Ciao a tutti ragazzi,
in azienda dovremmo prendere un NAS per fare i backup dei dati.
Abbiamo attualmente 5 postazioni e grossomodo calcoliamo circa 100GB di dati a PC
Avevo adocchiato il ts-463u-rp con 4 WD red da 2TB ciascuno. Inoltre vorrei creare una strategia seria di backup contro virus e ramsoware principalmente.
Abbiamo due reti lan: 1 comprendente i pc che navigano su internet e l'altra che comprende gli apparati che non vanno su internet. Chiaramente il nas lo metto sulla rete senza internet. Ma se volessi che i pc che navigano in internet accedano al nas, come potrei fare? Mantenendo chiaramente il nas sulla rete che non naviga
Info per nas aziendale
Re: Info per nas aziendale
Ciao,
quello è il meno: appena il nas ha 2 schede di rete, puoi collegarlo ad entrambe, no problema.
Dopo dovrai decidere chi fa cosa, a livello di utente, di servizio e di scheda (puoi abilitare un servizio su una scheda ma non sull'altra, ad es).
Per i backup io prevederei un pool con spazio per le istantanee (problema ransomware quasi risolto) e strategie di ulteriori backup settimanali/mensili (vedi tu) fatti direttamente dal nas su altro supporto (un box raid1 via usb potrebbe essere una prima idea).
Per il nas, se lo spazio è così poco, ti basta un semplice raid1, magari con dischi un pelo più capienti (3Tb): le istantanee portano via sempre più spazio maggiore è la variabilità dei dati (accontentati di questa semplicistica risposta per il momento).
quello è il meno: appena il nas ha 2 schede di rete, puoi collegarlo ad entrambe, no problema.
Dopo dovrai decidere chi fa cosa, a livello di utente, di servizio e di scheda (puoi abilitare un servizio su una scheda ma non sull'altra, ad es).
Per i backup io prevederei un pool con spazio per le istantanee (problema ransomware quasi risolto) e strategie di ulteriori backup settimanali/mensili (vedi tu) fatti direttamente dal nas su altro supporto (un box raid1 via usb potrebbe essere una prima idea).
Per il nas, se lo spazio è così poco, ti basta un semplice raid1, magari con dischi un pelo più capienti (3Tb): le istantanee portano via sempre più spazio maggiore è la variabilità dei dati (accontentati di questa semplicistica risposta per il momento).
TS-453A 8Gb Kingston HyperX Impact CL9 (Seagate ST10000NM0086 + ST10000NE0008 
)-
tecnosystempuglia
- Messaggi: 5
- Iscritto il: 18/02/2018, 20:44
Re: Info per nas aziendale
grazie mille per la risposta. così facendo, dall'esterno il nas risulta "visibile per eventuali attacchi" però
Re: Info per nas aziendale
Il problema è ovviamente tutto e solo qua:
"Ma se volessi che i pc che navigano in internet accedano al nas, come potrei fare? Mantenendo chiaramente il nas sulla rete che non naviga"
Per risolvere il problema, le strade sono diverse e tutte molto sicure e collaudate: la prima cosa (banale, ma funziona assai bene) è creare una whitelist sul NAS in modo che solo gli IP locali possano accedervi.
Naturalmente non pubblichi niente su internet e, tramite il router, blocchi tutte le porte esterne verso l'IP locale della scheda del NAS collegata alla rete WEB.
Già così (è semplice da fare) parti molto bene.
Un inconveniente potrebbe essere l'infezione di un PC e l'eventuale "controllo remoto" che ne verrebbe determinato: se si prende il controllo di tale PC e tale PC vede il NAS, le politiche di privacy non possono nulla, e dopo si deve lavorare efficacemente di utenti limitati e password bastarde (limitando e scegliendo poi i soli servizi che tale PC usa).
Oltre ovviamente a COME viene usato il pc ed il s.o., cioè la "qualita" e la competenza dell'operatore che su tale pc lavora.
La sicurezza non la risolvi mai al 100% ma al 99% e passa ci arrivi
"Ma se volessi che i pc che navigano in internet accedano al nas, come potrei fare? Mantenendo chiaramente il nas sulla rete che non naviga"
Per risolvere il problema, le strade sono diverse e tutte molto sicure e collaudate: la prima cosa (banale, ma funziona assai bene) è creare una whitelist sul NAS in modo che solo gli IP locali possano accedervi.
Naturalmente non pubblichi niente su internet e, tramite il router, blocchi tutte le porte esterne verso l'IP locale della scheda del NAS collegata alla rete WEB.
Già così (è semplice da fare) parti molto bene.
Un inconveniente potrebbe essere l'infezione di un PC e l'eventuale "controllo remoto" che ne verrebbe determinato: se si prende il controllo di tale PC e tale PC vede il NAS, le politiche di privacy non possono nulla, e dopo si deve lavorare efficacemente di utenti limitati e password bastarde (limitando e scegliendo poi i soli servizi che tale PC usa).
Oltre ovviamente a COME viene usato il pc ed il s.o., cioè la "qualita" e la competenza dell'operatore che su tale pc lavora.
La sicurezza non la risolvi mai al 100% ma al 99% e passa ci arrivi
TS-453A 8Gb Kingston HyperX Impact CL9 (Seagate ST10000NM0086 + ST10000NE0008 )
Re: Info per nas aziendale
E' un po' difficile darti dei consigli senza capire meglio la situazione, vediamo:
Ma sarebbe l'unica destinazione di backup? Fosse così lo scenario è decisamente migliorabile.
Per un volume di backup è IMHO inutilmente sovrabbondante.
Poi, perché 4 dischi?
Ok che avendo più porte LAN (usando quelle classiche gigabit) è possibile implementare strategie avanzate, ma se non colleghi i NAS con almeno una porta nella stessa sottorete dei client è finito il giochino.
E non devi.
Oltretutto perderesti le mille altre potenzialità del NAS, che magari non sfrutti subito ma che poi ti verranno forse utili in futuro.
Io rivedrei tutto il progetto, almeno se lo scenario che ipotizzo io sia veramente quello che devi gestire (come vedi ho fatto delle domande in modo da chiarirmi meglio le idee).
Faccio un esempio su quello che immagino io sia la situazione, prendilo col beneficio dell'inventario perché magari è completamente da rifare se le condizioni al contorno non sono quelle che ipotizzo:
2 NAS (vanno bene dei banalissimi 2bay, o anche un 2bay e un single), uno collegato alla rete dei pc che esce su internet (blindandolo a dovere) su cui i vari client fanno i loro backup, si usa un altra porta per collegarlo alla seconda rete, uno collegato solo a questa seconda rete su cui il primo si bacuppa automaticamente.
Non serve RAID ne niente, piuttosto si mette un terzo NAS o comunque una terza destinazione di backup, magari in remoto sfruttando una LUN iSCSI.
Ok quindi sarebbe un NAS che avrebbe funzione di backuppare i vari client e non per condividere i files, corretto?tecnosystempuglia ha scritto: 18/02/2018, 20:54 in azienda dovremmo prendere un NAS per fare i backup dei dati.
Abbiamo attualmente 5 postazioni e grossomodo calcoliamo circa 100GB di dati a PC
Ma sarebbe l'unica destinazione di backup? Fosse così lo scenario è decisamente migliorabile.
Umhhh, a naso non mi pare una scelta appropriata. E' un prodotto con ridondanza anche a livello di PSU, e quindi è pensato per fornire continuità di servizio al massimo livello possibile su un NAS, cosa che si sposa bene per funzioni che necessitano "dell'always on" come appunto cartelle di lavoro condivise, server di posta, VM, e più in generale di tutto quello di cui sarebbe auspicabile avere rassicurazioni che stia acceso e funzionante h.24.Avevo adocchiato il ts-463u-rp con 4 WD red da 2TB ciascuno.
Per un volume di backup è IMHO inutilmente sovrabbondante.
Poi, perché 4 dischi?
Ok, per fare una cosa come si deve le destinazioni di backup devono essere almeno due (è vero che si possono fare due volumi sul solito NAS, ma non è certo la soluzione adatta a un contesto aziendale), e poi bisogna giocare (bene) sui diritti di scrittura dei vari utenti (che devi creare ad hoc). E' importantissimo che le password del o degli administrator non vengano MAI memorizzate, e che le cartelle di destinazione dei backup non siano scrivibili NEMMENO dagli admin ma solo da utenti ad hoc con le credenziali memorizzate nei SOLI software di backup. Se fai così il ransomware sarà del tutto impotente.Inoltre vorrei creare una strategia seria di backup contro virus e ramsoware principalmente.
Ma in che standard sono? Vedo che avevi addocchiato il ts-463u-rp, è perché ha già onboard la scheda 10Gbe SFP+? Siete dei ricconi alloraAbbiamo due reti lan: 1 comprendente i pc che navigano su internet e l'altra che comprende gli apparati che non vanno su internet.
Eh no, il NAS lo devi mettere nella stessa rete dove sono i pc, se no come fai a fargli fare i backups?Chiaramente il nas lo metto sulla rete senza internet.
Ok che avendo più porte LAN (usando quelle classiche gigabit) è possibile implementare strategie avanzate, ma se non colleghi i NAS con almeno una porta nella stessa sottorete dei client è finito il giochino.
Appunto, non puoi (lasciamo stare opzioni un po' più astruse che cmq non risolverebbero il problema che ti inquieta).Ma se volessi che i pc che navigano in internet accedano al nas, come potrei fare? Mantenendo chiaramente il nas sulla rete che non naviga
E non devi.
Oltretutto perderesti le mille altre potenzialità del NAS, che magari non sfrutti subito ma che poi ti verranno forse utili in futuro.
Io rivedrei tutto il progetto, almeno se lo scenario che ipotizzo io sia veramente quello che devi gestire (come vedi ho fatto delle domande in modo da chiarirmi meglio le idee).
Faccio un esempio su quello che immagino io sia la situazione, prendilo col beneficio dell'inventario perché magari è completamente da rifare se le condizioni al contorno non sono quelle che ipotizzo:
2 NAS (vanno bene dei banalissimi 2bay, o anche un 2bay e un single), uno collegato alla rete dei pc che esce su internet (blindandolo a dovere) su cui i vari client fanno i loro backup, si usa un altra porta per collegarlo alla seconda rete, uno collegato solo a questa seconda rete su cui il primo si bacuppa automaticamente.
Non serve RAID ne niente, piuttosto si mette un terzo NAS o comunque una terza destinazione di backup, magari in remoto sfruttando una LUN iSCSI.
-
tecnosystempuglia
- Messaggi: 5
- Iscritto il: 18/02/2018, 20:44
Re: Info per nas aziendale
tecnosystempuglia ha scritto: 18/02/2018, 20:54 in azienda dovremmo prendere un NAS per fare i backup dei dati.
Abbiamo attualmente 5 postazioni e grossomodo calcoliamo circa 100GB di dati a PC
In che senso migliorabile? Considera che sono aperto a tutte le proposte. Aggiungeresti altre destinazioni di backup?Ok quindi sarebbe un NAS che avrebbe funzione di backuppare i vari client e non per condividere i files, corretto?
Ma sarebbe l'unica destinazione di backup? Fosse così lo scenario è decisamente migliorabile.
Avevo adocchiato il ts-463u-rp con 4 WD red da 2TB ciascuno.
Non solo backup ma anche condivisione files tra pc.Umhhh, a naso non mi pare una scelta appropriata. E' un prodotto con ridondanza anche a livello di PSU, e quindi è pensato per fornire continuità di servizio al massimo livello possibile su un NAS, cosa che si sposa bene per funzioni che necessitano "dell'always on" come appunto cartelle di lavoro condivise, server di posta, VM, e più in generale di tutto quello di cui sarebbe auspicabile avere rassicurazioni che stia acceso e funzionante h.24.
Per un volume di backup è IMHO inutilmente sovrabbondante.
Poi, perché 4 dischi?
attualmente non credo che ci servano macchine virtuali.
per la posta elettronica, serve un NAS?
Inoltre vorrei creare una strategia seria di backup contro virus e ramsoware principalmente.
Ottimo, quindi è importante un software che faccia questo giusto? Magari anche avere delle istantaneeOk, per fare una cosa come si deve le destinazioni di backup devono essere almeno due (è vero che si possono fare due volumi sul solito NAS, ma non è certo la soluzione adatta a un contesto aziendale), e poi bisogna giocare (bene) sui diritti di scrittura dei vari utenti (che devi creare ad hoc). E' importantissimo che le password del o degli administrator non vengano MAI memorizzate, e che le cartelle di destinazione dei backup non siano scrivibili NEMMENO dagli admin ma solo da utenti ad hoc con le credenziali memorizzate nei SOLI software di backup. Se fai così il ransomware sarà del tutto impotente.
Abbiamo due reti lan: 1 comprendente i pc che navigano su internet e l'altra che comprende gli apparati che non vanno su internet.
la rete ora è gigabit, da rivedere qualcosina ma gigabitMa in che standard sono? Vedo che avevi addocchiato il ts-463u-rp, è perché ha già onboard la scheda 10Gbe SFP+? Siete dei ricconi allora
Chiaramente il nas lo metto sulla rete senza internet.
quindi è importante implementare un firewallEh no, il NAS lo devi mettere nella stessa rete dove sono i pc, se no come fai a fargli fare i backups?
Ok che avendo più porte LAN (usando quelle classiche gigabit) è possibile implementare strategie avanzate, ma se non colleghi i NAS con almeno una porta nella stessa sottorete dei client è finito il giochino.
Ma se volessi che i pc che navigano in internet accedano al nas, come potrei fare? Mantenendo chiaramente il nas sulla rete che non naviga
si questo tuo suggerimento mi sembra molto interessante.Appunto, non puoi (lasciamo stare opzioni un po' più astruse che cmq non risolverebbero il problema che ti inquieta).
E non devi.
Oltretutto perderesti le mille altre potenzialità del NAS, che magari non sfrutti subito ma che poi ti verranno forse utili in futuro.
Io rivedrei tutto il progetto, almeno se lo scenario che ipotizzo io sia veramente quello che devi gestire (come vedi ho fatto delle domande in modo da chiarirmi meglio le idee).
Faccio un esempio su quello che immagino io sia la situazione, prendilo col beneficio dell'inventario perché magari è completamente da rifare se le condizioni al contorno non sono quelle che ipotizzo:
2 NAS (vanno bene dei banalissimi 2bay, o anche un 2bay e un single), uno collegato alla rete dei pc che esce su internet (blindandolo a dovere) su cui i vari client fanno i loro backup, si usa un altra porta per collegarlo alla seconda rete, uno collegato solo a questa seconda rete su cui il primo si bacuppa automaticamente.
Non serve RAID ne niente, piuttosto si mette un terzo NAS o comunque una terza destinazione di backup, magari in remoto sfruttando una LUN iSCSI.
Re: Info per nas aziendale
tecnosystempuglia ha scritto: 17/03/2018, 22:16In che senso migliorabile? Considera che sono aperto a tutte le proposte. Aggiungeresti altre destinazioni di backup?
Principalmente aggiungendo destinazioni ulteriori di backup, e implementando anche un test di ripristino degli archivi da eseguire di tanto in tanto.
Ok ma è questo tipo di NAS è pensato per la massima (massima possibile con un NAS) continuità di servizio, e infatti i costi sono proporzionati (alti). Se ho capito bene a te serve più un sistema di salvaguardia che un sistema pensato per massimizzare "l'always on", anche perché le probabilità di down sono già basse di suo scegliendo componenti di qualità.Non solo backup ma anche condivisione files tra pc.
attualmente non credo che ci servano macchine virtuali.
La condivisione di files non è un problema, se vuoi che essi (o parte di essi) siano poi disponibili anche da remoto c'è a maggior ragione che il NAS principale sia connesso alla sottorete che esce su internet.
No se non vuoi crearti tu un server.per la posta elettronica, serve un NAS?
Sì il software di backup è importantissimo, poi ci sono anche delle app direttamente scaricabili nel NAS che servono a backuppare il NAS stesso.Ottimo, quindi è importante un software che faccia questo giusto?
Sì se crei un volume "non statico" (quindi o Thin o Thick).Magari anche avere delle istantanee
Cmq si chiamano snapshot anche i vari step incrementali o differenziali che crea il SW di backup, quindi ci si può confondere anche se sotto certi aspetti sono simili.
Ok quindi la 10Gbe SFP+ non ti serve, almeno per adesso.la rete ora è gigabit, da rivedere qualcosina ma gigabit
Mah è importante a prescindere. E cmq sappi che con il NAS te la giochi bene con gli utenti e i permessi alle varie cartelle (e volendo puoi filtrare anche gli IP).quindi è importante implementare un firewall