摘要:恰逢群晖发布全新的25系列塔式NAS,奶爸也是第一时间拿到了刚刚发布的DS925+,就顺便来聊一聊企业、团队如何借助群晖NAS来实现全企业数据集中管理,如何保证企业数据的安全性。
楔子
对于企业来说,数据安全无疑是商业生命周期中极为重要的一环。
前段时间有朋友和我聊起公司下设的销售门店被突击检查,所有电脑的所有数据被完全拷走了,由此引起了公司高层对企业数据安全的担忧。
恰逢群晖发布全新的25系列塔式NAS,奶爸也是第一时间拿到了刚刚发布的DS925+,就顺便来聊一聊企业、团队如何借助群晖NAS来实现全企业数据集中管理,如何保证企业数据的安全性。
企业的需求
1. 防止数据泄露:避免员工离职时带走公司核心数据(如客户资料、报价单、销售合同等),防止数据被竞争对手获取;
2.数据不落地:所有工作文件统一存放在公司NAS,员工电脑不保存重要数据,确保数据集中管理;
3.权限精细化管理:根据员工的职位和职责,分配不同的数据访问权限。例如,总经理可访问全部文件,普通员工仅能访问本部门文件夹,外包人员仅能访问特定项目文件夹。
4.操作记录全程追踪:对员工在NAS上的所有操作(如下载、删除文件)进行记录,确保行为可追溯。
5.异常行为预警:对异常操作(如短时间内大量下载文件)进行自动预警,及时发现潜在风险。
6.外发文件监管:禁止NAS文件直接分享到微信、QQ等社交工具,外发文件需提交申请并自动添加水印,以便追溯责任人。
功能演示用设备,群晖DS925+
▼群晖DS925+从正面看几乎看不出来与DS923+的差别,依旧是群晖经典的家族式设计,甚至硬盘笼也是通用的。在设备的正面可以看到电源按钮、一个USB 3.2Gen1 以及设备状态指示灯。
▼群晖DS925+相较于DS923+,CPU从AMD R1600 升级到了DS1621+同款处理器AMD V1500B,上代更高规格产品处理器下放到稍低定位产品可以说是群晖NAS的传统艺能了。
▼AMD V1500B与AMD R1600相比,主要提升在于多核性能,提升幅度达到了40.8%,从一定程度上讲,DS925+的性能还是有比较明显的提升,更加能胜任同时在线人数较多、日常使用负载较高的企业办公环境。
▼来到设备的背面,相较DS923+还是有比较明显的差别的,双千兆rj45网络接口升级到了双2.5G网络接口,同时取消掉了PCIe万兆扩展接口。一般场景下受限于成本以及连接NAS的PC设备,相对来说双2.5G网络接口的实际应用场景是优于万兆的。连接硬盘扩展柜的e-SATA接口也升级成了Type-C接口,硬盘扩展柜型号也从DX517升级到了DX525。
▼产品搭载4GB ECC内存,支持自行扩展,设计有两个MVMe插槽,可以用来做存储也可以用来做缓存。
▼25Plus系列设备群晖搭配使用群晖原厂硬盘,我这里演示使用的是群晖Plus系列硬盘HAT3300-4T,价格上与希捷酷狼硬盘差不了多少,优势在于企业可以进行【一站式质保】,减少未配备专业运维人员企业的维护烦恼。
毕竟作为ToB端服务,群晖的目标始终是提供最可靠和安全的存储体验,存储硬盘是体系中最重要的组件之一,也是历来NAS“故障”常见来源之一(有时其实是硬盘故障,但有可能误以为是NAS故障),进而可能导致诊断延迟和服务中断,如果企业使用的是群晖 NAS +群晖硬盘,那只要通过群晖统一的售后窗口,就可以快速进行排障,对企业来说不仅降低了沟通成本,更是大幅减少了宕机时间。
▼目前群晖DS925+最新的系统版本是7.2.2-72806 Upodate,这一点倒是与群晖DS923+保持一致。
▼用户感知最为明显的大概就是千兆网口到2.5G网口的升级了,我不大喜欢做拆解什么的,不过我有个小伙伴喜欢,等他拆了以后大家就可以指导群晖DS925+搭载的是什么网卡了。
▼使用CrystalDiskMark进行读写性能测试,最后获得了顺序读取296.48MB/s,顺序写入235.55MB/s,随机读取34.83MB/s,随机写入22.15MB/s的数据,讲道理理论测试结果还是很让人满意的,尤其是4K读写能力很高,比之前测试过一个雷电直连NAS PCIe3.0固态都要高,只能说NAS系统不是一蹴而就,一朝一夕就能做好的,还是需要很多的技术积累。
▼受限于机械硬盘性能的缘故,RAID1环境下从NAS拉取文件到PC本地(2.5G网口直连),速度最高200MB/s左右,测试文件为自制的一个10GB大文件。
▼上载的话,显示200MB/s以上跑一小段时间(大概1GB左右数据量),然后稳定在134MB/s左右。
关于群晖DS925+普通消费者关心的问题
▼DS925+目前的系统支持从老设备进行硬盘迁移,我这里用DS923+中使用的SATA SSD进行测试,直接显示转移状态。
▼虽然存储池有警告提示,但是不影响正常使用。
▼哦吼,上传到NAS也可以273MB/s跑满2.5G网口了。
▼NAS下载到本地也有284MB/s的速率了,只要思想不滑坡,办法总比困难多。具体群晖25Plus系列产品支持的硬盘型号,大家可以在官网查看器提供的兼容性列表。
企业数据集中化管理的根基——用户权限管理
1.企业本地部署NAS方案与云电脑方案的简单比较
▼朋友所在的企业发生数据泄露之后开始考虑是选用云电脑配瘦客户机的形式还是使用NAS的形式,云电脑方案包含软硬件成本,报价来到了800万5年,之后每年的使用费用在120万左右。使用塔式群晖NAS DS925+配合4块16T原厂硬盘,成本也不过1.5万,从成本控制、降本增效来讲本地化部署NAS无疑是最优解。
▼而且使用云电脑方案也并不能完全规避数据泄露的风险,毕竟企业数据安全管理归根结底是对人的管理,即便花费巨大的成本上线云电脑方案,瘦客户机不及时断开连接、不设置密码、保留有云电脑访问痕迹照样会造成数据泄露,加强员工数据安全意识才是重中之重。
2.共享文件夹的设计与管理
▼这里我要给大家明确一个理念:群晖NAS上的人员分级权限管理,实际上就是对共享文件夹访问权限的管理。
朋友的企业属于销售型组织架构,结构上分为总公司-省级运营-市级运营-市内门店,需要四级权限管理(高级的部门可以访问下一级的文件),部分时候有外包人员进场需要临时文件访问权限。
▼在明确了人员分级管理实际上就是对文件夹访问权限的管理之后,我们首先要做的就是创建共享文件夹。
▼在创建共享文件夹的过程中最好能按照一定的命名规则去处理,以免后期管理的时候看着不舒服。以朋友所在的公司为例,按照公司组织架构分别建设【总公司】、【山西省分公司】、【山西太原地区】、【山西太原迎泽区门店】四个层级的共享文件夹,这样按照名称排序的时候也更加便于管理,不加满前缀的话会看起来有些乱。
▼创建共享文件夹的时候勾选“对没有权限的用户隐藏子文件夹与文件”与在”网上邻居“隐藏此共享文件夹。在设置的过程中如果有个性化设置的话,可以按照提示进行配置,没有的话一路Next即可,用户、用户组之类的统统暂不配置。
▼接着我们在文件服务中,开启SMB下的对没有权限的用户隐藏共享文件夹。
3.添加用户组
▼在创建用户组的时候依旧最好能按照一定的命名规则去处理,可以依旧使用公司组织架构的形式创建用户组,方便进行统一的管理。先添加用户组后添加用户是为了使用批量创建用户的方法,适当减少用户创建时的工作量。
▼创建用户组之后对第二部创建的共享文件夹进行匹配,匹配逻辑是上级组织架构用户组可以访问本级以及下一级组织共享文件夹。例如山西分公司用户组可以访问当前分公司、下属市级地区公司、门店的所有共享文件夹。
4.添加用户
▼创建用户的时候可以使用公司组织架构的形式创建用户,例如:【总公司张三】、【山西分公司李四】、【山西太原地区王五】、【山西太原迎泽区门店赵六】以增加辨识度,也可以通过给组织架构进行编号+用户姓名拼音的形式进行创建,例如总公司代号10,山西分公司代号11,太原地区代号01,迎泽区门店代号01,由此构成总公司工号10zhangs(张三)、迎泽区门店工号110101zhangs(张三)。
▼为了便于创建用户,我们可以使用导入列表的功能进行快速创建。
▼讲道理群晖应该在这里设计一个模板的,这样用户使用的时候回更方便,不过他没有提供,我们可以自行创建一个excel文件,并按照 用户名-密码(批量相同的密码)-描述-电子邮件-群组名称-空间配额的格式编辑文件,然后另存文档为.csv格式文件,导入以后将分隔符选择为“逗号”,并且勾选“首次登入强制修改密码”即可大功告成,用户权限跟随用户组权限。
5.设置下级组织架构管理员
▼理论上,一个企业的工号、权限应该由总公司运维人员统一管理(默认模式),甚至申请账号需要使用OA进行申请。不过在实践中,为了减少总公司与分支机构的摩擦交互,缩短业务办理流程,提升业务效率,也会有委派授权,允许分支机构自行设置账号、权限的情况,这时候就可以使用用户账号管理中的委派功能,对账号进行授权,毕竟铁打的领导,流水的兵。
此举也能便于实现更精细化的权限管理。
6.分支机构精细化权限管理
▼从前面的设置过程可以看出来我们的设置过程主要是围绕着企业的组织架构进行的,但是某个门店需要单独设置文件权限,比如说财务小伙伴们根据销售经理的营销额分发不同的提成,这部分数据是不允许其他用户查看的。
门店机构负责人就可以在共享文件夹下分别创建不同用途,不同用户访问的子文件夹。
▼在相应文件夹点击右键-属性-权限标签-选择用户-更改类型为“拒绝”,这样非财务人员就看不到该机构的财务文件夹了。
▼同一个机构的不同类型业务人员可以拥有不同的文件访问权限,利用这个功能还可以实现外包人员有限制的访问部分文件,或者是仅语序读取/写入,禁止删除等,进一步实现以项目管理为目的文件权限管理。
▼甚至可以“向上管理”,禁止总部相关人员访问该文件夹,这就是群晖精细化权限管理的优势。
文件集约化管理后的无痕、安全办公
▼想要将数据完全存储在NAS端,保证数据不泄露,应付的聊突击检查,就要合理使用群晖Drive套件。
▼另外强烈推荐使用浏览器的无痕模式,减少本地PC留下的痕迹。
▼在控制台中-团队文件夹-共享文件夹-启用即可开启团队文件夹,通过Drive可以实现版本控制,不必担心由于误操作造成文件修改、版本不对的情况,群晖还贴心的做了一个设置情况的总结。
▼使用Drive可以在小型职能部门内部方便的进行协同办公。
▼不需要共享的个人文件夹可以放在“我的文件”中进行保存。
▼office三件套文件可以直接打开预览。
▼将文件再Synology Office中打开,并导入Synology Office后就可以对office三件套文件进行编辑了,真正实现文件集中化管理,本地不存储数据,如果控制员工电脑不允许安装Office、WPS,更可绝后患,还是那句话,企业数据管理终究是落在人的管理上。
▼Drive提供了高级功能,包括远程擦除、限制下载以及水印功能,目前这些功能需要登陆账号以实现激活,黑群晖无缘。
▼远程擦除功能的主要应用场景是Drive客户端,提一嘴Drive是我每天都会用到的工具,非常的方便,但是对于我朋友这种销售型企业来说,追求无痕办公,是不需要使用客户端的,其他类型企业可以灵活使用远程擦除功能保证数据不外泄。
▼销售门店数据上云之后,本地没有数据安全了,如果员工直接掏出来手机给文件拍照,那我们还是没招,这时候加上水印功能会更好一些,我们可以设置访问用户名、访问时间作为水印。
▼该功能对PDF文件与图片文件适用,OFFICE文件是不中的,还是那句话,企业管理是对人的管理,不可能完全借助工具实现对人的管理,对内发布类的文件,最好还是另存为PDF再共享。
▼借助Drive进行共享办公也是意见很方便的事情。
用好日志,数据外泄好追责
▼群晖提供日志中心功能,用户访问、操作的记录一目了然,当发现数据外泄情况的时候可以快速定位泄密人员(当然,被拍照或者是非PDF的可编辑类文件外泄就没招了)。
▼开启通知功能后可以让管理员快速获取异常访问信息。
全公司互联网访问,无需专线
▼群晖提供QuickConnect功能,无需公网IP就可以实现分支机构访问群晖NAS。
▼当然,大多数企业是有互联网专线,有公网IP的,也可以借助群晖内置提供的DDNS服务进行解析。
数据暴露在互联网也能保证数据安全
1.Active Backup for Business(ABB),应对勒索病毒
▼ABB提供集中备份物理服务器、计算机、文件服务器和虚拟机服务,但是正如文中所讲,我们要做的是本地无痕化办公,这样的话我们更多的是采用双设备配置,互相备份的形式保障数据安全。
2.快照,给企业数据做一个存档点
▼快照就像是游戏里面的游戏存档,企业数据发生异常的时候可以快速恢复,企业管理员可以设置自动快照计划以及保留版本策略,很简单也很安全。
3.使用RAID,暴力数据离线也有保障
▼相对整个企业数据集中管理的方案来说,有些公司会更喜欢门店数据单独管理,避免出现总部被“一锅端”的情况,给硬盘组个RAID1(双盘位群晖NAS)或者RAID5(4盘位NAS)可以有效规避设备意外断电(故意断电)造成数据丢失的情况。群晖提供RAID 1、RAID 5、RAID 6、RAID 10、SHR等多种阵列模式,充分保证数据安全。
详细的使用说明,没有运维人员也不怕
▼群晖Universal Search功能中融合了绝大多数服务的使用说明,内容详细到了每个关键操作的关键步骤,一步一步帮员工成为一个半运维人员,即便企业内没有专职运维人员或者是专职人员没有接触过NAS也不怕。
写在最后
在当今数字化时代,企业面临着海量数据的存储、管理与共享等诸多挑战,而群晖NAS凭借其卓越的性能、强大的功能以及出色的稳定性,成为众多企业的理想解决方案。
群晖NAS内置的文件管理系统,支持多种文件格式和协议,方便企业员工快速查找、编辑和管理文件。同时,其智能的文件分类和标签功能,能够帮助企业高效地组织数据,提高工作效率。
群晖NAS在数据安全方面表现也出色,多种安全机制,如数据加密、备份与恢复功能等,能够有效防止数据泄露和丢失。
企业可以设置不同的访问权限,确保重要数据的安全性和保密性。此外,群晖NAS还支持自动备份功能,无论是本地备份还是远程备份,都能轻松实现,为企业数据提供全方位的保护。
最近有打算数据上云的工作室、企业主可以着重考虑群晖新品25系列。
来源:晋升奶爸的垃圾佬