Przegląd WORM
WORM (Write Once, Read Many — zapis jednokrotny, odczyt wielokrotny) służy do zapobiegania modyfikacji zapisanych danych. Po włączeniu tej funkcji dane w folderach współdzielonych mogą być wyłącznie zapisywane i nie mogą być usuwane ani modyfikowane, co zapewnia integralność danych.
W związku z coraz bardziej restrykcyjnymi przepisami dotyczącymi sposobu przechowywania informacji wiele krajów wymaga, aby agencje rządowe, instytucje finansowe i podmioty świadczące opiekę zdrowotną przestrzegały rygorystycznych regulacji w zakresie archiwizacji danych. Wiele z tych przepisów wymaga, aby systemy pamięci masowej nie umożliwiały manipulowania zarchiwizowanymi danymi. To sprawiło, że WORM staje się coraz powszechniejszą technologią.
Dobrymi przykładami są zdjęcia, umowy, raporty finansowe, wiadomości e-mail, dane pracowników i inne ważne dokumenty. Nie powinny być one modyfikowane po zapisaniu. W niektórych obszarach zawodowych konieczna jest analiza ogromnych ilości danych oraz rejestrowanie i śledzenie olbrzymich woluminów danych w czasie rzeczywistym. Technologia WORM jest idealna do ochrony takich zapisów, dzięki czemu nie zostaną one nadpisane i mogą być zachowane jako materiał referencyjny do przyszłego wykorzystania.
Aby sprostać wymaganiom bezpieczeństwa pamięci masowej w przedsiębiorstwach, serwery NAS QNAP serii ES zostały wyposażone w funkcję WORM, która pomaga pracownikom działów informatycznych chronić ważne informacje organizacji. Może ona przynieść istotne korzyści organizacjom i pozwolić uniknąć ryzyka naruszenia odpowiednich przepisów o ochronie informacji.
Tworzenie folderu współdzielonego z funkcją WORM
Architektura systemu
| Urządzenie | Opis |
|---|---|
| Jednostki pamięci masowej | NAS QNAP serii ES (wersja systemu QES 1.1.3) |
| Serwery | Zainstalowany VMware ESXi 6.0 |
| kwestia kliknięć myszą. | Zainstalowany Windows Server 2012 R2 do zamontowania folderu współdzielonego NFS |
| Ustawienia IP | Ponieważ host ESXi i serwer NFS w NAS łączą się i komunikują ze sobą za pomocą IP, zaleca się ustawienie statycznych adresów IP zarówno dla hosta ESXi, jak i serwera NAS. |
Lista ról serwerów i ustawień sieci
| Ustawienia sieci serwera | ||
|---|---|---|
| Rola | IP | Opis |
| Serwer ESXi A | 192.168.2.60 | Host VMware ESXi |
| Sieć danych | 1.1.1.60 | Port danych 10G w hoście ESXi |
| Maszyna wirtualna | 192.168.2.105 | Windows Server 2012 R2 |
| Ustawienia sieci pamięci masowej | ||
|---|---|---|
| Ustawienie | Wartość | Opis |
| IP zarządzania SCA | 192.168.2.50 | IP zarządzania kontrolera A |
| IP Ethernet1 SCA | 1.1.1.9 | IP portu danych 1 kontrolera A |
| IP Ethernet2 SCA | 1.1.2.9 | IP portu danych 2 kontrolera A |
| IP zarządzania SCB | 192.168.2.51 | IP zarządzania kontrolera B |
| IP Ethernet1 SCB | 1.1.1.10 | IP portu danych 1 kontrolera B |
| IP Ethernet2 SCB | 1.1.2.10 | IP portu danych 2 kontrolera B |
| Pool w SCA | Pool1 | Pool RAID6 w kontrolerze A |
Tworzenie folderu współdzielonego WORM w istniejącej poolu
Przed utworzeniem folderu współdzielonego z funkcją WORM należy wykonać poniższe kroki. Skorzystaj z poniższego łącza, aby zakończyć proces.
- Dodaj serwer do białej listy NAS QNAP serii ES
- Utwórz RAID i pool pamięci masowej
Łącze: Skonfiguruj magazyn danych VMware ESXi przez NFS z NAS QNAP klasy korporacyjnej serii ES
Krok 1: Zaloguj się do QES i kliknij „Foldery współdzielone”.
Krok 2: Przejdź do „Przestrzeń pamięci masowej”, kliknij „Utwórz” > „Nowy folder współdzielony”.
Krok 3: Wprowadź żądaną nazwę folderu WORM. W „Ustawieniach pamięci masowej” ustaw limit przestrzeni pamięci masowej WORM i wybierz inne opcje zgodnie z różnymi scenariuszami zastosowań. Jeśli nie ma specjalnych wymagań, możesz po prostu wybrać wartości domyślne.
Krok 4: Znajdź „Ustawienia WORM” i kliknij „Edytuj”.
Krok 5: Włącz „WORM” i wybierz typ folderu WORM z menu rozwijanego.
Uwaga:
Typy folderów WORM:
- Enterprise: foldery mogą być wyłącznie zapisywane, ale nie mogą być usuwane, modyfikowane ani przywracane. Folder współdzielony można usunąć za pomocą QES lub poleceń CLI.
- Compliance: foldery mogą być wyłącznie zapisywane, ale nie mogą być usuwane, modyfikowane ani przywracane. Aby usunąć folder, należy przełączyć pool pamięci masowej w tryb offline i usunąć ją.
Krok 6: Ustaw „Opóźnienie blokady”. Po włączeniu tej opcji plik dodany do folderu może być modyfikowany w okresie opóźnienia blokady. Po upływie tego czasu plik automatycznie staje się zablokowany i niemodyfikowalny.
Jeśli „Opóźnienie blokady” jest wyłączone, plik nie może automatycznie uzyskać typu WORM — należy ręcznie zmienić właściwość pliku na „Tylko do odczytu”.
Krok 7: Ustaw okres przechowywania folderu WORM. W tym przykładzie został on ustawiony na 1 dzień, co oznacza, że ograniczenia WORM można usunąć dopiero po 1 dniu. Po ustawieniu okresu przechowywania kliknij „Zastosuj”, aby utworzyć folder WORM.
Folder WORM pojawi się na liście folderów współdzielonych.
Krok 8: Wybierz folder WORM i kliknij „Zarządzaj”.
Uwaga: jeśli typ WORM jest ustawiony jako „Compliance”, opcja usuwania (w „Akcjach”) jest wyłączona.
Folder WORM został utworzony i jest gotowy do użycia.
Funkcja folderu współdzielonego WORM w NAS QNAP serii ES
Architektura QNAP WORM
Po włączeniu funkcji QNAP WORM w folderze współdzielonym dowolny plik w tym folderze można ustawić jako „Immutable” (Niezmienny) lub „Append Only” (Tylko dopisywanie). Różnica jest następująca:
| Opis | |
|---|---|
| Append Only | Można dodawać dane, ale nie można ich modyfikować, usuwać ani zmieniać im nazwy. |
| Immutable | Nie można dodawać, modyfikować, usuwać ani zmieniać nazwy. |
Warunki wyzwalające QNAP WORM
| Opis | |
|---|---|
| Append Only | W systemie Windows: plik jest pusty, a atrybut pliku jest ustawiony na Tylko do odczytu — wówczas plik staje się „Append Only”. |
| Immutable | W systemie Windows: plik zawiera dane, a atrybut pliku jest ustawiony na Tylko do odczytu — wówczas plik staje się „Immutable”. |
Uprawnienia QNAP WORM
Poniżej znajduje się opis uprawnień QNAP WORM.
Stan WORM jest podobny do uprawnień odmowy w ACL, ale istnieją pewne różnice. Główna różnica jest następująca:
- Jeśli w folderze stosowany jest WORM, to nawet użytkownicy o najwyższych uprawnieniach („administrator” lub „root”) nie mogą zmienić stanu WORM zawartych w nim plików.
- Jeśli katalog podrzędny (Child) wyzwoli stan WORM, katalog nadrzędny nie będzie mógł być zmieniany pod kątem nazwy ani usuwany — dotyczy to dowolnego poziomu folderów: dopóki stan WORM jest wyzwolony, folderu nadrzędnego nie można zmienić nazwy ani usunąć.
- Po wygaśnięciu okresu przechowywania folderu WORM uprawnienia „remove privilege” i „delete child privilege” zostaną automatycznie przyznane.
Szczegóły znajdują się w poniższej tabeli:
| Zapis danych (zmiana nazwy elementu podrzędnego) | Dołączanie danych (dodawanie elementu podrzędnego) | Usuwanie (usuwanie folderu, usuwanie elementu podrzędnego) | Zmiana nazwy | Zmiana nazwy elementu nadrzędnego | |
|---|---|---|---|---|---|
| BRAK | O | O | O | O | O |
| AppendOnly | X | O | X (wygaśnięcie WORM jest O) | X | X |
| Immutable | X | X | X (wygaśnięcie WORM jest O) | X | X |
Weryfikacja folderu udostępnionego WORM
Weryfikacja stanu WORM Append Only
Utwórz plik WORM Append Only
Krok 1: Zamontuj folder WORM na komputerze z systemem Windows
Otwórz dowolny folder w systemie Windows, wprowadź ścieżkę udostępnioną folderu WORM „\\1.1.1.9\WORM” i podaj swoje poświadczenia użytkownika ES NAS.
Krok 2: Wejdź do tego katalogu i utwórz pusty plik Notatnika o nazwie „AppendOnly”.
Krok 3: Kliknij plik prawym przyciskiem myszy, wybierz „Właściwości” i zaznacz Tylko do odczytu. Plik ten stanie się plikiem Append Only.
UWAGA: Dostęp tylko do odczytu wpływa na pliki w folderze (nie na cały folder). Ustawienia WORM dla folderów można włączyć za pomocą systemu QES.
Materiał źródłowy: Microsoft, Zachowanie folderu tylko do odczytu.
Weryfikacja pliku Append Only — usuwanie danych
Krok 1: Wprowadź liczbę „12345” w pliku „AppendOnly”, zapisz plik i zamknij go.
Krok 2: Ponownie otwórz plik „AppendOnly”, usuń końcowe cyfry „45”, zapisz plik i zamknij go.
Krok 3: Otwórz ponownie plik „AppendOnly” — zobaczysz, że plik powrócił do pierwotnego stanu „12345”. Potwierdza to stan Append Only — nie można usuwać danych.
Weryfikacja pliku Append Only — zapisywanie danych
Krok 1: Wprowadź liczbę „6789” po „12345” w pliku „AppendOnly”, zapisz plik i zamknij go.
Krok 2: Otwórz plik „AppendOnly”. Wyświetli się „123456789”, co potwierdza, że w stanie Append Only można zapisywać dane do pliku.
Weryfikacja pliku Append Only — usuwanie pliku
Krok 1: Kliknij prawym przyciskiem myszy plik „AppendOnly”, wybierz „Usuń” i kliknij „Tak”, aby potwierdzić usunięcie.
Krok 2: Widać, że w folderze obecnie nie ma pliku „AppendOnly”.
Krok 3: Kliknij przycisk odświeżania w prawym górnym rogu. Plik „AppendOnly” pojawi się ponownie, potwierdzając, że plik nie może zostać usunięty w stanie Append Only.
Weryfikacja pliku Append Only — zmiana nazwy
Krok 1: Kliknij prawym przyciskiem myszy plik „AppendOnly” i wybierz „Zmień nazwę”.
Krok 2: Zmień nazwę pliku na „QNAP” i naciśnij Enter. Pojawi się okno alertu „Odmowa dostępu do pliku — Append Only”. Nie mamy uprawnień do zmiany nazwy pliku, co potwierdza, że w stanie Append Only nie można zmienić nazwy pliku.
Weryfikacja stanu WORM Immutable
Utwórz plik WORM Immutable
Krok 1: W folderze WORM utwórz pusty plik Notatnika o nazwie „Immutable”. Otwórz ten plik, wprowadź liczbę „12345”, a następnie zapisz plik.
Krok 2: Kliknij plik prawym przyciskiem myszy, wybierz „Właściwości” i zaznacz Tylko do odczytu. Plik ten stanie się plikiem Immutable.
UWAGA: Tryb wyzwalania plików Immutable i Append Only:
Podczas tworzenia nowego pliku, gdy plik jest zapisywany bez żadnej zawartości, zaznaczenie tylko do odczytu → Append Only
Podczas tworzenia nowego pliku, gdy plik jest edytowany i zapisywany z zawartością, zaznaczenie tylko do odczytu → Immutable
Aby plik był Immutable, należy zaznaczyć opcję Tylko do odczytu po edycji i zapisaniu pliku, a następnie plik wyzwoli stan Immutable.
Stan Append Only można wyzwolić tylko wtedy, gdy plik jest „pusty” podczas zaznaczania opcji Tylko do odczytu.
Weryfikacja pliku Immutable — usuwanie / zapisywanie danych
Krok 1: Otwórz plik „Immutable”, usuń liczbę „45”, a następnie zapisz plik.
Krok 2: Pojawi się komunikat Zapisz jako nowy plik. Należy zapisać ten plik pod inną nazwą.
Krok 3: Zapisz jako nowy plik i zmień jego nazwę na „Immutable_Modify”.
Krok 4: Powtórz powyższe kroki, ale zamiast usuwać liczby, spróbuj dodać kilka liczb. Oryginalnego pliku nadal nie można nadpisać, można go zapisać tylko jako nowy plik. Potwierdza to, że w stanie Immutable usuwanie/zapisywanie danych nie jest możliwe — plik można zapisać wyłącznie jako nowy, dzięki czemu oryginalny plik jest chroniony.
UWAGA:Stan Immutable w ogóle nie pozwala na modyfikację pliku.
Weryfikacja pliku Immutable — usuwanie pliku
Krok 1: Kliknij prawym przyciskiem myszy plik „Immutable”, wybierz „Usuń” i kliknij „Tak”, aby potwierdzić usunięcie.
Krok 2: Widać, że w folderze obecnie nie ma pliku „Immutable”.
Krok 3: Kliknij przycisk odświeżania w prawym górnym rogu. Plik „Immutable” pojawi się ponownie, potwierdzając, że plik nie może zostać usunięty w stanie Immutable.
Weryfikacja pliku Immutable — zmiana nazwy
Krok 1: Kliknij prawym przyciskiem myszy plik „Immutable” i wybierz „Zmień nazwę”.
Krok 2: Po próbie zmiany nazwy pliku pojawi się błąd „Odmowa dostępu do pliku”. Nie mamy uprawnień do zmiany nazwy pliku, co potwierdza, że w stanie Immutable nie można zmienić nazwy pliku.