近年來,勒索病毒與資料損毀事件頻傳,企業與個人用戶對於備份與災難復原的意識逐漸提升。然而,備份不只是「複製一份資料」那麼簡單,更關鍵的是備份架構的策略與落實。其中,最廣為人知且實證有效的,就是經典的 3-2-1 備份原則。這在 ISO 27001 資安相關標準的範疇中也是必要措施,有助於企業在資安方面做好合規性。
身為 NAS 使用者與 IT/資安實務工作者,我將從實務角度分享如何在 NAS 架構中落實 3-2-1 策略,並搭配語法與實例協助大家部署更安全穩健的備份環境。
什麼是 3-2-1 備份原則?
3-2-1 備份原則的核心觀念非常簡單卻有效:
3 份資料副本(1 份原始資料 + 2 份備份)
2 種不同媒介(例如 NAS + 外接硬碟、或內部 RAID + 雲端)
1 份異地備份(例如放在另一台裝置、雲端或遠端機房)
這個策略的目標是防止單點失敗,也能因應天災、人為疏失、設備故障或網路攻擊所導致的資料損失。
用QNAP NAS 部署 3-2-1 備份架構
以下以一個中小企業常見架構為例:
1. 原始資料存放於主力 NAS
主力 NAS 提供共享資料夾給團隊成員,例如 /Share/Projects、/Share/Accounting。這是日常使用、修改的原始資料庫。
2. 本地備份(不同儲存媒介)
透過 QNAP 的 Hybrid Backup Sync(HBS)檔案備份同步中心,每日定時將資料備份至另一顆USB 外接硬碟或另一個 Volume。
HBS 備份任務設定範例:
在 QNAP NAS 上加裝一個 USB 外接硬碟,容量可以是 8TB 或更大更小都行。
來源路徑:/Share/Projects
目的地:/ExternalUSB1/Backup_Projects
排程:每日 02:00,自動版本控制(最多保留 7 天)
3. 異地備份(遠端與雲端)
可選擇以下幾種方案,視企業預算與資料敏感程度調整:
選項一:雲端備份
Google Drive、OneDrive、Backblaze B2、Amazon S3 、myQNAPcloud Storage 都可整合於 HBS 檔案備份同步中心。
由於現在雲端空間、雲端網路硬碟對應到的備份設定,QNAP HBS 軟體都幫你建好了,因此選擇和使用上的便利與彈性很高。
另外也建議要啟用加密與版本保留,如果你有機敏資料的話,要看公司政策是否可以讓你把備份上傳到雲端,建議加密比以策安全。
QNAP 自己也有推薦他們的雲端儲存空間服務 myQNAPcloud Storage ONE,費用上也算便宜,是大容量資料要進行雲端備份一份時,一個較經濟實惠的選擇。
選項二:另一台異地 NAS
若公司有二個辦公地點,比方說在台北與高雄各部署一台 NAS,使用 RTRR(Real-Time Remote Replication) 或 rsync。
rsync 任務範例語法:
rsync -avz -e ssh /Share/Projects/ admin@機器的網路IP:/Backup/NAS1/
需要設定防火牆規則,限定只有兩邊的 IP 可以互通,加強傳輸安全。
而透過 HBS 來實作另一台 NAS 的備份是很方便的,以下是相關的操作步驟,逐步設定帳號與異地同步的 NAS 設備 IP ,同步資料夾是哪一些,和同步的排程即可 :
上面這張圖特別說明一下是 QNAP 支援的 Airgap+功能可另外設定,這個設定打開後,對於 QNAP 設備間的傳輸會更安全,讓 QNAP 伺服器封鎖其他的連線,讓只有兩台都有支援 Airgap+ 的 QANP NAS 設備間採用更安全的傳輸環境。
上述是同步到也支援 QNAP 遠端 NAS RTRR 設備的同步情形。
如果是其他品牌的 NAS 或儲存設播,並沒有支援使用 RTRR 的話,可以使用 Rsync 伺服器的做法來實現不同品牌 NAS 與儲存設備間的同步備份資料作業:
進階策略與資安整合
加密備份:若包含敏感資訊,可以選擇資料備份加密。
版本控制:避免誤刪或遭勒索軟體加密時無法復原,一般會建議數個版本到10個版本,避免周末被入侵時,管理員疏漏未察覺時無法備份到比一周前更早沒有被攻擊汙染過後的資料。。
離線備份:定期拔除 USB 硬碟或冷備份至磁帶,以防 NAS 本身遭入侵。可參考 QNAP 與日本廠商合作的小型磁帶機解決方案:
備份不是「技術問題」,是「風險管理」
在現代 IT 環境中,資料等同於資產。3-2-1 原則雖然已經被提出多年,但依然是最具彈性與實用性的備份策略。配合 NAS 平台(如 QNAP、Synology)提供的工具與 CLI 腳本,簡易做出具備擴展性與安全性的備份環境,這對中小企業的日常營運、BCP營運維持計畫、災防演練來說很重要喔。
從「備份」轉向「韌性經營」,強化組織面對極端氣候造成的斷電意外、火警讓重要機房損失,以及被駭客攻擊後的恢復能力。
