Киберзащита за малкия бизнес (част 10): архивиране (backup) с отдалечен NAS, rsync и SSH
Десета част от поредицата ни за киберзащита на малкия и среден бизнес. Изградихме защитен рутер, сървър, комутатор, VPN, мониторинг, SIEM и — в предишната част — обучен персонал. Но има един въпрос, който рано или късно спасява (или погубва) целия бизнес: какво става, когато въпреки всичко нещо се обърка? Изтрит по грешка файл, отказал диск, откраднат лаптоп или крипто вирус, който заключи всичко.
Архивът (backup) — застраховката на бизнеса. Тази, за която не се сещаш, докато не ти потрябва.
Защо повечето „архиви“ са фикция
Архивът е едновременно най-често пренебрегваната и най-често грешно изпълнената част от системата. Две са класическите провали.
Първо — архив няма изобщо, или седи на същото физическо място, където са и данните. Пожар, наводнение, кражба или ransomware, който криптира и мрежовата папка — и „архивът“ изчезва заедно с оригинала.
Второ — архив уж има, но е фиктивен. Фирмата „прави архив всяка вечер в 22:00 ч.“ Една година по-късно служител се опитва да върне файл — и се оказва, че:
- доставчикът е сменил IP адреса и архивиращото устройство отдавна не се свързва;
- на архивиращото устройство му е изгорял дискът, но никой не е видял;
- самото устройство изобщо не работи, защото чистачката го е изключила, за да включи прахосмукачката в единствения свободен контакт;
- задачата тихо се е чупила от месеци и никой не е проверявал.
Архив, който никой не проверява дали работи и дали изобщо се възстановява, не е архив.
Единственият праведен път
След всичко изброено има само една правилна посока. Добрият архив е:
- На отдалечено физическо място, през Интернет. Скоростите отдавна го позволяват. Данните и копието им НЕ трябва да са в една и съща стая — в идеалния случай дори не в един и същи град.
- Автоматичен. Човек забравя; машината — не. Никакво „ще го пусна аз довечера“.
- С правилна честота — нито прекалено чест, нито веднъж на две седмици. Един път на 24 часа е балансът за повечето фирми: губиш най-много един работен ден, без да товариш мрежата постоянно.
- С постоянен достъп до архива. Въпреки че NAS-ът е отдалечен, до него трябва да можеш да стигнеш по всяко време — иначе възстановяването се превръща в приключение точно когато нямаш време за приключения.
Това е и духът на класическото правило 3-2-1: 3 копия на данните, на 2 различни носителя, 1 от които извън обекта. Нашият отдалечен NAS е точно това „1 извън обекта“.
Устройството: ASUSTOR AS5402T
За ролята на отдалечен архивен сторидж избрахме ASUSTOR AS5402T. Причините:
- Компактен и малък — побира се навсякъде в отдалечения офис, без да заема половин шкаф.
- 2 × 10TB HDD — конфигурирани като обем от ~18TB полезно пространство за архива.
- x86 архитектура (не ARM) с Linux-базирана операционна система (ADM) — истински Linux под капака, а не ограничен фърмуер.
- Удобен Control Panel (ASUSTOR ADM), но с възможност за включен SSH и наличен rsync — точно това, което ни трябва.
Честно за RAID 0: двата диска са в обем без резервираност — ако единият откаже, копието на него се губи. Тук това е съзнателен компромис за максимален капацитет, защото това е вторичното копие — оригиналът стои на продукционния сървър (правилото 3-2-1 остава спазено). За архив, който е единственото копие на критични данни, бихме сложили RAID 1 (огледало) и бихме пожертвали половината капацитет за спокойствие.
Сърцето на решението: rsync през SSH
Ключът към целия механизъм е една малка, но гениална програма — rsync.
Обикновеното копиране прехвърля всичко всеки път. Ако архивът ти е няколко терабайта, това е немислимо да минава всяка нощ по Интернет. rsync копира само разликите. Той сравнява източника и целта и прехвърля единствено променените части на файловете. Дори сървърът да съдържа терабайти, ако за деня са се променили 200 MB — по мрежата минават само тези 200 MB.
Резултатът: по-малко трафик, по-малко време, по-малко натоварване на системата. Първата синхронизация е дълга (минава всичко веднъж), но всяка следваща е бърза.
Вторият стълб е SSH — сигурният канал, по който rsync прехвърля данните. Тук има два важни момента:
- Криптиране. През SSH архивът минава шифрован — по пътя между двата града няма кой да го прочете или подмени.
- Автентикация със сертификат (SSH ключ), не с парола. Генерираме двойка ключове на NAS-а; публичния слагаме в
authorized_keysна сървъра. Оттам нататък връзката се случва автоматично, без записана парола някъде, и никой не може да я познае или брутфорсне.
Примерна команда, с която NAS-ът тегли (pull) промените от продукционния сървър:
rsync -az --delete \ -e "ssh -i /volume1/.ssh/backup_key -p 22" \ backup@203.0.113.10:/var/data/ /volume1/archive/
Защо NAS-ът тегли, а не сървърът бута: при pull модел инициативата е у архива — той се логва в сървъра, чете и си дърпа данните. Така дори сървърът да бъде компрометиран, атакуващият няма никакъв достъп към архива и не може да го изтрие или криптира. Това е малка разлика в посоката, но голяма разлика в сигурността срещу ransomware.
Кога и как — автоматично, в 5:00 сутринта
Синхронизацията се конфигурира директно от NAS-а като планирана задача (scheduled task) и се пуска всеки ден в 5:00 ч. сутринта — когато мрежата е празна и работният ден още не е започнал. Никой не я стартира ръчно, никой не може да я „забрави“. А тъй като е pull от NAS-а, целият процес живее на устройство, което стои на съвсем друго място.
Достъп до данните — по всяко време, отвсякъде
Отдалеченият NAS стои в друг офис или дори в друг град, но до него трябва да има постоянен достъп, за да можеш да върнеш файл в реално време — направо на десктопа си — през интуитивния ASUSTOR File Manager.
Как да стигнем до него сигурно? Тук идва на помощ това, което вече изградихме в част 7:
Препоръчаният начин — през WireGuard тунела. Двата офиса вече са свързани със site-to-site VPN. Достъпваме NAS-а по неговия локален адрес през тунела — File Manager и ADM панелът са ти под ръка, но устройството няма нито един отворен порт към Интернет. Нула повърхност за атака.
Внимание, ако вместо това пренасочите порт директно. NAS с отворен управляващ порт към Интернет е точно това, което ransomware кампании като Deadbolt използваха, за да ударят хиляди устройства. Ако все пак ползвате пренасочен порт, задължително: нестандартен порт (не 8000/8001), firewall правило, което допуска само IP адресите на другия офис, задължителен SSL/HTTPS, силна парола и заключване след неуспешни опити. VPN подходът по-горе просто премахва целия този риск.
Връзката с интерфейса на ASUSTOR естествено е защитена със SSL, така че и през File Manager данните пътуват криптирано.
Заключение
С това затваряме кръга. Изградихме многослойна защита — рутер, комутатор, сегментирана мрежа, VPN, филтриращ DNS, мониторинг, SIEM и обучен персонал — а сега и надежден, автоматичен, отдалечен архив, който тегли само промените през шифрован канал и до който имаме достъп по всяко време.
Това е и последната линия на отбрана: когато всичко друго откаже, добрият архив е разликата между „фирмата е на крака до час“ и „изгубихме данните от последната година“. Не защото сме параноични — а защото, както видяхме, единственият архив, на който можеш да разчиташ, е този, който работи автоматично, стои надалеч и си го тествал, че наистина се възстановява.