隨著網路威脅環境日益複雜,網路儲存設備大廠威聯通科技(QNAP)日前釋出了該公司主力 NAS 產品用作業系統 QuTS hero h6.0.0.3500(組建編號 20260520)Release Candidate 2 版本,算是近來該公司重構軟體產品線後的重大系統架構改進。
原因是除了導入了硬體層級的資安防護與架構最佳化,有幾個政策的實施也引發了討論,CyberQ 認為,從資訊安全合規性與企業風險管理的角度來看,這個版本儘管還是標示為最終測試版本的 Release Candidate 2 候選測試版2,離 QuTS hero 6 正式版發行應該不遠了,但對於已經廣泛使用 QuTS hero h6.x 系列的用戶來說,持續更新升級是一條必經的道路,優點是大幅提升了對抗惡意程式的韌性,另一個影響就是這個版本會改變維運工程師的測試與部署方針。
新版韌體部署後不能再降版
本次更新中最核心的政策調整,在於威聯通官方明確指出,為了確保系統整體的資訊安全,從 h6.0.0 版本開始,系統將完全禁止韌體降版。所以當我們將機房內生產環境的 NAS 升級到此版本,就再也沒有走回頭路的機會。這種類似於部分國際資訊大廠在伺服器端的設計,以及許多行動裝置作業系統的防止回滾機制。
但是呢,這其實是預選測試二版,也就是說還在 RC2 ,已經是很接近正式發表的版本了,不能降版這件事情其實還好,就是為了更新的資安環境,以及縮小攻擊面、系統更穩定等需求。
在企業儲存技術領域其實需要留意的是,如果新韌體在特定的企業內部複雜網路或專屬硬體上出現未知錯誤,管理員將無法透過簡單的降版來立即恢復服務,也因此在部署前,必須先做一些既有服務的檢查,看是否會用到下面我們提到的部分軟體,再來進行新版韌體的更新。
縮小攻擊面,終止過時硬體卡支援與移除舊軟體環境
除了禁止降版這一項重大變革之外,新系統也針對硬體與應用程式生態系進行了調整。在硬體卡擴充方面,包含 Mustang 運算卡系列以及早期的 QM2 部分擴充卡 (QM2-2P10G1T、QM2-2S10G1T 這二張採用 Tehuti TN9710P 晶片的 m.2 與 10GbE 網路擴充卡,該晶片原廠已經於 2020 年結束營運,後續驅動程式維護不易,確實可以停用支援),都已經在 QuTS hero h6.0.0.3500 此版本正式終止支援。
而在軟體層面,影響最深遠的莫過於移除原生 Python 與 Python3 執行環境(需要用到的話,得改用容器工作站來跑內建的 docker ,實作上也會比較安全些),實務上,也比較少用戶會在 QuTS 6.x 平台用終端機去跑自己的 Python 程式,儘量是透過容器比較好,因為這樣版本可以到更新的版本,且套件相依性會比較穩定。同時,QNAP 也移除如了第三方備份工具 iDrive 的支援,以及 QButton、Qmiix Agent、QVR Elite (改由 QVR Surveillance 取代)、Skype 等套件。如果有使用iDrive 的用戶,若要維持原有的雲端備份架構,必須改用架構不同但功能較完整和安全的 HBS 3 機制,這也會提高一些維運的成本。
然而從資安工程的角度出發,移除不再維護的舊版執行環境(如內建的舊 JRE、Python)能有效限縮攻擊面,防止駭客利用過時組件作為跳板進行本地權限提升。
新版儲存空間管理員讓 Qtier 儲存池與擴充工作更直覺
在核心儲存與可用性功能上,威聯通針對儲存空間總管 Storage Manager 進行了視覺與邏輯上的調整,讓 Qtier 儲存池的建立、轉換與擴充工作流程更加直覺,改善了過去管理大量資料時流程不一致的問題。同時,本次更新也集中修復了數個關鍵的安全漏洞與高可用性(HA)叢集的潛在風險。過去在特定極端負載下,主控節點可能會遭遇罕見的記憶體耗盡而引發服務中斷,或是 Windows 先前版本功能無法正確顯示高可用性容錯移轉前的快照,這些維運問題都在此版本獲得徹底解決。
此外,針對網域權限與存取控制,本次更新修復了多個與權限相關的系統邏輯錯誤。例如過去曾發生過新使用者在啟用「首次登入必須變更密碼」後,仍可繞過限制透過 SMB 協定直接存取資料的安全漏洞,以及 LDAP 網域使用者僅能透過 SMB 登入、卻無法透過 HTTP 或 HTTPS 登入的問題,都在這次的韌體修正中完成補強。這對於追求資安合規性、特別是需要落實最小權限原則與嚴格身份驗證的企業組織來說,是非常重要的安全性實踐。
部署建議
CyberQ 實測手邊的三台 QNAP NAS,均陸續部署到 QuTS hero h6.0.0.3500 ,先測試 TS-855X 這台沒問題後,才把另外二台 NAS 更新,運作一段時間後系統和服務都維持正常狀態。
CyberQ 建議資訊團隊與系統架構師在面對 QuTS hero h6.0.0.3500 時,先不急於在第一時間將其導入核心生產環境,也就是說正式生產環境應該還是以 QuTS hero 5.x、QTS 5.x 為主,有使用到新功能的 NAS ,則可普遍陸續更新到 QuTS hero 6.x,目前最新的就是這次的RC2 版本 h6.0.0.3500。鑑於其不可降版的特性,最佳的部署策略是在測試環境的硬體上進行相容性驗證,確認既有的排程備份、網域控制器連線以及第三方套件在沒有原生 Python 支援下皆能正常運作後,再行排定停機時間進行升級。
延伸閱讀:
威聯通官方 QuTS hero h6.0.0.3500 發行說明:https://www.qnap.com/en/release-notes/quts_hero/h6.0.0.3500/20260520
QNAP 官方技術社群討論區:https://community.qnap.com/t/quts-hero-h6-0-0-3500-build-20260520-release-candidate-2-released/6065
