Backup de NAS para Nuvem: Por Que RAID Não Protege e Como Fazer Certo
Muitas empresas tratam o NAS como se fosse backup — 'está em RAID, está protegido'. A verdade: RAID protege contra falha de disco, não contra ransomware, exclusão acidental, desastre físico ou corrupção de dados. Seu NAS precisa de backup offsite na nuvem.
Pontos-Chave deste Artigo
- RAID não é backup — protege contra falha de disco, não contra ransomware, exclusão acidental ou desastre físico
- Ransomware que compromete a rede criptografa o NAS inteiro via SMB/NFS
- Backup offsite com imutabilidade é a única proteção real para dados em NAS
- Compatível com Synology, QNAP, TrueNAS, ReadyNAS e qualquer NAS com acesso SMB/NFS
Por Que RAID Não é Backup
Este é o erro mais comum em PMEs: tratar o NAS com RAID como se fosse backup. "Está espelhado" ou "está em RAID 5" dá uma falsa sensação de segurança. A realidade:
| Ameaça | RAID Protege? | Backup Offsite Protege? |
|---|---|---|
| Falha de 1 disco | Sim (RAID 1, 5, 6) | Sim |
| Falha de 2 discos simultâneos | Só RAID 6 ou RAID 10 | Sim |
| Ransomware | Não — criptografa todos os discos via rede | Sim — cópia imutável |
| Exclusão acidental | Não — exclusão é replicada | Sim — versões anteriores mantidas |
| Corrupção de dados | Não — dados corrompidos são escritos em todos os discos | Sim — restaura versão íntegra |
| Falha da controladora RAID | Não — todos os discos ficam inacessíveis | Sim — cópia independente |
| Incêndio/enchente | Não — destrói todos os discos | Sim — offsite em data center Tier III+ |
| Roubo do NAS | Não | Sim — nuvem separada |
RAID é redundância de hardware, não backup. Redundância mantém o serviço operacional quando um componente falha. Backup é uma cópia independente dos dados em local separado. Você precisa de ambos.
Como Ransomware Compromete NAS
NAS é um alvo frequente de ransomware. O ataque funciona assim:
- Comprometimento inicial: phishing, RDP exposto, vulnerabilidade — o ransomware entra em uma estação de trabalho
- Movimentação lateral: o ransomware mapeia compartilhamentos de rede (SMB/NFS) — encontra o NAS
- Criptografia: usando as credenciais da estação comprometida, criptografa todos os arquivos acessíveis no NAS
- RAID não ajuda: os dados criptografados são gravados normalmente — o RAID replica a criptografia em todos os discos
- Snapshots vulneráveis: ransomware sofisticado busca e deleta snapshots do NAS antes de criptografar
Resultado: NAS inteiro criptografado, RAID íntegro (mas com dados inúteis), snapshots deletados. Sem backup offsite imutável, a empresa perde tudo.
Estratégias de Backup de NAS
1. Agente no NAS (Direto para Nuvem)
Para NAS que suportam instalação de software (Synology com Docker, QNAP com Container Station, TrueNAS):
- Agente de backup instalado diretamente no NAS
- Backup direto dos dados para nuvem com deduplicação e criptografia AES-256
- Vantagem: simples, sem servidor intermediário
- Limitação: depende da capacidade de processamento do NAS (pode impactar performance)
2. Servidor de Backup na Rede (NAS → Servidor → Nuvem)
Para qualquer NAS (inclusive modelos ARM sem suporte a agente):
- Servidor de backup na rede local acessa o NAS via SMB/NFS
- O servidor faz backup dos dados para nuvem com deduplicação
- Vantagem: funciona com qualquer NAS, não impacta performance do NAS
- Limitação: requer servidor adicional
3. Abordagem Híbrida (Recomendada)
| Camada | Destino | RPO | Proteção |
|---|---|---|---|
| 1ª Linha | Snapshots no NAS | Horas | Exclusão acidental e erros operacionais |
| 2ª Linha | Backup em servidor/NAS secundário (rede separada) | 24h | Falha de hardware do NAS principal |
| 3ª Linha | Backup imutável na nuvem | 24h | Ransomware, desastre físico, roubo |
Essa estratégia segue a regra 3-2-1: 3 cópias dos dados, 2 mídias diferentes (NAS + nuvem), 1 offsite (nuvem).
Compatibilidade por Fabricante
| Fabricante | Modelos Compatíveis | Método de Backup |
|---|---|---|
| Synology | DS/RS série (x86: DS920+, DS1621+, RS1221+, etc.) | Agente direto (Docker) ou via servidor na rede (SMB/NFS) |
| QNAP | TS/TVS série (x86: TS-453D, TS-873A, TVS-h874, etc.) | Agente direto (Container Station) ou via servidor na rede (SMB/NFS) |
| TrueNAS | TrueNAS CORE e SCALE (FreeBSD/Linux) | Agente direto ou via servidor na rede (SMB/NFS/iSCSI) |
| NETGEAR ReadyNAS | Séries RN, RR | Via servidor na rede (SMB/NFS) |
| Western Digital | My Cloud série EX/PR | Via servidor na rede (SMB) |
| Buffalo | TeraStation série | Via servidor na rede (SMB/NFS) |
| Storage enterprise | Dell EMC, NetApp, HPE, Lenovo | Agente ou NDMP (protocol nativo de backup para NAS) |
Nota: NAS com processador ARM (modelos de entrada) geralmente não suportam agente de backup direto. Para esses, use o método servidor na rede.
Tempo de Backup e Restauração
| Volume de Dados | Backup Inicial (100 Mbps upload) | Backup Incremental Diário (~3% mudança) | Restauração Completa |
|---|---|---|---|
| 500 GB | ~12 horas | ~20 minutos | ~12 horas |
| 1 TB | ~24 horas | ~40 minutos | ~24 horas |
| 5 TB | ~5 dias | ~3 horas | ~5 dias (ou seed via disco) |
| 10 TB | ~10 dias | ~6 horas | ~10 dias (seed recomendado) |
Dica: para NAS com 5+ TB, solicite seed por disco físico — envie o backup inicial via HD externo para evitar semanas de upload. A DataBackup suporta seed para agilizar o onboarding.
Métodos de Backup de NAS: Comparativo Detalhado
Existem três métodos principais para fazer backup de um NAS. A escolha depende do modelo do NAS, do volume de dados e da infraestrutura disponível na rede:
| Característica | Agente no NAS | Agentless (via Rede) | NDMP |
|---|---|---|---|
| Como funciona | Software instalado diretamente no NAS | Servidor de backup acessa NAS via SMB/NFS | Protocolo nativo do NAS para backup direto |
| NAS compatíveis | Synology x86, QNAP x86, TrueNAS | Qualquer NAS com compartilhamento SMB/NFS | NetApp, Dell EMC, HPE, Lenovo (enterprise) |
| Deduplicação | No próprio NAS (antes do envio) | No servidor de backup | Depende do software de backup |
| Criptografia | End-to-end (do NAS à nuvem) | Do servidor à nuvem (trânsito LAN em claro ou TLS) | Depende da implementação |
| Impacto no NAS | Médio-alto (CPU e memória do NAS) | Mínimo (apenas I/O de leitura) | Otimizado para o hardware do NAS |
| Backup de ACLs e metadados | Completo (acesso direto ao filesystem) | Parcial (depende do protocolo SMB/NFS) | Completo (protocolo nativo) |
| Custo adicional | Nenhum (licença inclusa no backup) | Servidor de backup (físico ou VM) | Licença NDMP + NAS enterprise |
| Ideal para | NAS Synology/QNAP em PMEs | Qualquer NAS, especialmente ARM | NAS enterprise com 50+ TB |
Quando Usar Cada Método
- Agente no NAS: melhor para NAS Synology DS920+, DS1621+, QNAP TS-453D e similares com processador x86 e Docker/Container Station. Simplifica a arquitetura (sem servidor intermediário) e oferece deduplicação na origem.
- Agentless (via rede): melhor para NAS com processador ARM (modelos de entrada), NAS antigos sem suporte a containers, ou quando o NAS já está no limite de CPU/memória. Requer um servidor de backup na rede.
- NDMP: melhor para ambientes enterprise com NAS NetApp ou Dell EMC acima de 50 TB. O protocolo NDMP transfere dados diretamente do NAS para o destino de backup sem passar pela LAN, evitando gargalos de rede em grandes volumes.
Por Que RAID Não é Backup: Explicação Técnica Detalhada
Para entender por que RAID não substitui backup, é preciso entender o que cada tecnologia faz em nível técnico:
O Que RAID Faz
RAID (Redundant Array of Independent Disks) distribui dados entre múltiplos discos para manter o NAS operacional quando um disco falha. Os níveis mais comuns em NAS:
| Nível RAID | Discos Mínimos | Tolerância a Falhas | Espaço Útil | Performance |
|---|---|---|---|---|
| RAID 0 | 2 | Nenhuma (stripe sem paridade) | 100% | Máxima leitura/escrita |
| RAID 1 | 2 | 1 disco | 50% | Boa leitura, normal escrita |
| RAID 5 | 3 | 1 disco | (N-1)/N | Boa leitura, escrita moderada |
| RAID 6 | 4 | 2 discos simultâneos | (N-2)/N | Boa leitura, escrita mais lenta |
| RAID 10 | 4 | 1 disco por par espelhado | 50% | Máxima em leitura e escrita |
| SHR (Synology) | 2+ | 1-2 discos (configurável) | Variável | Similar a RAID 5/6 |
O Que RAID NÃO Faz
RAID opera na camada de hardware/bloco — não entende arquivos, versões ou intenções do usuário. Qualquer operação de escrita (legítima ou maliciosa) é replicada igualmente em todos os discos do array:
- Se um arquivo é deletado: RAID deleta em todos os discos. Não existe "lixeira" no nível RAID.
- Se ransomware criptografa um arquivo: RAID grava o arquivo criptografado em todos os discos. O array está íntegro — mas os dados são inúteis.
- Se dados são corrompidos por bug de software: RAID grava a corrupção fielmente. O checksum do RAID valida que os blocos foram escritos corretamente — não que o conteúdo faz sentido.
- Se a controladora RAID falha: todos os discos ficam inacessíveis simultaneamente. A redundância dos discos não protege contra falha do componente que os gerencia.
Backup, por outro lado, cria cópias independentes e versionadas dos dados em local separado. Mesmo que o NAS inteiro seja destruído, criptografado ou corrompido, o backup na nuvem mantém versões limpas e recuperáveis dos dados.
Dimensionamento de Backup para NAS: Metodologia de Cálculo
Calcular o espaço de backup necessário para seu NAS evita surpresas de custo e garante que a retenção desejada seja atendida. Use a seguinte metodologia:
Passo 1: Determine o Volume de Dados
Identifique o volume total de dados no NAS que precisa de backup. Nem tudo precisa ser protegido — arquivos temporários, cache e lixeira podem ser excluídos:
| Tipo de Dado | Precisa de Backup? | Exemplo |
|---|---|---|
| Documentos corporativos | Sim (crítico) | Contratos, planilhas, relatórios |
| Banco de dados | Sim (crítico) | SQL Server, MySQL no NAS |
| E-mail (PST/OST) | Sim | Arquivos de e-mail local |
| Imagens e vídeos corporativos | Depende | Marketing, projetos CAD |
| Arquivos temporários | Não | .tmp, cache, thumbs.db |
| Downloads / torrents | Não | Conteúdo facilmente re-obtido |
| Lixeira do NAS | Não | Synology #recycle, QNAP @Recycle |
Passo 2: Estime a Taxa de Mudança Diária
A taxa de mudança (change rate) determina o tamanho dos backups incrementais diários:
- File server (documentos): 1-3% por dia
- Banco de dados ativo: 5-15% por dia
- Servidor de e-mail: 3-8% por dia
- Mídia (fotos/vídeo): 0,5-2% por dia (arquivos grandes mudam pouco)
- Ambiente de desenvolvimento: 5-10% por dia
Passo 3: Calcule o Espaço Total
Fórmula para estimar o espaço de backup na nuvem:
Espaço = (Full + Incrementais) x (1 - Deduplicação)
Onde:
- Full = volume total de dados selecionados
- Incrementais = Full x taxa de mudança x dias de retenção
- Deduplicação = taxa de redução por deduplicação (tipicamente 50-70%)
Exemplos Práticos
| Cenário | Dados no NAS | Mudança/dia | Retenção | Dedup | Espaço na Nuvem |
|---|---|---|---|---|---|
| PME pequena (escritório) | 500 GB | 2% | 30 dias | 60% | ~320 GB |
| PME média (file server) | 2 TB | 3% | 60 dias | 55% | ~2,5 TB |
| Empresa com banco de dados | 5 TB | 5% | 90 dias | 65% | ~9,6 TB |
| Enterprise (multisite) | 20 TB | 3% | 90 dias | 70% | ~22,2 TB |
Estratégia Híbrida NAS + Nuvem: Implementação Completa
A estratégia híbrida é a abordagem recomendada para proteger dados em NAS. Ela combina a velocidade de restauração local com a segurança offsite da nuvem, seguindo a regra 3-2-1-1-0:
Arquitetura Recomendada
| Camada | Componente | Função | RPO/RTO | Protege Contra |
|---|---|---|---|---|
| Produção | NAS primário (RAID 5/6) | Armazenamento ativo dos dados | N/A | Falha de disco individual |
| 1a Linha | Snapshots no NAS | Recuperação rápida de exclusões acidentais | RPO 1-4h / RTO minutos | Erro humano, corrupção recente |
| 2a Linha | NAS secundário ou servidor de backup (rede segregada) | Cópia local para restauração rápida | RPO 24h / RTO 1-4h | Falha total do NAS primário |
| 3a Linha | Backup imutável na nuvem | Cópia offsite com Object Lock | RPO 24h / RTO 4-12h | Ransomware, desastre físico, roubo |
Configuração de Rede Segura para Backup de NAS
Um erro comum é manter o NAS de backup na mesma rede (VLAN) do NAS de produção. Se ransomware comprometer a rede, ambos os NAS são criptografados. A configuração correta:
- NAS de produção: VLAN corporativa (acessível pelos usuários)
- NAS/servidor de backup: VLAN de backup isolada (inacessível aos usuários)
- Firewall entre VLANs: permitir apenas tráfego de backup (porta do agente) do servidor de backup para o NAS de produção
- Credenciais separadas: o serviço de backup usa conta dedicada no NAS de produção (não a conta admin padrão)
- Saída para nuvem: o servidor de backup envia dados criptografados para Object Storage S3 na nuvem
Essa segmentação garante que, mesmo se o ransomware comprometer toda a VLAN corporativa (incluindo o NAS de produção), o backup local na VLAN isolada e o backup na nuvem permanecem intactos.
Pontos de Atenção na Implementação
- Permissões de compartilhamento: configure o NAS de produção com permissões de somente leitura para a conta de backup. O servidor de backup precisa ler os dados, não escrever neles.
- Snapshots com retenção: configure snapshots no NAS (Synology Snapshot Replication, QNAP Snapshot) com retenção de 7-14 dias. Snapshots são rápidos para recuperação de exclusões recentes.
- Exclusão de pastas desnecessárias: exclua do backup pastas como
#recycle,@Recycle,@tmpeThumbs.dbpara economizar espaço. - Horário do backup: agende o backup automático para horário de baixo uso do NAS (tipicamente 22h-6h) para minimizar impacto na performance.
- Alertas de falha: configure alertas por e-mail ou Telegram para ser notificado imediatamente se o backup do NAS falhar.
Checklist de Implementação: Backup de NAS para Nuvem
Use este checklist para implementar o backup do seu NAS de forma profissional:
Fase 1: Planejamento
- Inventariar volume total de dados no NAS (excluindo lixeira e temporários)
- Classificar dados por criticidade (crítico, importante, dispensável)
- Definir RPO e RTO desejados para cada classe de dado
- Calcular espaço de backup necessário na nuvem (usar metodologia acima)
- Documentar a política de backup (frequência, retenção, responsáveis)
Fase 2: Preparação
- Verificar modelo e processador do NAS (x86 vs ARM)
- Definir método de backup (agente, agentless ou NDMP)
- Criar conta dedicada de backup no NAS (permissão somente leitura)
- Configurar VLAN de backup isolada (se aplicável)
- Testar velocidade de upload para a nuvem (medir banda real)
Fase 3: Implementação
- Instalar agente de backup (no NAS ou no servidor de backup)
- Configurar seleção de pastas (incluir/excluir)
- Ativar deduplicação e criptografia AES-256
- Configurar agendamento (horário de baixo uso)
- Definir retenção (30, 60 ou 90 dias) com imutabilidade
- Executar o primeiro backup full (considerar seed por disco para 5+ TB)
Fase 4: Validação e Operação
- Verificar que o backup full completou sem erros
- Testar restauração de arquivo individual (granular)
- Testar restauração de pasta completa
- Configurar alertas de falha (e-mail, Telegram, webhook)
- Agendar testes de restauração trimestrais
- Documentar procedimento de restauração completa para disaster recovery
Backup de NAS com DataBackup
A DataBackup protege seu NAS com:
- Backup incremental com deduplicação: só envia o que mudou, economizando 50-70% de banda
- Criptografia AES-256: dados criptografados antes de sair da rede
- Imutabilidade com Object Lock: ransomware não pode deletar ou alterar os backups
- Restauração granular: restaure 1 arquivo ou o NAS inteiro
- Data center Tier III+: seus dados offsite com 99,9% de disponibilidade
- Monitoramento 24/7: alertas se o backup do NAS falhar
Compatível com Synology, QNAP, TrueNAS e qualquer NAS acessível via SMB/NFS. A partir de R$ 159,90/mês. Teste grátis 14 dias.
RAID não é backup. A DataBackup protege seu NAS (Synology, QNAP, TrueNAS) com backup incremental, deduplicação, criptografia AES-256 e imutabilidade. Seus dados ficam seguros fora do escritório. Teste 14 dias grátis.
Proteger Minha Empresa Falar com Especialista