在前幾篇的實測中,我們已經見證QNAP High Availability (HA) 如何透過雙機熱備援消弭實體單點故障,並利用 ZFS 不可變快照(Immutable Snapshots)成功抵禦勒索軟體的最高權限攻擊。
然而,未雨綢繆,我們必須面對一個終極的黑天鵝事件,如果機房發生火災、大規模長時間停電,或是遭遇毀滅性的實體破壞,導致本地端的 HA 雙機同時全毀,或者是駭客已經攻破公司自有的資料中心,檔案都被加密或刪除,那該怎麼辦?
在符合 ISO 27001 與數位營運韌性法案(DORA)的規範下,單一站點的高可用性(High Availability)並不能等同於災難復原(Disaster Recovery)。本篇我們將實作真正的兩地三中心概念縮影,為 QNAP HA 叢集打造一套結合 SD-WAN 與 Airgap+ 技術的 Local HA + Remote DR(本地高可用 + 異地冷備援) 黃金架構。
超越 3-2-1 原則的零信任異地備援架構藍圖
傳統的 3-2-1 備份原則在面對現代勒索軟體的橫向移動(Lateral Movement)與備份污染時已顯得脆弱。我們這次部署的目標是達成進階的 3-2-1-1-0 備份金律(3 份資料、2 種媒體、1 份異地、1 份離線/不可變、0 還原錯誤)。
實體架構規劃
本地生產端 (Local Site),兩台 QNAP TS-855X 組成 HA 叢集(CyberQ 本案例為 Cluster IP: 192.168.2.11),負責承載核心 ERP、虛擬機與高 I/O 資料庫,提供 RPO = 0 的本地容錯。
安全傳輸層 (Transport Layer),揚棄傳統設定繁瑣且效能容易受限的 Site-to-Site VPN,改用 QNAP QuWAN (SD-WAN) 建立端到端的加密通道。
異地災備端 (Remote DR Site),部署第三台 QNAP NAS(例如 TS-855X 或大容量儲存機種),置於不同縣市的分公司或雲端機房。這台設備平時不對外提供服務,僅作為冷備援(Cold Standby)或資料避風港。
核心傳輸武器是 ZFS SnapSync 與 HBS 3 的戰略搭配
在設定異地抄寫時,必須認知到本地端 HA 叢集對外是一個整體。所有的備份任務都必須綁定 HA 的 Cluster IP,如此一來,即使本地端發生 HA 主被動切換,異地備援任務也不會中斷。
QNAP 提供了兩種不同層級的異地同步武器,我們可依據資料的重要性與 RTO/RPO 需求進行混合搭配。
| 同步技術 | 運作層級 | RPO (復原點目標) | 適用場景與企業價值 |
| Real-time SnapSync | 區塊層級 (Block-level) | 近乎 0 (極低) | 核心資料庫與 VM 儲存池。 只傳送變動的資料區塊,效率極高。本地端寫入的瞬間,異地端即刻同步,適合無法容忍任何資料遺失的關鍵服務。 |
| HBS 3 (Hybrid Backup Sync) | 檔案層級 (File-level) | 數小時至 1 天 | 一般檔案伺服器與冷資料歸檔。 支援排程備份、版本控制與 QuDedup 資料去重複化技術。大幅節省異地傳輸頻寬與儲存空間,適合長期稽核保存。 |
Airgap+ 與異地防篡改的阻斷橫向攻擊實作
許多企業的異地備援之所以在勒索軟體攻擊中全軍覆沒,是因為本地端與異地端處於隨時連線的狀態。一旦本地端取得最高權限,惡意指令就能順著 VPN 通道將異地備份一併銷毀。
為了徹底阻斷這種風險,我們在 Remote DR 端導入 Airgap+ (邏輯實體隔離) 與進階權限控制。
Step 1 建立 SD-WAN 加密通道
在本地 HA 叢集與異地備援機上分別安裝 QuWAN 應用程式。透過雲端 Orchestrator 統一派發網路拓撲,NAS 之間會自動建立 IPsec 加密通道,無需在防火牆上穿洞 (Port Forwarding),大幅縮小外部攻擊面。
Step 2 實作 Airgap+ 邏輯隔離
所謂的 Airgap+,是讓異地備援 NAS 擁有自主拉取 (Pull)的控制權,而非由本地端推送 (Push)。
反向連接的實作,讓異地備援 NAS 的管理介面不對本地端開放。備份排程是由異地端的 HBS 3 主動發起,定時連線至本地 HA 叢集抓取快照資料。
動態網路連接埠,結合 QNAP 路由器 QuWAN ,搭配 QNAP 交換器,設定異地 NAS 只有在備份排程啟動的那個時段(例如凌晨 2:00 – 4:00)才會開啟 SD-WAN 路由,備份一結束,立即關閉網路介面,達成時間差的物理級斷線。
Step 3 異地 WORM 與不可變快照上鎖
將抓取到異地的備份檔案或快照,於資料夾中套用設定 ZFS 的 Immutable (不可變) 屬性。
這樣一來,我們的資安防護重點在於,即使本地 HA 叢集被駭客完全控制(甚至取得了 Cluster IP 的 admin 帳號),駭客也無法連線到處於斷線狀態的異地 NAS。就算駭客在備份時段駭入,異地 NAS 上的歷史備份也已受到 ZFS 底層 WORM 機制的保護,無法被覆寫或刪除。
以異地接管 (Site Failover) 為核心的災難降臨演練
當本地機房遭遇毀滅性打擊(Local HA 雙機皆下線)時,CyberQ 實例輔導的 IT 團隊復原劇本如下。
確認災情與隔離是最優先,確認本地端已無法挽救,將本地端的外部網路實體切斷,避免潛在的惡意程式持續外洩。
接著要異地喚醒與接管,登入異地 DR 站點的 NAS。若先前使用的是 SnapSync,管理員只需在介面上點擊中斷同步關聯,並將異地端的唯讀快照強制掛載 (Clone/Promote)為可讀寫的正式共用資料夾或 iSCSI LUN。
再來是服務重啟,將異地機房的備用虛擬化主機 (ESXi) 重新指向該台 NAS,開機啟動 VM。而如果你有使用 QNAP 的虛擬機軟體服務,也就是 Virtualization Station 虛擬化工作站,同樣能夠在異地端啟用備份過來的 VM 與備份資料,在這邊讓服務能夠重啟。
實作可看出,透過這套架構,原本可能需要數天才能從磁帶或雲端緩慢下載倒回的 TB 級資料,能在 15 分鐘內於異地重新上線,實現跨站點的業務連續性 (BCP)。
從防禦走向韌性,定義新世代的儲存標準
CyberQ 回顧這四個階段的實測與架構剖析,我們從單機的效能評測,一路走向了 QNAP HA 的無預警 Failover、MPIO 多重路徑的虛擬化無縫接軌、不可變快照的勒索防禦,最終完成了跨站點的 Airgap+ 異地冷備援架構。
CyberQ 認為,除了硬體與軟體功能的適當搭配組合,這樣的實作,可說是現代企業面對高度不確定風險時,必須具備的數位防護縱深。在合規要求日益嚴格的今天,能夠向稽核人員與管理階層呈現這種具備相當整合度,提供自動容錯、防篡改且支援異地快速接管的整套企業儲存架構,畢竟也是展現 IT 治理成熟度的優秀證明。
真正的資料安全,從來不是建立在不會發生災難的僥倖上,而是構築在當任何災難發生時,系統依然能泰然自若的底層韌性之中。
