AirGap+

سلوشن AirGap+ مرز امن پشتیبان‌گیری در عصر تهدیدات سایبری

در عصری که حملات باج‌ افزاری، خرابکاری داخلی و خطاهای انسانی، همواره داده‌ ها را به مرز تهدید می‌کشاند، داشتن یک مکانیزم پشتیبان ‌گیری که از دسترس مهاجمان دور باشد، دیگر یک انتخاب نیست، بلکه ضرورت است.

AirGap+ راهکار جدید انقلابی QNAP است که ضمن حفظ سادگی کاربری، سطحی از جداسازی فیزیکی را برای دستگاه‌های پشتیبان گیر فراهم می‌کند.

یعنی بهینه سازی ایده‌ای رایج «بکاپ آفلاین» اما با پیاده‌سازی هوشمند، مقرون به صرفه و امن در شبکه های مدرن.

“Air gap” به معنای جداسازی کامل و فیزیکی یک دستگاه از شبکه است، به‌گونه‌ای که هیچ اتصال شبکه‌ای نتواند آن را هدف قرار دهد. در حالت کلاسیک، این کار با جدا کردن کابل شبکه یا استفاده از تجهیزات ذخیره‌سازی قابل حمل صورت می‌گیرد. اما در دنیای شبکه‌های NAS و داده‌محور، این روش‌ها محدودیت‌های عملی دارند: هزینه بالا، مدیریت سخت، زمان‌بر بودن.

نحوه عملکرد سلوشن ایرگپ پلاس

AirGap+ با استفاده از ترکیب ذخیره ساز های QNAP، روترهای QHora و یا سوییچ های کیونپ، این مفهوم را به سطح نرم‌افزاری آورده است:

دستگاه پشتیبان (Backup NAS) به طور پیش‌فرض از شبکه جداست.

اتصال بین NAS مبدا و NAS پشتیبان فقط در زمان اجرای عملیات بکاپ ‌گیری (Job) برقرار می‌شود و پس از اتمام کار، اتصال مجدد قطع می‌شود.

این اتصال موقت فقط توسط روتر های QHora-321 , QHora-322 و یا سوییچ های سری 7000 و 3000، مدیریت می‌شود که تنها پورت‌ها را در زمان‌های مجاز را باز می‌کنند.

ترکیب با فناوری‌های WORM/Immutability از فایل سیستم (QuTS hero/ZFS) تضمین می‌کند که داده ‌های پشتیبان پس از درج، قابل تغییر یا حذف نباشند.

به زبان ساده حتی اگر NAS اصلی دچار حمله شود، NAS پشتیبان اساسا جداست و مهاجم نمی‌تواند به آن دسترسی داشته باشد مگر در همان بازه محدود زمانی که روتر یا سوییچ مجاز کرده است.

معماری و انواع پیاده‌سازی

+AirGap در دو سناریو اصلی قابل اجراست:

1. +Standard AirGap

در این حالت، تنها دو دستگاه NAS (مبداء و پشتیبان)، روتر QHora یا سوییچ کیونپ دخیل هستند.
NAS پشتیبان یا همان بکاپ همواره در شبکه لوکال (Inside) روتر یا سوییچ قرار دارد و از شبکه پابلیک (Outside) ایزوله است.
اتصال ذخیره ساز به شبکه اصلی فقط هنگام انجام عملیات پشتیبان قایل انجام است.

در مرحله نخست این سناریو ارتباطی بین بخش خصوصی و عمومی وجود ندارد، اما به هنگام انجام عملیات بکاپ، این ارتباط مستقیم بین سرور اصلی و NAS پشتیبان برقرار خواهد شد.

2. +Advanced / Bridge-based AirGap

در این مدل، یک NAS واسطه (Bridge NAS) بین NAS مبدا و NAS پشتیبان قرار می‌گیرد.
NAS مبدا فقط با Bridge ارتباط برقرار می‌کند، و Bridge سپس داده‌ها را به NAS پشتیبان منتقل می‌کند. به این ترتیب، NAS پشتیبان همچنان از شبکه مبدا به صورت کامل جدا می‌ماند. در این مرحله دیتایی که روی NAS واسط قرار گرفته به صورت کامل بررسی شده و درصورتی که به باج افزار (Ransomware) و یا بدافزار (Malware) آلوده شده باشد به NAS پشتیبان منتقل نشده و استوریج های دیگر آلوده نمی‌شوند.
این روش باعث می‌شود مصرف منابع NAS مبدا کمتر شود و امنیت بیشتری نیز ایجاد گردد.

در مرحله نخست ارتباطی بین بخش خصوصی و عمومی وجود ندارد.

هنگام انجام عملیات بکاپ، اطلاعات به NAS واسط منتقل می‌شود.

پس از بررسی صحت و سلامت دیتای بکاپ گرفته شده، این اطلاعات به NAS بکاپ انتقال پیدا می‌کنند.

چرا +AirGap برای سازمان‌ها حیاتی و لازم است؟

کاهش سطح حمله (Attack Surface): چون NAS پشتیبان به‌طور موقت به شبکه متصل می‌شود، زمان و سطح امکان نفوذ را به‌طور چشمگیری کاهش می‌دهد.

تغییر ناپذیر بودن داده (Immutability): پس از نوشتن داده ‌ها، امکان تغییر یا حذف آن‌ ها وجود نداشته و از دستکاری عمدی یا غیر عمدی جلوگیری می‌شود.

بازیابی سریع داده: به واسطه پورت های 10Gbps, 25Gbps, 100Gbps و عملکرد بالای ذخیره ساز های کیونپ، زمان بازیابی کاهش یافته و دیتای سازمان سریع‌ تر به حالت عادی باز می‌گردد.

مدیریت ساده‌تر نسبت به Tape یا رسانه آفلاین (Offline Media): نیازی به خارج کردن فیزیکی کابل‌ها یا تجهیزات ‌بکاپ نیست و همه چیز خودکار و برنامه‌ریزی ‌شده است.

همگام با به روز ترین قوانین بکاپ ‌گیری (3-2-1-1-0): در مدل بکاپ گیری مدرن، یک نسخه پشتیبان آفلاین (آینده‌نگر)، در کنار نسخه آنلاین دیگر، استانداردی مهم است. +AirGap کمک می‌کند نسخه آفلاین بدون دخالت دستی پیاده شود

قانون 3-2-1-1-0

3: سه کپی از دیتای اصلی بگیرید.

2: این کپی ها را روی دو رسانه ذخیره سازی متفاوت قرار دهید.

1: یک کپی به صورت آفسایت (خارج از محل فیزیکی اصلی) داشت باشید و دو کپی دیگر به صورت آنسایت (در محل فیزیکی). این کپی آفسایت می‌تواند در بستر ابری و یا شعب دیگر نگهداری شود.

1: حداقل یک کپی در محیطی آفلاین قرار دهید که هیچ گونه دسترسی آنلاین به دیتا نباشد تا در زمان وقوع حادثه یا حملایت سایبری، دیتا سالم بماند.

0: هیچ خطایی در بکاپ ها وجود نداشته باشد. این امر به واسطه مانیتورینگ مداوم و رفع بلادرنگ خطا های پیش آمده تحقق میابد.

الزامات و ملاحظات فنی برای پیاده‌سازی

نسخه نرم‌افزار NAS باید از QTS/QuTS hero با Hybrid Backup Sync (HBS 3) نسخه 25 به بالا استفاده شود.

روتر از مدل های QHora-321 یا QHora-322 با نسخه QuRouter 2.4.2 به بالا باشد

سوییچ از مدل های QSW-M7308R-4X و یا QSW-M3224-24T, QSW-M3212R-8S4T, QSW-M3216R-8S8T, QSW-IM3216-8S8T با نسخه QSS Pro v4.3.0 به بالا باشد.

تعداد NAS ها حداقل دو NAS (مبداء + پشتیبان). در حالت پیشرفته، سه NAS (مبداً + واسطه + پشتیبان) مورد نیاز است.

پیکربندی شبکه تخصیص IP ثابت، تنظیم قوانین مسیریابی (static route) و تنظیمات دسترسی برای ارتباط محدود در زمان‌های پشتیبان‌ گیری

امنیت فعال ‌سازی mTLS در روتر یا سوییچ برای ارتباط ایمن و استفاده از WORM/Immutability در NAS ها

کارایی شبکه پشتیبانی از اتصالات پرسرعت (10/25/100GbE) برای کاهش زمان انتقال داده و بهبود عملکرد بازیابی

نکات اجرایی و توصیه‌های پیاده‌سازی

پیش از فعال‌ سازی، مطمئن شوید همه تنظیمات IP و مسیرها (routing) کاملاً دقیق هستند، زیرا اشتباه در آدرس‌دهی می‌تواند ارتباط بین NASها را مختل کند.

انتخاب سخت ‌افزار NAS و دیسک‌ها بر اساس حجم داده و مدت نگهداری (Retention) باید دقیق انجام شود، زیرا در برخی سازمان‌ ها حجم بکاپ ‌ها چند ترابایت در روز است.

فعال کردن Snapshot، نسخه ‌بندی (versioning) و برنامه‌ریزی بازبینی دوره ‌ای برای جلو گیری از ایجاد داده ناسالم توصیه می‌شود.

در حالت +Bridge AirGap، بار پردازشی عملیات پشتیبان از NAS مبدا برداشته می‌شود و به NAS واسطه منتقل می‌شود. این باعث کاهش فشار بر سرویس های مدار اصلی می‌شود.

مدل های سوییچ و روتر های سازگار با سناریو AirGap+

	Lineup	Link speed	Model name
Switch	7000 Series	100GbE	QSW-M7308R-4X
Switch	3000 Series	10GbE	QSW-M3224-24T, QSW-M3212R-8S4T, QSW-M3216R-8S8T, QSW-IM3216-8S8T
Router	QHora Series	10GbE	QHora-322
Router	QHora Series	2.5GbE	QHora-321