Устройства сетевого хранения данных (NAS) имеют две основные цели: упростить хранение данных и гарантировать, что ваши файлы остаются доступными для всей команды на всех их устройствах. Хотя они предлагают отличную скорость передачи данных и надежность в локальной сети, они должны быть столь же надежными для удаленного доступа. Многие из лучших корпусов NAS предоставляют несколько способов достижения этого. Однако открытие вашего NAS для Интернета может подвергнуть его посторонним глазам и многочисленным угрозам безопасности. К счастью, существуют безопасные способы доступа к вашему NAS из любой точки мира без ущерба для целостности данных.

Вот несколько мер, которые вы можете предпринять, чтобы свести к минимуму подверженность вашего NAS-сервера интернет-угрозам.

Элементарная уборка может творить чудеса

Вы можете избежать большинства рисков, связанных с раскрытием вашего NAS в Интернете, приняв стандартные меры безопасности. Для начала убедитесь, что все учетные записи администраторов на вашем NAS используют пользовательские имена пользователей, а не имена по умолчанию. Этот шаг не позволяет злоумышленникам угадывать имена пользователей с правами администратора, как удаленно, так и локально. Объедините это с надежными длинными паролями и двухфакторной аутентификацией (2FA), чтобы значительно снизить вероятность несанкционированного доступа к NAS.

Открытие NAS для удаленного доступа иногда требует открытия портов и добавления правил переадресации на маршрутизатор. Это часто является серьезной уязвимостью, приводящей к компрометации устройств NAS и потере данных. Чтобы предотвратить это, регулярно проверяйте и закрывайте все ненужные порты и настраивайте брандмауэр NAS так, чтобы он разрешал только доверенные устройства. Многие операционные системы NAS также включают инструменты для мониторинга журналов доступа; периодически просматривайте эти журналы, чтобы обнаружить любую необычную активность.

Наконец, как и в случае со всеми технологиями, поддержание программного обеспечения и установленных приложений на вашем NAS-устройстве в актуальном состоянии снижает риск использования хакерами уязвимостей системы безопасности.

Используйте встроенные инструменты вашего NAS

Многие производители NAS, такие как QNAP и Synology, предоставляют встроенные утилиты, разработанные для пользователей, ищущих простое решение для удаленного доступа. Такие инструменты, как myQNAPcloud Link от QNAP и QuickConnect от Synology, предлагают возможность plug-and-play для доступа к вашему NAS без необходимости углубляться в сложные конфигурации. Эти сервисы привязывают ваш NAS к онлайн-аккаунту — в данном случае QNAP или Synology — позволяя вам входить в ваш NAS из любой точки мира.

Некоторые пользователи беспокоятся о безопасности этих инструментов, поскольку скомпрометированная учетная запись Synology или QNAP может привести к несанкционированному доступу к NAS. Однако, следуя рекомендациям по безопасности, упомянутым ранее, вы можете снизить этот риск. Более того, использование инструмента первой стороны дает дополнительное преимущество доверия, поскольку производитель NAS управляет этими службами, а не третья сторона.

Стоит отметить, что такие инструменты, как myQNAPcloud Link и QuickConnect, направляют трафик через свои серверы, что может привести к снижению скорости передачи. Эти решения лучше всего подходят для передачи небольших файлов или удаленного мониторинга настроек администратора.

Используйте сторонние приложения для удаленного рабочего стола

Инструменты удаленного рабочего стола, такие как TeamViewer, AnyDesk и AnyViewer, предлагают надежные и проверенные альтернативы решениям первой стороны для удаленного доступа к вашему NAS. TeamViewer, безусловно, является самым популярным выбором для удаленного управления ПК, но два других варианта не так уж и отстают. И вы также можете использовать эти инструменты для доступа и управления устройствами NAS.

Чтобы настроить эти инструменты, вам необходимо установить приложение как на вашем NAS, так и на клиентских устройствах. Многие из этих приложений добавляют дополнительные уровни безопасности, такие как дополнительные пароли, гарантируя, что доступ получат только авторизованные пользователи. После настройки вы можете отслеживать журналы, обновлять настройки и передавать файлы, как если бы вы находились в локальной сети. Однако эти приложения ограничивают скорость передачи в зависимости от уровня вашей подписки, поэтому вы можете обнаружить, что передача больших файлов через Интернет занимает некоторое время.

AnyDesk и TeamViewer — отличный выбор для компаний, управляющих несколькими устройствами NAS, хотя для них требуется подписка. AnyViewer — более экономичный вариант для личного или малого бизнеса с его сравнительно низкой ежемесячной платой.

Настройте обратный прокси-сервер

Обратный прокси-сервер — это, по сути, дополнительный промежуточный сервер между вашим NAS и клиентскими устройствами. Этот сервер фактически получает ваши запросы из Интернета, а затем ретранслирует их на NAS, маскируя фактическое местоположение NAS и повышая безопасность. Такие инструменты, как Nginx и Traefik, позволяют вам настроить обратный прокси-сервер, даже разрешая пользовательским доменам доступ к вашему NAS. Такая конфигурация затрудняет злоумышленникам поиск вашего устройства в Интернете и его атаку.

Использование обратного прокси-сервера обеспечивает гибкость и дополнительные функции безопасности, такие как сертификаты SSL/TLS (для зашифрованных соединений) и возможность управления большим количеством устройств. В зависимости от ваших требований вы можете значительно масштабировать эту систему, добавляя несколько прокси-серверов и точек перехода. Эту систему также можно использовать для распределения входящих запросов по нескольким сетевым хранилищам для лучшего использования ресурсов.

Вот почему использование обратных прокси-серверов сложно настроить и может потребовать ИТ-специалиста, что делает его более подходящим для крупных организаций. Те, у кого более базовые потребности, например, для дома или малого бизнеса, должны рассмотреть альтернативные методы, упомянутые в этом списке.

Используйте по максимуму возможности динамического DNS (DDNS)

Удаленный доступ к NAS обычно требует статического IP-адреса, который легко доступен для предприятий через интернет-провайдеров, но не всегда может быть осуществим для домашних пользователей. Динамический DNS (DDNS) решает эту проблему, позволяя вам использовать ваш NAS даже с динамическим IP-адресом с вашим домашним интернетом. Это выгодно для приложений, которым требуется непрерывное подключение к NAS, например, для наблюдения или запуска сервера электронной почты.

Большинство производителей NAS предоставляют встроенные опции DDNS, такие как yourname.synology.me от Synology. В качестве альтернативы, сторонние службы DDNS предлагают повышенную безопасность благодаря адресу, который еще сложнее угадать.

После настройки DDNS вы можете подключиться к своему NAS, используя назначенный адрес. Чтобы обеспечить безопасные соединения, получите сертификат SSL. В зависимости от вашего варианта использования, например WebDAV или доступа к файлам, вам может потребоваться открыть определенные порты на маршрутизаторе, поэтому DDNS может быть недостаточно. Для повышения безопасности вам следует связать его со строгими правилами брандмауэра, надежными паролями и VPN для удаленного подключения.

VPN — ваш лучший друг

Мы часто ассоциируем использование VPN с доступом к геоограниченному контенту или сокрытием вашего IP-адреса. Однако компании также широко используют его функции защиты конфиденциальности для безопасного доступа к удаленным серверам без ущерба для безопасности данных. Для этого приложения VPN создает зашифрованный туннель между вашим NAS и клиентскими устройствами, обеспечивая безопасную и конфиденциальную связь. Он также маскирует ваше местоположение, защищая ваши данные от потенциальных злоумышленников.

Большинство современных моделей NAS поддерживают VPN изначально. Однако у вас есть возможность настроить выделенное устройство, например Raspberry Pi, для размещения вашего VPN-сервера. Это еще более полезно, поскольку вы можете использовать этот VPN для доступа ко всем подключенным устройствам дома, в дополнение к NAS.

OpenVPN — популярный выбор для настройки собственного VPN-сервера, но Tailscale быстро становится фаворитом фанатов. Его самым большим преимуществом является простота использования — вы можете начать использовать его без особых технических знаний . Еще одним преимуществом использования Tailscale является его децентрализованная природа, которая обеспечивает более высокую пропускную способность, меньшую задержку и масштабируемость для управления несколькими устройствами. А если вы предпочитаете пачкать руки, вы всегда можете настроить свой собственный WireGuard VPN на вашем NAS.

Безопасность данных — ваш главный приоритет

Сетевое устройство хранения данных упрощает доступ к данным для всех — даже если вы фрилансер, работающий из дома, или организация с большой командой, распределенной по регионам. Возможность беспрепятственного доступа к вашим данным из любой точки мира — одно из главных преимуществ корпусов NAS. Но это удобство не должно идти в ущерб безопасности данных, которая должна оставаться вашим главным приоритетом.

Реализуя описанные здесь методы, вы можете гарантировать, что удаленный доступ ваших коллег к данным компании останется безопасным, а также защитить ваш NAS от потенциальных угроз в Интернете.