您好,QNAP 團隊及社群朋友,
我一直很關注 QuTS hero 6.0 中引入的不可變快照(immutable snapshots),最近也閱讀了一篇由日本作者原幸仁(Yukihito Hara, LinkedIn Japan)詳細測試此功能的文章,文中顯示即使透過 SSH 或以 root 權限,也無法刪除不可變快照。
基於此,我推測不可變快照的設計目的是為了保護資料,不僅防止意外刪除,也防止經由被入侵的管理員帳戶所執行的惡意或非法操作(例如勒索軟體攻擊情境)。
然而,這也引發了一個重要的概念性問題:
管理員是否仍然可以刪除包含不可變快照的整個儲存池?
如果可以,這是否會實質上破壞不可變性的概念,因為刪除儲存池會移除所有磁區與快照,無論其保護政策為何?
為了說明清楚:
我完全理解硬體的實體破壞或拆卸硬碟在有人取得實體存取權時是無法防止的。這不是我所詢問的範圍。
我的問題僅限於作業系統內的邏輯保護:
換句話說:
我很希望能釐清此功能的威脅模型與設計目標。
非常感謝您撥冗閱讀與回覆,並感謝這項重要的新功能。
敬祝順心
1個讚
歡迎加入社群。我目前還沒有在運行 hero 6,但這是我對這個問題的看法。
對於銷毀或更改儲存池,沒有任何「保護」機制。WORM(一次寫入多次讀取)不可變性是在共用資料夾層級設定的,或者在 hero 6 的情況下,也可以在快照層級設定。在 WORM 架構下,並不是每個資料夾都被設為不可變。你也不會希望這樣設定,否則你將永遠無法在 NAS 上刪除或更改任何東西。
此外,不可變性可以設定時間限制。你可以讓某個資料夾中的檔案在寫入後,例如 5 天內保持鎖定,之後鎖定就會解除。其他設定則允許所有內容永久鎖定。
我認為你不會希望在儲存池層級設定不可變性。這樣會導致你無法為儲存池新增空間等等。
WORM 有助於防範勒索軟體攻擊,因為檔案無法被更改。大多數駭入你 NAS 的壞人,目的是感染你的檔案,然後向你勒索金錢。他們不會花時間去抹除你的儲存池並摧毀一切。如果他們這麼做了,那所有檔案都沒了,也就沒有東西可以拿來勒索你!這與他們的思維模式相違背。而且這類攻擊通常是希望快速傳播——進入系統、散播惡意程式然後離開。抹除儲存池會花費更多的精力和時間。
以上僅是我的看法,請勿視為任何「官方」說法。
非常感謝您寶貴的回饋!關於您提出的問題,我們會轉交給內部團隊進一步評估與分析。
嗨 NA9D,感謝你針對我的詢問所做的回覆。
也許我只是想釐清一下:我對於不可變快照(immutable snapshot)概念的內部邏輯有些困惑。據我所知,如果你將系統中的某個小單元定義為「必須不可變——即使面對被攻陷的管理員操作——以提供最大的非物理保護」,那麼這種設計必須在整個層級(例如儲存池層級)中複製,否則不可變性就會被削弱。對我來說,這意味著實作上應該強制對關鍵儲存池操作進行檢查,例如「只有當目前沒有不可變檔案儲存時才允許刪除」。
關於相關攻擊向量的問題:我同意你的看法,大多數攻擊者不會選擇刪除檔案,因為這不符合其勒索邏輯。但請考慮這樣一個事實:一個技術嫻熟的攻擊者如果獲取了存取權限,可以在刪除前將檔案複製到自己的基礎設施,然後用同樣的「付錢否則檔案消失」邏輯進行勒索。
我明白你的意思。但我不希望有一個完全不可變的系統,讓我永遠無法重做我的儲存池。我的意思是,那代表一旦你設定好,一切就定型了,永遠無法更改。那就表示你無法擴充儲存池、也不能刪除儲存池來把資料搬到一個更大的新儲存池等等。你提出的這種方式會帶來很多麻煩。光是不可變檔案就已經夠頭痛了。我曾經不小心把一些檔案複製到一個不可變的資料夾,原本是想放到子資料夾裡。結果現在我有兩份檔案,其中一份還放在我不想要的地方。如果你對儲存池也不小心這樣做了怎麼辦?
我非常懷疑有任何惡意人士會花時間把大量檔案複製到他們的基礎設施上,畢竟傳輸所需的時間太長了。即使他們真的這麼做了,如果NAS有適當的備份策略,這樣做也沒什麼用處。