Hoe bouw je een veilig Synology-opslagsysteem?

Hoe bouw je een veilig Synology-opslagsysteem?

Een veilig opslagsysteem is cruciaal om je data te beschermen. Met de aanvalsfrequentie van vandaag de dag kun je daar simpelweg niet meer omheen. Want als je aan de voorkant met allerlei tools en strategieën een stevig hek hebt gebouwd dat toch wordt doorbroken, ben je vrijwel volledig afhankelijk van de veiligheid van je opslagserver. Tijdens een recent evenement van Synology, waar we spraken met Managing Director Victor Wang, gingen we in op het belang en de realisatie van een goed beveiligde NAS.

Ransomware en datalekken zijn dagelijks in het nieuws vanwege de ernstige gevolgen voor getroffen bedrijven. Hackers dringen binnen in een organisatie, krijgen toegang tot interne systemen en versleutelen bestanden. Er wordt vaak een dreigende toon aangeslagen door de hackers: betaal, of we publiceren de data op het dark web. Theoretisch kan dit ieder bedrijf overkomen. Tel daarbij op dat cyberaanvallen steeds professioneler worden, onder andere door de inzet van generatieve AI door hackers, en de noodzaak voor goed beveiligde opslagsystemen groeit alleen maar. Het beveiligen van NAS-servers en data is daarmee relevanter dan ooit, ziet ook Wang.

De eerste verdedigingslinie

Een securitystrategie zou op basis van wat er op organisaties afkomt dan ook moeten bestaan uit meerdere lagen. De eerste klappen van een aanval worden opgevangen door maatregelen aan de voorkant. De first line of defense, om het in securitytermen te zeggen, vult Synology in met oplossingen om ongeautoriseerde toegang te voorkomen. Dit gebeurt door Identity & Access Management in te vullen voor je NAS-systemen via gebruikersauthenticatie en het beheer van accountlevenscycli. Synology biedt hiervoor C2 Identity, een relatief onbekende dienst die helpt een stevigere beveiligingsmuur om je bedrijf te bouwen door het aantal toegangspunten te verminderen via een enkel aanmeldportaal.

Wil je IAM goed implementeren, dan is het belangrijk om datatoegang te beperken op basis van de rol van een gebruiker binnen de organisatie. Dit door medewerkers alleen toegang te geven tot de gegevens die noodzakelijk zijn voor hun werk. Dit geldt voor huidige werknemers, maar ook voor oud-medewerkers. Bij uitdiensttreding moet de datatoegang direct worden ingetrokken om misbruik te voorkomen. Binnen C2 Identity zijn er opties om accounts snel te verwijderen, om dergelijke ongewilde toegang tegen te houden.

C2 Identity ondersteunt verder verschillende vormen van multi-factor authentication, zoals vingerafdruk- en gezichtsherkenning en hardwarebeveiligingssleutels. Dit maakt het voor ongeautoriseerde gebruikers lastig om toegang te krijgen tot de Synology-NAS, dankzij een moeilijk te omzeilen extra verificatiestap.

Apparaten beheren

Binnen een beveiligingsstrategie is apparaatbeheer een ander belangrijk element. Onbeheerde apparaten vormen namelijk een zwakke schakel en zijn vatbaar voor malware of andere bedreigingen. C2 Identity richt zich naast identiteitsbeheer ook op centraal apparaatbeheer. Hiermee kunnen beheerders apparaten configureren en beveiligen, zelfs buiten het bedrijfsnetwerk. Dit omvat het provisionen en monitoren van Windows- en Mac-computers via één console.

Binnen de console hebben beheerders overzicht over alle apparaten. Indien nodig kunnen ze in bulk beheertaken uitvoeren, bijvoorbeeld door scripts te schrijven en uit te voeren. Dit is handig voor het opstellen van compliance-rapporten of voor databescherming. Denk hierbij aan het uitschakelen en vergrendelen van apparatuur in geval van een incident.

Een persoon staat op een podium naast een scherm met de tekst "Van IAM naar back-up: bescherming van buiten naar binnen" tijdens een presentatie-evenement van Synology.

De laatste verdedigingslinie

De maatregelen voor IAM en apparaatbeheer zorgen ervoor dat aan de voorkant de nodige stappen te zetten zijn om veiligheid van een opslagserver naar een hoger niveau te tillen. Het is echter ook relevant om maatregelen te treffen voor de noodsituaties, zodat data altijd beschermd is. Dit kan Synology zoveel mogelijk opvangen met Active Backup for Business, waarmee je backups kan maken van data, apparaten en platformen. Hierin hanteert Synology al geruime tijd een 3-2-1-strategie als gouden standaard. Dat wil zeggen; drie kopieën van je data, op twee verschillende media en één off-site. Door gebruik te maken van bron-deduplicatie, worden alleen unieke data gekopieerd en is de snelheid en efficiëntie van backups op peil.

Het regelmatig controleren van de integriteit van back-ups is een ook nodig om de juiste strategie te blijven volgen. Active Backup for Business biedt hiervoor verificatietools waarmee de beheerder kan nagaan of data intact is. Het is mogelijk met de tools automatisch beschadigde data te herstellen en te testen of herstelacties uitvoerbaar zijn. Dit verhoogt de betrouwbaarheid van backups en biedt extra zekerheid dat data beschikbaar zal zijn in de noodsituaties. Door handmatig hersteltests uit te voeren, wordt gegarandeerd dat de opgeslagen backups bruikbaar blijven. Zo blijft je organisatie paraat en zijn backups een laatste redmiddel in het geval van een incident.

Isoleren van backups

Binnen backup-strategieën wordt het steeds gebruikelijker om extra beveiligde versies van datakopieën te hebben. Dit gebeurt via immutability, een vorm om te voorkomen dat backups worden gewijzigd. De data wordt weggeschreven op een manier waarbij het binnen een aantal dagen of weken onmogelijk is om het aan te passen of verwijderen. Ook een hacker lukt het dan niet om de data te modificeren, is het idee.

Aanvullend heb je voor moderne backups airgap-technieken, waarmee apparaten tijdelijk van het netwerk worden losgekoppeld om ze te beschermen tegen aanvallen. Om de impact van aanvallen verder te beperken, kan het namelijk nuttig zijn om backups van het primaire netwerk te isoleren. Active Backup for Business biedt tools voor het tijdelijk loskoppelen van apparaten van het netwerk via airgaps. Dit vermindert de kans dat backups worden aangetast door ransomware of andere netwerkgebaseerde bedreigingen. In combinatie met immutabele backups biedt dit een extra beveiligingslaag.

Extra diepte in securitystrategie

In principe heb je met bovenstaande stappen een groot deel van de eerste en laatste verdedigingslinie ingevuld. Er zijn echter nog additionele mechanismes die ervoor zorgen dat data op een Synology-systeem veilig zijn en blijven. Zo wordt encryptie toegepast om data te beschermen wanneer ze worden overgedragen. De versleutelingsopties moeten ervoor zorgen dat bestanden alleen toegankelijk zijn met de juiste sleutels. Zelfs bij een datalek blijven de gegevens onleesbaar voor onbevoegden. Aanvullend is het uitvoeren van audits en pentests een manier om potentiële kwetsbaarheden op te sporen. Hiervoor levert Synology tools om audits te ondersteunen, waardoor organisaties inzicht krijgen in mogelijke verbeterpunten binnen hun opslagsysteem. Regelmatige audits vormen een preventieve maatregel om aanvallen voor te blijven.

In principe is het ook zo dat een NAS-server één onderdeel is van een brede IT-infrastructuur. Het moet voor een hacker daarom niet een toegangspoort zijn tot je gehele organisatie. Netwerksegmentatie kan hierin de beveiliging verbeteren door toegang tot verschillende delen van een netwerk te scheiden. Synology biedt zodoende VLAN-deploymentopties, waarmee netwerkverkeer geoptimaliseerd en geïsoleerd kan worden. Dit minimaliseert de impact van een potentiële inbreuk door ongeautoriseerde toegang te beperken tot een enkel segment. Op die manier zorg je ervoor dat de NAS een gelaagde beveiligingsstrategie hanteert, waardoor je opslagsysteem in de volle breedte veilige opslagomgeving is.

Tip: Hoe zet je een Synology NAS in bij grote organisaties?