Hướng dẫn bảo mật cho thiết bị NAS của bạn

Các hướng dẫn này bao gồm về firmware, thiết lập VPN và bảo vệ các thiết bị NAS. Bạn có thể thực hiện các bước này như các quy trình độc lập hoặc kết hợp chúng vào quy trình bảo mật tổng thể của bạn.

Các thiết bị và máy chủ lưu trữ mạng (NAS) rất cần thiết cho bất kỳ hệ thống mạng doanh nghiệp nào. Tuy nhiên, NAS thường bị bỏ qua trong chiến lược bảo mật vì tính đặc thù và chi tiết kỹ thuật riêng của nó.

NAS là một thiết bị có thể nâng cấp mở rộng và tiết kiệm chi phí cho việc lưu trữ dữ liệu và thông tin nói chung của các công ty. Các thiết bị NAS cũng góp phần cải thiện hiệu suất sử dụng mạng vì chúng được dành riêng để phục vụ các file, điều này làm giảm tải/workload của các thiết bị và dịch vụ được nối mạng khác. Được kết nối với mạng thông qua các kết nối Ethernet tiêu chuẩn, vì thế chúng dễ bị tấn công như bất kỳ thiết bị nào khác. Mặc dù chúng có thể được bảo mật về mặt vật lý bên trong trung tâm dữ liệu, chúng vẫn yêu cầu các bản cập nhật và bản vá tương tự như các máy chủ và thiết bị phần cứng khác cần.

Giải pháp ảo hóa hạ tầng lưu trữ

Tuy nhiên, các bản cập nhật điển hình và bản phát hành theo gói cho máy chủ từ các nhà cung cấp hệ điều hành thường không áp dụng cho các thiết bị NAS. Những thiết bị này tồn tại trong một “vùng màu xám” và chúng dễ bị bỏ qua. Bảo mật lưu trữ mạng bằng các phương pháp như tường lửa và cập nhật thường xuyên để tránh trở thành nạn nhân của những kẻ xấu.

1. Sử dụng mật khẩu mạnh

Bảo vệ thiết bị NAS bằng cách thay đổi mật khẩu của chúng. Nhiều công ty giữ lại mật khẩu mặc định vì cơ chế bảo mật lỏng lẻo hoặc muốn cài đặt chúng nhanh chóng.

Thực hiện các quy tắc tạo mật khẩu. Lưu trữ mạng an toàn với xác thực đa yếu tố (mukti-factor authentication), vì nó bổ sung thêm một lớp bảo vệ ngay cả khi thông tin tài khoản và mật khẩu bị đánh cắp.

2. Không bao giờ sử dụng tên đăng nhập là “admin”

Tên người dùng hoặc tài khoản đăng nhập mặc định cho hầu hết các thiết bị NAS là “admin” và việc gán nó cho người quản lý NAS hoặc quản trị viên cấp cao nhất là việc có thể dễ dàng nghĩ đến. Các tội phạm mạng cũng vậy, và họ có thể dễ dàng dự đoán và tìm cách truy cập vào thiết bị với các tên truy cập mặc định này.

Nhiều nơi nhận ra điều này và đã loại bỏ hẳng tài khoản “admin” và chỉ dựa vào việc kiểm soát truy cập theo role-base và tài khoản người dùng cá nhân để xác định ai có quyền truy cập đặc quyền vào NAS. Hoặc có thể tạo một tài khoản quản trị chung với tên truy cập ngẫu nhiên mà tội phạm hoặc kẻ xấu khó đoán.

3. Cập nhật firmware NAS thường xuyên

Như với hầu hết các thiết bị mạng, tội phạm mạng dường như cuối cùng cũng sẽ thành công và truy cập được vào các thiết bị. Điều này hàm ý là, không có thiết bị NAS nào an toàn sau vài tháng và quản trị viên nên cập nhật hoặc vá lỗ hổng thường xuyên. Đưa các thiết bị NAS vào các kế hoạch và quy trình cập nhật thường xuyên để firmware của chúng được bảo vệ càng sớm càng tốt.

4. Sử dụng tường lửa NAS

Hầu hết các thiết bị NAS đều có tường lửa tích hợp, vì vậy không có lý do gì để tắt chúng, ngay cả khi hệ thống tường lửa vòng ngoài và các biện pháp bảo mật khác đã bảo vệ mạng.

Vì các thiết bị NAS chứa thông tin và dữ liệu đặc quyền, hãy đảm bảo nhiều lớp bảo mật sẽ bảo vệ chúng. Kiểm tra thiết bị NAS để xem chúng có được bật theo mặc định hay không. Quản trị viên có thể cần phải định cấu hình nó theo cách thủ công và bật các quy tắc tường lửa tiêu chuẩn như tự động chặn địa chỉ IP, quy tắc bảo vệ tài khoản và khóa sau quá nhiều lần đăng nhập không thành công.

5. Bật tính năng DoS Protection

DoS Protection là một cài đặt quan trọng để bảo mật thiết bị lưu trữ mạng. Nó có thể không được bật theo mặc định vì có nhiều kết quả cảnh báo sai mà nó tạo ra. Để tránh các cảnh báo sai, hãy thêm các nguồn traffic đã biết vào danh sách “always allow” và xem xét nó thường xuyên để đảm bảo không có gì bị chặn không chính xác.

6. Bảo mật kết nối và các port

Bật kết nối HTTPS để bảo mật lưu lượng đến và đi. Kết nối FTP an toàn rất quan trọng nếu NAS ở một vị trí riêng biệt với bộ phận CNTT, chẳng hạn như trung tâm dữ liệu của bên thứ ba.

Cân nhắc đóng tất cả các port không sử dụng và thay đổi các port mặc định, chẳng hạn như HTTP, HTTPS và SSH. Điều này ngăn chặn các cuộc tấn công nếu tội phạm giành được quyền truy cập vào mạng lớn hơn thông qua thiết bị IoT hoặc entry-point không an toàn khác.

7. Sử dụng VPN để kết nối với NAS

VPN có thể là một công cụ thiết yếu để bảo mật lưu trữ mạng. VPN thêm một lớp mã hóa và bảo mật khác cho tất cả lưu lượng truy cập trực tuyến giữa NAS và bất kỳ thiết bị được kết nối nào. Tội phạm không thể chặn nó và khám phá chi tiết mật khẩu, địa chỉ IP hoặc thông tin khác của người dùng hợp pháp. VPN cũng cải thiện khả năng truy cập từ xa vào các máy chủ NAS để sử dụng, cập nhật và bảo trì dễ dàng và an toàn hơn.

Là một phần thiết yếu của mạng doanh nghiệp, máy chủ NAS cung cấp bộ lưu trữ chuyên dụng có khả năng mở rộng, tiết kiệm chi phí và dễ dàng thiết lập và bảo trì. Tuy nhiên, các công ty có thể dễ dàng bỏ qua và quên chúng đi vì thấy chúng vẫn cứ hoạt động bình thường. Cần đưa các thiết bị NAS vào chiến lược bảo mật và quy trình cập nhật để giảm thiểu tối đa các rủi ro bị tấn công. Vì một lẽ đơn giản: Dữ liệu là thứ quan trọng nhất!

____
Bài viết liên quan

Góp ý / Liên hệ tác giả