。
▲使用者可以遠端查詢過去一年的機器狀態,也能看到即時的系統資訊。
▲若有多台裝置,在主機頁面也會一併顯示所有設備的即時狀態,包含使用率、流量、效能等參數。
三、資料安全性提升:全新的儲存空間管理員
除了使用者與系統的安全保護外,DSM 7.0 帶給使用者全新的儲存空間管理員,透過階層化的圖示設計,清楚呈現儲存集區和儲存空間之間的關係,加上圖像化呈現 NAS 中硬碟實際位置與狀態,可以直覺地知道每顆硬碟的順序和使用狀況。
▲以往還要透過燈號才能知道硬碟位置,現在透過圖像介面,點選就能知道硬碟對應的槽位十分方便。
▲在儲存空間管理員介面中,可以看到每顆硬碟的詳細狀態。
▲除了磁碟狀態,如果有異常狀態,也會顯示在日誌清單中。
本次更新在更換硬碟方面也有顯著的改善,可分為手動更換與自動更換兩種模式。當使用者想要手動更換時,在一般情況必須承受儲存空間降級的風險,而儲存空間降級也就代表資料處於未被保護風險較高的情況,而在 DSM 7.0 中,可利用閒置的硬碟槽插入備用硬碟後,將舊硬碟中的資料複製到備用硬碟,無縫替換硬碟同時免除儲存空間降級的風險,保障資料的安全。假如 DSM 偵測到硬碟狀態為嚴重或故障時,也可透過啟用「自動更換」的功能,自動將硬碟中的資料複製到可用的 Hot Spare 硬碟,無須重建 RAID 就即可替換有問題的硬碟,避免儲存集區降級,對於公司內無法忍受停機的服務無非是一大保障措施。
而硬碟修復方面也有飛躍性的效能提升,其中「快速修復」的部分相較於傳統修復重建,系統會略過未使用的空間,藉此減少修復的時間並盡快恢復 RAID 的資料保護。如果是使用率低於 50% 的硬碟,快速修復比傳統能節省 50% 的時間,將儲存空間處於降級的時間降至最低,大大提升了資料的安全性。
另一方面,「自動修復」則適用於多人操作環境。預先啟用自動修復,將故障硬碟替換為新硬碟後,系統的自動修復功能會修復儲存集區,避免儲存的資料遺失損毀,且不需要登入 DSM 就能執行。對於公司內多人維護的 NAS 來說,修復人員不需要具備最高管理者的權限就能快速更換故障硬碟,提升 IT 人員的維護彈性。
從上述各種的備份與安全性設計,不難看出 Synology 對於安全性、實用性與便利性的重視,本次的 DSM 7.0 更新,讓 NAS 獲得功能性與安全性的提升。由此可見,Synology 是重視用戶的可信賴品牌。
▲只要預先設定 Hot Spare 硬碟,就能快速地自動更換硬碟無須重建 RAID ,並避免儲存集區降級。
▲比起一般修復功能,快速修復可以縮短降級的時間,迅速從降級狀態回復到良好狀態。
同場加映:內部專責資安團隊 24 小時弱點修復、與國際組織合作
就如同前言所述,因為連接網路裝置就會存在風險,但病毒與漏洞不會自動消失,對於消費者而言除了 NAS 系統本身的安全性需提升之外,原廠對於事情處理負責的態度,更是消費者所追求跟重視的。相較於其他品牌,Synology 在內部設立產品安全性事件應變小組 (PSIRT),專門負責產品安全性事件,包括安全性弱點、資訊接收、調查、協調與公開報告等內容。PSIRT 團隊也曾與國際資安組織一同合作阻止勒索病毒擴散。當其收到弱點提交的 8 小時內,團隊會先做初步判斷並於 24 小時內解決漏洞,提供更新程式下載,確保每台 NAS 都能安全無虞。
除了自家的應變團隊外,Synology 也透過安全漏洞回報獎勵計畫邀請外部頂尖資安技術人員抓出系統漏洞,共同維護產品安全性,並加入全球公認事件應變典範的 FIRST 組織,以提升安全事件的回報速度與合作夥伴共享專業知識與資源。
總結:安全性全面提升,用戶必升級 DSM 7.0 的理由
綜合上述,Synology 不僅在內部設有專責的 PSIRT 資安團隊外,從 DSM 6.2 版到 DSM 7.0 ,可以看到升級後的多項改變。首先在使用者安全方面,可透過下載使用 Secure SignIn 的多種登入選項,讓大幅提升使用者登入 NAS 的安全性。而在系統安全性的部分,可設定系統自動備份到 Synology 帳戶並在需要時進行還原;搭配 Active Insight 能遠端即時監控多台裝置的使用狀況,並且能回顧歷史狀態分析長期的使用變化。最後,在資料安全的部分,全新的儲存空間管理員能免除以往在手動更換硬碟時需要承受儲存空間降級和資料毀損的風險,透過「自動更換」的功能,自動將硬碟中的資料複製到可用的 Hot Spare 硬碟;硬碟修復方面,「快速修復」能減少修復時間並盡快恢復 RAID 的資料保護;而預先啟用「自動修復」,修復人員不需要具備最高管理者的權限就能快速更換故障硬碟,系統就能自動修復儲存集區,保障儲存資料的安全更加萬無一失。
以上 DSM 7.0 這次的更新項目與特色,不僅安全而且好用,看完了這次的更新你還有不升級的理由嗎?趁現在趕緊幫你的 Synology NAS 更新一下,體驗全新的套件和服務吧!
猜你喜歡
