Serwery plików NAS

Kopie zapasowe i bezpieczeństwo

Ważnym elementem funkcjonowania zarówno sieci LAN, jak i serwerów NAS jest ich bezpieczeństwo. Mowa tu nie tylko o bezpieczeństwie fizycznym i dostępie do sprzętu czy komputerów, ale także o bezpieczeństwie danych. Przede wszystkim chodzi o tworzenie kopii zapasowych plików i danych, które wędrują po sieci. By zapewnić sobie spokój warto skonfigurować serwer Synology jako miejsce do przechowywania kopii zapasowych stacji roboczych. W przypadku komputerów Windows w zupełności wystarczy wbudowany mechanizm backupów. Z kolei użytkownicy komputerów z Mac OS także mogą wykorzystać tworzenie kopii zapasowych przy użyciu Time Machine. W tym przypadku wystarczy tylko w sekcji udostępniania plików zadeklarować folder współdzielony do przechowywania kopii zapasowych. Następnie ten folder wskazać w Time Machine na komputerze lokalnym.

Równie istotnym elementem jest tworzenie kopii zapasowych samego serwera NAS. Prócz podniesienia poziomu bezpieczeństwa danych poprzez stosowanie macierzy RAID, warto także regularnie wykonywać kopie zapasowe serwera. Tu do dyspozycji mam wbudowany mechanizm sieciowej kopii zapasowej. Narzędzie umożliwia tworzenie backupów na 4 sposoby:

  • lokalna kopia zapasowa – kopie będą gromadzone na nośniku USB lub innym folderze udostępnionym.
  • sieciowa kopia zapasowa na serwer Synology – jeśli w sieci mamy kilka serwerów NAS możemy tworzyć ich kopie na inny kompatybilny serwer Synology. Możemy także synchronizować foldery współdzielone pomiędzy dwoma serwerami Synology.
  • sieciowa kopia zapasowa rsync – to uniwersalny mechanizm tworzenia kopii sieciowej z wykorzystaniem protokołu rsync
  • kopia zapasowa na serwer Amazon S3 – jeden z bezpieczniejszych systemów tworzenia kopii zapasowej. Po pierwsze jest ona tworzona w sieci, a pod drugie miejscem przechowywania jest odległa lokalizacja – backup off-site. Niestety usługa jest płatna, a dodatkowo tworzenie kopii wielu gigabajtów danych może być długotrwałe.

Kopie wykonujemy wybierając dowolne foldery, a także konfiguracje poszczególnych aplikacji pakietów. Zadania backupów możemy oprzeć o harmonogramy. Oprócz tworzenia kopii plików w folderach udostępnionych na podobnej zasadzie możemy tworzyć kopie zapasowe jednostek LUN. Dodatkowo możemy wykorzystać 2 pakiety do backupu w chmurze: Glacier Backup oraz HiDrive Backup.

Ciekawym rozwiązaniem pozwalającym na sukcesywne i bezproblemowe tworzenie kopii zapasowych jest Time Backup. System tworzy zrzut obrazu w danym momencie. Dzięki temu kopia zapasowa trwa krótka a my dysponujemy kilkoma wersjami plików lub folderów (funkcja Smart Recycle pozwala na zaoszczędzenie miejsca). Kopie Time Backup mogą być tworzone lokalnie – na inny wolumen lub też na inny nośnik, a także na inny serwer Synology.

Synology DS414 został wyposażony w pokaźny pakiet różnego rodzaju systemów zabezpieczeń. W aplecie Zapora sieciowa i QoS możemy aktywować ochronę przed atakami DoS, a także zdefiniować reguły przepuszczające lub blokujące ruch sieciowy z określonych adresów IP czy całych podsieci. Reguły ustawiane są dla poszczególnych aplikacji przy pomocy intuicyjnego kreatora. Z kolei w zakładce Sterowanie ruchem możemy tworzyć reguły QoS umożliwiające określenie gwarantowanej przepustowości pobierania i wysyłania danych przez poszczególne aplikacje, usługi i porty.

Ponieważ usługi serwera NAS mogą być dostępne spoza sieci LAN warto poświęcić nieco uwagi zabezpieczeniom dodatkowym. Oprócz stosowania zewnętrznych systemów dostępu do sieci LAN możemy wzmocnić ochronę poprzez utworzenie listy dozwolonych adresów IP. Dzięki temu dostęp z zewnątrz mogą mieć tylko określone urządzenia/sieci/adresy IP. W przypadku zbyt wielu nieudanych prób logowania system może zablokować określony adres IP. Jest to przydatne rozwiązanie w przypadku ataków typu brute-force, czy ataku słownikowym. Ważnym elementem jest również bezpieczeństwo wewnątrz sieci. Dlatego prócz odpowiedniej konfiguracji uprawnień do folderów udostępnionych, warto przyjrzeć się apletowi Uprawnienia aplikacji. Pozwala on na konfigurację dostępu do określonych usług dla poszczególnych kont użytkowników. Możemy dla przykładu ograniczyć niektóre konta do dostępu tylko do dostępu do FTP czy stacji wideo.

Synology dość mocno rozwinął także wszelkiego rodzaju powiadomienia ułatwiające zarządzanie i kontrolę systemową. Mechanizm powiadomień pozwala na sprecyzowanie rodzaju informacji, jakie będą wysyłane do administratorów systemu. Komunikacja może odbywać się przy pomocy poczty mail, SMS, komunikatorów, aplikacji mobilnej wysyłającej powiadomienia push. W przypadku rozbudowanych sieci LAN dobrze jest uruchomić kompleksowy system monitorowania sieci i urządzeń. Jednym z bardziej popularnych i konfigurowalnych jest oparty o protokół SNMP. Dzięki niemu możemy w stosunkowo prosty sposób sprawdzać parametry poszczególnych urządzeń sieciowych – także serwerów NAS.

Jeśli taki pakiet powiadomień jest niewystarczający możemy podłączyć NAS do serwera Syslog, który zbiera wszystkie zdarzenia systemowe. Nic nie stoi na przeszkodzie, by uruchomić serwer Syslog na DS414. W Centrum pakietów odnajdziemy odpowiednią aplikację.