當前的資安威脅環境中,駭客不再只鎖定主機、系統或關鍵應用程式,備份資料也成為首要攻擊目標。根據 Sophos 調查,高達 94% 勒索事件會試圖破壞備份,其中超過一半的攻擊者最終成功,嚴重削弱了企業的資料復原能力。
因此,如何確保備份資料本身的安全性,已成為企業不可忽視的關鍵課題。離線備份正是其中的重要解法:透過斷開網路連結,讓依賴網路傳遞的勒索攻擊無法觸及備份資料,從而建立一道最後防線。然而,達成離線備份的作法有很多種,企業該怎麼在安全性與便利性之間取得平衡呢?
傳統隔離擁有高度安全性,邏輯隔離帶來管理便利
過去最常見的離線備份方式,是採用物理隔離(Physical Air Gap) 以確保資料安全,例如人工斷開網路或直接斷電,讓設備徹底離線,或將磁帶運送至異地保存。這種方式的優點在於隔離得相當全面,除非攻擊者能實際接觸媒介,否則無法竄改或刪除備份資料。但它同時伴隨著顯而易見的挑戰:維護管理不易,並且十分依賴人工操作,不只容易因為人為疏漏失效,更難以持續檢驗資料的可還原性。
為了解決這些問題,現代離線備份逐漸轉向邏輯隔離(Logical Air Gap)。雖然備份設備仍與網路相連,但透過多層防護機制來確保安全:存取控制與身份驗證避免未經授權的操作,加密技術確保外洩資料無法被濫用,不可變機制讓資料無法遭到刪除或竄改,而防火牆則進一步限制外部存取。相比物理隔離,邏輯隔離不僅更具彈性,也能兼顧管理效率與擴展需求。
不過,對企業來說真正有效的離線備份策略,並非在兩者之間擇一,而是依照需求靈活結合物理隔離和邏輯隔離各自的特點,才能同時滿足安全性與營運彈性。
ActiveProtect 結合物理與邏輯隔離,帶來完整的多層防護機制
Synology 深知企業在備份隔離上同時追求安全與效率的挑戰,因此在 ActiveProtect 備份專用一體機上,結合了物理與邏輯隔離的優勢,打造更完善的資料隔離解決方案。
在邏輯隔離方面,ActiveProtect 提供了 3 層防護機制,確保即使在網路環境下,備份資料依然能保持最高強度的隔離:
-
身分驗證:系統可整合 Windows AD、LDAP,統一掌控帳號,避免分散管理造成的漏洞與負擔。除此之外,ActiveProtect 支援 SSO、雙重驗證(2FA)、多因子驗證(MFA)等,大幅提升登入安全性,有效防止帳號遭入侵。
-
存取控制:採用角色導向存取控制(RBAC),可依角色與需求設定精細化權限,避免錯誤操作或權限濫用,即使登入成功的使用者,也只能執行被授權的操作。
- WORM 不可變保護:內建 WORM(Write Once, Read Many)技術,並搭配版本層級的智慧化鎖定,代表資料自寫入當下到保留期結束之前,皆不可被竄改、刪除或加密。即使遭遇勒索軟體攻擊,資料依然能保持完整性。
而為了進一步達到更高的隔離效果,ActiveProtect 也在物理隔離方面,提供了強大的隔離技術(Air-gap),並全面改善傳統方式的不足之處。首先當資料從備份伺服器傳輸到異地時,系統會嚴格管控來源,僅允許經授權的伺服器進行傳輸,避免資料通道遭未經允許的來源濫用。
接著,有別於傳統隔離方式依靠「拔線、斷電」等人工操作,ActiveProtect 引入全自動化的隔離機制。企業可自行設定允許資料傳輸的時間,其餘時段系統會自行關閉網卡或直接關閉電源,保持完全斷開的模式。即便在開放時段,ActiveProtect 也能智慧化調整,像是系統偵測到備份資料前完成傳輸時,就會自動關閉網卡並切換回隔離模式,將暴露時間壓縮到最少,讓攻擊者幾乎沒有可趁之機。
杰鑫物流集團運用 ActiveProtect 滿足離線備份需求:https://sy.to/pfn70
ActiveProtect 提供靈活的隔離模式自定義選項,IT 團隊能依據實際業務、合規要求,自由選擇存取模式與存取時段。
不僅如此,Synology 觀察到傳統物理隔離的一大痛點,是一旦環境斷網,管理工作就會陷入停擺。對此 ActiveProtect 採用管理埠與資料埠分離的設計,並將管理埠部署在安全的隔離網段中。如此一來,即使資料埠關閉、資料完全隔離,IT 團隊仍能在受保護的環境裡,持續完成系統更新、日常維護與復原演練,無需再為安全而犧牲可用性。
隨著攻擊日益針對備份而來,企業若僅依靠單一的物理或邏輯隔離,都難以兼顧保護力與管理易用性。ActiveProtect 結合兩者優勢,讓企業能以更高的安全層級、更低的人力成本,打造真正穩健且高效的資料保護架構,大幅強化抵禦資安風險的實力。
想確保備份資料不再成為攻擊破口?立即與專家洽詢:https://sy.to/0eure