Come tenere al sicuro i dati sul NAS

Come tenere al sicuro i dati sul NAS? È semplice, grazie alle soluzioni messe a disposizione da Qnap sui propri prodotti.

Avatar di Marco Pedrani

a cura di Marco Pedrani

Caporedattore centrale

Qualche settimana fa vi abbiamo raccontato come fare backup su NAS facilmente, per mantenere al sicuro i vostri dati da ransomware e guasti che potrebbero colpire il vostro dispositivo in ogni momento. Affinché questi backup siano efficaci, è altrettanto importante però tenere al sicuro i dati sul NAS: malware e imprevisti, infatti, possono colpire tanto i nostri computer quanto questi dispositivi, perciò è fondamentale attuare tutte le misure necessarie per salvaguardare i nostri preziosi file personali archiviati sul NAS.

In questo articolo andremo a vedere alcuni strumenti utili allo scopo, messi a disposizione da Qnap a bordo di tutti i propri NAS. Per raccontarvi e mostrarvi le funzionalità di questi servizi useremo un Qnap TS-233, NAS 2-bay perfetto per creare un cloud personale per archiviare e condividere i propri file, o per dare vita a un centro multimediale all'avanguardia, grazie alla gestione multimediale centralizzata e al NPU che gestisce l'algoritmo IA di riconoscimento di volti e oggetti all'interno delle immagini.

Oltre al NPU citato, Qnap TS-233 integra un processore ARM Cortex-A55 64-bit quad core da 2GHz, 2GB di memoria RAM, 4GB di memoria flash con doppia protezione del sistema operativo di avvio, Gigabit Ethernet, due porte USB 2.0 sul retro e una USB 3.2 Gen 1 tipo A sulla parte frontale. Il NAS supporta unità SATA da 3,5" e 2,5" (sia Hard Disk che SSD) ed è possibile sostituire a caldo i dischi (hot swap).

Grazie al design minimale e compatto (misura solo 188,64 x 90,18 x 156,26 mm) Qnap TS-233 si adatta bene a qualsiasi ambiente, che sia domestico o lavorativo; il prezzo di circa 230 euro lo rende un'ottima soluzione per chi cerca un NAS non troppo costoso, ma che abbia tutte le funzionalità necessarie per tenere al sicuro i dati.

Il primo servizio di cui vogliamo parlarvi è quello di creazione degli snapshot. Gli snapshot assomigliano a dei backup, ma sono profondamente diversi: il backup si occupa di creare una copia completa dei dati, quindi se sul NAS avete archiviato, ad esempio, 1 TB di dati, ogni backup occuperà 1TB di spazio. Significa che se eseguite un backup al giorno, nel giro di un mese avrete occupato 30TB. Gli snapshot operano in maniera diversa: eseguono il controllo delle versioni e consentono di annullare una modifica; inoltre salvano solo le informazioni necessarie per questo processo. Ciò porta gli snapshot a occupare molto meno spazio di un backup, ma a fornire allo stesso tempo un buon livello di sicurezza: tutti i file e le cartelle presenti sul NAS possono essere ripristinati allo stato in cui si trovavano quando è stato creato lo snapshot, quindi in caso di ransomware, modifiche non volute o altri imprevisti, si potranno sempre recuperare i propri dati senza difficoltà.

Creare uno snapshot è molto semplice: avviate l'applicazione Archiviazione e snapshot, quindi dal menu Archiviazione sulla sinistra selezionate Archiviazione/Snapshot. Qui create un nuovo Storage Pool (nel caso non sia già presente) e un nuovo volume, seguendo la procedura guidata. A questo punto, tornate in Archiviazione e snapshot, quindi sempre dal menu a sinistra selezionate Istantanea nel menu Backup snapshot. Cliccate sul volume appena creato (nel nostro caso DataVol1), vi si aprirà la finestra di Gestione snapshot, da cui è possibile impostare e modificare la programmazione, scattare una istantanea oppure ripristinare uno snapshot creato in precedenza.

Sui NAS Qnap come questo TS-233 gli snapshot funzionano a livello blocco, tramite una procedura definita Redirect on Write (ROW), che permette di creare lo snapshot molto velocemente, oltre che ottimizzare lo spazio occupato rispetto agli snapshot a livello file, che salvano nuovamente l'intero file nello snapshot nel caso in cui avvenga una modifica. Con il funzionamento a livello blocco, nello snapshot viene copiata l'informazione che i metadati registrano dove è archiviato ciascun blocco di dati; inoltre ogni cambiamento ai blocchi viene scritto in uno spazio designato dello snapshot, aggiornando il metadato corrente per registrare la modifica.

Grazie alla presenza dei metadati, lo snapshot è in grado di riconoscere quali blocchi di dati sono stati aggiunti o modificati dalla sua creazione, quindi nel caso in cui si effettui un ripristino, ogni blocco torna allo stato in cui era quando lo snapshot è stato salvato, perdendo tutte le modifiche successive a quel momento. Questo ripristino dei blocchi corrisponde al ripristino dei nostri file, dal momento che ogni file è composto proprio da blocchi di dati. Come detto, questa procedura consente di annullare qualsiasi modifica a file, cartelle o perfino volumi, oltre che ripristinare documenti che sono stati erroneamente eliminati. La modalità di esecuzione degli snapshot studiata da Qnap consente poi di ripristinare un intero volume con un solo click, oppure di selezionare solamente alcuni file o cartelle specifiche. Inoltre, è possibile pianificare in maniera molto semplice l'esecuzione degli snapshot ed eseguirli manualmente in qualsiasi momento.

Se usate gli snapshot, ma vi state chiedendo come mai occupino molto dello spazio a loro disposizione, ricordate che eliminare i file rende gli snapshot grandi. Questo perché, dal momento che devono essere in grado di ripristinare i file eliminati, gli snapshot salvano al loro interno i blocchi di dati eliminati e sovrascritti; il salvataggio dei blocchi ha bisogno di molto più spazio rispetto al salvataggio dei metadati che avviene quando si aggiunge un file, quindi le dimensioni dello snapshot crescono più velocemente.

Per impostazione predefinita, Qnap alloca il 20% dello spazio d'archiviazione per gli snapshot, ma se doveste ritrovarvi a corto di spazio dedicato, non temete: grazie al lavoro di Qnap e agli strumenti messi a disposizione sui NAS dell'azienda, è possibile controllare e gestire lo spazio riservato agli snapshot in qualsiasi momento; inoltre, file, documenti e applicazioni avranno priorità nello spazio non allocato per gli snapshot. A questo proposito, si rivela molto comodo lo smart versioning, che gestisce autonomamente lo spazio tenendo salvato un numero predefinito (modificabile dall'utente) di snapshot orari, giornalieri, settimanali e mensili.

Ricapitolando, dovreste attivare gli snapshot per tenere al sicuro i vostri file presenti sul NAS, in modo da poterne ripristinare le vecchie versioni con un click in caso di ransomware, eliminazioni non volute o altri imprevisti. Lo spazio di archiviazione previsto da Qnap solitamente permette di scattare circa 256 snapshot, un numero molto più grande dei classici backup che si potrebbero archiviare in quello spazio.

Un altro strumento che dovreste attivare sul vostro NAS Qnap per aumentarne il livello di sicurezza e protezione è Security Counselor: se gli snapshot ci offrono una via d'uscita nel caso in cui un ransomware cripti i nostri file, Security Counselor agisce in prima linea affinché gli attacchi e le infezioni siano bloccati sul nascere.

Il software mette a disposizione diverse opzioni: permette di regolare le impostazioni più delicate con un checkup di sicurezza, eseguire una scansione antivirus e antimalware e monitorare gli avvisi di sicurezza, in modo da agire prontamente in caso di problemi. Security Counselor mette a disposizione tre criteri di sicurezza tra cui scegliere: base, intermedio e avanzato; sono dei preset ottimi per soddisfare le esigenze di sicurezza di privati, aziende o esperti del settore IT, ma nel caso in cui ci siano necessità particolari, questi criteri possono anche essere personalizzati.

La funzionalità più comoda di Security Counselor è però la possibilità di permettere al software di agire in autonomia: nel caso in cui vengano rilevati problemi dopo la scansione, si può interagire con il risultato della stessa per modificare le impostazioni necessarie manualmente e aumentare il livello di sicurezza, oppure si può concedere al programma la possibilità di prendere i provvedimenti necessari in maniera del tutto automatica, senza bisogno di alcun intervento da parte dell'utente. Si tratta di un'opzione senza dubbio molto comoda, dato che migliora la sicurezza del dispositivo e aiuta i meno esperti a tenere al sicuro tutti i propri file. E sempre a proposito di sicurezza, Security Counselor mostra i problemi in tre diversi livelli di gravità, bassa, media e alta, così da aiutare l'utente a capire quali sono le criticità prioritarie.

Oltre a Security Counselor e alle scansioni antivirus e antimalware, i NAS Qnap offrono un altro strumento per bloccare sul nascere gli attacchi dei malintenzionati: QuFirewall. Si tratta di un firewall basato su host che, a differenza del classico firewall basato su rete che crea un perimetro di difesa intorno alla rete locale, opera creando un perimetro intorno ai file e ai servizi impostati sul NAS. In unione agli altri software di sicurezza come Security Counselor, QuFirewall offre una maggior protezione contro hacker, malware e altre minacce, tenendo al sicuro i dati presenti sul dispositivo.

QuFirewall offre tre profili preimpostati, ma completamente personalizzabili, per la protezione del NAS. Di fatto si possono usare i preset come punto di partenza, da cui poi personalizzare il sistema di protezione per adattarlo al meglio alle proprie necessità. Il primo preset offre una protezione di base che consente tutte le porte della subnet LAN del NAS e la regione selezionata, il secondo profilo include solo la subnet LAN del NAS, il terzo profilo è denominato sicurezza limitata (Restricted Security) e consente solamente la regione selezionata e alcune porte della subnet LAN del NAS, non tutte.

Tra le personalizzazioni a disposizione, troviamo la possibilità di impostare le regole per regione grazie ai dati GeoLite2 forniti da MaxMind, in modo da consentire o negare l'accesso al NAS Qnap in base alla regione. In più è possibile monitorare attivamente la situazione e mitigare in modo efficace eventuali attacchi registrando i pacchetti negati per un certo lasso di tempo e ispezionandoli su sorgenti, protocolli e porte di servizio sotto attacco e analizzando i file di acquisizione pacchetto (PCAP). Questo monitoraggio attivo offre tre diverse opzioni: è possibile abilitare manualmente l'acquisizione degli eventi, attuarla in maniera automatica (quando si verificano eventi oltre i limiti preimpostati durante un certo lasso di tempo, il sistema acquisisce in pacchetti in maniera automatica) o effettuare un'ispezione profonda dei pacchetti, dove i pacchetti saranno salvati come file PCAP, così da poterli scaricare e analizzare facilmente.

Oltre a questo, Qnap ha istituito una squadra chiamata PSIRT (Product Security Incident Response Team) che si occupa di garantire il massimo livello di sicurezza dei dati, compilando regolarmente un elenco di server malevoli che viene precaricato all'interno di QuFirewall, in modo che gli utenti possano bloccare manualmente i server presenti nell'elenco e aumentare ulteriormente la sicurezza del NAS, proteggendo ancor meglio i propri dati.

Leggi altri articoli