在个人存储设备的讨论中,安全性永远是绕不开的话题,NAS是否真的安全?有没有更安全的产品?
如果说和网盘相比,那么NAS的确安全了不知道多少倍,但要说没有更安全的产品也夸张了。要知道,多数NAS是没有体系化的安全设计的,被黑客控制做肉鸡或者中勒索病毒的事情并不少。
2021年etsme小型私有云横空出世让很多人注意到这款产品,虽然和NAS完全不是一个属性或者说赛道的产品,但因为都具备一些存储、传输类的功能让很多人把etsme小型私有云拿来和NAS做比较。
抛开别的不说,作为真正的私有云,etsme的安全性是NAS类产品所不能比的。
那么这里就开一篇专门介绍下etsme小型私有云在安全方面的应用。
主要分以下几块内容:
- 个人数字身份认证
- 三重验证
- 点对点直联加密
- 可信计算机制
对安全体系设计感兴趣的,可以看下:
个人数字身份认证
etsme的个人数字身份认证类似网银系统,有了解网银系统应该知道在网银系统中我们会需要向银行申请数字证书然后由银行CA颁发。
之后如果我们要进行网银相关的业务操作,都会校验这个证书,通过后才能进行业务操作。
对应到etsme小型私有云(以下简称Me盒),购买了Me盒后,Me盒会提供给个人一个数字证书。
*注意,这里和网银系统有一个很重要的区别是,这个证书是归Me盒主人所有的。
这样就确保了Me盒的所有者拥有全部资源的控制权,后续如果要邀请家人、密友加入自己的Me盒空间,都由盒主决定。
三重认证
当使用Internet访问Me盒时,需要进行“人”“终端”“数据”的三重认证。
怎么理解?
前面说的个人数字身份就是验证了“人”。
而当终端设备(此处指手机、电脑、iPad等)要与Me盒建立连接时,盒主会给设备颁发“设备证书”,这就验证了设备,之后就可以通过该证书验证设备。
最后,每个上传到Me盒中的数据都会进行“切片=》加密”,这个加密只有用户的私钥可以解,这就验证了“数据”。
只有三者验证都通过,数据才可以访问或传输。
点对点直联加密
etsme小型私有云有2种网络访问模式,一种是内部的访问网络,可以简单理解成局域网,局域网的安全相信你应该知道。
另一种是远程访问网络,这是etsme不同的地方,在进行远程访问时会建立点对点的VPN加密通道。
举个网上的例子:
正常情况下,你在广州,要访问在成都的盒子,首先你的数据包要先发到广东,然后广东发四川,四川向下发到成都。
VPN的作用呢,就是你广州要访问成都,配置了VPN,就直接是广州到成都,不用经过广东和四川。
而且这个隧道是加密的,这就保证了数据不需要通过任何第三方进行云中转。
以上!就构建了一个名字很好听的体系,你肯定听说过——零信任安全体系。
可信计算机制
可信计算是从90年代开始发展到现在的一种技术,ETSME在设计Me盒时也引入了可信计算的思想:
会对关键系统进程或应用进程进行可信安全检测,如果发现系统或者应用被修改,就停止相应的进程。
这个机制分防静态和防动态2种。
防静态就是校验程序启动前是否有授权,没授权不能启动,勒索病毒什么的显然不会有我的授权,所以没法启动。
但还有另一种可能,程序已经在运行了,我直接篡改在运行的程序,这样就不存在授权问题。
所以就需要防动态,即正在运行中的程序,不断监控是否有被篡改,一旦被篡改就会终止运行,这样黑客攻击也用不了了。
基于数字认证的认证体系、零信任安全体系再加上可信计算机制,这就确保了etsme小型私有云相对NAS等产品要更加安全。
写到这里….忽然想到,以上都是防护网络攻击或者病毒层面的安全,关于防止数据丢失的安全忘记提及了。
但既然行文已至此,就先交个差吧,针对防止数据丢失、备份方面的技术应用我们会再单独介绍。
