高級なオール SSD NAS を使用している場合でも、古い PC をその場しのぎのバックアップ ソリューションに変えている場合でも、おそらくファイルを安全に保つために部分的にセットアップしたことがあるでしょう。しかし、私たちの多くは、バックアップを保護しようとするあまり、NAS 自体の保護という、より重要な側面を忘れてしまいます。
最も重要なバックアップの中には、ファイルとはほとんど関係がなく、システムレベルの設定にすべて関係するものもあります。
あなたの NAS は注目に値します
「システム データ」は NAS であり、ファイルはそこに存在します。
あなたの NAS にはおそらく (数万) のファイルが保存されています。映画、ドキュメント、アプリ、バックアップ、その他あらゆるもの。しかし、そのすべての基礎となるのは NAS 自体の頭脳です。ユーザーとグループ、共有定義、権限、ネットワーク設定、サービス構成 (SMB、NFS、iSCSI)、アプリ、スケジュール、証明書…さらに続けます。これらは、あまり興味や魅力に欠けるかもしれませんが、デバイスが機能し、バックアップが機能するための鍵となります。
上記のものをすべて失うと、NAS が困難な状況に陥り、それに伴いファイルも危険にさらされる可能性があります。ストレージ自体はまだ損傷していない可能性がありますが、共有や権限などで問題が発生する可能性があります。そして、それらすべてを一から再構築するのは頭の痛い作業です。
良いニュースは、システムのバックアップは非常に重要であると同時に、すぐに作成できることです。信じられないほど大きな影響を与えるため、あなたの努力の価値は非常に大きいです。
常にバックアップしておくべきものは何ですか?
基本から始めましょう。
3-2-1 バックアップ ルールについては誰もが知っていますが、デバイス全体をバックアップするにはどうすればよいでしょうか?
まず、コア構成をバックアップします。これは、ユーザーおよびグループのデータベースから SMB/NFS/iSCI 設定、さらに誰が何にアクセスできるかを決定する権限や ACL ルールに至るまで、上に挙げたすべてのことを意味します。
次のステップは、ネットワーク層とアクセス層をキャプチャすることです。やりすぎというものはありませんので、細心の注意を払ってください。静的 IP 設定、VLAN、DNS、VPN 構成、リモート アクセス ルール、および SSH 設定 (該当する場合) をバックアップします。
次に、生活の質に関するものに移ります。これは、失うのは痛いですが、たとえ失ってもすべてが台無しになるわけではありません。スケジュールされたバックアップとその他のジョブ、スナップショットとレプリケーション ルール、電子メールとプッシュ通知、カスタム スクリプトなど。それでも努力する価値はあるので、無視しないでください。
最後に、証明書、リバース プロキシ ルール、アプリ スタックなど、欠落しているときに初めて気づくものを忘れないでください。 Docker または VM を実行する場合は、クリーン インストール後は NAS が記憶しないため、構成ファイル、テンプレート、コンテナ設定、および何がどこで実行されているかの簡単なインベントリのコピーを保管してください。
あなたを永遠に締め出すもの
信頼しすぎると間違いなく問題になる可能性があります。
NAS バックアップにはもう 1 つ見落とされている側面があります。それは暗号化に関係しています。 NAS が何らかの意味でそれに依存している場合、ドライブが完全に正常であっても、すべてのデータがロックアウトされる可能性があります。暗号化されたバックアップは、常に最悪のシナリオを想定している場合にのみ有効です。
これはバックアップというよりも、無視すべきではない基本的な準備ステップです。すべての暗号化ファイルの基本から始めます。これらのフォルダーにアクセスできるさまざまな方法のリストを作成します。キー ファイル、パスフレーズ、認証アプリ、キーチェーンのエクスポートのいずれであっても、いつでもファイルのロックを解除できることを知りたいと考えています。
しかし、それだけではありません。 NAS の管理者側には、追跡する必要がある認証情報のエコシステム全体があります。管理者パスワード、サービス資格情報、API トークン、さらにはコンテナ環境変数などはすべて、セットアップ全体が意図したとおりに動作するようにするために役立ちます。
NAS を再構築することになった場合、構成のエクスポートによって多数の重要な設定と共有が復元される可能性がありますが、すべてが保存されるわけではありません。一部のプラットフォームでは、安全性を高めるために機密データをバックアップから意図的に除外しています。当然のことですが、何か問題が発生した場合に行き詰まってしまう可能性があるため、それらのバックアップは自分で作成してください。
利便性を追求すると、場合によっては裏目に出る可能性があります。暗号化されたフォルダーを自動マウントし、資格情報をアプリに直接保存し、すべてのログインとパスワードを NAS に記憶させるが、それらを他の場所には保存しない場合は、トラブルが発生します。
安全な NAS への 3 つの鍵
自動化、安全性、テスト。
基本的に、実際の NAS のバックアップには、ファイルの場合と同じルーチンと考え方を適用する必要があります。すでに行っていることに余分な作業が追加されることはありませんし、追加されたとしても、それは報われる可能性があります。
可能な限り自動化します。定期的な構成エクスポートをスケジュールしたり、意味のある変更を加えた直後に手動エクスポートを実行したりできます。古いバージョンもいくつか保管しておいてください。何かが壊れた場合、それらのバージョンがあればあなたを救い、NAS を問題が起こる前の状態に戻すことができます。
これらのシステムレベルのバックアップを実行するための正確なパスは、NAS によって異なります。 Synology DSM では、コントロール パネルのバックアップ/エクスポート領域を探しています (そこにいる間に暗号化キーをエクスポートします)。 QNAP QTS では、コントロール パネルのバックアップ設定を使用して、設定をダウンロードし、スケジュールに従ってバックアップすることができます。 TrueNAS を実行している場合は、システム設定から構成をダウンロードできます (ZFS 暗号化を使用している場合は、データセット キーをエクスポートすることもできます)。
次に安全性です。より安全かつ確実に行うために、NAS から同じネットワークに接続されていない別のデバイス全体に構成エクスポートを保存することがよくあります。暗号化キーや回復マテリアルが、いつか NAS を苦しめる可能性のあるランサムウェア攻撃やランダムなハードウェア障害によって攻撃される危険を冒したくないでしょう。
そして最後は?実際にすべてテストしてみます。確かに退屈ですが、NAS のセキュリティに関しては推測したくありません。すべての共有と権限をそのままにして、構成全体を新しいインストールにインポートできることを確認するためだけであっても、時々簡単なドライランを実行してください。