非結構化資料管理:本地端與雲端安全指南
從文件和email到影片及專案檔案,您大部分的關鍵業務資料都屬於非結構化資料,且數量正急速增長。然而,這類資料往往缺乏明確的所有權歸屬、結構或保護機制,使其容易受到勒索軟體、人為錯誤及合規風險的威脅。
在本指南中,我們將探討非結構化資料管理面臨的最大挑戰,並說明如何在 NAS、檔案伺服器及雲端環境中全面保護您的資料。
什麼是非結構化資料?
非結構化資料是指不遵循預先定義的資料模型,或未以系統化方式組織的資訊。與結構化資料不同,後者會在關係型資料庫中以行和列的形式整齊排列,而非結構化資料則是儲存於檔案系統或物件儲存中的檔案。非結構化資料可以特定檔案格式儲存為文字、音訊、照片、影片及其他類型。
非結構化資料的例子包括:
- 文字文件:PDF、DOC、TXT、RTF 及其他檔案。
- 多媒體內容,例如圖片、影片和音訊檔案:RAW、JPG、PNG、TIF、CDR、PSD、AVI、MOV、MPG、MP4、MP3、M4A、WAV 及其他檔案格式。
- email與訊息.
- 感測器資料與日誌.
全球產生的數據中,絕大多數可歸類為非結構化數據,正因如此,保護這些數據至關重要。
NAS 在儲存與管理非結構化資料方面的作用
網路儲存裝置(NAS)在中小企業及個人使用者中廣受歡迎,常用於儲存檔案等非結構化資料。相較於儲存結構化資料需管理關係型資料庫且需要進階知識,將檔案儲存於 NAS 則既經濟實惠又方便。使用 NAS 儲存檔案的主要優勢在於可擴展性、可靠性及存取便利性:
- 您可以添加更多硬碟(HDD 和 SSD)來擴充 NAS 的儲存空間。若沒有可用的硬碟插槽,則可使用擴充模組。
- 設定軟體 RAID 1 和 RAID 10 可確保在硬碟發生故障時仍能維持資料冗餘,防止資料遺失,並能利用正常硬碟上的資料重建陣列。
- 設定檔案分享功能既方便又實用,不僅能實現集中式資料儲存,還能讓多位使用者存取檔案,從而有效促進協作。NAS設備支援多種檔案分享協定,例如 SMB、NFS 和 AFP,可為 Windows、Linux 及 macOS 系統設定檔案分享功能。
相較於主要由大型企業採用的先進儲存區域網路(SAN)系統,NAS設備對中小企業而言更具成本效益。在某些使用情境下,將 NAS 用作非結構化資料儲存,比使用傳統檔案伺服器更為合理。
保護非結構化資料的主要風險與挑戰
與其他重要資料一樣,非結構化資料也應受到保護。然而,由於其性質多元、資料量龐大及其他特性,配置非結構化資料的保護機制會帶來一些風險與挑戰。
日益增加的數據量與複雜性
組織所產生的資料量持續增加,這意味著需要更多儲存空間來備份非結構化資料。額外的儲存空間會帶來額外成本,因此採用節省儲存空間的方法並盡量減少不必要的資料儲存至關重要。 複製的成本高於備份,因為複製需要更高的儲存效能,尤其是當您使用即時複製時。生產系統的縮放也意味著必須縮放備份儲存空間。
非結構化資料包含各種格式的檔案,且可能需要保護其中最關鍵的資料。 僅保護所需資料可節省時間與儲存空間。例如,您可能無需備份日誌或臨時檔案。非結構化資料通常缺乏一致的元資料,難以據此分類並決定備份優先順序。
非結構化資料可能儲存於多個位置:檔案伺服器、NAS設備及雲端儲存。根據資料位置(平台)的不同,可能需要採取不同的備份方法。在對來源系統進行變更後,可調整備份設定。
資料遺失與系統停機的風險
應用程式、服務和使用者都會使用非結構化資料,這些資料對於日常運作至關重要。非結構化資料廣泛應用於媒體和醫療保健產業,也常透過檔案分享用於使用者協作。若遺失這些資料,可能會導致系統停機、運作中斷及其他負面後果。非結構化資料的增長與變動速度極快,這使得部分新資料可能因 還原點目標 (RPO) 過高。
非結構化資料通常包含獨特內容,例如文件、專案檔案、照片、影片及其他重要檔案。一旦遺失,對使用者和企業而言都可能造成嚴重後果。若違反服務水準協議 (SLA),可能會面臨罰則。
安全威脅與資料隱私風險
複雜的網路攻擊對非結構化資料構成威脅。一旦遭受攻擊,勒索軟體可能會加密資料,但最危險的勒索軟體會在加密前將資料上傳給攻擊者,藉此竊取資料。勒索軟體可能感染終端使用者的電腦,並破壞其存取的檔案分享中的檔案。
勒索軟體攻擊通常是透過email鎖定終端使用者而展開。 透過網路釣魚、社會工程學及其他高階技術,誘使用戶開啟受感染的檔案或惡意連結。勒索軟體亦會利用軟體漏洞滲透系統,進行感染、在網路中擴散,並破壞或加密檔案。若勒索軟體將資料上傳給攻擊者,將構成嚴重的隱私風險,因為非結構化資料通常包含個人隱私資訊。
非結構化資料治理 以及符合《一般資料保護條例》(GDPR)
遵守監管標準,例如《一般資料保護條例》(《一般資料保護條例》(GDPR)),使非結構化資料的保護工作更加複雜。識別必須加以保護的敏感資料以符合 GDPR 需求至關重要,因為這類資料可能分散於多個位置,並與其他資料類型混雜在一起。
GDPR 規定必須保護個人識別資訊(PII)。非結構化資料(例如 email、合約和影片)往往以非結構化格式包含 PII,使得這些資訊難以定位和追蹤。 儲存於不同位置的非結構化資料,必須遵守 GDPR 關於跨境資料傳輸的規定,這使得合規工作更加複雜。
GDPR 要求組織僅在必要期間內保留個人資料。由於非結構化資料的無組織特性,將保留政策應用於此類資料極具挑戰性。為符合 GDPR 要求而識別並刪除冗餘或過時的非結構化資料,可能需要耗費大量資源。根據 GDPR,若使用者提出要求,組織必須刪除其個人資料。
非結構化資料治理或管理的難處包括缺乏用於分類資料的元資料,以及因資料量不斷增長而導致的資料擴散。因此,用於儲存和備份資料的解決方案必須具備可擴展性。資料經常在組織內部和外部共享,因此要妥善配置存取控制以滿足各方需求並實施一致的政策,可能相當困難。
策略 本地資料保護
針對儲存於本地端的非結構化資料,採取最佳的資料保護策略可將資料遺失的風險降至最低。這些策略在確保資料完整性、可用性與機密性的同時,也能降低遭受網路攻擊、硬體故障或內部人員濫用的風險。其中一項主要考量重點,便是對非結構化資料儲存的保護。
定期備份 非結構化資料保護
定期備份是任何資料保護策略中不可或缺的一環。您可以設定自動備份,定期對儲存於伺服器及 NAS設備上的資料進行備份。
- 請根據資料的重要性及組織需求,決定備份頻率。
- 結合使用 完整備份與增量備份 以平衡儲存效率與還原速度。
- 請按照 3-2-1 備份法則 以建立一套有效且可靠的本地資料保護策略。
- 測試備份 以確保資料的一致性,並能在需要時進行還原。
- 啟用 備份加密 以防範網路攻擊時發生未經授權的存取及資料外洩。
- 啟用 備份不可變性 以防止備份資料遭勒索軟體加密、竄改或銷毀。
NAS 系統安全防護的最佳實踐
NAS設備廣泛用作儲存平台,用於在本地儲存大量非結構化資料。與此同時,NAS設備也是網路犯罪分子的首選目標,因此企業必須 保護 NAS 系統及儲存的資料。遵循以下最佳實踐,有助於保護 NAS設備上的非結構化資料:
- 停用預設帳戶,並為管理員建立配備強密碼的自訂帳戶。
- 請正確設定存取權限。
- 請設定防火牆,確保僅允許從指定位置透過允許的通訊協定和埠號存取 NAS。請在 NAS 設定中停用不必要的通訊協定。
- 請安裝 NAS 供應商提供的安全性修補程式與更新,以修復已知的漏洞。
- 請定期備份儲存於 NAS 上的資料。
- 請確保 NAS設備的實體位置安全無虞,並僅限授權使用者進入。
- 安全更新一經發布,請立即安裝。
針對本地資料的有效治理策略
有效的非結構化資料管理策略,有助於管理各種格式的資料(如文件、圖像、影片等),同時確保資料安全與合規性。鑑於非結構化資料的分散式特性,要實施有效的治理,必須結合政策、工具與流程。
- 根據非結構化資料的敏感性、價值及合規需求(機密資料、公開資料、個人資料)進行分類。
- 定義"敏感"、"受限"和"公開"等類別,以確定保護措施的優先順序。
- 設定基於角色的存取控制,以限制存取權限,並確保使用者僅能存取其所需之資料。
- 制定資料保留與生命週期管理政策。針對不同類型的非結構化資料設定保留期限,以確保資料僅在必要期間內儲存。將保留政策與合規需求(例如 GDPR、HIPAA 等)保持一致,以避免法律糾紛。設定自動刪除已超過保留期限的資料,藉此降低儲存成本並將資料外洩的風險降至最低。
- 監控您的基礎架構 及早偵測問題並加以解決,以免發生嚴重故障。使用資料外洩防護系統來偵測與勒索軟體感染相關的異常活動。設定自動通知與警示。
- 應向員工宣導網路威脅、網路攻擊的主要策略,以及勒索軟體感染的徵兆。若使用者能察覺網路攻擊企圖並採取正確行動,便有助於防範攻擊。使用者應通報任何可能預示網路攻擊的可疑行為。
- 制定事件應變計畫, 災難還原計畫 以及 業務連續性計畫. 請測試這些計畫,以確保在發生故障或災難時,它們能如預期般運作。
如何在雲中保護您的資料?
雲端平台因其可靠性與可用性而日益受到歡迎。 Amazon S3 Azure Blob 儲存是公有雲中用於儲存非結構化資料的最常見物件儲存範例。然而,儲存於雲端的資料可能因意外刪除、人為疏失、軟體錯誤或網路攻擊而遺失。因此,在公有雲中儲存資料時,您應考慮採取非結構化資料保護措施。
雲端資料保護的頂尖策略
請考慮以下非結構化資料保護策略,以確保公有雲中的資料安全:
- 請使用加密連線存取雲端儲存空間。啟用傳輸中及靜止狀態下檔案的加密功能。此策略可防止第三方攔截資料,並避免相關資料外洩。
- 設定基於角色的存取控制。定義角色並為使用者設定權限。遵循最小權限原則,將使用者權限設定為僅能執行所需任務,且不超過此範圍。啟用 多因素驗證 以存取雲端資源。使用身分與存取管理 (IAM) 工具來建立政策,並管理各雲端服務的權限。
- 為雲端中的非結構化資料儲存設定備份。制定並測試一項計畫,以 基於雲端的災難還原.
- 請確保您的資料保護策略符合 GDPR、HIPAA 或 PCI-DSS 等法規框架,這些法規有具體需求來保護非結構化資料。
- 請了解您與雲端供應商之間的安全責任分擔模式。根據此模式,供應商負責保障基礎架構的安全,而客戶則負責確保資料與存取的安全。
雲原生工具與自動化
雲端儲存供應商通常會提供可用於還原資料的原生工具。這些工具包括身分與存取管理(IAM)、多重因素驗證、 加密、存取控制清單(ACL)、防火牆及其他。
- 啟用版本控制(版本管理),以便在最新版本損毀或寫入錯誤變更時,能回滾變更並還原檔案的先前版本。
- 若在雲端使用物件儲存,請透過"寫入一次、多次讀取"(WORM)的方法來實現不可變性。
- 利用分層儲存,為儲存於雲端的主存取資料、次要資料以及備份優化成本。
- 請考慮採用生命週期管理工具,以實現資料治理及過時資料的自動化處理。
- 使用雲原生監控工具來監控儲存於雲端中的資料,並識別異常活動。
- 若雲端供應商提供資料外洩防護系統,請啟用該系統。
確保多雲端與混合雲環境中的隱私權
若某組織將資料儲存於多個公有雲,或同時儲存於公有雲與私有雲中(將本地端與雲端儲存結合即為混合式架構),則應採取相關措施以確保此環境中的資料隱私。可能面臨的複雜性包括:資料分散於不同平台、合規需求各異,以及需確保跨多個位置的資料安全。在混合式環境中保護資料,主要包含將雲端與本地端環境的防護措施相結合。
- 在所有環境中啟用資料加密。使用集中式的金鑰管理系統 (KMS) 來管理加密金鑰。透過客戶端加密,在將資料傳輸至雲端之前先進行加密。
- 備份儲存於所有位置的資料——無論是雲端儲存還是本地端。請選擇一款能支援所有雲端供應商及資料儲存之本地平台的備份解決方案。
生效 非結構化資料管理 以及治理要訣
非結構化資料(例如email、文件、影片及其他媒體內容)雖佔組織資料的大部分,但往往缺乏結構,導致其更難管理與保護。實施完善的治理與管理策略,有助於組織更有效地處理這類資料。
在將存取控制納入非結構化資料管理策略時,請考量以下要點。
- 使用者應具備哪些權限?
- 是否應允許使用者寫入變更?
- 僅提供此使用者唯讀存取權限是否足夠?
- 使用者可以與哪些對象分享內容?
- 有哪些資料共享的方法?是透過 NAS 進行檔案分享,還是使用雲端儲存平台?
組織應能細粒度地控制資料存取與使用,並提供以資料為中心的存取控制。這些策略有助於防止未經授權的存取及資料遺失。
NAKIVO 如何簡化 NAS 資料保護
NAKIVO Backup & Replication 是一款專用的資料保護解決方案,可備份儲存於檔案伺服器、NAS設備及雲中的非結構化資料。NAKIVO 解決方案支援檔案分享備份。 NFS 與 SMB 具備多種實用特點的檔案分享服務,能確保高效能與高可靠性。
- 檔案分享資料夾的自動備份. 排程備份工作,以確保不會遺漏任何一次備份。
- 靈活的保留設定. 設定 保存政策 以保留不同期間所需的還原點。該 GFS 留任計劃 並支援其他複雜的保留方案。您可以設定保留設定,以符合必要的合規需求。
- 備份加密. 在傳輸過程中(透過網路傳輸資料時)及靜止狀態下(存於備份儲存庫中)對備份進行加密。來源 備份加密 讓您能在來源端對備份進行加密,傳輸加密資料,並將其儲存於 備份儲存庫.
- 不可變更的備份. 啟用 備份不可變性 以保護備份免受勒索軟體及其他形式的未經授權修改或刪除。
- 節省空間的功能. 執行增量備份,僅複製資料變更部分,以減少儲存空間的佔用。結合定期完整備份與增量備份,可提升可靠性並降低增量備份鏈損壞的風險。透過備份壓縮功能,您可以在備份儲存庫中節省更多儲存空間。
- 多個備份位置. 您可以將備份儲存於本地端及雲端的不同儲存位置。本地端儲存可使用本機資料夾、SMB/NFS 檔案分享及磁帶。若要在公有雲中建立經濟實惠的備份儲存空間,您可以使用受支援的物件儲存服務,例如 Azure Blob Storage、AWS S3 以及其他與 S3 相容的儲存服務。
- 粒度還原. 您可以從備份中選取特定檔案,以快速還原所需資料。系統亦支援完整還原。
NAKIVO Backup & Replication 也支援 Microsoft 365 備份,包括以email、文件及其他資訊形式儲存於 Exchange Online、OneDrive for Business、SharePoint Online 及 Microsoft Teams 中的非結構化資料。
結論
非結構化資料的保護需要實施備份,以確保資料可用性,並將資料遺失與系統停機的風險降至最低。您亦可設定檔案分享存取控制,以符合合規需求。透過加密、不可變性及存取控制,保護備份免受未經授權的存取。使用 NAKIVO Backup & Replication 用於備份儲存於檔案伺服器及 NAS設備所託管的檔案分享資料夾中,以及雲端中的非結構化資料。
