Synology – 10 mẹo bảo mật để giữ an toàn cho dữ liệu của bạn

Synology – 10 mẹo bảo mật để giữ an toàn cho dữ liệu của bạn

Tin tức

banner 18 new@2xBảo mật dữ liệu là nhu cầu hết sức cần thiết cho doanh nghiệp, chúng tôi đã chuẩn bị 10 mẹo bảo mật dữ liệu để giúp bạn bảo vệ thiết bị Synology của mình trước các mối đe dọa trực tuyến.

Những năm qua đã chứng kiến ​​sự leo thang đáng kể về các mối đe dọa an ninh mạng. Theo báo cáo của The New York Times , hơn 200.000 tổ chức đã bị tấn công bằng ransomware vào năm 2019, tăng 41% so với năm trước.

Để giúp bạn tự bảo vệ mình, chúng tôi đã biên soạn một danh sách các cài đặt bảo mật dữ liệu quan trọng thường bị bỏ qua. Cuối cùng, chúng tôi đã bao gồm các mẹo bổ sung có thể giúp bạn đảm bảo tính toàn vẹn của dữ liệu – một trụ cột khác của bảo vệ dữ liệu.

Lưu ý: Hầu hết các cài đặt được liệt kê bên dưới chỉ có tài khoản người dùng có quyền quản trị mới có thể truy cập và sửa đổi.

Mẹo 1: Luôn cập nhật và bật thông báo

Chúng tôi phát hành các bản cập nhật DSM thường xuyên để cung cấp các cải tiến về chức năng và hiệu suất cũng như giải quyết các lỗ hổng bảo mật của sản phẩm.

Bất cứ khi nào lỗ hổng bảo mật phát sinh, Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của chúng tôi sẽ tiến hành đánh giá và điều tra trong vòng 8 giờ và phát hành bản vá trong vòng 15 giờ tới để giúp ngăn chặn thiệt hại tiềm ẩn từ các cuộc tấn công zero-day.

Đối với hầu hết người dùng, chúng tôi đặc biệt khuyên bạn nên thiết lập cập nhật tự động để tự động cài đặt các bản cập nhật DSM mới nhất. *

Data Security Tips Blog 17

Nhiều thiết bị Synology có tùy chọn chạy Virtual DSM bên trong Virtual Machine Manager, để tạo phiên bản ảo hóa của hệ điều hành DSM. Sử dụng Virtual DSM để tạo môi trường dàn dựng, sau đó sao chép hoặc cố gắng tái tạo môi trường sản xuất của bạn trong đó. Thực hiện kiểm tra nâng cấp bằng cách cài đặt phiên bản DSM mới nhất trên Virtual DSM của bạn và xác minh chức năng chính mà triển khai hiện tại của bạn yêu cầu trước khi tiếp tục cập nhật trong môi trường chính của bạn.

Một điều quan trọng khác cần xem xét là luôn cập nhật mọi thứ khi chúng xảy ra. Thiết lập thông báo trên NAS Synology của bạn và nhận thông báo qua email, SMS, trên thiết bị di động hoặc thông qua trình duyệt web của bạn khi các sự kiện hoặc lỗi cụ thể xảy ra. Nếu sử dụng dịch vụ DDNS của Synology, bạn có thể chọn nhận thông báo khi mất kết nối mạng bên ngoài. Hành động ngay lập tức khi có thông báo về khối lượng lưu trữ sắp hết dung lượng hoặc khi tác vụ sao lưu và khôi phục không thành công là một phần quan trọng để đảm bảo tính bảo mật lâu dài cho dữ liệu của bạn.

Chúng tôi cũng khuyến khích bạn thiết lập Tài khoản Synology của mình để nhận các bản tin tư vấn bảo mật và NAS của chúng tôi nhằm cập nhật các bản cập nhật tính năng và bảo mật mới nhất.

* Cập nhật tự động chỉ hỗ trợ các bản cập nhật DSM nhỏ. Các bản cập nhật lớn yêu cầu cài đặt thủ công.

Mẹo 2: Chạy Security Advisor

Security Advisor là một ứng dụng được cài đặt sẵn có thể quét NAS của bạn để tìm các sự cố cấu hình DSM phổ biến, đưa ra gợi ý về những việc bạn có thể cần làm tiếp theo để giữ an toàn cho NAS Synology của mình. Ví dụ: nó có thể phát hiện những điều phổ biến như để mở quyền truy cập SSH, nếu có bất kỳ hoạt động đăng nhập bất thường nào đang xảy ra và nếu các tệp hệ thống DSM đã được sửa đổi.

Mẹo 3: Thiết lập cơ bản các tính năng bảo mật DSM 

Bạn có thể cấu hình một số cài đặt bảo mật trong  tab Control Panel > Security để bảo mật tài khoản người dùng của mình.

IP Auto Block

Mở Control Panel và chọn Security  >  Auto Block . Bật tính năng tự động chặn để tự động chặn địa chỉ IP của các máy khách không đăng nhập được trong một số lần và khoảng thời gian cụ thể. Quản trị viên cũng có thể đưa vào danh sách đen các địa chỉ IP cụ thể để ngăn chặn các cuộc tấn công brute-force hoặc từ chối dịch vụ tiềm ẩn.

Cấu hình số lần thử dựa trên môi trường sử dụng và kiểu người dùng mà thiết bị của bạn sẽ thường xuyên phục vụ. Hãy nhớ rằng hầu hết các gia đình và doanh nghiệp sẽ chỉ có một địa chỉ IP bên ngoài cho người dùng của họ và địa chỉ IP thường động và sẽ thay đổi sau một số ngày hoặc tuần nhất định.

Bảo vệ tài khoản

Mặc dù Auto Block đưa vào danh sách đen các địa chỉ IP đã thực hiện quá nhiều lần xác thực không thành công. Bảo vệ tài khoản người dùng bằng cách chặn quyền truy cập của khách hàng không đáng tin cậy.

Vào Control Panel > Security > Account Protection. Bạn có thể bật Account Protection để bảo vệ tài khoản khỏi những khách hàng không đáng tin cậy sau một số lần đăng nhập không thành công. Điều này cải thiện tính bảo mật của DSM của bạn và giảm nguy cơ tài khoản trở thành con mồi của các cuộc tấn công bạo lực từ các cuộc tấn công phân tán.

Enable HTTPS

Với HTTPS được bật, bạn có thể mã hóa và bảo mật lưu lượng mạng giữa NAS Synology của mình và các máy khách được kết nối, giúp bảo vệ chống lại các hình thức nghe trộm hoặc tấn công trung gian phổ biến.

Vào Control Panel > Network > DSM Settings. Tick vào hộp kiểm Automatically redirect HTTP connections to HTTPS . Bây giờ bạn sẽ kết nối với DSM qua HTTPS. Trong thanh địa chỉ, bạn sẽ nhận thấy rằng URL của thiết bị của bạn bắt đầu bằng “https: //” thay vì “http: //”. Lưu ý rằng số cổng mặc định cho https là 443, trong khi http theo mặc định sử dụng cổng 80. Nếu trước đó bạn đã có một số cài đặt tường lửa hoặc mạng nhất định, bạn có thể cần cập nhật chúng.

Nâng cao: Tùy chỉnh quy tắc Tường lửa

Tường lửa đóng vai trò như một rào cản ảo lọc lưu lượng mạng từ các nguồn bên ngoài theo một bộ quy tắc. Vào Control Panel > Security > Firewall để thiết lập các quy tắc tường lửa nhằm ngăn chặn đăng nhập trái phép và kiểm soát truy cập dịch vụ. Bạn có thể quyết định cho phép hoặc từ chối quyền truy cập vào các cổng mạng nhất định theo địa chỉ IP cụ thể, một cách hay để cho phép truy cập từ xa từ một văn phòng cụ thể hoặc chỉ cho phép truy cập vào một dịch vụ hoặc giao thức cụ thể.

Mẹo 4: HTTPS Part 2 – Let’s Encrypt

Chứng chỉ kỹ thuật số đóng một vai trò quan trọng trong việc kích hoạt HTTPS, nhưng thường đắt tiền và khó bảo trì, đặc biệt là đối với người dùng không phải là doanh nghiệp. DSM đã tích hợp hỗ trợ cho Let’s Encrypt, một tổ chức phát hành chứng chỉ tự động và miễn phí, để cho phép mọi người dễ dàng bảo mật kết nối của họ.

Nếu bạn đã có miền đã đăng ký hoặc đang sử dụng DDNS, hãy đi tới Control Panel > Security > Certificate . Click vào Add a new certificate > Get a certificate from Let’s Encrypt, đối với hầu hết người dùng, bạn nên chọn “Set as default certificate” *. Nhập tên miền của bạn để nhận chứng chỉ.

Khi bạn đã có chứng chỉ, hãy đảm bảo rằng tất cả lưu lượng truy cập của bạn đều đi qua HTTPS (như được liệt kê trong Mẹo số 3).

Mẹo 5: Tắt tài khoản default admin

Tên người dùng quản trị viên phổ biến có thể làm cho NAS Synology của bạn dễ bị tấn công bởi các bên độc hại sử dụng các cuộc tấn công bạo lực sử dụng kết hợp tên người dùng và mật khẩu chung. Tránh các tên phổ biến như “admin”, “administrator”, “root” * khi thiết lập NAS của bạn. Chúng tôi khuyên bạn cũng nên đặt một mật khẩu mạnh và duy nhất ngay sau khi thiết lập NAS Synology và vô hiệu hóa tài khoản quản trị mặc định của hệ thống.

Nếu bạn hiện đang đăng nhập bằng tài khoản người dùng “admin”, hãy chuyển đến Control Panel > User và tạo tài khoản quản trị mới. Sau đó đăng nhập bằng tài khoản mới và vô hiệu hóa “quản trị viên” mặc định của hệ thống.

Mẹo 6: Mật khẩu đủ mạnh 

Mật khẩu mạnh bảo vệ hệ thống của bạn khỏi bị truy cập trái phép. Tạo một mật khẩu phức tạp bao gồm các chữ cái viết hoa, chữ số và ký tự đặc biệt theo cách mà chỉ bạn mới có thể nhớ.

Sử dụng một mật khẩu chung cho nhiều tài khoản cũng là một lời mời đối với tin tặc. Nếu một tài khoản bị xâm nhập, tin tặc có thể dễ dàng kiểm soát các tài khoản khác của bạn. Điều này xảy ra thường xuyên đối với các trang web và các nhà cung cấp dịch vụ khác.

Nếu bạn quản lý NAS Synology xử lý xác thực *, bạn có thể tùy chỉnh chính sách mật khẩu người dùng để thắt chặt các yêu cầu bảo mật mật khẩu cho tất cả các tài khoản người dùng mới. Vào Control Panel > User > Advanced và đánh dấu vào hộp kiểm Apply password strength rules trong phần Cài đặt mật khẩu. Chính sách này sẽ được áp dụng cho bất kỳ người dùng nào tạo tài khoản mới.

Mẹo 7: Xác minh 2 bước

Nếu bạn muốn thêm một lớp bảo mật bổ sung cho tài khoản của mình, chúng tôi thực sự khuyên bạn nên bật xác minh 2 bước. Để thực thi xác minh 2 bước trên tài khoản DSM và Tài khoản Synology, bạn sẽ cần thiết bị di động và ứng dụng xác thực hỗ trợ giao thức Mật khẩu một lần dựa trên thời gian (TOTP). Việc đăng nhập sẽ yêu cầu cả thông tin đăng nhập người dùng của bạn và mã 6 chữ số có giới hạn thời gian được truy xuất từ ​​Microsoft Authenticator, Authy hoặc các ứng dụng xác thực khác để ngăn truy cập trái phép.

Đối với Tài khoản Synology, nếu bạn bị mất điện thoại với ứng dụng xác thực *, bạn có thể sử dụng mã dự phòng được cung cấp trong quá trình thiết lập xác thực 2 bước để đăng nhập. Điều quan trọng là phải giữ những mã này an toàn bằng cách tải xuống ở đâu đó hoặc in chúng ra. Hãy nhớ giữ những mã này an toàn nhưng có thể truy cập được.

Trên DSM, nếu bạn mất trình xác thực, bạn có thể đặt lại xác minh 2 bước làm phương án cuối cùng. Người dùng thuộc nhóm quản trị viên có thể đặt lại cấu hình.

Nếu tất cả tài khoản quản trị viên không thể truy cập được nữa, bạn sẽ cần đặt lại thông tin đăng nhập và cài đặt mạng trên thiết bị của mình. Giữ nút ĐẶT LẠI phần cứng trên NAS của bạn trong khoảng 4 giây (bạn sẽ nghe thấy tiếng bíp), sau đó khởi chạy Trợ lý Synology để định cấu hình lại thiết bị của bạn.

Mẹo 8: Thay đổi các cổng mặc định

Mặc dù việc thay đổi các cổng HTTP (5000) và HTTPS (5001) mặc định của DSM thành các cổng tùy chỉnh không thể ngăn chặn các cuộc tấn công có chủ đích, nhưng nó có thể ngăn chặn các mối đe dọa phổ biến chỉ tấn công các dịch vụ được xác định trước. Để thay đổi các cổng mặc định, đi tới Control Panel > Network > DSM Setting và tùy chỉnh số cổng. Bạn cũng nên thay đổi cổng SSH (22) mặc định nếu bạn thường xuyên sử dụng quyền truy cập shell.

Bạn cũng có thể triển khai proxy ngược để giảm các vectơ tấn công tiềm ẩn đến chỉ các dịch vụ web cụ thể để tăng cường bảo mật. Một proxy ngược hoạt động như một trung gian cho các giao tiếp giữa máy chủ nội bộ (thường) và các máy khách từ xa, ẩn thông tin nhất định về máy chủ, chẳng hạn như địa chỉ IP thực của nó.

Mẹo 9: Tắt SSH / telnet khi không sử dụng

Nếu bạn là người dùng thành thạo thường yêu cầu quyền truy cập shell, hãy nhớ tắt SSH / telnet khi không sử dụng. Vì quyền truy cập root được bật theo mặc định và SSH / telnet chỉ hỗ trợ đăng nhập từ tài khoản quản trị, tin tặc có thể cưỡng bức mật khẩu của bạn để truy cập trái phép vào hệ thống của bạn. Nếu bạn cần luôn có sẵn dịch vụ đầu cuối, chúng tôi khuyên bạn nên đặt mật khẩu mạnh và thay đổi số cổng SSH mặc định (22) để tăng cường bảo mật. Bạn cũng có thể xem xét việc tận dụng VPN và giới hạn quyền truy cập SSH chỉ đối với các IP cục bộ hoặc IP đáng tin cậy.

Mẹo 10: Mã hóa các thư mục chia sẻ

DSM hỗ trợ mã hóa AES-256 cho các thư mục chia sẻ của bạn để ngăn chặn việc trích xuất dữ liệu khỏi các mối đe dọa vật lý. Quản trị viên có thể mã hóa các thư mục chia sẻ mới được tạo và hiện có.

Để mã hóa các thư mục chia sẻ hiện có, hãy đi tới Control Panel > Shared Folder và Chỉnh sửa thư mục. Thiết lập khóa mã hóa trong tab Mã hóa và DSM sẽ bắt đầu mã hóa thư mục. Chúng tôi thực sự khuyên bạn nên lưu tệp khóa được tạo ở một vị trí an toàn, vì không thể khôi phục dữ liệu đã mã hóa nếu không có cụm mật khẩu được sử dụng hoặc tệp khóa.

Mẹo: Tính toàn vẹn của dữ liệu

Bảo mật dữ liệu được liên kết chặt chẽ với tính nhất quán và độ chính xác của dữ liệu của bạn – tính toàn vẹn của dữ liệu. Bảo mật dữ liệu là điều kiện tiên quyết để đảm bảo tính toàn vẹn của dữ liệu, vì truy cập trái phép có thể dẫn đến giả mạo dữ liệu hoặc mất dữ liệu, khiến dữ liệu quan trọng của bạn trở nên vô dụng.

Share this post

Author

Avatar of Vietcorp

Related Posts

Synology ra mắt sản phẩm mới Synology Deep Learning NVR DVA3219

Synology ra mắt thiết bị Deep Learning NVR DVA3219 ứng dụng AI phân tích video. Theo Synology, Deep Learning NVR DVA3219... read more

Synology Chat – Dịch vụ nhắn tin riêng tư, miễn phí và toàn diện

Synology Chat - Dịch vụ nhắn tin riêng tư, miễn phí và toàn diện Dịch vụ nhắn tin riêng tư, miễn... read more

Synology 10 Giới thiệu NAS Synology RS1219+

Xem thêm về sản phẩm tại: http://www.vietcorp.com/store/synology/ Follow kênh Youtube Synology Vietnam và Facebook Synology Vietnam read more

Synology – Các mô-đun memory Synology có độ tin cậy cao

Khả năng tương thích tạo nên sự khác biệt Trên thực tế, bộ nhớ hệ thống được sử dụng bởi mọi... read more

Synology – Tại sao lại chọn ổ NAS thay vì ổ cứng trên máy tính để bàn cho NAS ?

Một ổ NAS có đáng giá không hay chỉ là quảng cáo khác? Hãy cùng tìm hiểu. Khi nói đến việc... read more

Synology giới thiệu DiskStation DS1621xs +

Bellevue, WA– ngày 10 tháng 9 năm 2020 –Synology Inc. ra mắt DiskStation DS1621xs +, xác định lại các kỳ... read more

Synology – Synology sử dụng Collaboration Suite để tăng năng suất văn phòng

Bắt đầu từ năm 2016, chúng tôi đã nghiên cứu về các tiện ích cộng tác file sẽ giúp tăng... read more

Synology Drive – Cung cấp sức mạnh để làm việc từ xa

Các công ty trên toàn cầu đã buộc phải làm việc từ xa, cho dù họ đã sẵn sàng hay... read more

Synology ra mắt dịch vụ mới – Synology Replacement System (SRS)

Dịch vụ Synology Replacement System (SRS) đã được ra mắt tại Việt Nam vào 01/08. SRS là dịch vụ thay... read more

Synology – Xây dựng hệ thống phòng chống xâm nhập cho các doanh nghiệp nhỏ và gia đình

Công nghệ từng chỉ dành cho doanh nghiệp đã được đưa vào bộ định tuyến Wi-Fi như thế nào -... read more

You've just added this product to the cart: