10 mẹo bảo mật để giữ an toàn cho dữ liệu của bạn
Để giúp các khách hàng tự bảo vệ mình, Synology đã thu thập danh sách các cài đặt bảo mật dữ liệu quan trọng thường bị bỏ qua. Cuối cùng, Synology đã đưa vào các mẹo bổ sung có thể giúp khách hàng đảm bảo tính toàn vẹn của dữ liệu - một trụ cột khác của bảo vệ dữ liệu.
Những năm qua đã chứng kiến sự leo thang đáng kể về các mối đe dọa an ninh mạng. Theo báo cáo của The New York Times, hơn 200.000 tổ chức đã bị tấn công bằng ransomware vào năm 2019, tăng 41% so với năm trước.
Mẹo 1: Vô hiệu hóa tài khoản quản trị viên mặc định
Tên người dùng quản trị viên phổ biến có thể làm cho NAS Synology của bạn dễ bị tấn công bởi các bên độc hại sử dụng các cuộc tấn công bạo lực sử dụng kết hợp tên người dùng và mật khẩu thông thường. Tránh các tên thông thường như “admin”, “administrator”, “root” * khi thiết lập NAS của bạn. Synology khuyên bạn cũng nên đặt một mật khẩu mạnh và duy nhất ngay sau khi thiết lập NAS Synology và vô hiệu hóa tài khoản quản trị mặc định của hệ thống **.
Nếu bạn hiện đang đăng nhập bằng tài khoản người dùng “quản trị”, hãy đi tới Bảng điều khiển> Người dùng và tạo tài khoản quản trị mới. Sau đó, đăng nhập bằng tài khoản mới và tắt “quản trị viên” mặc định của hệ thống.
* “Root” không được phép làm tên người dùng.
** Nếu được thiết lập bằng tên người dùng không phải là "quản trị viên", tài khoản mặc định sẽ bị vô hiệu hóa.
Mẹo 2: Độ mạnh của mật khẩu
Mật khẩu mạnh bảo vệ hệ thống của bạn khỏi bị truy cập trái phép. Tạo một mật khẩu phức tạp bao gồm các chữ cái viết hoa, chữ số và ký tự đặc biệt theo cách mà chỉ bạn mới có thể nhớ được.
Sử dụng một mật khẩu chung cho nhiều tài khoản cũng là một lời mời đối với tin tặc. Nếu một tài khoản bị xâm nhập, tin tặc có thể dễ dàng kiểm soát các tài khoản khác của bạn. Điều này xảy ra thường xuyên đối với các trang web và các nhà cung cấp dịch vụ khác. Chúng tôi khuyên bạn nên đăng ký với các dịch vụ giám sát công cộng như Have I Been Pwned hoặc Firefox Monitor.
Nếu bạn gặp khó khăn khi ghi nhớ các mật khẩu phức tạp và duy nhất cho các tài khoản khác nhau, trình quản lý mật khẩu (chẳng hạn như 1Password, LastPass hoặc Bitwarden) có thể là giải pháp tốt nhất của bạn. Bạn chỉ phải ghi nhớ một mật khẩu - mật khẩu chính - và trình quản lý mật khẩu sẽ giúp bạn tạo và điền thông tin đăng nhập cho tất cả các tài khoản khác của bạn.
Nếu bạn quản lý một NAS Synology xử lý xác thực *, bạn có thể tùy chỉnh chính sách mật khẩu người dùng để thắt chặt các yêu cầu bảo mật mật khẩu cho tất cả các tài khoản người dùng mới. Đi tới Bảng điều khiển> Người dùng> Nâng cao và đánh dấu vào hộp kiểm Áp dụng quy tắc độ mạnh mật khẩu trong phần Cài đặt mật khẩu. Chính sách này sẽ được áp dụng cho bất kỳ người dùng nào tạo tài khoản mới.
* Các tùy chọn tương tự cũng có sẵn trong gói Máy chủ LDAP và Máy chủ thư mục.
Mẹo 3: Luôn cập nhật và bật thông báo
Synology phát hành các bản cập nhật DSM thường xuyên để cung cấp các cải tiến về chức năng và hiệu suất, đồng thời giải quyết các lỗ hổng bảo mật của sản phẩm.
Bất cứ khi nào phát sinh lỗ hổng bảo mật, Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của Synology sẽ tiến hành đánh giá và điều tra trong vòng 8 giờ và phát hành bản vá trong vòng 15 giờ tới để giúp ngăn chặn thiệt hại tiềm ẩn từ các cuộc tấn công zero-day.
Đối với hầu hết người dùng, Synology đặc biệt khuyên bạn nên thiết lập cập nhật tự động để tự động cài đặt các bản cập nhật DSM mới nhất. *
Một điều quan trọng khác cần xem xét là luôn cập nhật mọi thứ khi chúng xảy ra. Thiết lập thông báo trên NAS Synology của bạn và nhận thông báo qua email, SMS, trên thiết bị di động hoặc thông qua trình duyệt web của bạn khi xảy ra các sự kiện hoặc lỗi cụ thể. Nếu sử dụng dịch vụ DDNS của Synology, bạn có thể chọn nhận thông báo khi mất kết nối mạng bên ngoài. Hành động ngay lập tức khi có thông báo về lượng bộ nhớ hết dung lượng hoặc khi tác vụ sao lưu và khôi phục không thành công là một phần quan trọng để đảm bảo tính bảo mật lâu dài cho dữ liệu của bạn.
Chúng tôi cũng khuyến khích bạn thiết lập Tài khoản Synology của mình để nhận NAS và các bản tin tư vấn bảo mật của chúng tôi nhằm cập nhật các bản cập nhật tính năng và bảo mật mới nhất.
* Cập nhật tự động chỉ hỗ trợ các bản cập nhật DSM nhỏ. Các bản cập nhật lớn yêu cầu cài đặt thủ công.
Mẹo 4: Xác minh 2 bước
Nếu bạn muốn thêm một lớp bảo mật bổ sung vào tài khoản của mình, Synology thực sự khuyên bạn nên bật xác minh 2 bước. Để thực thi xác minh 2 bước trên tài khoản DSM và Tài khoản Synology, bạn sẽ cần thiết bị di động và ứng dụng xác thực hỗ trợ giao thức Mật khẩu một lần dựa trên thời gian (TOTP). Việc đăng nhập sẽ yêu cầu cả thông tin đăng nhập người dùng của bạn và mã 6 chữ số có giới hạn thời gian được truy xuất từ Microsoft Authenticator, Authy hoặc các ứng dụng xác thực khác để ngăn truy cập trái phép.
Đối với Tài khoản Synology, nếu bạn bị mất điện thoại với ứng dụng xác thực *, bạn có thể sử dụng mã dự phòng được cung cấp trong quá trình thiết lập xác thực 2 bước để đăng nhập. Điều quan trọng là phải giữ những mã này an toàn bằng cách tải xuống ở đâu đó hoặc in chúng ra. Hãy nhớ giữ những mã này an toàn nhưng có thể truy cập được.
Trên DSM, nếu bạn mất trình xác thực, bạn có thể đặt lại xác minh 2 bước làm phương án cuối cùng. Người dùng thuộc nhóm quản trị viên có thể đặt lại cấu hình.
Nếu tất cả tài khoản quản trị viên không thể truy cập được nữa, bạn sẽ cần đặt lại thông tin đăng nhập và cài đặt mạng trên thiết bị của mình. Giữ nút ĐẶT LẠI phần cứng trên NAS của bạn trong khoảng 4 giây (bạn sẽ nghe thấy tiếng bíp), sau đó khởi chạy Trợ lý công nghệ để định cấu hình lại thiết bị của bạn. **
* Một số ứng dụng xác thực hỗ trợ các phương pháp sao lưu và khôi phục dựa trên tài khoản của bên thứ ba. Đánh giá các yêu cầu bảo mật của bạn so với sự thuận tiện và các tùy chọn khôi phục sau thảm họa.
** SHA, VMM, tự động hóa thư mục chia sẻ được mã hóa, nhiều cài đặt bảo mật, tài khoản người dùng và cài đặt cổng sẽ được đặt lại
Mẹo 5: Chạy Cố vấn Bảo mật
Security Advisor là một ứng dụng được cài đặt sẵn có thể quét NAS của bạn để tìm các sự cố cấu hình DSM phổ biến, đưa ra gợi ý về những việc bạn có thể cần làm tiếp theo để giữ an toàn cho NAS Synology của mình. Ví dụ, nó có thể phát hiện những điều phổ biến như để mở quyền truy cập SSH, nếu có bất kỳ hoạt động đăng nhập bất thường nào đang xảy ra và nếu các tệp hệ thống DSM đã được sửa đổi.
Mẹo 6: Các tính năng bảo mật DSM cơ bản để thiết lập
Bạn có thể định cấu hình một số cài đặt bảo mật trong tab Bảng điều khiển> Bảo mật để bảo mật tài khoản người dùng của mình.
IP tự động chặn
Mở Control Panel và đi tới Security> Auto Block. Bật tính năng tự động chặn để tự động chặn địa chỉ IP của các ứng dụng khách không đăng nhập được trong một số thời gian và khoảng thời gian được chỉ định. Quản trị viên cũng có thể đưa vào danh sách đen các địa chỉ IP cụ thể để ngăn chặn các cuộc tấn công brute-force hoặc từ chối dịch vụ tiềm ẩn.
Định cấu hình số lần thử dựa trên môi trường sử dụng và kiểu người dùng mà thiết bị của bạn sẽ thường xuyên phục vụ. Hãy nhớ rằng hầu hết các gia đình và doanh nghiệp sẽ chỉ có một địa chỉ IP bên ngoài cho người dùng của họ và địa chỉ IP thường động và sẽ thay đổi sau một số ngày hoặc vài tuần nhất định.
Bảo vệ tài khoản
Mặc dù tính năng Tự động chặn đưa vào danh sách đen các địa chỉ IP đã không thực hiện được quá nhiều lần xác thực, nhưng Bảo vệ tài khoản sẽ bảo vệ tài khoản người dùng bằng cách chặn quyền truy cập của ứng dụng khách không đáng tin cậy.
Đi tới Bảng điều khiển> Bảo mật> Bảo vệ tài khoản. Bạn có thể bật Bảo vệ tài khoản để bảo vệ tài khoản khỏi những khách hàng không đáng tin cậy sau một số lần đăng nhập không thành công. Điều này cải thiện tính bảo mật của DSM của bạn và giảm nguy cơ tài khoản trở thành con mồi của các cuộc tấn công bạo lực từ các cuộc tấn công phân tán.
Bật HTTPS
Với HTTPS được bật, bạn có thể mã hóa và bảo mật lưu lượng mạng giữa NAS Synology của bạn và các máy khách được kết nối, bảo vệ chống lại các hình thức nghe trộm hoặc tấn công trung gian phổ biến.
Đi tới Bảng điều khiển> Mạng> Cài đặt DSM. Đánh dấu vào hộp kiểm Tự động chuyển hướng kết nối HTTP sang HTTPS. Bây giờ bạn sẽ kết nối với DSM qua HTTPS. Trong thanh địa chỉ, bạn sẽ nhận thấy rằng URL của thiết bị của bạn bắt đầu bằng “https: //” thay vì “http: //”. Nếu trước đây bạn đã có một số cài đặt tường lửa hoặc mạng nhất định, bạn có thể cần cập nhật chúng.
Nâng cao: Tùy chỉnh quy tắc Tường lửa
Tường lửa đóng vai trò như một rào cản ảo lọc lưu lượng mạng từ các nguồn bên ngoài theo một bộ quy tắc. Đi tới Bảng điều khiển> Bảo mật> Tường lửa để thiết lập các quy tắc tường lửa nhằm ngăn chặn đăng nhập trái phép và kiểm soát truy cập dịch vụ. Bạn có thể quyết định cho phép hoặc từ chối quyền truy cập vào các cổng mạng nhất định theo địa chỉ IP cụ thể, một cách hay để cho phép truy cập từ xa từ một văn phòng cụ thể hoặc chỉ cho phép truy cập vào một dịch vụ hoặc giao thức cụ thể.
Mẹo 7: HTTPS Phần 2 - Hãy mã hóa
Chứng chỉ kỹ thuật số đóng một vai trò quan trọng trong việc kích hoạt HTTPS, nhưng thường đắt tiền và khó bảo trì, đặc biệt là đối với người dùng không phải là doanh nghiệp. DSM đã tích hợp hỗ trợ cho Let’s Encrypt, một tổ chức phát hành chứng chỉ tự động và miễn phí, để cho phép bất kỳ ai cũng có thể dễ dàng bảo mật kết nối của họ.
Nếu bạn đã có miền đã đăng ký hoặc đang sử dụng DDNS, hãy đi tới Bảng điều khiển> Bảo mật> Chứng chỉ. Nhấp vào Thêm chứng chỉ mới> Nhận chứng chỉ từ Let’s Encrypt, đối với hầu hết người dùng, bạn nên chọn “Đặt làm chứng chỉ mặc định” *. Nhập tên miền của bạn để nhận chứng chỉ.
Khi bạn đã có chứng chỉ, hãy đảm bảo rằng tất cả lưu lượng truy cập của bạn đều đi qua HTTPS (như được liệt kê trong Mẹo số 3).
* Nếu bạn đã thiết lập thiết bị của mình để cung cấp dịch vụ thông qua nhiều miền hoặc miền phụ, bạn sẽ cần định cấu hình chứng chỉ nào được sử dụng bởi từng dịch vụ trong Bảng điều khiển> Bảo mật> Chứng chỉ> Định cấu hình
Mẹo 8: Thay đổi các cổng mặc định
Mặc dù việc thay đổi các cổng HTTP (5000) và HTTPS (5001) mặc định của DSM thành các cổng tùy chỉnh không thể ngăn chặn các cuộc tấn công có chủ đích, nhưng nó có thể ngăn chặn các mối đe dọa phổ biến chỉ tấn công các dịch vụ được xác định trước. Để thay đổi các cổng mặc định, hãy đi tới Bảng điều khiển> Mạng> Cài đặt DSM và tùy chỉnh số cổng. Bạn cũng nên thay đổi cổng SSH (22) mặc định nếu bạn thường xuyên sử dụng quyền truy cập shell.
Bạn cũng có thể triển khai proxy ngược để giảm các vectơ tấn công tiềm ẩn đến chỉ các dịch vụ web cụ thể để tăng cường bảo mật. Một proxy ngược hoạt động như một trung gian cho liên lạc giữa một máy chủ nội bộ (thường) và các máy khách từ xa, ẩn một số thông tin nhất định về máy chủ, chẳng hạn như địa chỉ IP thực của nó.
Mẹo 9: Tắt SSH / telnet khi không sử dụng
Nếu bạn là người dùng thành thạo thường yêu cầu quyền truy cập shell, hãy nhớ tắt SSH / telnet khi không sử dụng. Vì quyền truy cập root được bật theo mặc định và SSH / telnet chỉ hỗ trợ đăng nhập từ tài khoản quản trị, tin tặc có thể cưỡng bức mật khẩu của bạn để truy cập trái phép vào hệ thống của bạn. Nếu bạn cần luôn có dịch vụ thiết bị đầu cuối, chúng tôi khuyên bạn nên đặt mật khẩu mạnh và thay đổi số cổng SSH mặc định (22) để tăng cường bảo mật. Bạn cũng có thể xem xét việc tận dụng VPN và giới hạn quyền truy cập SSH chỉ đối với các IP cục bộ hoặc IP đáng tin cậy.
Mẹo 10: Mã hóa các thư mục chia sẻ
DSM hỗ trợ mã hóa AES-256 của các thư mục chia sẻ của bạn để ngăn chặn việc trích xuất dữ liệu khỏi các mối đe dọa vật lý. Quản trị viên có thể mã hóa các thư mục chia sẻ mới được tạo và hiện có.
Để mã hóa các thư mục chia sẻ hiện có, hãy đi tới Bảng Điều khiển> Thư mục Chia sẻ và Chỉnh sửa thư mục. Thiết lập khóa mã hóa trong tab Mã hóa và DSM sẽ bắt đầu mã hóa thư mục. Synology thực sự khuyên bạn nên lưu tệp khóa được tạo ở một vị trí an toàn, vì không thể khôi phục dữ liệu đã mã hóa nếu không có cụm mật khẩu được sử dụng hoặc tệp khóa.
Mẹo thưởng: Tính toàn vẹn của dữ liệu
Bảo mật dữ liệu được liên kết chặt chẽ với tính nhất quán và độ chính xác của dữ liệu của bạn - tính toàn vẹn của dữ liệu. Bảo mật dữ liệu là điều kiện tiên quyết để đảm bảo tính toàn vẹn của dữ liệu, vì truy cập trái phép có thể dẫn đến giả mạo dữ liệu hoặc mất dữ liệu, khiến dữ liệu quan trọng của bạn trở nên vô dụng.
Có hai biện pháp bạn có thể thực hiện để đảm bảo tính chính xác và nhất quán của dữ liệu: bật tổng kiểm tra dữ liệu và chạy S.M.A.R.T. kiểm tra thường xuyên. Synology đã viết về hai phương pháp bảo mật này trong các bài đăng trên blog trước đây của chúng tôi - hãy kiểm tra chúng để biết thêm thông tin.
Quan trọng hơn bao giờ hết
Các mối đe dọa trực tuyến luôn phát triển và bảo mật dữ liệu cần được đảm bảo nhiều mặt như nhau. Khi nhiều thiết bị được kết nối hơn được giới thiệu ở nhà và tại nơi làm việc, tội phạm mạng càng dễ dàng khai thác các lỗ hổng bảo mật và xâm nhập vào mạng của bạn. Giữ an toàn không phải là điều bạn làm một lần rồi quên đi, nó là một quá trình liên tục.
Lưu ý: Hầu hết các cài đặt được liệt kê ở trên chỉ có tài khoản người dùng có quyền quản trị mới có thể truy cập và sửa đổi.
Tin tức liên quan
10/03/2022 09:13 911 Lượt xem
QNAP giới thiệu NAS bốn nhân rackmount TS-x64U với Cổng kép 2.5GbE và Khả năng mở rộng PCIe
QNAP® Systems, Inc., nhà sáng tạo giải pháp máy tính, mạng và lưu trữ hàng đầu, hôm nay đã ra mắt TS-x64U NAS (bao gồm các mẫu 4 và 12-vịnh). Hỗ trợ khả năng mở rộng PCIe Gen 3, kết nối 2.5GbE và đầu ra HDMI 4K, TS-x64U không chỉ cho phép cài đặt thẻ QM2 cho bộ nhớ đệm M.2 SSD hoặc Edge TPU để nhận dạng hình ảnh AI mà còn hiển thị máy ảo thuận tiện và truyền phát đa phương tiện mượt mà.
29/01/2024 09:00 586 Lượt xem
Giải Pháp Sao Lưu Tích Hợp Không Cần Giấy Phép Của Synology
Ngày càng nhiều các vụ tấn công ransomware, sự gia tăng bùng nổ trong các cuộc tấn công được dự đoán sẽ tiếp tục tăng 30% so với cùng kỳ năm trước trong suốt một thập kỷ tới. Để đảm bảo rằng dữ liệu quan trọng có thể được truy cập và phục hồi trong trường hợp xảy ra thảm họa, việc sao lưu đã trở thành điều bắt buộc đối với các doanh nghiệp hiện đại để bảo vệ các tài sản quan trọng.
09/12/2021 09:07 659 Lượt xem
Camera Imou Bullet 2C – độ phân giải QHD, chống nước chống bụi IP67
Camera Imou Bullet 2C là dòng camera ngoài trời mới nhất của Imou, đang được nhận được sự quan tâm và săn đón của khách hàng. Với độ phân giải QHD cho hình ảnh chất lượng và sắc nét, khả năng chống nước chống bụi đạt tiêu chuẩn IP67, camera Imou Bullet 2C mang đến những trải nghiệm tuyệt vời, giúp bảo vệ tổ ấm thân yêu của bạn.
21/04/2024 08:00 710 Lượt xem
Giải Pháp Giám Sát IP Từ Synology
Bạn đang tìm kiếm cảnh quay rõ ràng hơn, tính năng nâng cao và tích hợp thiết bị đa dạng? Synology cung cấp sự chuyển đổi dễ dàng sang hệ thống dựa trên mạng, có thể thích ứng với nhu cầu ngày càng tăng của bạn.
15/05/2024 11:00 1611 Lượt xem
Chống Trùng Lặp Dữ Liệu Là Gì?
Trong một thế giới nơi dữ liệu đang mở rộng với tốc độ đáng kể, việc quản lý dữ liệu một cách hiệu quả là điều quan trọng hơn bao giờ hết. Nhập dữ liệu trùng lặp—một phương pháp giúp cải thiện đáng kể mức sử dụng bộ nhớ trong khi vẫn duy trì tính toàn vẹn của dữ liệu. Bài viết này trả lời câu hỏi “chống trùng lặp dữ liệu là gì?”, bao gồm cách thức hoạt động và lý do tại sao các chuyên gia CNTT cần phải quan tâm đến tính năng này.
19/03/2022 09:34 855 Lượt xem
CÔNG NGHỆ TRUYỀN ĐỘNG KÉP MACH.2
NHÂN ĐÔI HIỆU NĂNG Ổ CỨNG
Sức mạnh máy tính, dung lượng và hiệu suất lưu trữ là ba nền tảng công nghệ phải thường xuyên đổi mới và phát triển, nhằm giúp các kỹ sư IT giải quyết những thách thức lớn của nhân loại.
25/03/2022 09:09 1089 Lượt xem
IronWolf Pro của hãng Seagate là một lựa chọn vững chắc cho NAS và máy trạm, đồng thời bao gồm phạm vi phục hồi dữ liệu miễn phí trong ba năm, trong khi các khe cắm Exos X20 có khối lượng công việc cao hơn và xếp hạng độ tin cậy cho máy chủ và hệ thống giám sát. Cả hai ổ đều tối đa hóa dung lượng mà không có sự ảnh hưởng đáng kể nào về hiệu suất nhưng có giá cao hơn đối với các mẫu 20TB dung lượng cao nhất.
18/06/2024 08:00 621 Lượt xem
Lưu Trữ Và Tính Toán Gặp Nhau Ở Đâu?
Tổng quan về lưu trữ điện toán
Các nhà phân tích ước tính đến năm 2025, 463 exabyte dữ liệu sẽ được tạo ra mỗi ngày trên toàn cầu. Đồng thời, ngày càng có nhiều trường hợp phân tích và xử lý dữ liệu theo thời gian thực. Để giải quyết nhu cầu này, các doanh nghiệp tiêu dùng và doanh nghiệp đang tìm kiếm một cách tiếp cận hoàn toàn đơn giản: di chuyển điện toán và lưu trữ lại gần nhau hơn, thường được gọi là lưu trữ điện toán.
11/12/2020 10:25 1049 Lượt xem
Đối với những người tiêu dùng cần tăng tốc năng suất và bảo vệ nội dung có giá trị của họ mà không ảnh hưởng đến phong cách, Western Digital Corp. (NASDAQ: WDC) hôm nay đã giới thiệu thương hiệu WD® mới Hộ chiếu của tôi™ SSD dung lượng lên đến 2TB*. Với thiết kế kim loại nhỏ gọn, bóng bẩy và tốc độ nhanh rực rỡ được hỗ trợ bởi công nghệ NVMe™, ổ đĩa có kích thước lòng bàn tay mới cho phép người dùng gia đình và doanh nghiệp tiết kiệm, truy cập và bảo vệ nội dung quan trọng.
24/01/2022 14:30 1512 Lượt xem
IMOU thương hiệu thiết bị camera an ninh, nhà thông minh toàn cầu – là công ty con của Dahua xuất xứ từ Trung Quốc. Là dòng camera IP Wifi với nhiều tính năng tiện ích sử dụng cho gia đình. Với các công nghệ tối ưu cho việc giám sát và phát hiện đột nhập, đe dọa kẻ đột nhập Camera Wifi IMOU là sản phẩm tiện ích và dễ sử dụng cho gia đình, cửa hàng. Hướng tới khách hàng cuối cùng với sự tiện lợi, dễ dàng lắp đặt, cài đặt. Dưới đây MaxLink sẽ hướng dẫn bạn cách lắp đặt một cách chi tiết nhất nhé.
Xem thêm