Как NAS защитить от программ-вымогателей?

Программы-вымогатели и другие угрозы всё чаще нацелены на NAS – Network Attached Storage – сетевые файловые накопители. Поэтому важно убедиться в том, что устройства настроены в соответствии с уже отработанными практиками безопасности.

Продолжаем тему сетевой безопасности, поднятую Брайеном Поузи (Brien Posey). Ранее были рассмотрены способы противодействия внутренним угрозам. Теперь перейдем защите внутренних файловых хранилищ.

Первое, что вам нужно сделать для защиты NAS-устройств – тщательно проверьте сеть на предмет обработки паролей и аутентификации. По крайней мере все привилегированные аккаунты, встроенные в устройства, должны быть переименованы (если это возможно), а пароль по умолчанию должен быть изменен на более надежный.

Если пользователям, процессам или приложениям требуется прямой доступ к данным, хранящимся на устройстве NAS, рассмотрите возможность использования внешней службы каталогов для обработки процесса аутентификации. Не стоит полагаться исключительно на механизм аутентификации, встроенный в устройство NAS. Внешняя служба каталогов, вероятно, будет более защищенной, чем любой тип механизма аутентификации, непосредственно встроенный в устройство. Это происходит потому, что поставщики ПО службы каталогов корпоративного уровня, часто выпускают исправления для устранения недавно обнаруженных уязвимостей безопасности. Поставщики устройств, конечно, также выпускают исправления, но гораздо реже. Кроме того, сервисы каталогов зачастую можно настроить на более детально, чем механизм аутентификации, интегрированный в устройство.

Есть еще один подход, который иногда используется для обработки аутентификации и контроля доступа к защищенным устройствам NAS. Несмотря на то, что этот подход может значительно повысить безопасность, такие проблемы, как эксплуатационные требования, аппаратные ограничения и затраты, могут помешать его использованию. Вместо того, чтобы разрешить прямой доступ к устройству хранения из сети, рассмотрите возможность физического подключения устройства к сетевому файловому серверу. В моей собственной организации устройства хранения подключаются непосредственно к серверам Windows, а не к сетевым коммутаторам.

При таком подходе к защите устройств NAS файловый сервер действует, как сторож для устройства хранения. Поскольку устройство не подключено напрямую к сети, его не так легко обнаружить хакерам. Атаки, разработанные специально для устройств NAS, обычно терпят неудачу, потому что эти атаки не имеют прямого доступа к устройству.

Кроме того, размещение устройства хранения за файловым сервером упрощает защиту соединений, идущих к устройству и от него. Поскольку вся связь осуществляется через выделенное соединение с использованием одного конкретного протокола, становится очень легко заблокировать любые другие протоколы, которые могут использоваться.

Как упоминалось ранее, поставщики NAS периодически выпускают обновления прошивок, поэтому важно убедиться, что у вас есть система для определения даты выпуска новых обновлений прошивки, тестирования этих обновлений и план их своевременного применения.

Если ваша организация приняла практику подключения устройств хранения напрямую к файловым серверам, а не связывания их с сетевыми коммутаторами, тогда вам потребуется архитектура, которая позволит временно подключать устройства к изолированной сети управления при каждом обновлении прошивки, либо нужны будут другие виды обслуживания. Этот линк можно и нужно отключать, если он не используется.

Еще одна важная вещь, которую необходимо сделать для защиты устройств NAS – необходимо отключить все неиспользуемые службы или функции, встроенные в устройство. Это помогает уменьшить, так скажем, мишень атаки. Например, некоторые устройства NAS могут функционировать, как серверы потокового мультимедиа или могут быть настроены для предоставления удаленного доступа к файлам через встроенный веб-сервер. Если вам не нужна одна или обе эти функции – отключите их.

Ну, и наконец, не забудьте воспользоваться всеми функциями безопасности, встроенными в ваше устройство хранения. Рекомендуется использовать любой доступный механизм безопасности, даже если он кажется ненужным.

Ранее я упоминал, что некоторые устройства NAS могут быть напрямую подключены к файловому серверу, что препятствует общему доступу к ним по сети. В моей организации, например, устройства NAS подключаются к серверам Windows с помощью пары Ethernet 10 Гбит/с соединений. Эти подключения идут напрямую от сервера к устройству хранения и не подключаются к сетевому коммутатору. Несмотря на это, я все еще использую брандмауэр, встроенный в устройство NAS. Возможно, нет необходимости использовать брандмауэр для выделенного соединения, но если оставить его включенным, то от этого не будет никакого вреда, но он может служить дополнительной линией защиты в случае, если сеть когда-либо подвергнется серьезной атаке.

Аналогичным образом, мои устройства NAS настроены с использованием надежных паролей и настроены на блокировку трафика, идущего с любых неавторизованных IP-адресов (даже если вероятность того, что устройства когда-либо будут подключены к чему-либо, кроме файловых серверов, к которым они подключены мала).

Это лишь некоторые из наиболее важных способов, которые вы можете предпринять для защиты NAS-устройств. Могут быть и другие варианты, в зависимости от марки и модели используемого вами устройства. Например, высокопроизводительные устройства иногда включают механизм создания неизменяемых моментальных снимков, блокировку атак типа «отказ в обслуживании» или обнаружение и блокировку программ-вымогателей.

Ссылки теме:

Дата-центр ITSOFT: размещение и аренда серверов и стоек в двух ЦОДах в Москве; colocation GPU-ферм и ASIC-майнеров, аренда GPU-серверов. Лицензии связи, SSL-сертификаты. Администрирование серверов и поддержка сайтов. UPTIME за последние годы составляет 100%.