Вірозахисна стратегія (вимога програм ...) для резервного копіювання в NAS?

12

Я купив NAS для обміну файлами і як резервне рішення.

Нещодавно мій нетбук заразився вимогами. Усі файли в нетбуці та більшість файлів у NAS були знищені (вірус перетасовує перші біти файлів). На щастя, мій основний ПК не зазнав нападу, і оскільки я роблю резервні копії на портативному жорсткому диску, я нічого не втратив.

Але все-таки це мене налякало, оскільки я думаю, що я міг би втратити багато даних, якби він з'явився на моєму головному ПК. Дійсно, якщо резервна копія працює під час пошкодження файлів, я б створив резервну копію пошкоджених даних у NAS!

Отже, моє запитання: чи існує вірозахисна стратегія резервного копіювання?

Дякую за твою допомогу.

Тож після того, як я прочитав ваші відповіді, тепер я розумію, що мені потрібно два рішення:

  1. Синхронізувати мої дані в такому місці, до якого МОЖЕТ отримати доступ клієнти, щоб я міг обмінюватися даними між комп'ютерами (я б назвав це синхронізованою областю )
  2. Потім створіть резервну копію цієї синхронізованої області в тому місці, до якого клієнти не можуть отримати доступ

Нарешті мої запитання:

  1. Ці 2 твердження вище достатньо, щоб бути безпечними?
  2. Як налаштувати це рішення за допомогою комп’ютерів на Windows та Synology NAS?

Деніел Бек попросив детальніше про моє оточення:

У мене є два ПК:

  1. Основний настільний ПК, з яким я роблю більшість матеріалів (сортування фотографій, облік тощо). Він має досить великі жорсткі диски, щоб містити всі дані, які мені потрібні для обміну та резервного копіювання.
  2. Другий - нетбук. У нього невеликий жорсткий диск, тому він не містить усіх даних (наприклад, фотографій немає). Але його часто використовують для редагування деяких документів із спільної області . Іноді я буду створювати нові дані, які вручну зберігатиму в спільній області .

На даний момент я роблю всі копії в NAS вручну (у мене немає резервного програмного забезпечення).

Мій NAS - це Synology DS211j, він розміщує спільні дані.

Тож я хотів би:

  1. надати доступ до нетбука всім даним, які є на настільному ПК, навіть якщо він вимкнений
  2. Майте рішення захистити мої дані від вірусів.
  3. Створіть автоматизоване рішення для всього цього.

Завдяки останньому коментарю Liori, ось що я хотів би спробувати:

  1. Скиньте мій NAS, створений з RAID, з 2 жорстких дисків на 2 відокремлених томи .
  2. Налаштуйте синхронізацію даних на томі 1, який побачить користувач .
  3. Використовуйте програмне забезпечення для резервного копіювання часу Synology NAS , щоб створити резервну копію загального обсягу 1 на резервному обсязі 2 . Том 2 НЕ буде бачити користувачі .

Якщо це безпечно, я бачу багато переваг:

  • Навіть якщо це не так добре, я зберігаю доступ до своїх даних через Інтернет.
  • Резервне копіювання даних планується в NAS, мені не потрібно пускати комп'ютер для резервного копіювання.
  • Я мав би свої дані в 3-х місцях: основний настільний ПК + спільний обсяг + об'єм резервної копії (4 фактично з ручною резервною копією на USB HDD) Тож я втратив марний RAID і отримую захищене резервне копіювання на виділеному жорсткому диску.

Як ви думаєте, це спрацювало б?

Знову дякую!

backup  virus  nas 
Плуфф
джерело
1
Резервне копіювання відрізняється від синхронізації. Поясніть, будь ласка, як вони пов’язані у вашому випадку.
Даніель Бек
Гаразд, це складніше, ніж я думав. Я збираюся оновити відповідь ще раз.
Plouff

Відповіді:

14

Рішення - зберігати історію створення резервних копій.

Ви можете зберігати одну щоденну резервну копію, скажімо, за останні сім днів. Потім одна резервна копія на тиждень чотири рази на місяць. Таким чином, якщо резервна копія з вчорашнього дня була збережена в поганому стані, ви берете резервну копію за день раніше. Або ви можете взяти резервну копію з минулого тижня.

Для економії місця можна використовувати файлову систему з підтримкою дедупликації, використовувати жорсткі посилання або зберігати лише різницю між резервною копією. Яке рішення найкраще, залежить від ваших потреб, налаштувань та програмного забезпечення, яке ви запускаєте.

EDIT: Ви оновили своє запитання та додали додаткову інформацію.

Як ви вже знаєте, ви повинні відокремити дані від резервної копії. Резервна копія завжди зайва, якщо можливо, навіть більше, ніж одна копія. Я не знаю вашого рішення NAS та їх програмного забезпечення для резервного копіювання. Але я можу вам сказати, як я це вирішив.

Я використовую стару систему 300 МГц як резервний сервер, який підключений до файлового сервера (це був би ваш NAS у вашій конфігурації). Раз на день сервер резервного копіювання включається і витягує резервну копію з файлового сервера і записує дані на свої жорсткі диски. Як резервне програмне забезпечення я використовую rsnapshot . Жоден клієнтський комп'ютер жодним чином не має доступу до резервного сервера. І працює лише короткий час на день.

Це лише одне можливе рішення з багатьох. Ключові моменти хорошого рішення:

  • Зберігайте історію створення резервних копій
  • Резервна копія завжди зайва
  • Резервна копія зберігається на іншому апаратному забезпеченні (наприклад, на другому диску, а не на другому розділі на одному диску)
  • Клієнтські комп'ютери не повинні мати доступу до резервної копії
  • Резервне копіювання повинно бути максимально простим, у кращому випадку повністю автоматичним
  • Залежно від того, як часто передбачається відновлення, відновлення даних не повинно бути великим тягарем
Марко
джерело
Я розумію необхідність створення резервних копій історії, але, на жаль, я не думаю, що це завадило б, щоб викупники знищували дані. Я, можливо, був недостатньо точним. Але викупна програма мала доступ до NAS через нетбук. І це знищило файли в NAS!
Plouff
3
Зробіть це навпаки. Клієнти (можливо заражені) не повинні мати доступ до арбітражного запису в NAS. Сервер резервного копіювання (можливо, також працює в NAS) повинен витягувати дані з клієнтів і зберігати їх у NAS.
Марко
Добре! Я тепер розумію! Чи можна робити подібне з синологією NAS?
Plouff
1
Боюся, що у вашій відповіді пропущено один ключовий момент цієї стратегії: Якщо ви хочете забезпечити захист від зміни резервної копії шкідливим програмним забезпеченням, вам потрібно використовувати різні фізичні носії для старих резервних копій. Якщо користувач, як і в цьому випадку, не може гарантувати цілісність програмного забезпечення на своєму комп’ютері, чому слід писати дозволи на NAS? Зловмисне програмне забезпечення може просто вкрасти дані для входу з магазину паролів браузера або подібного.
jstarek
Я погоджуюсь з тобою. Знадобилося мені трохи часу, щоб зрозуміти, що мені потрібно відокремлювати спільні дані від резервного копіювання. Не могли б ви сказати, що ви думаєте про останнє оновлення питання? Дякую!
Plouff
7

Єдиний спосіб створити резервні копії без вірусів - це мати якусь історію: вам потрібно зберігати свої резервні копії протягом декількох днів / тижнів / монет.

Це не гарантує захист від вірусів, але за допомогою цієї гарантії ви можете відновити файли, перш ніж виявити недавню інфекцію.

Одна дуже важлива річ щодо резервного копіювання: клієнтський "комп'ютер" не повинен мати доступу до резервних копій.
Це означає, що це "серверний" комп'ютер, який підключається до клієнта і робить резервну копію. Більшість програм резервного копіювання розроблені не таким чином.
Ще один метод - це видалити резервні копії з поля зору клієнта, колись зроблено. Але це часто робиться погано, що не призводить до підвищення безпеки.

Григорій МОУСАТ
джерело
Після того, як я потрапив у програму викупу, я спробував видалити резервні копії з поля зору клієнта, видаливши NAS як мережевий диск на всіх машинах Windows. Тож зараз я отримую доступ до свого NAS через адресний рядок Windows і не зберігаю пароль. Але я не знаю, чи може викупник може сканувати мережу, щоб знайти інше місцеположення. Якщо він зможе це зробити, то оскільки Windows зберігає пароль під час активного сеансу (навіть якщо ви попросите не зберігати пароль назавжди), програмне забезпечення, що вимагає, може отримати доступ до NAS. Чи є простий спосіб застосувати те, що ви сказали в Windows?
Plouff
4

Те, що ви згадуєте, здається численними окремими питаннями. Одне легше подолати (випадкове видалення або резервне копіювання поганих даних), ніж інше (цільове зловмисне програмне забезпечення).

Зростаючи порядок суворості / зусиль для збереження своїх даних:

  1. (Непомітно) пошкодження даних однієї з ваших систем, що робить їх на резервному диску, видаляючи всі хороші дані або замінюючи їх лайно. Інші відповідники, згадані раніше, зберігають кілька поколінь. Це позбавляє вас також від набагато більш приземлених питань, як-от програмне забезпечення, яке погано пише (я знаю людей, чиє офісне програмне забезпечення створювало зламані, нереконвуючі файли), не помічаючи вас.

  2. Зловмисне програмне забезпечення, яке розбиває всі файли на всіх підключених дисках. Це складніше, оскільки зловмисне програмне забезпечення може просто видалити або зробити непридатним всі резервні покоління, надаючи програмний доступ до них. Зберігайте кілька накопичувачів та регулярно перемикайтеся між ними. Ніколи не підключайте їх одночасно.

  3. Пожежі, грабежі, удари блискавки або інше, що любить кидати на вас (бажано дорогі) речі. Обслуговуйте кілька фізичних дисків. Зберігайте один із них поза сайтом постійно. Регулярно перемикайтеся між ними, щоб переконатися, що обидва є достатньо актуальними. За бажанням додати до суміші онлайн-резервне рішення, яке ви довіряєте.

Звичайно, ви можете спробувати запобігти деяким проблемам, наприклад, зберігаючи кілька поколінь резервного копіювання та видаляючи всі дозволи на запис у файли після їх написання, тому зловмисне програмне забезпечення не може просто їх замінити. Я б не покладався на це, особливо якщо у вас вже є проблеми з шкідливим програмним забезпеченням.

Деніел Бек
джерело
Я думаю, ви точно визначили та розділили проблеми. Таким чином я збираюся оновити своє запитання вище.
Plouff
3

Я хотів би запропонувати інше рішення.

Використовуйте іншу інсталяцію системи лише для резервного копіювання - бажано тієї, яка справді є іншою операційною системою. Наприклад, ви можете зробити USB-накопичувач (або фактично встановити вторинну ОС на резервному диску) з деяким Linux і використовувати його для резервного копіювання вашої основної операційної системи, напевно, це Windows.

Підключіть сховище резервного копіювання лише тоді, коли завантажена ця вторинна ОС.

Таким чином зловмисне програмне забезпечення може знищити ваші резервні копії, лише якщо воно було готове працювати в двох різних операційних системах, і цей рівень складності дуже рідкісний (думаю, Stuxnet - рівень вишуканості).

liori
джерело
Якщо ви реалізуєте надто складне рішення, як було запропоновано, малоймовірно, що ви не створюєте резервну копію так часто, як слід. Резервне копіювання повинно бути максимально простим, в кращому випадку повністю автоматичним. Більш простим рішенням було б експортувати жорсткий диск, а сервер резервного копіювання просто захопити дані через локальну мережу. Таким чином, клієнту (та його зловмисному ПО) не потрібно мати доступ на запис на резервному сервері.
Марко
Я робив це один раз, і не вважаю це складним. У моєму випадку я просто підготував резервну ОС на зовнішньому жорсткому диску. Один із сценаріїв запуску запустив саму резервну копію, а коли резервна копія закінчилася, вона вимкнула комп'ютер. Тож все, що мені потрібно було зробити, це підключити жорсткий диск, перезавантажити комп’ютер і перейти до сну. У моєму випадку розділи на цьому жорсткому диску були підготовлені, щоб вони не автоматизувались на основній ОС, тому я фактично міг підключити накопичувач, не переймаючись безпекою резервних копій. Це було найбезпечніше рішення, яке я міг дешево реалізувати за допомогою лише жорсткого диска, і без зовнішнього ПК
liori
Я не згадував, що говорю про резервне рішення вдома. Більше того, я не так вільно володію ІТ. Ваше рішення здається чудовим, але мені важко налаштувати. Я не впевнений, що все зрозумів.
Plouff
1
@Plouff: це може бути досить добре. Якщо ця річ: synology.com/dsm/home_backup_desktop_backup.php?lang=enu працює, навіть якщо NAS не встановлена ​​безпосередньо на ваш ПК (а замість цього використовується все, що використовується спільно з ПК), у вас буде місце для резервного копіювання, яке є не безпосередньо доступний ПК. Ах, btw, ви писали, що хочете використовувати NAS також для "спільного використання файлів" - я б радив цього не робити для безпеки, але якщо ви все ще хочете це зробити, створіть окремий об'єм всередині NAS для обміну даними, наприклад на скріншоті тут: synology.com/dsm/home_easy_setup_home_storage.php?lang=enu
liori
1
@Plouff: Звучить приємно. Одне: здається, що вам не доведеться припиняти використання RAID. Згідно з цією документацією: ukdl.synology.com/ftp/ds/userguide/x11-Series/… , глава 4. - ви можете створити “Disk Group”, який виконує RAID, а потім створити в ній кілька томів.
liori
-1

Єдиний справжній захист - це клонувати ваш NAS регулярно і зберігати щонайменше 2 офлайн-копії даних у разі нападу NAS або виходу з ладу під час його клонування. Зважаючи на те, наскільки дешево можна придбати багато терабайтні накопичувачі, це насправді набагато доцільніше, ніж це було раніше, особливо якщо ви використовуєте грілку для заміни з голими накопичувачами замість попередньо виконаних зовнішніх

Майк Ловен
джерело
Здається, це скоріше коментар, ніж фактична відповідь.
Рамхаунд
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.