توسعه ارتباطات پویااندیش توسعه ارتباطات پویااندیش
Englishفارسی
توسعه ارتباطات پویااندیش طراح و مجری حوزه های مختلف فن آوری اطلاعات ارتباطات و سیستم ها
صفحه اصلی / تازه های دنیای فناوری اطلاعات / 7 راهکار امنیتی محافظت از داده‌های NAS
ذخیره‌سازی متصل به شبکه (NAS) سرنام Network-Attached Storage یک مکانیزم ذخیره‌سازی و سازمان‌دهی فایل‌ها است. این مکانیزم ذخیره‌سازی متمرکز به کاربران و دستگاه‌های کلاینت اجازه می‌دهد به ذخیره‌سازی، بازیابی و سازمان‌دهی فایل‌ها و اسناد بپردازند. کاربران در یک شبکه محلی (LAN) می‌توانند از طریق اتصال اترنت استاندارد به فضای ذخیره‌سازی مشترک دسترسی پیدا کنند. به‌طور معمول، دستگاه‌های NAS از طریق یک ابزار مبتنی بر مرورگر پیکربندی و مدیریت می‌شوند. هر دستگاه ذخیره‌سازی متصل به شبکه به‌عنوان یک گره مستقل در شبکه محلی شناخته می‌شود که آدرس آی‌پی مخصوص به خود را دارد.
 

NAS یک راهکار مقرون‌به‌صرفه

NAS به‌دلیل دسترسی آسان، ظرفیت بالا و هزینه کم، اصلی‌ترین مکانیزم ذخیره‌سازی اطلاعات در شرکت‌ها و سازمان‌های کوچک و بزرگ است. در مکانیزم فوق فضای ذخیره‌سازی در قالب یک موجودیت واحد در اختیار کاربران قرار می‌گیرد که نقش مهمی در دسترسی بهینه به اطلاعات دارد. علاوه بر این، NASها توانایی ادغام با فضای ابری دارند تا فرآیند بایگانی و پشتیبان‌گیری به‌شکل کارآمدی انجام شود. 

NAS و شبکه‌های ذخیره‌سازی (SANs) با ارائه راه‌حل‌های جامع به سازمان‌ها مانع از آن می‌شوند تا داده‌ها در اثر خرابی سخت‌افزاری از دست بروند. علاوه بر این، به‌لطف معماری‌های مختلف RAID قابل پیاده‌سازی در NAS این امکان وجود دارد تا سرعت عملیات ورودی و خروجی را افزایش داد و شبکه را به‌گونه‌ای پیاده‌سازی کرد که توانایی تحمل خرابی هارددیسک‌ها را داشته باشد. NAS در زمینه ذخیره‌سازی انواع مختلفی از داده‌ها مثل فایل‌های صوتی و تصویری، وب‌سایت‌ها، فایل‌های متنی و اسناد عملکرد عالی دارد.

ذخیره‌سازی متصل به شبکه در چه مواردی استفاده می‌شود؟

NAS با هدف بهبود قابلیت همکاری و اشتراک‌گذاری موثرتر و هدفمندتر داده‌ها استفاده می‌شود. به‌طور مثال، در شرکت‌هایی که بخشی از کارمندان آن‌ها دورکار هستند و باید از راه دور به منابع سازمانی دسترسی پیدا کنند، NAS راهکاری جامع برای دسترسی به اطلاعات در اختیارشان قرار می‌دهد. در محیط‌های اداری، NAS به یک روتر بی‌سیم متصل می‌شود و دسترسی به فایل‌ها از طریق کامپیوترهای دسکتاپ یا دستگاه‌های سیار را ساده می‌کند. به‌طور معمول، سازمان‌ها یک محیط NAS را به‌عنوان زیرساختی برای پیاده‌سازی یک ابر خصوصی مورد استفاده قرار می‌دهند. 

در مقیاس کلان، NAS‌ها بر مبنای معماری واحدی برای پیاده‌سازی مفهوم بزرگ‌تری که «شبکه ذخیره‌سازی منطقه‌ای» (SAN) نامیده می‌شود کاربرد دارند. این تجهیزات پر‌کاربرد شبکه، دارای حداقل دو خشاب برای نصب هارددیسک‌ها یا حافظه‌های حالت جامد هستند. البته محصولات تک‌خشابی نیز در بازار وجود دارند، اما به‌دلیل عدم پشتیبانی از فناوری بازیابی در کاربردهای تجاری استفاده نمی‌شوند و بیشتر مناسب کاربران خانگی هستند. محصولات سازمانی با ارائه ویژگی‌های پیشرفته‌تری برای مدیریت فضای ذخیره‌سازی، فشرده‌سازی، تکثیر و اسنپ‌شات‌ها حداقل چهار خشاب برای میزبانی هارددیسک‌ها دارند. هرچه تعداد خشاب‌های روی یک NAS بیشتر باشد، به سازمان‌ها اجازه می‌دهد دیسک‌های بیشتری را روی NAS نصب کنند و اجازه می‌دهد از معماری‌های RAID کارآمدتری مثل RAID 6 استفاده کنند. 

تا قبل از پیدایش NAS، شرکت‌ها مجبور بودند صدها یا حتا هزاران فایل‌سرور را پیکربندی و مدیریت کنند و از راهکارهایی مثل DAS برای ذخیره‌سازی اطلاعات استفاده کنند که مزایا و مشکلات خاص خود را داشتند. با این‌حال، امروزه به‌لطف پشتیبانی از ظرفیت‌های چند ترابایتی و توانایی میزبانی دیسک‌های بیشتر، NASهای سازمانی که به آن‌ها scale-up NAS گفته می‌شود، توانایی پاسخ‌گویی به بارهای کاری ترافیکی سنگین را دارند. علاوه بر این، بیشتر تولیدکنندگان محصولات NAS با ارائه‌دهندگان فضای ذخیره‌ساز ابری در تعامل هستند تا مشتریان بتوانند با انعطاف‌پذیری بیشتری از فایل‌ها و داده‌ها نسخه پشتیبان تهیه کنند. 

در حالی که NAS مزایای زیادی به‌همراه دارد، اما بدون عیب نیست. ذخیره‌سازی متصل به شبکه‌ای که تنها از هارددیسک‌ها پشتیبانی می‌کند هنگامی که بارهای کاری زیاد شود و کاربران زیادی درخواست‌های خود را برای NAS ارسال می‌کنند، در پاسخ‌گویی به عملیات ورودی و خروجی با مشکل روبه‌رو می‌شوند که تاخیر در پاسخ‌گویی یکی از آن‌ها است. سیستم‌های جدیدتر از حافظه فلش استفاده می‌کنند که سریع‌تر هستند و عملکرد عالی در خواندن و نوشتن تصادفی اطلاعات دارند، اما به‌دلیل قیمت زیادی که دارند مورد توجه همه شرکت‌ها قرار ندارند. به همین دلیل، برخی شرکت‌ها از رویکردهای ترکیبی استفاده می‌کنند. به این صورت که هارددیسک‌ها و حافظه‌های فلش را همراه با هم در NAS استفاده می‌کنند تا بتوانند از مزایای سرعت زیاد حافظه‌های فلش به‌همراه ظرفیت بالای هارددیسک‌ها به‌طور همزمان استفاده کنند. فارغ از معماری سخت‌افزاری که برای پیاده‌سازی NAS‌ها مورد استفاده قرار می‌گیرد، تامین امنیت داده‌هایی که قرار است روی NAS ذخیره‌سازی شوند موضوع مهمی است که کارشناسان شبکه باید به آن دقت کنند. 

تامین امنیت NAS

تامین امنیت NAS و داده‌هایی که روی آن نگه‌داری می‌شود، یکی از موضوعات مهمی است که باید به آن دقت کرد. یکی از کارآمدترین روش‌ها در این زمینه، رمزگذاری اطلاعات است. رمزگذاری یکی از موثرترین راهکارها برای محافظت از داده‌های میزبانی‌شده در فضای ذخیره‌سازی متصل به شبکه است. در چنین شرایطی اگر مجرمان سایبری به درایوها دسترسی پیدا کنند یا بتوانند به شنود کانال‌های ارتباطی و رصد بسته‌های داده‌ای بپردازند به داده‌های غیر‌قابل‌خواندنی دست پیدا می‌کنند، زیرا برای مشاهده درست اطلاعات به کلید رمزگشایی نیاز است.

رمزگذاری با هدف امن نگه داشتن داده‌ها

به‌طور معمول، کارشناسان حرفه‌ای شبکه از رمزگذاری NAS برای جلوگیری از دسترسی افراد غیرمجاز به داده‌های محرمانه در حال انتقال یا ذخیره‌شده روی NAS استفاده می‌کنند. این داده‌ها ممکن است شماره کارت‌های بانکی، مالکیت معنوی، سوابق پزشکی، اطلاعات تامین اجتماعی یا انواع دیگری از داده‌های محرمانه باشد. لازم به توضیح است که رمزگذاری اطلاعات در برخی کشورها الزامی است. به‌طور مثال، شرکت‌های مستقر در اتحادیه اروپا مجبور هستند برای پیروی از مقرراتی مانند GDPR یا HIPAA از رمزگذاری داده‌ها استفاده کنند.

بدون رمزگذاری، داده‌ها به‌صورت متن واضح ذخیره و ارسال می‌شوند. در این حالت، هر کاربری با حداقل دانش فنی قادر به رهگیری کانال‌های ارتباطی و شنود اطلاعات است یا اگر دسترسی فیزیکی به درایوها وجود داشته باشد، قادر به خواندن اطلاعات حساس است. همان‌گونه که اشاره کردیم، یک دستگاه NAS ترافیک شبکه محلی را با سایر دستگاه‌ها و کاربران به‌اشتراک می‌گذارد. این سیستم‌ها می‌توانند کامپیوترهای دسکتاپی، چاپگرها، گوشی‌های هوشمند، تبلت‌ها و دستگاه‌های اینترنت اشیاء باشند. از این‌رو، نباید اطلاعات در قالب متن ساده در اختیار کلاینت‌ها قرار بگیرد. 

در شرایطی که رمزگذاری راهکاری عالی برای محافظت از داده‌ها است، رمزگذاری NAS می‌تواند یک فرآیند پیچیده باشد و اگر اشتباه انجام شود داده‌های حساس را در معرض خطر قرار می‌دهد. مدیران شبکه می‌توانند با پیروی از هفت راهکار ساده‌ای که به آن‌ها اشاره خواهیم کرد، به‌شکل ساده اما مطمئن، از داده‌ها محافظت کنند.

1. مشخص کنید چه چیزی باید رمزگذاری شود

اولین نکته‌ای که هنگام استفاده از مکانیزم رمزگذاری و رمزگشایی داده‌ها باید به آن دقت کنید تاثیر آن بر عملکرد NAS و شبکه است. گاهی اوقات رمزگذاری عملکرد NAS را کاهش می‌دهد؛ در نتیجه روند پاسخ‌گویی به درخواست‌های کاربران زمان‌بر می‌شود. زمان انتظار به مشخصات سخت‌افزاری NAS، نحوه اجرای رمزگذاری و این مسئله که آیا NAS از ویژگی شتاب‌دهندگی سخت‌افزاری استفاده می‌کند یا خیر بستگی دارد. در برخی موارد، رمزگذاری بر عملکردهای دیگر NAS مثل فشرده‌سازی داده‌ها و تکثیر داده‌ها تاثیر منفی می‌گذارد که نقش مهمی در استفاده بهینه از فضای ذخیره‌سازی و محافظت از داده‌ها دارند. برای حل مشکل مذکور، ابتدا باید داده‌ها را طبقه‌بندی کنید و فقط داده‌هایی را رمزگذاری کنید که حساس هستند و افشای آن‌ها باعث بروز مشکلات حقوقی می‌شود. به بیان دقیق‌تر، داده‌هایی که اصل محرمانگی در ارتباط با آن‌ها صدق می‌کند در اولویت هستند. به‌طور مثال، اگر داده‌های مختلفی روی NAS دارید، بر مبنای معیار سه‌گانه «دسترس‌پذیری، محرمانگی و یکپارچگی» به طبقه‌بندی اطلاعات بپردازید تا بتوانید به‌شکل کارآمدی داده‌های حساس، نیمه‌حساس و عادی را  شناسایی کنید (شکل 1). 

شکل 1

 

2. داده‌های حساس بدون استفاده را رمزگذاری کنید

در دنیای شبکه و ذخیره‌سازی، دو گروه اطلاعات وجود دارند. گروه اول داده‌هایی هستند که «داده‌های در حال استراحت» (Data At Rest) نام دارند. داده‌های در حالت استراحت ذخیره‌شده در NAS در نقطه مقابل داده‌هایی قرار دارند که برای نقاط پایانی ارسال می‌شوند. این داده‌ها ممکن است فایل‌های آرشیو، اسناد و گزارش‌های مالی یا اسنپ‌شات‌هایی باشند که وجود آن‌ها روی NAS ضروری است و تنها در شرایط خاصی استفاده می‌شوند. 

از الگوریتم‌های رمزگذاری NAS برای محافظت از این داده‌ها در برابر دسترسی غیرمجاز استفاده کنید تا اگر دستگاه به‌سرقت رفت یا هکرها موفق شدند به‌دلیل آسیب‌پذیری در سفت‌افزار NAS به آن نفوذ کنند قادر به سرقت، مشاهده یا تحریف اطلاعات نباشند. کارشناسان شبکه و امنیت پیشنهاد می‌کنند از ماژول‌های رمزنگاری‌ای استفاده کنید که منطبق با چارچوب‌هایی مثل NIST هستند. علاوه بر این، توصیه می‌شود از فناوری‌های رمزنگاری پیشرفته مانند رمزگذاری 256 بیتی AES استفاده کنید. همچنین، به این نکته دقت کنید که هر دو گروه داده‌ها و فراداده‌ها (Metadata) باید رمزگذاری شوند. 

3. رمزگذاری داده‌های حساس در حال انتقال

داده‌های در حال انتقال در معرض تهدیدهایی مختلفی مثل استراق سمع و سرقت قرار دارند. مجرمان سایبری می‌توانند به اطلاعات محرمانه‌ای که بین یک دستگاه NAS و دیگر سیستم‌ها منتقل می‌شود دسترسی پیدا کنند؛ از این‌رو، ضروری است داده‌هایی را که میان کلاینت‌ها مبادله می‌شوند رمزگذاری کنید. این موضوع به‌ویژه زمانی که کارمندان دورکار هستند و برای انجام کارها مجبور هستند از سیستم‌های شخصی به NAS و منابع دسترسی پیدا کنند، حائز اهمیت است. به همین دلیل، رمزگذاری هر نوع داده حساسی که به NAS وارد یا از آن خارج می‌شود ضروری است. 

البته رمزگذاری NAS تضمین نمی‌کند که شبکه عاری از هرگونه تهدیدی خواهد بود. یک کارمند بی‌دقت می‌تواند مثل یک هکر برای سازمان خطرآفرین باشد. توصیه می‌شود هنگام رمزگذاری داده‌های در حال انتقال از پروتکل‌های استاندارد صنعتی مانند پروتکل «امنیت لایه انتقال» (TLS) استفاده کنید و تمام پورت‌‌های استفاده‌نشده دستگاه NAS را ببندید. همچنین، از تمام اطلاعات حساس به‌شکل دوره‌ای نسخه پشتیبان تهیه کنید. 

4. رمزگذاری نشست‌های مدیران 

به‌طور معمول، مدیران بخش‌های مختلف یک سازمان به سیستم‌های NAS دسترسی کامل دارند تا بتوانند تجهیزات ذخیره‌سازی و مولفه‌های مرتبط با آن‌ها را پیکربندی و کنترل کنند و گاهی اوقات از راه دور به سیستم‌ها متصل می‌شوند. دسترسی مدیریتی به NAS چالش‌های خاص خود را دارد و تقریبا بخش عمده‌ای از حمله‌ها از طریق حساب‌های مدیریتی انجام می‌شود، زیرا هکرها می‌توانند با رهگیری داده‌های یک نشست به محیط NAS دسترسی پیدا کنند. در ادامه، می‌توانند مجوزها را تغییر دهند، اطلاعات حساس را سرقت کنند، بدافزارهایی روی NAS قرار دهند یا داده‌ها را پاک کنند. از این‌رو، توصیه می‌شود نشست‌های مدیریتی را رمزگذاری کنید تا مانع بروز مشکل نقض داده‌ها و دیگر بردارهای حمله شوید. نکته‌ای که برخی کارشناسان شبکه نسبت به آن کم‌دقت هستند این است که مهم نیست مدیران سازمان از طریق واسط‌های برنامه‌نویسی کاربردی (APIها)، رابط‌های خط فرمان یا سایر ابزارهای کلاینتی به NAS متصل ‌می‌شوند، در تمامی این موارد نشست‌های آن‌ها باید رمزگذاری شود. 

5. از شبکه‌های خصوصی مجازی استفاده کنید

شبکه خصوصی مجازی یک اتصال رمزگذاری‌شده به اینترنت تعریف می‌کند، به‌طوری‌که جزئیات مربوط به یک نشست را پنهان می‌کند و یک لایه حفاظتی مضاعف پیرامون کانال‌ ارتباطی سیستم‌ کاربر که قصد دارد از راه دور با دستگاه‌های NAS ارتباط برقرار کند اضافه می‌کند. از آن‌جایی که یک شبکه خصوصی مجازی مانع افشای هویت کاربران آنلاین می‌شود، برای هکرها سخت‌ است که بتوانند به داده‌ها یا سیستم‌ها حمله کنند یا حتا محتویات یک نشست یا نوع داده‌ها را حدس بزنند. لازم به توضیح است که شبکه‌های خصوصی مجازی در طول همه‌گیری کووید 19 اهمیت ویژه‌ای پیدا کردند، زیرا افراد بیشتری از خانه کارهای خود را انجام می‌دهند و در بیشتر موارد مجبور هستند از راه دور به منابع سازمانی متصل شوند. 

6. پیاده‌سازی مدیریت متمرکز کلید

بیشتر الگوریتم‌های رمزنگاری برای رمزگذاری و رمزگشایی داده‌ها به کلیدهای رمزنگاری تکیه می‌کنند. در نتیجه، مدیریت کلید موضوع مهمی است که باید در استراتژی رمزگذاری NAS به آن دقت کنید. کلیدهای رمزنگاری باید به‌درستی تولید، توزیع، ذخیره و در زمان مناسب پاک شوند. برای انجام درست این فرآیند به یک سیستم «مدیریت کلید متمرکز» (Centralized Key Management) نیاز است. سیستمی که توانایی نگه‌داری ایمن کلیدها را داشته باشد. بدون وجود چنین سیستمی، کلیدها ممکن است توسط هکرها شنود و برای رمزگشایی اطلاعات مورد استفاده قرار گیرند یا برای جعل هویت کاربران و دسترسی به داده‌های حساس از طریق یک حساب کاربری معتبر، رهگیری اطلاعات مبادله‌شده توسط کاربران یا انجام فعالیت‌های مخرب استفاده شوند. علاوه بر این، سیستم مدیریت کلید باید هماهنگ با الزامات تجاری و خط‌مشی‌های امنیتی انتخاب شود تا امنیت داده‌ها حفظ شود. 

7. برای محافظت از داده‌های حساس، تنها به رمزگذاری اکتفا نکنید 

رمزگذاری یکی از مهم‌ترین مکانیزم‌های موجود برای محافظت از داده‌های حساس است، اما تنها ابزار نیست. حفاظت از داده‌ها به چند لایه امنیتی نیاز دارد تا اگر هکری موفق شد از یک لایه عبور کند به‌سادگی به داده‌ها دسترسی پیدا نکند. به‌طور مثال، ممکن است یک کارمند مجاز به دسترسی به داده‌های شخصی مشتریان شرکت باشد. هنگامی که کاربر وارد سیستم می‌شود و به داده‌ها دسترسی پیدا می‌کند، فرآیند رمزگشایی انجام می‌شود تا بتواند به‌صورت متن ساده به داده‌ها دسترسی پیدا کند. اگر هکری موفق شود اطلاعات هویتی و اعتبارسنجی کاربر را به‌دست آورد، قادر است به شبکه دسترسی پیدا کرده و داده‌های موجود را همانند کارمند سازمان مشاهده کند، حتا اگر داده‌ها رمزگذاری شده باشند؛ از این‌رو، ضروری است در کنار الگوریتم‌های رمزگذاری داده‌های NAS از ابزارهای دیگری همچون سامانه‌های تشخیص و پیشگیری از نفوذ استفاده کنید.