HOMELAB

NAS ที่บ้านควรตั้งค่าอะไรบ้างก่อนเอาข้อมูลสำคัญไปเก็บ

ก่อนเอารูป เอกสาร งานลูกค้า หรือ backup สำคัญไปไว้บน NAS ที่บ้าน ควรตั้งค่าพื้นฐานเรื่องบัญชี สิทธิ์ การอัปเดต backup และ remote access ให้รัดกุมพอใช้งานจริง

Nattapon Chatprechakul

3 min read
Share
ภาพประกอบ NAS ที่บ้านพร้อมชั้นป้องกัน บัญชีผู้ใช้ backup และ remote access ที่ถูกควบคุม

NAS ที่บ้านมักเริ่มจากโจทย์ง่าย ๆ ครับ เช่น อยากเก็บรูปครอบครัวให้เป็นที่เดียว อยากมี shared folder ใช้ในบ้าน อยาก backup laptop หรืออยากเอาไฟล์งานออกจาก cloud บางส่วน พอใช้ไปสักพัก NAS ก็มักกลายเป็น "ที่เก็บของสำคัญ" โดยไม่รู้ตัว

ปัญหาคือหลายบ้านเอาข้อมูลสำคัญเข้า NAS ก่อน แล้วค่อยมาคิดเรื่องความปลอดภัยทีหลัง ทั้งที่ NAS ไม่ใช่แค่ hard disk ต่อ network แต่มันเป็น server ตัวหนึ่ง มี account, permission, service, package, remote access, update, log และบางครั้งยังเชื่อมกับ cloud หรือ mobile app อีกด้วย

บทความนี้ชวนเช็กสิ่งที่ควรตั้งค่าก่อนเอาข้อมูลสำคัญไปเก็บบน NAS ที่บ้าน โดยเน้นแนวทางที่ทำได้จริง ไม่ต้องทำให้บ้านกลายเป็น data centre แต่ต้องลดความเสี่ยงพื้นฐานให้พอเหมาะกับข้อมูลที่เรากำลังฝากไว้กับมัน

สาระตั้งต้นจากแหล่งอ้างอิง

ก่อนเรียบเรียงเป็นบทความ ผมสรุปแก่นจากแหล่งข้อมูลที่ใช้จริงไว้ก่อน:

  1. Synology และ QNAP ต่างมีคำแนะนำเรื่องการเพิ่มความปลอดภัยของบัญชี เช่น 2FA, account protection, auto block, security scan และการปิดหรือเลี่ยงการใช้ default admin account
  2. NIST แนะนำให้เปิด multi-factor authentication โดยเฉพาะกับบัญชีที่เข้าถึงข้อมูลอ่อนไหวหรือมีสิทธิ์สูง และให้จำกัด administrative privilege เฉพาะคนที่จำเป็น
  3. CISA แนะนำให้ backup ข้อมูลสำคัญแบบแยกจากระบบหลัก ใช้หลัก 3-2-1 และทดสอบ restore ให้มั่นใจว่ากู้คืนได้จริง
  4. CISA Ransomware Guide ย้ำว่า remote service ที่เปิดกว้างหรือป้องกันไม่ดีเป็นทางเข้าที่พบบ่อย และควร patch, ใช้ MFA, ปิด port ที่ไม่ใช้ และเก็บ log
  5. NAS vendor guidance มักชี้ไปทางเดียวกันคืออย่าให้ NAS ถูกเปิดกว้างจากอินเทอร์เน็ตโดยไม่จำเป็น และให้ใช้ security advisor หรือเครื่องมือตรวจ configuration ที่ระบบมีให้

ถ้าแปลเป็นภาษาคนใช้บ้าน ๆ แก่นคือก่อนเก็บข้อมูลสำคัญบน NAS เราควรตอบให้ได้ว่าใครเข้าได้ เข้าอย่างไร สิทธิ์กว้างแค่ไหน backup แยกพอหรือยัง และถ้าเกิดเรื่องเราจะรู้จาก log ตรงไหน

เริ่มจากเปลี่ยนมุมมอง: NAS คือ server ไม่ใช่กล่องเก็บไฟล์เฉย ๆ

สิ่งแรกที่ควรทำคือเปลี่ยนวิธีคิดครับ ถ้ามอง NAS เป็นแค่กล่องเก็บไฟล์ เรามักตั้งค่าให้สะดวกที่สุด เช่น ใช้บัญชีเดียวทุกอย่าง เปิด shared folder กว้าง ๆ เปิด remote access ตาม wizard และติดตั้ง package ไปเรื่อย ๆ

แต่ถ้ามอง NAS เป็น server ขนาดเล็ก เราจะเริ่มถามคำถามต่างออกไป:

  1. บัญชี admin ใช้ทำงานประจำวันอยู่หรือเปล่า
  2. ผู้ใช้แต่ละคนเห็น folder เกินกว่าที่ควรเห็นไหม
  3. service หรือ container มีสิทธิ์เขียนทับข้อมูลสำคัญหรือไม่
  4. NAS เปิดจากอินเทอร์เน็ตตรงหรือผ่านชั้นควบคุมตัวตน
  5. ถ้าไฟล์ถูกลบหรือเข้ารหัส จะย้อนกลับได้จริงไหม
  6. ถ้าคนในบ้านหรือ automation ทำผิดพลาด จะเสียหายกว้างแค่ไหน

โจทย์ของการ harden NAS ที่บ้านจึงไม่ใช่ทำให้ใช้งานยาก แต่คือทำให้ความสะดวกไม่แลกกับสิทธิ์ที่กว้างเกินจำเป็น

ตั้งบัญชีให้แยกหน้าที่ตั้งแต่แรก

ข้อผิดพลาดที่เจอบ่อยคือใช้บัญชี admin เป็นบัญชีประจำวัน เพราะตอนตั้งค่าแรก ๆ มันง่ายที่สุด แต่บัญชี admin ควรใช้เฉพาะเวลาบริหารระบบ เช่น update, สร้าง user, เปลี่ยน permission, ตั้ง backup หรือแก้ network setting

แนวทางที่ practical คือ:

  1. สร้างบัญชี admin ใหม่ที่ชื่อเดายากกว่า admin
  2. ปิดหรือเลี่ยงการใช้ default admin account ถ้า NAS รุ่นนั้นรองรับ
  3. สร้างบัญชีผู้ใช้ทั่วไปสำหรับงานประจำวัน
  4. สร้าง service account แยกสำหรับ backup, sync, container หรือ automation
  5. เปิด 2FA/MFA ให้บัญชี admin และบัญชีที่เข้าถึงข้อมูลสำคัญ
  6. เก็บ recovery code หรือวิธี recovery ไว้ใน password manager หรือที่ปลอดภัย
ภาพประกอบ: การแยกบัญชี admin ผู้ใช้ทั่วไป และ service account บน NAS

จุดสำคัญคืออย่าให้ service account กลายเป็น admin แฝง เช่น บัญชีที่ใช้ backup ไม่ควรลบ snapshot หรือ folder ปลายทางทั้งหมดได้ง่าย ๆ ส่วนบัญชีที่ใช้ sync รูปจากมือถือก็ไม่จำเป็นต้องเห็นเอกสารงานหรือ folder backup ของเครื่องอื่น

ถ้า NAS ใช้ร่วมกันในบ้าน อย่าแชร์บัญชีเดียวทั้งครอบครัว เพราะเวลามีไฟล์หายหรือลบผิด เราจะไม่รู้ว่าเกิดจากอุปกรณ์ไหนหรือคนไหน การมีบัญชีแยกช่วยทั้งเรื่อง security และ troubleshooting

ตั้ง permission ตามข้อมูล ไม่ใช่ตามความสะดวก

ก่อนสร้าง shared folder จำนวนมาก ผมแนะนำให้จัดกลุ่มข้อมูลก่อน เพราะ NAS ที่ปลอดภัยขึ้นเริ่มจากการรู้ว่าข้อมูลไหนสำคัญและควรแยกจากอะไร

ตัวอย่างกลุ่มที่ใช้ได้จริง:

  1. Family Photos สำหรับรูปและวิดีโอส่วนตัว
  2. Documents สำหรับเอกสารสำคัญ
  3. Work สำหรับไฟล์งานหรือข้อมูลลูกค้า
  4. Backups สำหรับ backup จาก laptop หรือ server
  5. Media สำหรับไฟล์ที่ดาวน์โหลดใหม่ได้
  6. Temp สำหรับไฟล์ชั่วคราวที่ลบทิ้งได้

อย่าทำทุกอย่างเป็น shared folder เดียวแล้วให้ทุกบัญชี read/write ทั้งหมด เพราะถ้าเครื่องเครื่องหนึ่งติด malware หรือบัญชีหนึ่งถูกยึด ความเสียหายจะลามไปทุกอย่างทันที

หลักที่ควรใช้คือ least privilege หรือให้สิทธิ์เท่าที่จำเป็น เช่น มือถือที่ sync รูปควรเขียนได้เฉพาะ folder รูปของตัวเอง เครื่อง media player ควรอ่าน media ได้แต่ไม่ควรเห็นเอกสารสำคัญ ส่วน laptop ที่ backup เข้า NAS ควรเขียน backup ได้แต่ไม่ควรลบ backup เก่าทั้งชุดได้ง่ายถ้าเครื่องรองรับการตั้งค่าแบบนั้น

สำหรับข้อมูลลูกค้าหรือข้อมูลส่วนตัวที่อ่อนไหว ควรเปิด encryption เท่าที่ใช้งานไหว และต้องไม่ลืมเรื่อง recovery key เพราะ encryption ที่ดีแต่ key หาย ก็เท่ากับข้อมูลหายเหมือนกัน

อัปเดตระบบและ package อย่าปล่อยให้กลายเป็นงานค้าง

NAS หลายรุ่นมีระบบปฏิบัติการของตัวเอง เช่น DSM, QTS หรือระบบอื่น ๆ และมักมี package เพิ่มเติม เช่น photo management, file sync, media server, container, VPN, web server หรือ database

ยิ่งติดตั้งเยอะ attack surface ยิ่งกว้างขึ้น ดังนั้นควรถามตัวเองเป็นระยะว่า package ไหนยังใช้จริง และ package ไหนติดตั้งไว้เพราะเคยลองแล้วลืมลบ

แนวทางที่ผมใช้คือ:

  1. เปิด security notification หรือ advisory จาก vendor
  2. อัปเดต NAS OS และ package ตามรอบที่เหมาะสม
  3. ลบ package ที่ไม่ได้ใช้
  4. ปิด service ที่ไม่จำเป็น เช่น FTP, Telnet, SSH หรือ web service ถ้าไม่ได้ใช้งาน
  5. ถ้าต้องเปิด SSH ให้จำกัด source, ใช้ key, และปิดเมื่อไม่จำเป็น
  6. ใช้ Security Advisor, Security Counselor หรือเครื่องมือตรวจ configuration ที่ NAS มีให้

ไม่จำเป็นต้องกด update ทันทีทุกครั้งโดยไม่อ่านอะไรเลย โดยเฉพาะบ้านที่ใช้ NAS ทำงานสำคัญ แต่ก็ไม่ควรปล่อยแพตช์ค้างเป็นเดือน ๆ โดยไม่มีเหตุผล เพราะ NAS ที่เปิด network ตลอดเวลาไม่เหมือน external drive ที่เสียบเฉพาะตอนใช้

Backup ต้องแยกจาก NAS ไม่ใช่อยู่ใน NAS อย่างเดียว

หลายคนซื้อ NAS เพื่อ backup ข้อมูลจาก laptop ซึ่งเป็นจุดเริ่มต้นที่ดี แต่พอเวลาผ่านไป NAS มักกลายเป็นที่เก็บข้อมูลหลัก เช่น รูปอยู่ใน NAS เท่านั้น เอกสารเก่าอยู่ใน NAS เท่านั้น หรือ project สำคัญอยู่ใน shared folder เท่านั้น

ถ้า NAS กลายเป็นที่เก็บหลักแล้ว NAS เองก็ต้องมี backup อีกชั้นครับ RAID ไม่ใช่ backup เพราะ RAID ช่วยลดผลกระทบบางกรณีจาก disk เสีย แต่ไม่ได้ช่วยถ้าไฟล์ถูกลบผิด ถูก sync ทับ ถูก ransomware เข้ารหัส NAS เสียทั้งเครื่อง บ้านไฟไหม้ หรือตั้งค่าผิดจนข้อมูลหาย

อย่างน้อยควรมี:

  1. Snapshot หรือ versioning สำหรับย้อนกลับจากการลบหรือแก้ผิด
  2. Backup อีกชุดไป external drive หรือ storage แยก
  3. Backup off-site หรือ cloud backup สำหรับข้อมูลที่หายไม่ได้
  4. Account backup ที่สิทธิ์แยกจากบัญชีใช้งานประจำ
  5. การทดสอบ restore เป็นระยะ ไม่ใช่แค่ดูว่า job ขึ้นสีเขียว
ภาพประกอบ: NAS ที่มี snapshot, external backup, cloud backup และการทดสอบ restore

ถ้าต้องการลงรายละเอียดเรื่องนี้ อ่านต่อได้ที่ Backup 3-2-1 แบบเข้าใจง่าย: ป้องกันข้อมูลหายโดยไม่ต้องมีระบบใหญ่ เพราะ NAS ที่ดีควรเป็นส่วนหนึ่งของ backup strategy ไม่ใช่จุดเดียวที่ทุกอย่างพึ่งพา

Remote access ต้องแคบและอธิบายได้

NAS สมัยนี้มักมี feature ให้เข้าจากนอกบ้านได้ง่าย เช่น vendor relay, DDNS, port forwarding, VPN, mobile app, cloud link หรือ reverse proxy ความสะดวกตรงนี้มีประโยชน์ แต่ก็เป็นส่วนที่ทำให้ความเสี่ยงเพิ่มขึ้นเร็วที่สุด

หลักที่ผมแนะนำคืออย่าเปิด NAS admin interface ออกอินเทอร์เน็ตตรงถ้าไม่จำเป็นจริง ๆ โดยเฉพาะผ่าน port forwarding แบบกว้าง ๆ ถ้าต้องเข้าจากนอกบ้าน ให้พิจารณาทางเลือกที่ควบคุมตัวตนและ scope ได้ดีกว่า เช่น VPN, Tailscale, NetBird, Cloudflare Tunnel พร้อม Access policy หรือ vendor remote access ที่ตั้ง MFA และ permission ชัดเจน

ก่อนเปิด remote access ให้ถาม:

  1. ต้องเข้าจากนอกบ้านจริงไหม หรือรอเข้าตอนอยู่บ้านได้
  2. เปิดเฉพาะ file access หรือเปิด admin UI ด้วย
  3. มี MFA หรือ identity layer หน้า service สำคัญหรือยัง
  4. Port forwarding ยังเปิดทิ้งไว้หรือไม่
  5. Remote user เห็นทั้ง NAS หรือเฉพาะ folder ที่ต้องใช้
  6. มี log login สำเร็จและล้มเหลวให้ตรวจย้อนหลังหรือไม่
  7. ถ้าบัญชีถูกยึด จะลบ snapshot หรือ backup ได้หรือเปล่า
ภาพประกอบ: การแยก network และให้ remote access ผ่าน checkpoint แทนการเปิด NAS กว้างทั้งบ้าน

ถ้าใช้ NAS อยู่ใน homelab ที่มีหลาย service ควรอ่าน ใช้ Cloudflare Tunnel กับ Homelab อย่างไรให้ปลอดภัยขึ้น และ จาก NAS ถึง Reverse Proxy: พื้นฐานความปลอดภัยที่คนทำ Homelab มักมองข้าม เพิ่ม เพราะ remote access ที่ดีไม่ได้จบที่ "เข้าได้" แต่ต้องรู้ว่าเปิดทางไหนให้ใคร และปิดทางตรงที่ไม่ควรเปิดหรือยัง

แยก network เท่าที่ดูแลไหว

ถ้าที่บ้านมี router ที่ทำ guest network หรือ VLAN ได้ การแยก NAS ออกจาก IoT และ guest device เป็นเรื่องที่ควรทำมาก โดยเฉพาะบ้านที่มีกล้อง, smart TV, smart plug, tablet เก่า หรืออุปกรณ์ที่ไม่ค่อยได้อัปเดต

ไม่จำเป็นต้องเริ่มจาก network design ซับซ้อน ตัวอย่างขั้นต่ำคือ:

  1. เครื่องส่วนตัวที่ไว้ใจได้ เช่น laptop และมือถือ อยู่ network หลัก
  2. NAS และ server สำคัญอยู่ network ที่คุม access ได้
  3. IoT และ guest อยู่ network แยกที่ไม่เห็น NAS
  4. Remote access เข้าผ่าน VPN หรือ access gateway ไม่ใช่เปิดทุกอย่างตรง

ถ้ายังทำ VLAN ไม่ได้ อย่างน้อยให้ใช้ firewall ของ NAS, router rule, app permission และการปิด discovery protocol ที่ไม่จำเป็นช่วยลดการมองเห็นข้ามอุปกรณ์ อย่าปล่อยให้ smart TV หรืออุปกรณ์ guest เห็น shared folder สำคัญเพียงเพราะต่อ Wi-Fi เดียวกัน

Log และ alert ช่วยให้รู้ตัวก่อนเรื่องเล็กกลายเป็นเรื่องใหญ่

NAS ที่เก็บข้อมูลสำคัญควรมี log พื้นฐานให้ดูย้อนหลังได้ เช่น login สำเร็จและล้มเหลว, การเปลี่ยน permission, การสร้างหรือลบ user, backup job, snapshot, update, service start/stop และ remote access

สิ่งที่ควรเปิดหรือทบทวน:

  1. Email หรือ push notification เมื่อมี login แปลก ๆ
  2. Auto block หรือ account protection เมื่อ login ผิดซ้ำ
  3. Log ของ backup และ restore
  4. Log ของ remote access หรือ VPN
  5. Alert เมื่อ volume ใกล้เต็ม disk มีปัญหา หรือ backup ล้มเหลว

ไม่ต้องเก็บ log ทุกอย่างตลอดไป แต่ควรมีข้อมูลพอให้ตอบคำถามพื้นฐานว่า "เกิดอะไรขึ้น เมื่อไร จากบัญชีไหน และกระทบข้อมูลชุดใด" ถ้าอยากวางภาพรวม monitoring ในบ้าน อ่าน วิธีวาง Log และ Monitoring สำหรับ Homelab แบบเรียบง่ายแต่ใช้งานได้จริง ต่อได้ครับ

Checklist ก่อนเอาข้อมูลสำคัญเข้า NAS

ก่อนย้ายรูป เอกสาร หรือไฟล์งานสำคัญเข้า NAS ผมจะเช็กตามนี้:

  1. มีบัญชี admin แยกจากบัญชีใช้งานประจำ
  2. ปิดหรือเลี่ยง default admin account แล้วถ้าระบบรองรับ
  3. เปิด MFA/2FA ให้บัญชี admin และบัญชีสำคัญ
  4. Shared folder แยกตามประเภทข้อมูล
  5. ผู้ใช้แต่ละคนเห็นเฉพาะ folder ที่ต้องใช้
  6. Service account ไม่ได้มีสิทธิ์กว้างเท่า admin
  7. NAS OS และ package สำคัญอัปเดตในระดับที่เหมาะสม
  8. ปิด service ที่ไม่ได้ใช้
  9. Remote access ไม่เปิด admin UI ออกอินเทอร์เน็ตตรง
  10. มี snapshot หรือ versioning สำหรับ folder สำคัญ
  11. มี backup อีกชุดที่แยกจาก NAS
  12. มี off-site หรือ cloud backup สำหรับข้อมูลที่หายไม่ได้
  13. เคยทดสอบ restore แล้ว ไม่ใช่แค่ตั้ง backup job
  14. IoT หรือ guest device ไม่เห็น NAS โดยไม่จำเป็น
  15. เปิด log และ alert พื้นฐานแล้ว

ถ้า checklist นี้ยังทำไม่ได้ทั้งหมด ไม่ได้แปลว่าห้ามใช้ NAS แต่ควรรู้ว่าจุดไหนคือความเสี่ยงที่ยังเหลืออยู่ และอย่าเอาข้อมูลที่หายไม่ได้ไปฝากไว้ก่อนจะมี backup ที่กู้คืนได้จริง

อ่านต่อที่เกี่ยวข้อง

สรุป

NAS ที่บ้านเป็นเครื่องมือที่มีประโยชน์มาก แต่ยิ่งมันเก็บข้อมูลสำคัญมากเท่าไร เราก็ยิ่งควรดูแลมันเหมือน server ตัวหนึ่ง ไม่ใช่แค่กล่อง hard disk ในบ้าน

พื้นฐานที่ควรทำก่อนคือแยกบัญชี admin, เปิด MFA, จำกัด permission, อัปเดตระบบ, ปิด service ที่ไม่ใช้, ทำ backup ที่แยกจาก NAS, ทดสอบ restore, และเปิด remote access เท่าที่อธิบายได้ว่าจำเป็นจริง

สุดท้าย ความปลอดภัยของ NAS ไม่ได้อยู่ที่ซื้อรุ่นใหญ่หรือเปิด feature เยอะ แต่อยู่ที่เรารู้ว่าข้อมูลสำคัญอยู่ตรงไหน ใครเข้าถึงได้อย่างไร และถ้าวันหนึ่งเกิดปัญหา เรายังมีสำเนาที่กู้คืนได้จริงหรือไม่

แหล่งอ้างอิง

Cybersecurity · Homelab · Technology — written in Thai & English
LinkedIn · RSS Feed · About · Subscribe