هیچ محصولی در سبد خرید نیست
Airgap+ در QNAP چیست؟ بکاپ ایزوله با HBS 3 برای مقابله با باجافزار
9 دقیقه مطالعه
آخرین بروزرسانی: 7 خرداد 1405
Airgap+ در QNAP چیست؟ بکاپ ایزوله با HBS 3 برای مقابله با باجافزار
در دنیای امروز، داشتن بکاپ دیگر کافی نیست. بسیاری از شرکتها نسخه پشتیبان دارند، اما همان بکاپ همیشه به شبکه متصل است و دقیقاً هنگام حمله باجافزار، همراه با فایلهای اصلی رمزگذاری، حذف یا غیرقابل استفاده میشود.
اینجاست که مفهوم Air Gap Backup اهمیت پیدا میکند؛ یعنی نگهداری نسخهای از اطلاعات که در زمان عادی از شبکه جدا باشد و فقط هنگام عملیات بکاپ، آن هم بهصورت کنترلشده و زمانبندیشده، در دسترس قرار بگیرد.
QNAP با معرفی قابلیت Airgap+ در کنار HBS 3 تلاش کرده بکاپ ایزوله را بدون قطع فیزیکی کابل شبکه، بدون دخالت دستی و با مدیریت هوشمند ارتباط بین NASها پیادهسازی کند. این قابلیت مخصوصاً برای شرکتهایی مهم است که نگران ransomware، حذف بکاپها، نفوذ به حساب ادمین یا از دست رفتن نسخههای پشتیبان هستند.
اگر هنوز نمیدانید چه NASای برای بکاپ، Snapshot، فضای ابری، QuTS hero یا امنیت سازمانی مناسبتر است، پیشنهاد میکنیم ابتدا راهنمای جامع خرید NAS QNAP برای شرکتها را مطالعه کنید.
Airgap+ در QNAP چیست؟
Airgap+ یک قابلیت امنیتی در QNAP است که به کمک Hybrid Backup Sync یا HBS 3 و تجهیزات شبکه سازگار، باعث میشود NAS بکاپ فقط در زمان مشخصشده برای عملیات Backup در دسترس باشد و پس از پایان کار، ارتباط آن با شبکه محدود یا قطع شود.
در روش سنتی، برای داشتن بکاپ آفلاین باید کابل شبکه NAS مقصد را بهصورت دستی جدا میکردید. اما Airgap+ این فرآیند را هوشمندتر میکند. بهجای تکیه بر نیروی انسانی، ارتباط بین NAS اصلی و NAS بکاپ فقط در زمان اجرای Job برقرار میشود و بعد از پایان عملیات، مقصد بکاپ دوباره از دسترس خارج میشود.
هدف اصلی Airgap+ این است که بکاپ همیشه در معرض شبکه نباشد. چون اگر مقصد بکاپ همیشه آنلاین باشد، مهاجم هم در صورت نفوذ به شبکه فرصت بیشتری برای رسیدن به نسخههای پشتیبان خواهد داشت.
مهمترین اهداف Airgap+:
- کاهش سطح دسترسی مهاجم به NAS بکاپ
- محافظت بهتر از نسخههای Backup در برابر ransomware
- حذف وابستگی به قطع و وصل دستی کابل شبکه
- ایجاد بکاپ زمانبندیشده و ایزوله
- تقویت استراتژی ۳-۲-۱-۱-۰ در QNAP
- افزایش امنیت بکاپهای سازمانی بدون پیچیدگی زیاد
چرا بکاپ متصل به شبکه خطرناک است؟
در بسیاری از حملات ransomware، مهاجم بعد از نفوذ به شبکه فقط فایلهای اصلی را رمزگذاری نمیکند. هدف بعدی معمولاً مسیرهای بکاپ، NAS، Shared Folderها، Snapshotها و حسابهای مدیریتی است. چون اگر بکاپ سالم باقی بماند، قربانی مجبور به پرداخت باج نمیشود.
اگر نسخه پشتیبان همیشه روی شبکه در دسترس باشد، مهاجم ممکن است بتواند:
- بکاپها را حذف کند
- فایلهای بکاپ را رمزگذاری کند
- Snapshotها را پاک کند
- Retention Policy را تغییر دهد
- دسترسی ادمین را دستکاری کند
- کل ساختار Recovery را از بین ببرد
به همین دلیل، یکی از اصول مهم امنیت اطلاعات این است که حداقل یک نسخه از بکاپ همیشه در معرض شبکه نباشد. Airgap+ دقیقاً برای کاهش همین ریسک طراحی شده است.
واقعیت تلخ: بکاپی که همیشه آنلاین و قابل حذف است، در برابر باجافزار بکاپ مطمئنی نیست.
ارتباط Airgap+ با استراتژی ۳-۲-۱-۱-۰
یکی از پایههای اصلی استراتژی حرفهای بکاپ 3-2-1-1-0 داشتن یک نسخه آفلاین، ایزوله یا Immutable است. QNAP نیز در محتوای رسمی HBS و راهکارهای بکاپ خود روی همین مدل چندلایه برای محافظت در برابر ransomware تأکید دارد.
| عدد | توضیح | اجرای پیشنهادی با QNAP |
|---|---|---|
| 3 | سه نسخه از دادهها | نسخه اصلی + بکاپ روی NAS دوم + نسخه Off-site |
| 2 | دو نوع رسانه متفاوت | NAS، هارد اکسترنال، Cloud یا Object Storage |
| 1 | یک نسخه خارج از محل اصلی | NAS دوم در شعبه دیگر یا Cloud |
| 1 | یک نسخه Air-gapped یا Immutable | Airgap+ یا WORM Folder در QuTS hero |
| 0 | صفر خطا در تست بازیابی | تست دورهای Restore از HBS و Snapshot |
Airgap+ دقیقاً برای تقویت همان بخش «نسخه ایزوله» طراحی شده است. البته برای معماری کامل، بهتر است Airgap+ در کنار Snapshot، HBS 3، WORM Folder و تست Restore استفاده شود.
اگر هنوز این مدل را کامل نمیشناسید، مقاله راهنمای نهایی پشتیبانگیری ۳-۲-۱-۱-۰ در QNAP را مطالعه کنید.
مشکل روش سنتی؛ جدا کردن دستی کابل شبکه
در گذشته، برای داشتن بکاپ آفلاین معمولاً کابل شبکه NAS مقصد جدا میشد. این روش در ظاهر امن بود، اما در عمل برای بسیاری از شرکتها پایدار و قابل اتکا نیست.
مشکلات روش سنتی:
- وابستگی کامل به نیروی انسانی
- فراموش شدن اتصال یا قطع ارتباط
- نبود زمانبندی هوشمند
- نبود گزارشگیری دقیق
- غیرعملی بودن در شرکتهای بزرگ یا چندشعبهای
- احتمال خطای انسانی بالا
- ریسک ناقص ماندن Jobهای بکاپ
Airgap+ آمده تا همین مشکل را بهشکل مهندسیشده حل کند؛ یعنی ارتباط بکاپ بهجای قطع و وصل دستی، با زمانبندی و کنترل شبکه انجام شود.
Airgap+ چطور کار میکند؟
در این معماری، عملیات Backup توسط HBS 3 زمانبندی میشود. سپس Airgap+ فقط در بازه موردنیاز ارتباط را فعال میکند تا NAS اصلی بتواند بکاپ را به مقصد ارسال کند.
بعد از پایان عملیات، دسترسی شبکهای به مقصد بکاپ محدود یا قطع میشود. در مدلهای مبتنی بر روتر و شبکه ایزوله، این کار میتواند از طریق کنترل Route، Gateway، VLAN و سیاستهای دسترسی انجام شود.
در عمل، Airgap+ باعث میشود:
- NAS مقصد فقط هنگام اجرای Job در دسترس باشد
- بعد از پایان بکاپ، مسیر ارتباطی بسته شود
- سطح حمله برای مهاجم کاهش پیدا کند
- احتمال دسترسی ransomware به نسخه بکاپ کمتر شود
- بکاپ آفلاین بهشکل عملیاتیتر و قابل زمانبندی اجرا شود
نکته مهم: Airgap+ بهتنهایی به معنی غیرقابلحذف بودن داده نیست. برای این بخش باید از Immutable Backup، WORM Folder یا Object Lock هم استفاده شود.
پیشنیازهای رسمی Airgap+ در QNAP
برای اینکه Airgap+ درست پیادهسازی شود، باید پیشنیازهای نرمافزاری و سختافزاری آن رعایت شود. طبق آموزش رسمی QNAP برای راهاندازی Airgap+، معمولاً به HBS 3 نسخه 25 یا بالاتر، سیستمعامل QTS یا QuTS hero و تجهیزات شبکه سازگار مانند روترهای QHora نیاز است.
| بخش | نیاز پیشنهادی | توضیح |
|---|---|---|
| نرمافزار بکاپ | HBS 3 نسخه 25 یا بالاتر | برای اجرای Jobهای بکاپ و فعالسازی Airgap+ |
| سیستمعامل NAS | QTS یا QuTS hero | بسته به مدل NAS و سناریوی بکاپ |
| تجهیزات شبکه | QHora-321 یا QHora-322 | برای کنترل ارتباط ایزوله و زمانبندیشده |
| سیستم روتر | QuRouter نسخه 2.4.2 یا بالاتر | برای پشتیبانی از قابلیتهای موردنیاز Airgap+ |
| تعداد NAS | حداقل دو NAS برای Standard Airgap+ | یک NAS اصلی و یک NAS مقصد بکاپ |
| سناریوی پیشرفته | سه NAS برای Advanced Airgap+ | NAS اصلی، Bridge NAS و NAS بکاپ نهایی |
این بخش را جدی بگیر: Airgap+ یک گزینه ساده داخل یک منو نیست که روی هر ساختاری بدون فکر فعال شود. باید NAS، شبکه، روتر، نسخه HBS و مقصد بکاپ درست انتخاب شوند.
HBS 3 چه نقشی در Airgap+ دارد؟
HBS 3 موتور اصلی Backup در QNAP است. این ابزار برای Backup، Restore، Sync، Replication، Cloud Backup و Versioning استفاده میشود. اما در سناریوی Airgap+، مهمترین نقش HBS 3 این است که عملیات بکاپ را زمانبندی و اجرا کند، در حالی که Airgap+ دسترسی شبکهای به مقصد بکاپ را کنترل میکند.
کاربردهای HBS 3 در این ساختار:
- ساخت Backup Job زمانبندیشده
- انتقال داده از NAS اصلی به NAS بکاپ
- مدیریت نسخهها و Retention
- ارسال بکاپ به مقصدهای محلی، راه دور یا ابری
- همکاری با Airgap+ برای محدود کردن زمان دسترسی به مقصد بکاپ
- امکان ترکیب با WORM Folder برای بکاپ غیرقابلتغییر
اگر HBS 3 قلب عملیات بکاپ باشد، Airgap+ نقش محافظ شبکهای مقصد بکاپ را بازی میکند.
ترکیب Airgap+ با WORM Folder و Immutable Backup
Airgap+ و Immutable Backup دو مفهوم متفاوتاند، اما وقتی کنار هم قرار بگیرند، ساختار بسیار قویتری برای مقابله با باجافزار میسازند.
- Airgap+: دسترسی شبکهای به مقصد بکاپ را محدود میکند.
- Immutable Backup: جلوی تغییر، حذف یا دستکاری نسخه بکاپ را در دوره نگهداری میگیرد.
- WORM Folder: در QuTS hero میتواند مقصدی باشد که فایلهای بکاپ بعد از ثبت، قابل تغییر یا حذف نباشند.
طبق راهکارهای رسمی QNAP، میتوان با QuTS hero، WORM Folder و HBS، بکاپ را به یک فولدر محافظتشده ارسال کرد و با Retention Policy، از حذف یا تغییر دادهها در دوره مشخص جلوگیری کرد.
اما یک نکته مهم وجود دارد: در سناریوی WORM، QNAP از Backup به WORM Folder پشتیبانی میکند، نه Sync به WORM Folder. بنابراین اگر هدف شما بکاپ امن و غیرقابلتغییر است، Job باید بهعنوان Backup طراحی شود، نه Sync معمولی.
برای توضیح کاملتر، مقاله Immutable Backup در QNAP؛ محافظت از بکاپها با WORM Folder و HBS 3 را بخوانید.
معماری پیشنهادی QNAP برای Airgap+
برای ساختارهای حرفهایتر، QNAP معماری چندمرحلهای را پیشنهاد میکند تا NAS بکاپ نهایی همیشه مستقیماً در معرض NAS اصلی یا شبکه کاری نباشد.
- NAS اصلی: محل ذخیره دادههای کاری، فایلسرور، سرویسها و اطلاعات کاربران
- Bridge NAS: واسط کنترلشده بین NAS اصلی و NAS بکاپ نهایی
- NAS بکاپ نهایی: مخزن بکاپ ایزوله یا مقصد نهایی نسخههای پشتیبان
در این ساختار، همه بخشها همیشه همزمان در دسترس نیستند. همین موضوع ریسک حمله را کاهش میدهد و باعث میشود مهاجم برای رسیدن به نسخه نهایی بکاپ با مانع بیشتری روبهرو شود.
برای شرکتهای کوچکتر، معماری سادهتر با دو NAS هم میتواند قابل بررسی باشد؛ اما برای سازمانها، دادههای حساس و سناریوهای جدی ransomware، معماری سهلایه حرفهایتر است.
QuTS hero و Snapshot چه کمکی به Airgap+ میکنند؟
Airgap+ سطح دسترسی شبکهای به مقصد بکاپ را محدود میکند، اما برای محافظت کامل از داده، بهتر است آن را با قابلیتهای ذخیرهسازی حرفهای QNAP ترکیب کنید؛ مخصوصاً QuTS hero و Snapshot.
اگر از QuTS hero استفاده کنید، علاوه بر Airgap+ امکانات پیشرفتهتری در اختیار خواهید داشت:
- ZFS Data Integrity
- Snapshot پیشرفتهتر
- Copy-on-Write
- WORM Folder برای Immutable Backup
- محافظت بهتر در برابر خرابی داده
- سناریوهای حرفهایتر برای بکاپ و Disaster Recovery
Snapshot هم برای بازیابی سریع بعد از حذف فایل، خرابی داده یا حمله ransomware کاربرد دارد. اما Snapshot بهتنهایی جای بکاپ ایزوله را نمیگیرد. بهترین ساختار این است که Snapshot، HBS 3، Airgap+، WORM و تست Restore کنار هم استفاده شوند.
برای آشنایی کاملتر، این دو مقاله را ببینید:
- همه چیز درباره QuTS hero و معماری ZFS در QNAP
- Snapshot در QNAP چیست و چگونه از اطلاعات در برابر باجافزار محافظت میکند؟
QHora؛ روتر امنیتی مخصوص سناریوهای Airgap+
یکی از تجهیزات مهم در سناریوهای رسمی Airgap+، روترهای QHora هستند. QNAP در آموزش رسمی Airgap+ به مدلهایی مثل QHora-321 و QHora-322 اشاره کرده که با QuRouter میتوانند در کنترل دسترسی شبکه و ایجاد ارتباط زمانبندیشده نقش داشته باشند.
QHora میتواند برای موارد زیر استفاده شود:
- ایجاد شبکه ایزوله برای بکاپ
- کنترل زمان دسترسی NAS بکاپ
- مدیریت Route و Gateway
- کاهش سطح دسترسی مستقیم به مقصد بکاپ
- ساخت معماری بکاپ جدا از شبکه کاری کاربران
رک بگویم: اگر فقط یک NAS خریدهاید و آن را داخل همان شبکه کاربران گذاشتهاید، Airgap+ واقعی ندارید. برای Airgap+ باید طراحی شبکه، مقصد بکاپ و زمان دسترسی دقیق مشخص شود.
چه سازمانهایی بیشتر به Airgap+ نیاز دارند؟
Airgap+ برای هر شرکتی که اطلاعات حیاتی دارد ارزشمند است، اما برای بعضی کسبوکارها تقریباً ضروریتر است؛ چون از دست رفتن داده میتواند باعث توقف عملیات، خسارت مالی یا بحران حقوقی شود.
| نوع کسبوکار | دلیل نیاز به Airgap+ |
|---|---|
| شرکتهای مالی و حسابداری | حفاظت از اسناد مالی، فایلهای حسابداری و اطلاعات مشتریان |
| مراکز درمانی | نگهداری امن اطلاعات بیماران و فایلهای حساس |
| دفاتر مهندسی | محافظت از پروژههای AutoCAD، Revit، نقشهها و رندرها |
| شرکتهای تولیدی | جلوگیری از توقف تولید در صورت حمله سایبری یا از دست رفتن فایلها |
| سازمانهای دارای دوربین مداربسته | حفاظت از بکاپ تصاویر نظارتی و آرشیوهای حساس |
| شرکتهای IT و دیتاسنتر | ایجاد لایه DR و بکاپ ایزوله برای سرویسهای حیاتی |
مقایسه Airgap+ با روش سنتی قطع کابل
| ویژگی | روش سنتی قطع کابل | Airgap+ در QNAP |
|---|---|---|
| اتصال و قطع خودکار | خیر | بله، بر اساس Job و زمانبندی |
| نیاز به دخالت انسانی | زیاد | کمتر |
| قابل زمانبندی | خیر | بله |
| گزارشپذیری و کنترل | ضعیف | بهتر و ساختاریافتهتر |
| مناسب سازمانهای بزرگ | معمولاً نه | بله، در صورت طراحی درست |
| کاهش خطای انسانی | ضعیف | بالا |
| ترکیب با WORM و Immutable Backup | محدود و دستی | قابل طراحی در معماری QNAP |
Airgap+، Immutable Backup و Snapshot چه تفاوتی دارند؟
یکی از اشتباهات رایج این است که Airgap+، Snapshot و Immutable Backup را یکی بدانیم. این سه مکمل هم هستند، اما نقششان فرق دارد.
| قابلیت | نقش اصلی | محدودیت |
|---|---|---|
| Snapshot | بازگشت سریع به وضعیت قبل از حذف یا آلودگی | اگر فقط روی NAS اصلی باشد، در خرابی کامل NAS کافی نیست |
| Immutable Backup / WORM | جلوگیری از حذف یا تغییر نسخه بکاپ در دوره نگهداری | بهتنهایی ارتباط شبکه را قطع نمیکند |
| Airgap+ | محدود کردن دسترسی شبکهای به مقصد بکاپ | بهتنهایی داده را غیرقابلتغییر نمیکند |
مدل حرفهای این است که این سه لایه را کنار هم داشته باشید: Snapshot برای بازیابی سریع، Immutable Backup برای قفل کردن نسخه بکاپ، و Airgap+ برای کاهش سطح دسترسی شبکهای به مقصد بکاپ.
سناریوی پیشنهادی برای پیادهسازی Airgap+ در شرکت
برای یک شرکت متوسط که فایلسرور، اسناد مالی، فایلهای پروژه و بکاپ روزانه دارد، یک معماری پیشنهادی میتواند اینطور باشد:
- NAS اصلی: محل فایلهای کاری، پروژهها و اشتراکگذاری روزانه
- Snapshot روی NAS اصلی: برای بازیابی سریع فایلهای حذفشده یا رمزگذاریشده
- HBS 3 Backup Job: برای انتقال نسخه بکاپ به NAS مقصد
- Airgap+: برای فعالسازی ارتباط فقط هنگام بکاپ و قطع دسترسی بعد از اتمام Job
- WORM Folder روی QuTS hero: برای نگهداری نسخه غیرقابلتغییر در دوره مشخص
- Off-site یا Cloud: برای پوشش خرابی محل اصلی یا حادثه فیزیکی
- تست Restore: برای اطمینان از اینکه بکاپها واقعاً قابل بازیابی هستند
این ساختار دقیقاً به مدل ۳-۲-۱-۱-۰ در QNAP نزدیک میشود و نسبت به بکاپ ساده روی همان شبکه، چند لایه امنیتی اضافه دارد.
اشتباهات رایج هنگام اجرای Airgap+
- تصور اینکه Airgap+ بهتنهایی جای بکاپ کامل را میگیرد
- استفاده از Sync بهجای Backup برای دادههای حساس
- نداشتن WORM یا Immutable Retention برای نسخههای حیاتی
- قرار دادن NAS بکاپ در همان شبکه عمومی کاربران
- نداشتن Snapshot روی NAS اصلی
- نداشتن نسخه Off-site یا Cloud
- آپدیت نکردن HBS 3، QTS، QuTS hero یا QuRouter
- تست نکردن Restore بعد از راهاندازی
- نداشتن مانیتورینگ برای موفقیت یا شکست Jobهای بکاپ
توصیه عملی: اگر Airgap+ را فعال کردید ولی Restore را تست نکردید، هنوز معماری بکاپ شما کامل نیست.
سوالات متداول درباره Airgap+ در QNAP
آیا Airgap+ همان Immutable Backup است؟
خیر. Immutable Backup روی غیرقابلتغییر بودن داده تمرکز دارد، اما Airgap+ روی محدود کردن دسترسی شبکهای به مقصد بکاپ تمرکز میکند. این دو میتوانند و بهتر است مکمل هم باشند.
آیا برای Airgap+ باید کابل شبکه جدا شود؟
خیر. هدف Airgap+ این است که نیاز به قطع دستی کابل شبکه را حذف کند و ارتباط شبکهای بهصورت کنترلشده و زمانبندیشده مدیریت شود.
آیا Airgap+ برای شرکتهای کوچک هم مناسب است؟
بله، مخصوصاً برای کسبوکارهایی که اطلاعات حیاتی دارند و نمیخواهند قربانی ransomware شوند. البته در شرکت کوچک ممکن است معماری سادهتر با دو NAS کافی باشد.
آیا Airgap+ جایگزین Snapshot میشود؟
خیر. Snapshot، Backup و Airgap+ هرکدام نقش متفاوتی دارند. Snapshot برای بازیابی سریع، Backup برای نسخه مستقل، و Airgap+ برای ایزولهسازی مقصد بکاپ استفاده میشود.
آیا Airgap+ جلوی باجافزار را کامل میگیرد؟
هیچ راهکاری بهتنهایی جلوی همه حملات را نمیگیرد. Airgap+ سطح دسترسی به بکاپ را کاهش میدهد، اما باید در کنار Snapshot، HBS 3، WORM Folder، Immutable Backup، دسترسی محدود کاربران و تست Restore استفاده شود.
برای Airgap+ به چند NAS نیاز است؟
برای سناریوی Standard Airgap+ معمولاً حداقل دو NAS لازم است: یک NAS اصلی و یک NAS مقصد بکاپ. برای معماری پیشرفتهتر، میتوان از سه NAS شامل NAS اصلی، Bridge NAS و NAS بکاپ نهایی استفاده کرد.
آیا Airgap+ با WORM Folder بهتر میشود؟
بله. Airgap+ دسترسی شبکهای را محدود میکند و WORM Folder جلوی تغییر یا حذف داده را در دوره نگهداری میگیرد. ترکیب این دو برای مقابله با ransomware بسیار قویتر از بکاپ معمولی است.
جمعبندی؛ آیا Airgap+ واقعاً ارزش دارد؟
اگر فقط یک NAS متصل به شبکه دارید و تصور میکنید بکاپهایتان امن هستند، احتمالاً هنوز برای حملات امروزی آماده نیستید. بکاپی که همیشه آنلاین، قابل حذف و بدون تست Restore است، در بحران واقعی میتواند شکست بخورد.
Airgap+ در QNAP تلاش میکند همان چیزی را فراهم کند که سازمانها واقعاً نیاز دارند: بکاپ ایزوله، ارتباط زمانبندیشده، کاهش دسترسی دائمی به مقصد بکاپ و مقاومت بیشتر در برابر باجافزار.
اما Airgap+ را نباید تنها لایه امنیتی دانست. بهترین نتیجه زمانی بهدست میآید که Airgap+ در کنار HBS 3، Snapshot، Snapshot Replica، QuTS hero، WORM Folder، Immutable Backup، بکاپ Off-site و تست دورهای Restore استفاده شود.
برای مشاهده مدلهای مختلف NAS وارد صفحه خرید QNAP شوید یا برای مشاوره تخصصی طراحی ساختار Backup سازمانی با شماره 02191097707 تماس بگیرید.






دیدگاه ها برای این نوشته بسته می باشد