La gamma di soluzioni ActiveProtect di Synology nasce per proteggere in modo centralizzato App SaaS, VM, server fisici, endpoint e database: in prova il compatto DP320.
Gli attacchi informatici sono in aumento. Le minacce si stanno verificando più velocemente che mai, con effetti di vasta portata. Il tempo medio di breakout per gli aggressori all’interno di un’organizzazione è di 48 minuti, con il caso più veloce di 51 secondi. Alla fine del 2024, gli attacchi di phishing vocale sono aumentati del 442%. In tutti i settori, gli attacchi a livello nazionale sono cresciuti del 200-300%, dimostrando la necessità di migliori difese contro gli attacchi. I team IT devono capire che la sicurezza degli endpoint da sola non è sufficiente per raggiungere la resilienza informatica. Si evidenzia la necessità di costruire una strategia a più livelli!
Proprio seguendo questa logica, gli appliance Synology ActiveProtect sono stati pensati per garantire alle aziende tranquillità e continuità delle operazioni. ActiveProtect è dotato di specifici controlli di sicurezza ed è in grado di eseguire un’ampia gamma di carichi di lavoro. Il sistema vanta funzionalità per l’immutabilità dei dati e opzioni per scalare lo storage, oltre a opzioni di ripristino dei dati flessibili e automatizzate, che consentono di eseguire recovery in pochi minuti. Ciò consente di ridurre al minimo i tempi di inattività e di mantenere la continuità aziendale a fronte a un’improvvisa perdita di dati.
Perché Synology ActiveProtect?
Man mano che gli attacchi informatici diventano più complessi, le aziende devono implementare attivamente strategie di ripristino informatico per garantire una protezione completa dei dati. Il ransomware, non solo crittografa i file operativi critici, ma elimina anche i dati di backup. Quando ciò si verifica, l’intero business aziendale può essere paralizzato, con un impatto che si estende ulteriormente all’intera catena di approvvigionamento.
Quando di parla di network recovery si intende la possibilità o meno di ripristinare correttamente i sistemi e i dati critici dopo attacchi informatici, attacchi ransomware o furto di dati. Ciò pone particolare enfasi sull’integrità dei dati e sulle politiche di sicurezza. Una infrastruttura realmente resiliente consente alle aziende di riprendersi rapidamente dopo un attacco e di difendersi dalle minacce future.
Di fatto, se le imprese si affidano esclusivamente a strategie di backup e ripristino di emergenza, questi strumenti potrebbero non essere sufficienti per prevenire gli attacchi ransomware. Ciò è particolarmente vero se i dati di backup sono già stati presi di mira e compromessi. Per questo motivo, l’implementazione di una strategia di cyber recovery è fondamentale in quanto offre il livello più avanzato di protezione contro le minacce crescenti.
Con l’intera famiglia ActiveProtect, Synology intende proporre soluzioni di protezione estese, in grado di assicurare il backup pervasivo cross-platform e la certezza del ripristino in ogni tipo di ambiente. Questo perché, oggi, indipendentemente dalle dimensioni del business da proteggere, le imprese richiedono con sempre maggiore insistenza soluzioni per mettere al riparo i preziosi dati da possibili attacchi, dalle minacce, da potenziali errori umani o vulnerabilità nascoste delle infrastrutture.
Synology DP320
Synology DP320 è un prodotto concreto e compatto che fa dell’affinata combinazione hardware-software il proprio asso nella manica. Anche se esteticamente può ricordare i NAS dual-bay del marchio (come per esempio il DS725+, che condivide specifiche e potenzialità con i recenti modelli DS225+, DS925+ e DS1825+), questo prodotto vanta unicità proprie, che ne giustificano un posizionamento dedicato nel listino Synology. Non va dunque confuso con un NAS, parliamo di un appliance di backup.
La prima differenza si può riscontrare già in fase di prima analisi del prodotto. La confezione del DP320 include infatti due drive Synology HAT3310-8T da 8 TByte, ideali per configurare il dispositivo con l’opportuna ridondanza dei dati, in modalità RAID 1 (mirroring).
Il processore scelto per questo dispositivo è il versatile AMD R1600, si tratta dell’unica versione senza GPU integrata della serie R1000: processori embedded a due core e quattro thread capaci di coniugare consumi modesti e una più che discreta agilità. Questa variante, in particolare, lavora a una frequenza di 2,6 GHz, con la possibilità di arrivare sino a 3,1 GHz in modalità Turbo. Il TDP variabile consente una operatività entro un range di 12 W – 25 W. Come spesso accade in questo settore, il processore non è tra i più nuovi in commercio (rilasciato a febbraio 2020) ma è ampiamente supportato da AMD e dai produttori hardware e software all’interno di un programma di ampia disponibilità per l’industria.
Il controller per memorie di tipo DDR4 ECC consente velocità sino a 2.400 MT/s. L’appliance Synology DP320 è preconfigurato di fabbrica con 8 GByte di memoria, un quantitativo nettamente superiore alla media dei NAS 2/8 bay del marchio. Questo, per garantire una esecuzione fluida e reattiva dell’ambiente di lavoro e una gestione seamless dei workload programmati. La dotazione di serie include due porte LAN Gbit e una USB frontale.
ActiveProtect Manager: un sistema, una filosofia
Come abbiamo già precisato, DP320 non è un NAS. Ciò è ulteriormente confermato dall’assenza del “classico” DSM, o DiskStation Manager, il sistema che accompagna tradizionalmente tutti i NAS di Synology e che consente una gestione completa dell’hardware e dei servizi installato. Al suo posto troviamo ActiveProtect Manager, una piattaforma studiata per facilitare la protezione e il backup di numerosi workload e VM. Il sistema si installa in pochi minuti è può gestire un numero variabile di carichi di lavoro e processi di backup. Questo parametro è naturalmente proporzionale alla potenza del sistema hardware dell’appliance. DP320 può essere inserito in un cluster che supporta fino a 2.500 server e dispone del supporto incorporato per il ripristino di 1 virtual machine; non può invece operare come gestore di cluster.
Per le aziende che richiedono più spazio di archiviazione e maggiori capacità di elaborazione, Synology propone il DP340, con capacità di 32 TB + 800 GB SSD e supporto per 2 VM. Per l’enterprise, il listino include i modelli DP7200 e DP7400 (AMD EPYC 7272), con capacità oltre i 120 TB e 200 TB rispettivamente, il supporto di un massimo di 9 VM (espandibili a 17 solo installando 128 MByte di RAM) e possibilità di gestire fino a 2.500 server o 150mila workload in un cluster.
Le unità ActiveProtect sono dotate di licenze predefinite che includono la gestione fino a 3 server, incluso il server di gestione ActiveProtect. Il meccanismo di licenze si basa su cluster di backup; perciò, i singoli dispositivi non possono essere combinati per aggiungere nodi extra oltre il limite del cluster a tre nodi. Se si desidera aggiungere ulteriori server al cluster è necessario acquistare pacchetti di licenze ActiveProtect aggiuntivi. A titolo indicativo una licenza annuale per 1 nodo è disponibile al prezzo di 1.800 euro (IVA esclusa).
Così configurato, DP320 con ActiveProtect Manager consente di proteggere carichi di lavoro eterogenei (VMware vSphere, Microsoft Hyper-V, Windows, macOS, Linux, NetApp ONTAP, Nutanix Files, Microsoft 365 Services, Oracle database e Microsoft SQL Server).
Il sistema si occupa di rilevare i workload attivi e ne permette la configurazione granulare, consentendo agli admin di visualizzare, modificare e gestire le policy con
facilità. Il meccanismo di sicurezza del DP320 si basa sul principio dell’autenticazione con privilegi minimi, solo il personale autorizzato può accedere ai dati. ActiveProtect Manager è in grado di limitare l’accesso a dispositivi specifici e all’infrastruttura di backup durante gli orari preconfigurati. Non solo, le impostazioni del firewall possono essere configurate in modo da consentire l’accesso solo da dispositivi che rientrano in specifici IP e sottoreti, mentre la porta di gestione integrata è stata concepita come interfaccia “isolata” e dedicata a scopi di gestione.
DP320 può concedere l’accesso ai dati al solo personale autorizzato, grazie all’integrazione con Active Directory, LDAP e SAML 2.0. Gli admin potranno usare SSO con MFA e altri tipi di autorizzazioni per migliorare il controllo degli accessi.
Gestione, recovery e protezione dati
I dati archiviati, oltre a essere protetti da failure hardware grazie al supporto RAID, sono continuamente sottoposti a controllo di integrità con autoriparazione, grazie alle peculiarità del file system BTRFS, che tante volte abbiamo descritto parlando di DSM.
Il sistema si configura dunque come efficace soluzione contro attacchi e ransomware. DP320 offre funzionalità di immutabilità e storage WORM per garantire che nessuno possa modificare i dati di cui è stato eseguito il backup durante il periodo di conservazione specificato.
In questo modo i dati non potranno essere crittografati da eventuale codice maligno e potranno essere ripristinati in caso di compromissione di archivi, server ed endpoint.
Ma c’è di più, l’infrastruttura proposta da Synology offre funzionalità di crittografia, per la massima sicurezza dei dati prima della trasmissione verso dispositivi di backup remoti:
Per le prove abbiamo eseguito backup addizionali programmati su Synology C2, il trasferimento è veloce e protetto con crittografia.
Con la funzionalità air-gap è possibile isolare fisicamente l’ambiente di backup dalla rete di produzione, assicurando una totale disconnessione fisica, per una totale inaccessibilità durante specifici orari o scenari operativi.
Per una protezione totale e l’isolamento dell’appliance è possibile definire le fasce di utilizzo all’interno della settimana e della giornata.
Una gestione efficace dei backup passa da una gestione altrettanto efficace dei dati in transito. L’appliance proposto si occupa quindi di ottimizzare l’allocazione dello spazio di storage consolidando più file in una singola immagine, accelerando l’elaborazione dei dati. Sia i backup che le copie di backup utilizzano la deduplicazione globale lato origine.
ActiveProtect utilizza un metodo di identificazione univoco per classificare e gestire i dati di backup, come parte del metodo di deduplicazione. I dati di backup sono divisi in blocchi da 4 KB. A ogni blocco viene assegnata un’impronta digitale univoca che viene generata con l’algoritmo SHA-256 per garantire l’integrità e l’unicità dei dati.
Una volta creata l’impronta digitale, il sistema è dunque in grado di generare un indice, che viene utilizzato per abbinare i blocchi di dati in ingresso con i blocchi esistenti già archiviati nel sistema. Se vengono rilevati dati duplicati, il motore di deduplicazione dei dati può rimuovere le informazioni ridondanti per ottimizzare l’utilizzo dello spazio di archiviazione e aumentare le prestazioni complessive del backup.
Per eliminare le copie ridondanti dei dati su più destinazioni di backup, ActiveProtect integra anche la tecnologia di deduplica globale. Questa tecnologia combina la deduplica lato sorgente e lato server per migliorare l’efficienza dello storage e le prestazioni di rete su tutta la piattaforma e i backup off-site. Tutto questo si traduce in minore spazio occupato per le copie e un minor impiego di banda durante il processo di backup, con conseguenti tempi di copia ridotti.
Il portale di recovery “fai da te”.
“Ma le nostre copie di backup funzionano?”Questa è una domanda che amministratori e addetti IT si pongono spesso. Si tratta di una tematica “calda”, anche perché, stando ai sondaggi, le imprese non sono sempre preparate per il recovery e ancora meno frequentemente mettono alla prova i propri processi di backup.
Per aiutare professionisti e realtà di business, anche medio-piccole, Synology ha messo a punto una procedura per verificare la recuperabilità dei dati di backup. È così possibile eseguire regolarmente esercitazioni di disaster recovery in un ambiente neutro (sandbox), senza influire sul sito di produzione principale.
All’atto pratico, in caso di necessità, i dati possono essere ripristinati in base agli obiettivi RTO (Recovery Time Objectives), recuperando l’intera macchina, oppure singoli file da fisico a virtuale (P2V) o da virtuale a virtuale (V2V).
Installazione e funzionamento
L’installazione richiede circa 15 minuti; dopo aver connesso e formattato i drive, il sistema si occupa di scaricare la più recente versione di ActiveProtect Manager. Una volta impostati: nome dispositivo, utente amministratore e sincronia oraria, è possibile definire gli IP delle due porte di rete, preferibilmente statici, uno per la porta dove transiteranno i dati da e verso server e device, una per la manutenzione.
Proprio attraverso questa porta è possibile accedere all’interfaccia di gestione generale e alla dashboard integrata, che consente di avere sotto controllo ogni processo e workload. Il sistema è facile da gestire anche per un junior IT, grazie a una GUI chiara, agli allarmi esposti e alla possibilità di aggiungere nuovi carichi di lavoro per backup attraverso wizard.
La connessione tra agente e server avviene tramite due chiavi di sicurezza generate dalla console.
Per una gestione degli endpoint MacOS (da 10.15.7 in poi) e Windows (da Windows 7 SP1 in avanti) è sufficiente scaricare Synology ActiveProtect Agent. Si tratta di uno strumento flessibile e “leggero” con solo poche limitazioni (non supporta dischi di tipo 4Kn nativo, così come non supporta i dischi rigidi virtuali VHD e drive esterni solo se formattati NTFS).
Questo strumento è disponibile anche per il backup lato server, per installazioni Windows Server da 2016 in poi e Linux (Ubuntu, Debian, CentOS, RHEL, Fedora). Le limitazioni lato Windows sono quasi le stesse enunciate per endpoint. In ambiente Linux, invece ActiveProtect Agent non è in grado di maneggiare dispositivi esterni di alcun tipo e non supporta né ZFS, né BTRFS.
Dalla dashboard centrale, dove poter orchestrare backup e attività di sicurezza, è possibile aprire la console, che rimanda direttamente al desktop di gestione interna, molto familiare a chi ha dimestichezza con in NAS Synology. Quest’area, su porta interna 5001, mette a disposizione strumenti noti come le finestra di controllo del dispositivo (traffico, stato dischi, CPU, RAM…).
Ritroviamo poi il pannello di controllo, in questo caso decisamente più sintetico rispetto a DSM. In questa sezione, gli amministratori possono definire accessi, permission e meccanismi di SignOn. È poi possibile definire IP pubblici e accessi esterni, così come i parametri della rete interna, i protocolli di sicurezza e SNMP.
Come per DSM, l’App Storage Manager consente di gestire lo stato dei dischi e offre funzionalità di localizzazione del singolo drive, secure erase, gestione cache in scrittura e attivazione di funzioni quale per esempio la riparazione automatica.
Facciamo il backup di una rete aziendale!
Per simulare efficacemente un ambiente aziendale abbiamo inserito DP320 nella rete di prova di laboratorio, che include numerosi endpoint Windows, storage server NAS di varie marche e un server di dominio Windows Server 2019.
A questo punto è sufficiente selezionare il menu “Piani Di Protezione” dalla dashboard principale e impostare uno o più workload di backup. Il processo guida l’utente nella scelta dei parametri opportuni, in base al tipo di oggetto da archiviare. Il primo step consente se scegliere un backup di tipo standard, dove sia possibile definire regole di conservazione specifiche; in alternativa è possibile selezionare un piano di protezione “non modificabile”. In questo modo si attiva la funzione di immutabilità dell’archivio che non potrà essere modificato o eliminato durate il periodo di conservazione programmato.
Il piano di conservazione consente di mantenere più versioni dei file, consentendo di selezionarne il numero di giorni, oppure abilitando regole di conservazione ancora più granulari. In alternativa è possibile mantenere tutte le versioni (questo, naturalmente, fino al raggiungimento della capacità massima a disposizione).
Definiti i tempi di attivazione del backup (giorno, ora, slot specifici), l’amministratore può ora selezionare il tipo di lavoro da effettuare, attingendo a una libreria di workload preimpostati, come per esempio il backup di intere postazioni Windows o MacOS, Server, File Server o VM.
Il percorso di configurazione permette di definire la gestione delle machine remote e delle VM sottoposte a backup, abilitando per esempio la verifica immediata, la generazione di video, oppure impedendo agli endpoint di andare in standby se il processo è in corso (o riattivandoli in caso contrario). Se, invece, il backup avviene fuori orario d’ufficio, è possibile programmare lo spegnimento delle macchine al termine delle procedure.
Gli amministratori possono poi decidere di realizzare ulteriori copie di backup da tenere su percorsi o appliance differenti, per irrobustire i repository aziendali e aumentare la resilienza in caso di attacco o ransomware.
A questo punto, il piano appena definito è disponibile nella nostra libreria di attività e può essere modificato in qualsiasi momento. Per favorire lo sviluppo di procedure con una base comune per diversi gruppi di endpoint, il piano può essere facilmente duplicato.
Come anticipato, lato PC è sufficiente installare l’agente Synology e configurarlo rapidamente inserendo l’IP del server di backup e la chiave di connessione. L’agent installato è così pronto per operare dato che lavora passivamente, ricevendo tutte le informazioni della procedura di copia direttamente dal DP320. A livello di endpoint è comunque possibile operare piccole ma importanti scelte, come per esempio la limitazione della banda, utile soprattutto se il backup deve essere fatto in una fascia oraria che si sovrappone a quella lavorativa, per non consumare tutto il traffico LAN.
Velocità, efficienza e considerazioni
La velocità di backup è naturalmente legata a molti fattori, così come l’efficienza dell’algoritmo di deduplica. Nelle nostre prove di backup di un totale di 20 macchine, tra endpoint, server e file server, abbiamo registrato un picco di prestazioni di 107 MB/s e una media di 92,2 MB/s. L’appliance è dunque in grado di lavorare spingendosi al massimo e al limite di saturazione della banda Gigabit.
In caso di backup incrementali di macchine Windows e Mac, ogni successiva copia beneficia dei meccanismi di deduplica e verifica dei file per ridurre lo spazio effettivamente occupato e i tempi di copia.
Dopo la prima sincronia, i tempi scendono drasticamente, passando da svariate ore (per le postazioni con 1 o 2 TByte da archiviare) a solamente una manciata di minuti:
L’efficienza del processo di deduplica è strettamente legata ai tipi di file. Nel backup di un intero endpoint Windows abbiamo raggiunto una efficacia del 21%. Nel caso si debbano archiviare repository di storage server con grandi file (immagini ISO, immagini PC, database compressi), la capacità dell’algoritmo di definire i blocchi per la deduplica scende invece in modo evidente, fino al 5-7%, mediamente:
Durante le settimane di prova abbiamo potuto apprezzare la facilità di gestione del DP320 e l’effettiva possibilità di impostare tutti i workload in pochi passaggi. Questa soluzione ActiveProtect è effettivamente molto efficace, permette di ridurre il tempo speso nelle verifiche e nella gestione dei backup, secondo la logica “set and forget”.
I limiti più evidenti che abbiamo rilevato non sono da imputare alla soluzione software, quanto più alle scelte hardware fatte in fase progettuale. Pur comprendendo che il DP320 rappresenta la soluzione entry-level del listino, ci sentiamo di criticare la scelta di fornire l’unità di una porta solamente Gigabit.
Come visto durante le prove, il sistema è in grado di esprimere performance di rilievo e sarebbe stato più corretto prevedere un adattatore 2,5 GbE o 5 GbE. In caso di backup simultanei i tempi si allungano proprio per mancanza di banda. In un momento di forte transizione delle imprese “oltre il Gigabit”, ci saremmo aspettati qualcosa in più.
Un secondo commento va fatto in riferimento alla capacità offerta. Gli 8 TByte di capacità lineare non formattata potrebbero essere sufficienti in alcuni contesti ma oggettivamente possono costituire un limite in ambienti con più di 4/5 endpoint. Pur considerando la possibilità di aggiungere ulteriori DP320 all’infrastruttura (con costi però poco sostenibili per una piccola impresa), avremmo visto positivamente una maggiore capacità di base.
Sul fronte consumi, DP320 beneficia della piattaforma low power di AMD e ha mostrato un assorbimento medio molto contenuto, passando da 15,5 W in idle fino a circa 35-37 W in fase di lavoro e pieno carico.
ActiveProtect Toyota Motor Vietnam
Un caso pratico dell’efficienza dei sistemi Synology ActiveProtect è rappresentata dal cliente Toyota Motor Vietnam. La società ha dovuto far fronte a una rapida espansione sul territorio e ai relativi costi indotti legati all’IT al backup e alla security.
In un simile scenario, i backup su nastro si sono rivelati sempre meno efficaci e sostenibili: l’azienda era alla ricerca di una soluzione che non solo isolasse e proteggesse i dati da eventi imprevisti, ma che consentisse anche un rapido ripristino dei sistemi per mantenere la continuità operativa.
Per questo motivo, Toyota Motor Vietnam ha scelto di integrare ActiveProtect DP7400 presso la sede centrale per eseguire backup immutabili di 50 macchine virtuali e server essenziali. Una copia secondaria immutabile viene poi archiviata su un appliance DP7400 remoto, garantendo così la resilienza contro le minacce informatiche. Questo approccio segue la politica di backup 3-2-1-1-0, che prevede copie multiple, immutabilità e zero errori nei backup.
73
su 100
PRO
Soluzione integrata e pronta all’uso; facile da installare e gestire; supporta workload eterogenei; sandbox recovery.
CONTRO
Qualche limitazione file system Server; la verifica del pool impatta sulle attività di backup; avremmo preferito LAN dati almeno a 2,5 GbE; capacità migliorabile.
Caratteristiche generali
Produttore
Synology
Modello
ActiveProtect DP320
Sito web
https://www.synology.com/it-it
Prezzo (IVA esclusa)
euro 1.654,91
Dimensioni
166 x 106 x 223 mm
Peso
2,9 Kg
Caratteristiche tecniche
Numero drive bay
2
Tipo drive
3,5″ / 2,5″ / SATA3 / SATA (include due drive Synology HAT3310-8T da 8 TByte)
Protezione di VM, SaaS, database, server fisici / Monitoraggio dei server e stato di backup su una piattaforma centralizzata / Verifica dei backup e test del piano di ripristino di emergenza in ambiente sandbox / Ripristino bare metal, a livello di file, oppure ripristino istantaneo P2V/V2V per soddisfare le esigenze RTO
ActiveProtect Toyota Motor Vietnam
