NAS für kleines Start-Up - Verschlüsselung & VPN wichtig (DS218play?)

[dave_it]

Hallo zusammen,

ich bin gerade auf der Suche nach einem NAS für unser kleines Start-Up. Wir sind momentan noch zu zweit und entwickeln gerade ein Produkt. Einen Zuwachs auf mehr als 4 Personen sehe ich in den nächsten 3 Jahren nicht.
Der Hauptgrund für die Suche nach einem NAS ist, dass ich nicht möchte dass unsere Daten bei externen Anbietern eines Cloud-Dienstes gespeichert werden.
Besonders große Datenmengen werden nicht anfallen. Primär sollen Rechnungen, Kunden- und Lieferantendaten, interne Dokumente z.B. zu Strategien und Source-Code abgespeichert werden. Letzteres ist aber nicht unser Hauptprodukt, sondern eher eine nice-to-have Sache, da ich selbst Softwareentwickler bin. Dazu habe ich mich schlau gemacht und bin von einer WD EX2 Ultra relativ schnell weggekommen und empfinde die Synology DS218Play im RAID-1 aktuell als Wunschlösung, gerade weil es auch recht günstig ist.
Ich möchte außerdem gerne die komplette Disk verschlüsseln, um die Daten auch bei einem "physischen" Diebstahl abzusichern. Da habe ich ein paar Fragen, zu denen ich bisher keine wirklichen Antworten finden konnte:

1.) Kann man die gesamte Disk verschlüsseln? Ich habe bisher nur immer was von Folder-Encryption gelesen.
2.) Wird der Key auf dem Server gespeichert, oder muss ich den bei einem Neustart des NAS neu eingeben? Ich plane außerdem regelmäßige Backups auf einer externen Festplatte zu machen. Kann ich diese auch verschlüsseln?
2b) Wenn das NAS aus irgendeinem Grund nicht mehr verfügbar wäre (Brand, Diebstahl o.ä.) kann ich dann aus dem verschlüsselten USB-Backup die Daten wiederherstellen?

3.) Um von außen auf das NAS zuzugreifen würde ich gerne VPN Verbindungen nutzen. Das kommt mir als die sicherste und unkomplizierteste Lösung vor. Hat damit jemand bereits Erfahrungen gemacht? Gerade auch mit der Nutzung des NAS als VPN Server?
4.) Wie sieht es mit der Performance, gerade bei einem komplett verschlüsselten Volume, aus? Gibt es da starke Einbußen in den Schreib-/Lese-Raten? Hat das evtl. schon einmal jemand in Verbindung mit VPN getestet?

Schon einmal Danke für das Lesen!

Viele Grüße
David

 

[Frogman]

1.) Kann man die gesamte Disk verschlüsseln?

Nein.

2.) Wird der Key auf dem Server gespeichert, oder muss ich den bei einem Neustart des NAS neu eingeben? ...

Im aktuellen DSM kann er auch auf dem Server verbleiben. Externe Backups können auch verschlüsselt werden.

2b) Wenn das NAS aus irgendeinem Grund nicht mehr verfügbar wäre (Brand, Diebstahl o.ä.) kann ich dann aus dem verschlüsselten USB-Backup die Daten wiederherstellen?

Ja.

3.) Um von außen auf das NAS zuzugreifen würde ich gerne VPN Verbindungen nutzen. Das kommt mir als die sicherste und unkomplizierteste Lösung vor. Hat damit jemand bereits Erfahrungen gemacht? Gerade auch mit der Nutzung des NAS als VPN Server?

Ja.

4.) Wie sieht es mit der Performance, gerade bei einem komplett verschlüsselten Volume, aus? Gibt es da starke Einbußen in den Schreib-/Lese-Raten? Hat das evtl. schon einmal jemand in Verbindung mit VPN getestet?

Die lokale Verschlüsselung ist da eher weniger der Flaschenhals, dann eher die genaue Konfigurationen der VPN-Verschlüsselung und die Anbindung nach außen.

 

[Puppetmaster]

Hallo und Willkommen!

Ich mach's mal möglichst kurz:

1. Nein. Es können nur wahlweise die einzelnen Freigaben verschlüsselt werden.
2. Es gibt verschiedene Szenarien. Du kannst die Freigabe bei Start der DS automatisch entschlüsselt einhängen lassen. Das ist es aktuell über ein keyfile, das auf USB-Stick etc. liegen kann, realisiert. Zumindest vor DSM 6.x wurde stattdessen min. einmal der Hash des Passworts auf der DS gespeichert - geht ja nicht anders. Verschlüsselte Backups sind mittels des Pakets Hyper Backup möglich. Wiederherstellung bedarf dann allerdings am besten einer DS. Es ist aber auch möglich, per Zusatzsoftware für PC das Backup zu öffnen und Dateien zu extrahieren.
3. Klar, die DS kann auch als VPN Server eingesetzt werden. Ich verwende das z.B. vom Smartphone aus per openVPN.
4. gibt's ja nicht. Die Performance bei einem verschlüsselten Share hängt dann von der Hardware ab. Da müsstest du schauen, ob die DS Hardware Encryption bietet, das tun z.B. die low end Geräte oft nicht. Insgesamt ist die Performance aber dann auch nur intern relevant, da bei Zugriff von aussen das Netz ja, erst Recht bei Zugriff per VPN, nicht das schnellste sein wird.

 

[dave_it]

Hi!

Vielen Dank für eure Antworten. Das hört sich doch sehr gut an. Laut der Synology Webseite enthält das DS218play ein Hardware-Encryption Modul. Das sollte also von der Performance her, zumindest für meine Zwecke, ausreichen.
Ich denke die VPN-Fähigkeiten sollten dann auch vollkommen ausreichen. Das ist eigentlich auch nur dafür gedacht, von unterwegs unseren Passwortcontainer zu synchronisieren und evtl. mal ein Dokument zu öffnen. Bei unserem Anschluss wird da, wie schon von euch gesagt, sowieso eher der Upstream den Flaschenhals darstellen.

 

[dil88]

Die Performance bei Nutzung der Verschlüsselung unterscheidet sich von CPU zu CPU, auch wenn überall mit Hardware-Encryption-Modul geworben wird. Du kannst die Messwerte von Synology hier sehen. Bei kleinen Dateien ist eine 218+ danach spürbar schneller (vor allem beim Lesen) als eine 218play.

 

[dave_it]

Da ist was dran.
Dann muss ich doch noch einmal überlegen, ob es sich lohnt die 100€ für die 218+ draufzulegen.

 

[frankyst72]

Lohnen such auf jeden Fall bei gewerblichen Einsatz, nix ist schlimmer als ein lahmes Netz.

Für 85 € + Plattenpreis läßt sich auch ein tägliches, verschlüsseltes und automatisches Backup 'außer Haus' realisieren, ohne dass man an USB-PLatten anstöpseln, abstöpseln, austauschen, mitnehmen, etc. denken muss. (ca. 85 € kostet eine DS115j, die dafür voll tauglich ist und bei einem von Euch beiden Daheim stehen könnte).

Ein zusätzliches Backup auf USB wird aber immer gerne gesehen Je mehr, umso besser im Fall der Fälle.

 

[dave_it]

Danke! Ich werde dann wohl zur DS218+ greifen. Die Backup-Lösung hört sich sehr gut an. So werde ich das dann höchstwahrscheinlich auch aufsetzen.
Das ist zwar teurer, als ich zunächst geplant habe, aber dafür sollte das dann auch erst einmal eine Zeit lang reichen und ist vor allem eine sichere Lösung mit der man problemlos arbeiten kann.

Dann mache ich mich mal auf die Suche nach den passenden Festplatten.

Noch einmal Danke an euch alle, für eure Hilfe!