Compliance & Security / ISO-27001:2022
資訊安全管理體系 (ISMS) 實作指南
ISO-27001 是全球廣泛認可的資訊安全管理標準。在 WaterNAS 實驗室中,我們不只將其視為理論,更透過架構設計,將資安控制項落實於自架的 TrueNAS 與 Zero Trust 運維生態中。
資安防禦基石:CIA 三要素
Confidentiality
🔒 機密性
確保只有獲得授權的人才能存取資料。在系統中,我們透過 Vaultwarden 密碼庫及 Tailscale ACL 實踐最小權限原則,嚴格隔離非授權設備。
Integrity
🛡️ 完整性
保護資料不被未授權地篡改或損毀。依賴 TrueNAS 的 ZFS 檔案系統 自動修復能力,搭配資料庫的正規化事務管理,確保數位資產數據絕對精確。
Availability
⚡ 可用性
確保獲授權的用戶在需要時皆可存取系統。透過落實 3-2-1 備份原則(自動同步快照至 pCloud 雲端),建立災難復原機制,維持 99.9% 服務上線率。
Annex A 核心控制項與 Homelab 實作矩陣
| 控制網域 (Domain) | ISO-27001 標準規範 | WaterNAS 運維落地實作 |
|---|---|---|
| A.5 組織控制 | 資訊資產的類別管理與正當使用規則。 | 禁止 App 內部數據(如 Immich、Gitea)直接與通用管理員(FileBrowser)混用,實施數據目錄專門化控管。 |
| A.8 密碼學控制 | 使用強加密演算法保護資料在傳輸與儲存時的安全。 | 全面啟用 Cloudflare SSL / TLS 橘雲防護。主機端資料集採用強金鑰加密,外部金鑰隔離。 |
| A.12 操作安全 | 防範惡意軟體,落實日誌審查與漏洞管理。 | 建置獨立網路防火牆(如 OPNsense/pfSense 橋接模式),實時監控流量、阻斷異常連線。 |
| A.14 系統獲取、開發與維護 | 確保開發環境與系統配置變更具備追溯性。 | 將所有 Web 設定檔、伺服器配置納入 Git 時光機 版本控管,消滅任何 Messy Work。 |
// ZERO-TRUST-SOP
運維大師(Ops)合規審查清單
真正的安全不是通過認證的那一天,而是維持在生產環境的每一天。請確保你的 TrueNAS 節點符合以下常態性防護:
- 01. 不盲目點擊自動更新: 每次 App 升級前(尤其是 PostgreSQL 資料庫的大版本遷移),務必查閱 GitHub Release Notes 並手動建立 ZFS Snapshot 快照。
- 02. 實施無密碼金鑰鏈: 捨棄傳統密碼登入,伺服器管理一律採用強大的 SSH 金鑰(如 ED25519),並將金鑰密鑰存入 Vaultwarden 安全筆記備份。
- 03. 拒絕 Allow All 預設規則: 定期校閱 Tailscale 的 ACL 存取權限。將通用設備分類打上 Tag,依據最小存取範圍,精準限縮 SMB、SSH 的連接埠。
