но, с другой стороны, каждый день в популярном софте находятся новые дыры (в непопулярном - тоже, но про это не трубят на каждом углу), а одно дырявое приложение даст доступ ко всему устройству (что-то я не видел отдельных пользователей для приложений, может плохо смотрел).
Сейчас я хожу через ssh на соседнее устройство в локалке + проброс портов
Дыры разные бывают. Со слона размером, или по меньше. Но в случае с Synology шума о не санкционированном доступе я не слышал. Как админку к роутерам асус, д-линк, тп-линк - слышал, много инфы было. Да же про Sisco были мануалы, как в определённые функции влезть или как обвалить железку... Телевизоры LG, сливающие инфу о сетевых устройствах... Про Synology нет такого. И тут возможны два варианта: кто-то нашёл и молча пользует, что мало вероятно, и дыры есть, но это не дыры, а тупо бэкдор - открытая дверь для специальных людей. Второе - это очень вероятно. Но второе - это не только Synology, это может быть вообще любая железка, или ОС на Вашем компе, или какой-либо драйвер.., да что угодно.
В целом мой посыл таков, что если и есть дыра в Synology, то ничтожно малый круг людей об этом знает, и очень вероятно что этот же круг людей знает и достаточно много других дыр из других железок и ПО, то есть чтоб от них скрыться, ходить по VPN к Synology будет бессмысленно. Единственный шанс - выключить интернет.
P.S. Я работаю со штатными приложениями открыто без дополнительных заморочек, просто пароли и двухфакторка от гугла. Важную инфу храню в зашифрованных папках, которые включаю на короткое время лишь по мере необходимости. Информацию, которая представляет особую ценность - храню всегда оффлайн, там, где даже и искать не будут.
Когда бекапы делаю с основного NAS на старый для бекапов -обязательно отключаю интернет, таким образом старый NAS, который для бекапов, никогда не выходит в интернет.