为了满足企业对强大 WORM 数据存储不断变化的需求,Synology 推出了WriteOnce,这是一款适用于 Synology NAS 的基于 WORM 的解决方案,旨在确保重要文件的持久性和完整性。借助此功能,您可以使用 WORM 功能配置 NAS 上的文件,本质上是在写入文件后将其锁定,并防止将来进行任何更改或删除。
通过采用 Synology WriteOnce,企业可以放心地强化其数据,防止未经授权的访问、意外更改和合规风险,从而确保关键信息不会被篡改。无论您是要保护敏感的财务记录、机密的客户数据还是宝贵的知识产权,WriteOnce 都能提供确保数据安全的解决方案。
什么是WORM?
WORM(一次写入,多次读取) 是一种数据存储技术,允许数据仅写入存储设备一次并防止数据被擦除或更改。存储在 WORM 兼容设备上的任何数据都是不可变的,这意味着数据写入存储后,无法再对其进行更改,这在解决数据安全和合规性要求以及防范勒索软件和其他攻击方面发挥着关键作用。在当今的数字环境中,无论您使用哪种存储设备或系统,确保关键信息的安全,防止发生不可预见的灾难、未经授权的访问和合规风险,都至关重要。组织实施 WORM 数据存储的原因有很多,包括:
- 额外的安全性:WORM 作为额外的保护层,保护知识产权和商业秘密等有价值的资产免遭未经授权的访问和潜在的数据泄露。
- 监管合规性:WORM 确保金融和医疗保健等行业的合规性,这些行业要求使用不可变数据存储来增强安全性和隐私性。
- 主动文件保护:WORM 可以有效防御关键业务文档的未经授权的更改或意外更改,确保只有授权人员才能访问和修改文件。
- 档案完整性:WORM 保留重要历史文档和记录的完整性,防止它们在存储时受到任何修改。
WriteOnce 基础知识
WriteOnce保护共享文件夹
在 DSM 中设置共享文件夹时,您可以选择使用Synology 基于 WORM 的文件保护解决方案WriteOnce来保护共享文件夹。这使您可以通过文件锁定功能确保文件夹内的文件不变性,以在您需要的时间内保护您的数据。WriteOnce 设置可以进一步微调,以根据您组织的独特需求定制保护。
WriteOnce 是在 btrfs 文件系统上的共享文件夹级别实现的,因此利用了 btrfs 的写入时复制 机制。这意味着对文件的任何修改都将在新数据块上进行,保持原始数据块完整且不变,以便在跟踪新块上的更改时用作参考。这有助于防止由于写入过程中的系统故障、崩溃或中断而可能发生的数据不一致或部分更新。
此外,为了确保数据完整性,WriteOnce 实现了CRC32 校验和,这是一种数学算法,经过计算可创建代表 WriteOnce 文件内容的唯一值。在读取操作期间,系统会比较校验和以检查数据差异并防止潜在的损坏。
笔记:
- WriteOnce 只能对新的共享文件夹启用,并且一旦创建,以后就无法将其转换回常规共享文件夹。
- 为了帮助组织遵守有关数据删除的某些数据监管标准,WriteOnce 共享文件夹的回收站会自动禁用。
WriteOnce的合规模式与企业模式
WriteOnce 允许您在两种不同的模式之间进行选择:合规性模式 和企业模式。两种模式都允许您锁定文件,以便它们无法被删除或重写,以提供数据持久性。但是,这两种模式在提供的保护类型方面是不同的,您应该选择最适合您或您的组织需求的模式。
合规模式
合规模式 可防止任何人(包括管理员)删除共享文件夹,从而提供高级别的数据保护。顾名思义,这种模式允许企业遵守某些监管要求,例如保护需要 数据不变性的关键财务记录或敏感医疗保健信息。
在此模式下,WriteOnce 文件夹中的文件永远无法更改或修改,并且只有在该文件夹中的所有文件达到其保留期结束后才能删除。为了防止任何篡改,不允许直接损害 WriteOnce 共享文件夹中的数据的操作,这意味着无法从 DSM 内删除卷或存储池。
企业模式
企业模式 在数据安全和管理控制之间取得了平衡。在此模式下,共享文件夹或其卷和存储池只能由授权管理员删除,从而在不影响数据完整性的情况下提供一定程度的数据管理灵活性。
这还使组织能够满足自我监管的法规和最佳实践,以保护其数据,使其免受任何未经授权的更改的影响。考虑到这一点,需要注意的是,虽然企业模式提供了增强的数据保护,但它可能无法满足特定的法规遵从性要求,因此应根据场景考虑其适用性。
企业模式和合规模式的区别
| 特点 | 企业模式 | 合规模式 |
|---|---|---|
| 可启用数据校验和以确保数据完整性 | 可选 | 默认启用,无法禁用 |
| 仅附加状态可应用于文件 | 是 | 是 |
| administrators可以删除未锁定的文件 | 是 | 是 |
| 无论锁定状态如何,管理员都可以删除锁定的文件 | 否 | 否 |
| 可重命名 WriteOnce 共享文件夹 | 否 | 否 |
| administrators可以删除 WriteOnce 共享文件夹 | 是 | 否 |
| administrators可以删除 WriteOnce 共享文件夹所在的存储空间 | 是 | 否 |
| administrators可删除包含 WriteOnce 共享文件夹的存储池 | 是 | 否 |
| 可拍摄 WriteOnce 共享文件夹的快照 | 是 | 是 |
| 可以复制 WriteOnce 共享文件夹的快照 | 是 | 是 |
| 可以在伙伴服务器上故障转移到 WriteOnce 共享文件夹 | 是 | 是 |
| 可以从 WriteOnce 共享文件夹的快照克隆新的共享文件夹* | 是 | 是 |
| 可以切换 WriteOnce 共享文件夹的复制 | 是 | 否 |
| 可执行重新保护操作以保护 WriteOnce 共享文件夹 | 是 | 否 |
| WriteOnce 共享文件夹可还原到特定快照 | 否 | 否 |
| WriteOnce 功能使用防篡改时钟机制 | 是 | 是 |
| WriteOnce 功能需要购买许可证 | 否 | 否 |
* WriteOnce 设置不会克隆到新的共享文件夹