NAS Synology : protégez vos données des ransomwares avec les snapshots immuables
Sommaire
I. Présentation
Dans ce tutoriel, nous allons voir comment protéger les données d'un NAS Synology contre les ransomwares et les différents actes malveillants.
Pour atteindre cet objectif, nous allons utiliser les nouvelles fonctionnalités du système DSM 7.2, ce dernier étant le système propriétaire de Synology. En effet, il intègre des fonctionnalités pour rendre le stockage immuable, c'est-à-dire que l'on va pouvoir écrire les données une seule fois et les lire plusieurs fois (WORM : Write Once, Read Many). Autrement dit, les données ne peuvent pas être supprimées ni modifiées. Ceci signifie que les données ne pourront pas être chiffrées par un ransomware. Même en tant qu'administrateurs du NAS, nous ne pourrons pas supprimer ces données !
DSM 7.2 intègre deux fonctionnalités pour le stockage immuable :
- Les instantanés immuables, ou snapshots immuables si vous préférez - Ce qui fait l'objet de cette démonstration
- La fonctionnalité WriteOnce pour rendre immuables les données sur un partage de fichiers stocké sur le NAS
Au-delà d'avoir un NAS Synology qui tourne sous DSM 7.2, vous devez aussi utiliser un modèle compatible avec ces nouvelles fonctionnalités et le volume de votre NAS doit utiliser le système de fichiers Btrfs.
Quelques liens utiles :
- Comment installer DSM 7.2 sur son NAS Synology ?
- Snapshots immuables et WriteOnce : les NAS compatibles
En ce qui me concerne, j'utilise le modèle suivant : Synology DS220+.
II. Snapshots immuables : quel intérêt ?
Sur votre NAS, vous disposez surement de plusieurs partages ou LUN, en fonction de l'usage que vous faites de cet espace de stockage réseau. Quoi qu'il en soit, votre NAS contient des données, que ce soit des sauvegardes, des machines virtuelles, des sources d'installations, les fichiers des utilisateurs de votre entreprise ou encore des fichiers multimédias si vous en faites un usage personnel. Le NAS peut assumer un rôle différent au sein d'une infrastructure.
Si vous êtes victime d'une cyberattaque (de type ransomware, par exemple), les données de votre NAS peuvent être chiffrées (voire même effacées). Et là, c'est le drame.... Si vous n'avez pas sauvegardé les données de votre NAS, vous risquez de tout perdre. Dans le même esprit, si vos serveurs sont chiffrés et que le NAS qui stocke vos sauvegardes est chiffré à son tour, vous êtes dans une situation embarrassante.
Depuis plusieurs années, DSM intègre une fonction de snapshots (ou instantanés en français), ce qui permet de prendre une photo de vos données à un instant t. Si un fichier est supprimé par erreur, ou qu'il est modifié (chiffré, par exemple), il est possible de le restaurer à partir d'un snapshot existant.
Seulement, ces snapshots peuvent être supprimées à partir de l'interface de DSM, et le partage qui contient les données peut être supprimé à son tour. Enfin, c'était vraiment avant, mais ce n'est plus forcément vrai aujourd'hui...
Grâce à la nouvelle fonctionnalité de snapshots immuables :
- Un snapshot immuable ne peut pas être supprimé pendant la période de rétention, y compris par un administrateur
- Un partage protégé par un snapshot immuable ne peut pas être supprimé
Ainsi, si un ransomware chiffre les données de votre espace de stockage, vous êtes certain de pouvoir restaurer les données à partir du snapshot immuable car ce dernier ne peut pas être altéré.
III. Installer le paquet Snapshot Replication
Tout d'abord, connectez-vous à l'interface de DSM pour installer le paquet "Snapshot Replication" à partir du "Centre de paquets". Sans ce paquet, il ne sera pas possible de créer des snapshots immuables sur votre NAS.
Quand c'est fait, passez à la suite.
IV. Configurer les snapshots immuables
Ouvrez l'application Snapshot Replication sur DSM. Un avertissement s'affiche à la première connexion, cliquez sur "OK". La première étape consiste à cliquer sur l'élément que vous souhaitez protéger avec des snapshots immuables : soit un dossier partagé, soit un LUN. La configuration est à effectuer pour chaque élément de façon indépendante. Vous pouvez aussi faire un dossier partagé "demo" pour faire des tests.
Dans cet exemple, le répertoire partagé "IT-Connect" présent sur le NAS doit être protégé par des instantanés immuables.
Pour créer un instantané, qu'il soit immuable ou non, il y a deux options :
- Prendre un instantané unique, là, maintenant
- Procédure : Instantanés > Prendre un instantané > Effectuer la configuration
- Configurer la planification pour prendre un instantané à intervalle régulier, selon un calendrier précis
- Procédure : Paramètres > Effectuer la configuration
Pour la suite de cet article, j'ai pris l'option planification afin de créer un instantané immuable quotidien sur mon partage "IT-Connect". Après avoir cliqué sur le partage dans la liste, on doit cliquer sur "Paramètres".
Ici, il y a plusieurs options à configurer :
- "Activer le calendrier d'instantané" pour choisir la fréquence à laquelle vous souhaitez créer un instantané (une fois par jour, toutes les heures, toutes les 2 heures, etc.) et à quelle heure.
- Activer l'option "Instantanés immuables" pour empêcher la suppression de cet instantané pendant une durée de X jours, ici 14 jours dans cet exemple.
Puis, dans l'onglet "Conservation", vous devez configurer la politique de rétention des snapshots immuables. Sinon, ils ne seront jamais supprimés. Vous avez le choix entre une stratégie basée sur un nombre de snapshots, un nombre de jours ou un mode avancé qui reprend le principe d'archivage GFS. Attention à l'espace de stockage consommé...
Dans cet exemple, les snapshots seront conservés pendant 14 jours, ce qui signifie que chaque snapshot sera immuable tout au long de sa période de conservation.
Une fois que c'est fait, cliquez sur "OK" pour valider. Ces paramètres sont modifiables par la suite.
Note : si vous passez la période de protection des snapshots immuables de 14 jours à 7 jours (par exemple...), cela n'impactera pas la durée de verrouillage des snapshots immuables existants.
Il ne reste plus qu'à attendre que le prochain snapshot immuable planifié soit créé.
V. Peut-on supprimer un snapshot immuable ?
Voilà, nous sommes le lendemain, il y a bien un premier instantané immuable sur le partage "IT-Connect". Au-delà de vérifier la présence de cet instantané, on peut se poser la question suivante : peut-on supprimer ce snapshot immuable ? D'après mes propos en introduction, la réponse est non en principe.
Pour lister les snapshots d'un partage (ou d'un LUN), il faut :
Ouvrir l'application Snapshot Replication, sélectionner le partage dans la liste et cliquer sur "Instantané" puis "Liste d'instantané". Deux éléments attirent mon attention (et ils sont rassurants) sur cette interface (visible ci-dessous) :
- Le bouton "Supprimer" est grisé, ce qui m'empêche de supprimer le snapshot alors que je suis connecté à DSM avec un compte "super-administrateur"
- La colonne "Instantanés immuables" contient un bouclier qui indique la présence d'un verrouillage pour une durée restante de 13 jours et 16 heures (le décompte a commencé à 14 jours d'après notre configuration).
Visiblement, le snapshot est bien immuable, ce qui est une bonne nouvelle.
Pour ruser un peu, on pourrait essayer de supprimer le dossier partagé directement. Toutefois, ce n'est pas possible ! Là encore, DSM empêche la suppression avec le message suivant : "Impossible d'effectuer cette opération car certains dossiers partagés contiennent des instantanés immuables."
D'ailleurs, en ligne de commande à partir d'un accès SSH, même constat : impossible de supprimer le répertoire partagé, ni même le snapshot immuable (dans le doute, j'ai fait mes tests sur un autre dossier partagé nommé "DEMO" et configuré de la même façon).
Par contre, le contenu du répertoire peut être supprimé, que ce soit via DSM, la ligne de commande ou un accès distant, c'est logique. Le dossier partagé n'est pas immuable, c'est le snapshot qui est immuable.
VI. Conclusion
Sans aucun doute, la fonctionnalité de Snapshots immuables intégrée à DSM 7.2 apporte une protection supplémentaire efficace aux données stockées sur votre NAS. Que ce soit sur un espace partagé qui stocke des données de production ou des sauvegardes, cette méthode est applicable.
Si les données du partage sont chiffrées, il sera possible de les restaurer en quelques clics, via l'application Snapshot Replication.
Même si les données peuvent être chiffrées ou supprimées, vous avez la certitude de pouvoir les restaurer grâce à ces instantanés qui, eux, ne peuvent pas être supprimés. Pour rendre les données d'un dossier partagé immuable, utilisez la fonction WriteOnce. Celle-ci s'active sur un dossier partagé (au moment de la création).
Bonjour et merci pour ce retour d’expérience de la techno WORM sur Synology. J’ai une question (que je ne peux tester en l’état de mon coté), que ce passe-t-il si l’on change l’heure du système, le temps écoulé du verrouillage WORM est avancé ou bien le temps est immuable aussi (et comment dans ce cas) ?
Pour être plus précis est-ce que si un attaquant ayant des privilèges administrateurs changeait l’heure et la date du système (en ajoutant 1 an par exemple), il pourrait supprimer toutes les sauvegardes WORM ?
Merci pour tous vos postes que je lis avec passion depuis très longtemps.
Apparemment Synology y a pensé, les instantanés ne dépendent pas de l’horloge système :
https://kb.synology.com/fr-fr/DSM/tutorial/WriteOnce_retention_period_longer_than_specified
Bonjour est-ce que cela veux dire que Active Backup/ Hyper Backup n’ont plus lieux d’être?
Ces snapchots serait l’ultime solution?
un avis sur le fait de garder Active backup/hyper Backup
Il faut malgré tout conserver Hyper Backup car si votre NAS vient a vous lâcher ( disques dur HS ) il vous sera impossible de récupérer les données, les snapshots immuables sont la pour protéger d’éventuelle cyber attaque.
hyperbackup n’a rien à voir, cela permets entre autre d’effectuer des sauvegardes vers un stockage externe ou sur le cloud. Je dirai que snapshot replication et hyperbackup sont complémentaires dans la stratégie de sauvegarde d’entreprise 3 -2 -1
Bonjour,
Je n’ai pas l’option immutable dans les paramètres , as tu une idée ?
RS2418+
DSM 7.2.1-69057 Update 3 (Notes de version)
Tout les synology ne sont pas compatible avec cette option…
Format de fichier configuré sur ton nas = ce n’est pas BTRFS qui serait en place ?
Bonjour,
Mes fichiers immuble ont totalement saturé mon volume alors qu’il devait avoir une rétention de 7 jours seulement. existe il une solution pour supprimer les fichiers immuable sans casser le Nas complètement ? toutes les tentatives sont infructueuse…
Merci d’avance