Cybersecurity-maand: opslag zonder zorgen
Network attached storage, kortweg nas, is een gevoelig deel van elke organisatie. Het wordt gebruikt voor allerlei soorten data, dient vaak als opslag voor medewerkers en de gehele of delen van de organisatie heeft er toegang toe. Het is dus zaak om jouw nas goed te beveiligen, en zo je data en ook jouw medewerkers te beschermen.
We schetsten zonet het probleem eigenlijk al. Dat zoveel mensen toegang hebben tot een nas maakt meteen dat de security-risico's toenemen per persoon die toegang heeft tot de nas. De veiligheid van je data wordt gecompromitteerd door de gemakkelijke toegang die mensen nodig hebben tot de data. Zo is je data dus (enigszins) open toegankelijk voor iedereen die op de nas kan komen. Dat je data niet in verkeerde handen valt is slechts een deel van het probleem. Want wanneer er een virus of malware verspreid wordt via je nas heb je een groter probleem. En als je je nas ook nog eens gebruikt voor backups en mirroring van je data, dan groeit het probleem je simpelweg boven het hoofd om het nog op te kunnen lossen.
Beveiliging van je nas staat niet op zichzelf
Uiteraard begint goede beveiliging bij de nas zelf. Deze beveiliging is drieledig en leunt zowel op hardware en software als op good practices. Hoe en wat voor beveiligingsopties je implementeert hangt af van de rol van de nas binnen jouw organisatie. Gebruik je je nas bijvoorbeeld als backupserver, dan is het zaak om te zorgen dat je weet wie hier toegang toe heeft. En dan niet alleen fysiek via bijvoorbeeld een console, ook wie via het netwerk toegang heeft tot de management console en de backups op de server. Een mailserver vraagt weer om andere kennis. Zoals de accounts gekoppeld aan de server natuurlijk, maar ook hoe de beveiliging van jouw domein in elkaar steekt.
Begin bij het begin
Een goed begin is om te beginnen bij de bron, het administrator-account op de nas. Praktisch elke nas kent een standaard administratoraccount wat direct bij installatie vervangen moet worden door een uniek account met adminstratorrechten. Zodoende kunnen kwaad-willenden zichzelf niet zomaar meer verregaande rechten toekennen simpelweg door gebruik te maken van standaard admin-gegevens. Een volgende stap die eigenlijk standaard zou moeten zijn is tweestapsbeveiliging voor toegang tot de nas. Dit zorgt voor een extra laag beveiliging wat het risico op ongewenst bezoek verkleint. Bij het instellen van een account op de nas is dit over het algemeen in te stellen. Je kunt hiervoor een authenticator app gebruiken, zoals Google Authenticator voor Android, iOS en BlackBerry, of Authenticator voor Windows Phone. Je gebruikt dan naast je password een random gegenereerde code van zes cijfers waarmee je inlogt op de nas.
Veel nassen komen standaard met handige software die de security van jouw nas verhogen. Synology biedt bijvoorbeeld Security Advisor, een handige tool die de instellingen van jouw DiskStation-nas checkt en nagaat en rapporteert over ongewenste geïnstalleerde pakketten of niet-gecertificeerde pakketten die uitgevoerd worden op je nas. Praktisch elke fabrikant van nassen heeft wel software om schadelijke software tegen te houden of je nas hierop te scannen mocht deze aangetast zijn. Bovendien heeft ook elke fabrikant handige tutorials op hun website staan om manueel jouw nas beter te beveiligen. Het hoeft geen verrassing te zijn dat het aan te raden is deze tutorials nader te bekijken.
Encryptie
Encryptie zou redelijk standaard moeten zijn. Elke nas ondersteunt wel versleutelde verbindingen tussen nas en gebruiker. Het is aan te raden de nas zo in te stellen dat de verbinding een https-verbinding is. Hiermee zorg je ervoor dat de communicatie tussen jouw computer en je nas versleuteld is middels ssl/tls-encryptie. Hiervoor is het wel zaak dat je veiligheidscertificaten gebruikt door deze aan te (laten) maken en aan jouw nas te hangen, zodat je altijd weet veilig te communiceren met jouw nas, en jouw nas ook weet dat degene met wiens computer hij communiceert ook is wie hij of zij zegt dat hij of zij is. In Nederland bieden diverse organisaties ssl-certificaten aan binnen diverse prijsklassen, afhankelijk van branche en aantal domeinnamen.
Lees meer
