Wiele firm wykonuje backup sieciowy (albo backup na udziały sieciowe) w ten sam sposób od niepamiętnych czasów (dla jasności: w IT „niepamiętne czasy” to pewnie jakieś 5 lat). Udział SMB na Windows Server? Zawsze włączony dysk sieciowy (NAS)? Brzmi znajomo? Czytaj dalej, aby dowiedzieć się, dlaczego te podejścia do backupu w sieci organizacyjnej nie są już wystarczające, a co najważniejsze – bezpieczne.

Problem z nie do końca bezpiecznymi protokołami sieciowymi (SMB/CIFS, NFS i iSCSI)

Istnieje kilka protokołów sieciowych, których można używać do komunikacji z magazynami backupu, np. SMB/CIFS, NFS czy iSCSI. Choć same w sobie mogą być dość bezpieczne, ich niewłaściwe użycie lub sposób, w jaki udostępniają dane backupu poprzez udziały sieciowe może znacząco ułatwić atakującym dostęp do kopii zapasowych danych organizacji. Przyjrzyjmy się bliżej każdemu z nich.

SMB/CIFS – mała stabilność i nacisk na udostępnianie, a nie ochronę kopii zapasowych

Protokół SMB/CIFS wprowadzono jeszcze w latach 80. na potrzeby udostępniania plików i drukarek w sieci lokalnej (LAN). W przeciwieństwie do starszych wersji, najnowsza (SMB 3.X) obsługuje szyfrowanie end-to-end i bezpieczne uwierzytelnianie (dzięki integracji z Kerberos). Kolejną zaletą jest szerokie wsparcie SMB/CIFS w różnych systemach operacyjnych i łatwe zarządzanie uprawnieniami (np. przez Active Directory).

Z drugiej strony, SMB/CIFS to protokół charakteryzujący się intensywnością komunikacji („gadatliwy”), który oferuje słabą wydajność przy przetwarzaniu dużych ilości danych. Jest również podatny na wszelkie opóźnienia i problemy z łącznością sieciową. Aby osiągnąć optymalny poziom bezpieczeństwa, potrzebna jest integracja z Kerberos – konfiguracja jest złożona i może wymagać regularnego utrzymywania, aby zapewnić maksymalną ochronę w każdym punkcie sieci organizacyjnej.

Wreszcie, magazyn zmapowany przez SMB/CIFS jest łatwym celem dla ataków typu lateral movement (przemieszczanie się wewnątrz sieci) i ransomware, które zazwyczaj uwzględniają skanowanie udziałów sieciowych na zainfekowanym urządzeniu. Problemem jest również to, że w praktyce wiele organizacji wdraża SMB/CIFS w sposób niebezpieczny, trzymając się starszych wersji (np. ze względu na kompatybilność) lub zaniedbując utrzymywanie maksymalnie bezpiecznej konfiguracji.

W skrócie: Dlaczego SMB/CIFS to nie najlepszy pomysł na backup sieciowy w 2025 roku?

  • Słaba wydajność przy masowym przesyłaniu danych.
  • Problemy ze stabilnością.
  • Brak granularnej kontroli dostępu, co zwiększa powierzchnię ataku.
  • Łatwa infiltracja poprzez skanowanie i uzyskiwanie dostępu do udziałów.
  • Ryzyko potencjalnie podatnych konfiguracji (stare wersje, brak integracji z Kerberos itp.).
  • Brak wsparcia dla nowoczesnych funkcji ochrony kopii zapasowej, które zapewniają odporność na ransomware, np. immutable backup (niezmienność danych), logiczna separacja itp.

NFS – skomplikowana konfiguracja bezpieczeństwa

Standard komunikacji sieciowej ze świata Unix/Linux oferuje lepszą wydajność niż jego konkurent i jest częstym wyborem, jeśli chodzi o backup maszyn wirtualnych.

Mówiąc o wadach, głównym problemem NFS jest skomplikowana konfiguracja. Po pierwsze, dużej skrupulatności wymaga ustawianie mapowania UID/GID (tzw. numerycznych identyfikatorów użytkowników). Po drugie, integracja z Kerberos (aby móc korzystać z najlepszej klasy uwierzytelniania) jest dość złożona. Podobnie jak SMB/CIFS, NFS – jako przede wszystkim protokół udostępniania plików – pozwala na łatwą infiltrację lokalnie zamontowanych udziałów/dysków. Nie wspiera także nowoczesnych funkcji bezpieczeństwa backupu, takich jak logiczna separacja czy niezmienność danych (immutability).

W skrócie: Dlaczego NFS to nie najlepszy pomysł na backup na udziały sieciowe w 2025 roku?

  • Trudna konfiguracja kontroli dostępu i uwierzytelniania.
  • Łatwa infiltracja poprzez skanowanie i uzyskiwanie dostępu do udziałów.
  • Ryzyko potencjalnie podatnych konfiguracji (stare wersje bez szyfrowania, brak integracji z Kerberos itp.).
  • Brak wsparcia dla nowoczesnych funkcji ochrony kopii zapasowej, które zapewniają odporność na ransomware, np. immutable backup (niezmienność danych), logiczna separacja itp.

iSCSI – wydajny, ale nie do końca bezpieczny, jeśli chodzi o przechowywanie krytycznych danych

iSCSI to młodszy standard, oficjalnie ustanowiony w 2003 roku. Oferuje świetną wydajność przesyłania dużych plików lub baz danych. Jest powszechnie używany w środowiskach wirtualnych, takich jak na przykład Microsoft Hyper-V. iSCSI to protokół przyjazny dla użytkownika końcowego – zdalny dysk (target) jest widoczny jako lokalny dysk twardy na urządzeniu użytkownika (initiator).

Mówiąc o wadach, iSCSI jest bardziej skomplikowany we wdrożeniu. Wymaga dedykowanej sieci SAN/VLAN oraz konfiguracji magazynu iSCSI z fizycznymi dyskami (target) i klientów (initiators), które uzyskują dostęp do tego magazynu. W przypadku używania iSCSI jako magazynu backupu, infekcja klienta zazwyczaj pociąga za sobą infekcję magazynu, czyli miejsca, gdzie będą znajdować się tworzone kopie zapasowe. Brakuje tu pełnej logicznej separacji.

W skrócie: Dlaczego iSCSI to nie najlepszy pomysł na backup sieciowy w 2025 roku?

  • Trudna konfiguracja początkowa i bieżące utrzymanie.
  • Łatwa infiltracja poprzez skanowanie i dostęp do magazynu.
  • Częściowe wsparcie dla nowoczesnych funkcji ochrony backupu (np. logiczna separacja); niezmienność można jednak osiągnąć poprzez funkcję migawek (snapshot).

Pułapka sprzętu ogólnego przeznaczenia (urządzenia NAS i serwery fizyczne)

W przypadku tworzenia systemu backupu w sieci organizacji częstą praktyką jest łączenie wyżej wymienionych protokołów z urządzeniem NAS lub serwerem fizycznym (swoją drogą, często takim wycofanym już z użytku) i oprogramowaniem do kopii zapasowych. Niestety, choć takie rozwiązanie jest relatywnie tanie, zazwyczaj zwiększa tylko powierzchnię ataku. Chyba że zdecydujesz się włączać NAS/serwer tylko na czas tworzenia backupu, uzyskując w ten sposób swego rodzaju „ręcznie sterowaną” fizyczną separację wykonywanych kopii zapasowych.

Nowoczesne serwery NAS – funkcjonalność ponad wszystko

Współczesne dyski sieciowe (network attached storage, NAS) kuszą użytkowników bogatą funkcjonalnością. Serwer multimediów? Monitoring z kamer? Serwer WWW? A może obsługa kontenerów Docker? Żaden problem! Problem jednak w tym, że są to dodatkowe wektory ataku, które pozwalają wprowadzić ransomware lub inne rodzaje nowoczesnych zagrożeń. Mała luka w aplikacji galerii zdjęć lub nieaktualny kontener wystarczą, aby atakujący przejął kontrolę nad całym urządzeniem, a w konsekwencji – nad krytycznymi danymi Twojej organizacji.

Windows Server – system operacyjny ze wszystkimi swoimi bolączkami

Nie jest tajemnicą, że system Windows jest najczęstszym celem cyberataków. Prawdą jest również, że pełnoprawny system operacyjny oferuje wiele sposobów interakcji i łączenia się z nim (np. domena AD, RDP, PowerShell). To z kolei powoduje zwiększenie powierzchni ataku, sprawiając, że użycie Windows Servera jako magazynu backupu jest raczej jednym z tych bardziej ryzykownych przedsięwzięć w życiu admina.

Jednocześnie system operacyjny ogólnego przeznaczenia daje wiele możliwości utwardzenia jego bezpieczeństwa (tzw. hardening). Wymaga to jednak skrupulatnej i rygorystycznej konfiguracji (wyłączenie RDP, odłączenie serwera od domeny itp.) oraz jej utrzymywania. Nie wspominając o ciągłym zaangażowaniu ze strony administratora. W rzeczywistości rozbieżność między teorią bezpieczeństwa a praktyką utrzymania prawidłowej konfiguracji jest często zbyt duża.

Serwery oparte na Linuksie – bezpieczne, ale trudniejsze w konfiguracji

Serwer backupu oparty na Linuksie to prawdopodobnie najlepszy z dotychczas przedstawionych pomysłów, ale nadal nie idealny. Rozwiązanie oparte na Ubuntu, Debianie czy RHEL jest znacznie mniej narażone na ataki, bo… zwyczajnie istnieje mniej zagrożeń wymierzonych w te systemy. Niemniej jednak, poziom bezpieczeństwa jest sam w sobie całkiem niezły – można przesyłać wszystkie dane za pomocą SSH czy ustawić flagę niezmienności (immutability) na plikach backupu (jej usunięcie wymaga trybu serwisowego przy użyciu konta root).

Z drugiej strony, konfiguracja Linuksa jest bardziej złożona i wymaga znajomości wiersza poleceń (CLI), konfiguracji uprawnień i zarządzania jądrem systemu. Ponadto, podobnie jak w przypadku Windows, jest to system operacyjny ogólnego przeznaczenia, który wymaga regularnych aktualizacji, ścisłej konfiguracji i hardeningu. Przeoczenie tylko jednego aspektu może stworzyć niewielką lukę, którą cyberprzestępcy oczywiście chętnie wykorzystają.

Backup danych wolny od ransomware – w poszukiwaniu bezpiecznego protokołu i magazynu danych

Czy backup na zasoby sieciowe może zatem stanowić skuteczną ochronę cennych danych organizacji przed współczesnymi, podstępnymi zagrożeniami, zapewniając niezawodne odzyskiwanie danych po awarii (Disaster Recovery) i ciągłość działania biznesu? Tak. Ale aby stworzyć bunkier dla krytycznych danych na nadchodzące lata, trzeba skończyć z ‘prowizorką’ i półśrodkami.

Xopero Unified Protection (XUP) to urządzenie typu all-in-one (software oraz hardware), które łączy najbezpieczniejsze protokoły z dedykowanym, zapewniającym izolację danych rozwiązaniem do backupu. Przyjrzyjmy się bliżej.

W XUP zastosowaliśmy najnowocześniejsze protokoły transmisji i przechowywania: HTTPS oraz autorski standard Amazon Web Services – S3 Local Object Storage (Lokalny Magazyn Obiektowy S3). Zatem, wybierając nasze urządzenie, możesz cieszyć się tymi samymi najbezpieczniejszymi i najnowocześniejszymi technologiami, jakie oferują dostawcy chmur publicznych, jak Amazon, Microsoft czy Google. Ale zamiast backupować dane organizacji w chmurze (na co XUP również pozwala, np. aby spełnić zasadę backupu 3-2-1), możesz przechowywać je lokalnie, blisko siebie.

W kategoriach technicznych oznacza to:

  • Szyfrowanie danych AES256 end-to-end podczas transmisji i przechowywania, przy użyciu własnego klucza szyfrującego, dzięki czemu dane są dostępne tylko dla Ciebie.
  • Bezpieczny dostęp przez API S3 za pomocą klucza dostępu (access key) i klucza tajnego (secret key) – rozwiązań znacznie trudniejszych do skompromitowania niż np. hasło domenowe.
  • Dedykowane urządzenie do backupu z zamkniętym, autorskim systemem operacyjnym opartym na Linuksie dla minimalnej powierzchni ataku.
  • Niezmienność danych (immutability) „by design” dzięki natywnemu wsparciu dla technologii Object Lock (znanej też jako Single Write Repository (SWR). 
  • Maksymalna skalowalność i wydajność rozwiązania obiektowego, które pozwala pominąć ograniczenia tradycyjnych systemów plikowych.
  • Szybki czas odzyskiwania i minimalny RTO (Recovery Time Objective) – nawet w porównaniu do chmury, gdzie łącze internetowe może być wąskim gardłem.

To nie jedyne korzyści Xopero Unified Protection. Wśród innych można wymienić: wdrożenie typu plug and play (brak skomplikowanej i czasochłonnej wstępnej konfiguracji sprzętowej); obsługa wielu źródeł i magazynów; intuicyjne centralne zarządzanie; automatyzacja backupu; testowe, granularne, pełne lub błyskawiczne przywracanie danych; szybkie wsparcie od jednego dostawcy (w razie problemów unikasz typowego ‘odsyłania od Annasza do Kajfasza’ między dostawcą oprogramowania do backupu a dostawcą urządzenia NAS/serwera).

Jeśli traktujesz bezpieczeństwo i backup sieciowy krytycznych danych biznesowych poważnie oraz chcesz odpierać nowoczesne zagrożenia, takie jak ransomware, Xopero Unified Protection może stać się Twoim najlepszym, wysoce bezpiecznym i praktycznie bezobsługowym sojusznikiem. Umów się na demo z naszym specjalistą, aby zobaczyć XUP w akcji.

Umów demo

How did you like the article?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0

You may also like

Comments are closed.