Quando colleghi il tuo Mac a un disco di rete e Time Machine inizia a fare il backup, c'e' un protocollo sofisticato che lavora dietro le quinte per rendere quel trasferimento veloce, affidabile e sicuro. Quel protocollo e' SMB3, il protocollo Server Message Block, versione 3, ed e' il fondamento che rende possibili i backup Time Machine basati sul cloud.

Non hai bisogno di capire SMB3 per usarlo (il tuo Mac gestisce tutto automaticamente), ma capire come funziona puo' aiutarti ad apprezzare la sicurezza dei tuoi backup e a prendere decisioni informate sulla tua strategia di protezione dati. Questo articolo spiega SMB3 in termini pratici: cosa fa, perche' Apple lo ha scelto e come mantiene al sicuro i tuoi dati di backup.

Cos'e' SMB?

SMB (Server Message Block) e' un protocollo di condivisione file di rete. In termini semplici, e' la lingua che i computer usano per condividere file in rete. Quando accedi a una cartella condivisa nella rete dell'ufficio, sfogli i file su un NAS (Network Attached Storage) o ti colleghi a un file server, SMB e' quasi certamente il protocollo che rende tutto cio' possibile.

SMB e' stato originariamente sviluppato da IBM negli anni '80 e successivamente esteso in modo significativo da Microsoft. Nonostante le sue origini nell'ecosistema Windows, SMB e' diventato uno standard multi-piattaforma. macOS, Linux e praticamente ogni dispositivo di archiviazione di rete lo supportano.

Una breve storia

  • SMB1 (1983-2006): la versione originale. Funzionale ma lenta e con vulnerabilita' di sicurezza significative. Apple e Microsoft hanno entrambe deprecato SMB1 a causa dei suoi rischi di sicurezza.
  • SMB2 (2006): una riscrittura importante che ha migliorato le prestazioni, ridotto la "loquacita'" (meno round trip di rete) e aggiunto una migliore gestione degli errori. Introdotta con Windows Vista.
  • SMB3 (2012): ha aggiunto la crittografia, migliorato le prestazioni per le reti WAN e introdotto funzionalita' essenziali per lo storage cloud. E' la versione utilizzata dai moderni macOS per i backup di rete.
  • SMB 3.1.1 (2015): l'ultima revisione, che aggiunge controlli di integrita' di pre-autenticazione e richiede una negoziazione sicura. Supportata da macOS Catalina e versioni successive.

Perche' Apple usa SMB3 per i backup di rete Time Machine

La storia di Apple con la condivisione file di rete e' interessante. Per molti anni macOS ha utilizzato un proprio protocollo chiamato AFP (Apple Filing Protocol) per la condivisione file di rete e i backup Time Machine di rete. La ormai dismessa Time Capsule usava AFP esclusivamente.

A partire da macOS Big Sur, Apple ha iniziato a far transitare i backup di rete Time Machine da AFP a SMB3. Con macOS Monterey, SMB3 e' diventato il protocollo preferito per le destinazioni di rete Time Machine. Le ragioni di questo cambio sono diverse:

1. Crittografia integrata

SMB3 include la crittografia di trasporto nativa usando AES-128-CCM o AES-128-GCM. Cio' significa che tutti i dati che viaggiano tra il tuo Mac e il server di backup sono cifrati a livello di protocollo: nessun ulteriore livello VPN o di crittografia e' strettamente necessario (anche se aggiungerne uno fornisce una difesa in profondita').

Anche AFP supportava la crittografia, ma l'implementazione di SMB3 e' piu' moderna, meglio testata e piu' ampiamente revisionata dalla comunita' della sicurezza.

2. Migliori prestazioni su internet

SMB3 e' stato progettato pensando alle prestazioni delle reti WAN. Include funzionalita' come:

  • Supporto multichannel: utilizzo simultaneo di piu' connessioni di rete per un throughput maggiore
  • Supporto per MTU di grandi dimensioni: pacchetti dati piu' grandi significano meno round trip e migliore efficienza
  • Directory leasing: caching degli elenchi di directory per ridurre il traffico di rete inutile
  • Compounding migliorato: raggruppamento di piu' operazioni in singole richieste

Queste funzionalita' sono particolarmente importanti per il backup nel cloud, dove il percorso di rete tra il tuo Mac e il server puo' attraversare piu' reti e avere una latenza maggiore di una connessione locale.

3. Standard di settore

Adottando SMB3, Apple si e' allineata a uno standard di settore ampiamente supportato. Cio' significa che Time Machine puo' funzionare con qualsiasi server compatibile SMB3, non solo con hardware Apple. Ha aperto la porta a servizi come Capsule Backup per fornire destinazioni Time Machine ospitate nel cloud senza richiedere software server proprietario di Apple.

4. Connessioni resilienti

SMB3 ha introdotto il failover trasparente e gli handle persistenti. Se la connessione di rete viene temporaneamente interrotta (il tuo Wi-Fi cade per un momento, il tuo ISP ha un breve singhiozzo), SMB3 puo' riprendere la sessione senza ricominciare. E' fondamentale per le operazioni di backup che possono trasferire grandi quantita' di dati su connessioni internet potenzialmente instabili.

Come funziona la crittografia SMB3

Capire la crittografia in SMB3 richiede di osservare due fasi distinte: autenticazione e trasferimento dati.

Autenticazione

Quando il tuo Mac si collega a un server SMB3, deve prima dimostrare la sua identita'. SMB3 supporta diversi metodi di autenticazione:

  • NTLMv2: un protocollo di autenticazione challenge-response che non invia mai la tua password sulla rete
  • Kerberos: un sistema di autenticazione basato su ticket utilizzato in ambienti enterprise

In entrambi i casi, la tua password non viene mai trasmessa in chiaro. Il processo di autenticazione utilizza challenge e response crittografici che dimostrano che conosci la password senza rivelarla.

Crittografia di trasporto

Una volta autenticato, SMB3 cifra tutti i dati in transito utilizzando AES-128-CCM o AES-128-GCM (con SMB 3.1.1 che supporta AES-256-CCM e AES-256-GCM). Cio' significa che:

  • Ogni file trasferito tra il tuo Mac e il server di backup e' cifrato
  • Ogni comando (crea file, elimina file, leggi directory) e' cifrato
  • Nomi dei file, metadati e strutture di directory sono tutti cifrati in transito
  • Chi intercetta il traffico di rete vede solo dati cifrati

E' la crittografia a livello di trasporto: protegge i dati mentre si muovono attraverso la rete. E' paragonabile a HTTPS per il traffico web. I tuoi dati non possono essere letti o modificati da chi li intercetta tra il tuo Mac e il server.

La distinzione: crittografia in transito vs. a riposo

La crittografia SMB3 protegge i dati in transito. Per i dati a riposo (memorizzati sul server di backup), serve un livello aggiuntivo: la crittografia di Time Machine.

Quando attivi la crittografia di Time Machine (che consigliamo vivamente per i backup nel cloud), Time Machine cifra l'intera immagine di backup utilizzando AES-XTS-128 prima di inviarla al server. Cio' significa che i tuoi dati di backup sono cifrati sul disco del server: nemmeno l'amministratore del server puo' leggere i tuoi file senza la tua password di crittografia di Time Machine.

Con entrambi i livelli attivi, i tuoi dati sono:

  • Cifrati sul tuo Mac (crittografia di Time Machine)
  • Cifrati durante il trasferimento (crittografia di trasporto SMB3)
  • Cifrati sul server (crittografia di Time Machine a riposo)

Per opzioni di sicurezza aggiuntive, inclusi VPN e IP whitelisting, vedi la nostra pagina sulla sicurezza.

SMB3 vs. altri protocolli per il backup

SMB3 vs. AFP (Apple Filing Protocol)

AFP era il protocollo proprietario di condivisione file di Apple, utilizzato da Time Capsule e macOS Server. Sebbene AFP funzionasse bene all'interno dell'ecosistema Apple, aveva dei limiti:

  • Proprietario: implementazioni lato server limitate
  • Meno revisione di sicurezza da parte della comunita' rispetto a SMB3
  • Apple ha ufficialmente deprecato AFP a favore di SMB
  • Non e' piu' attivamente sviluppato

SMB3 e' il chiaro successore e la transizione di Apple e' stata un passo positivo sia per la compatibilita' sia per la sicurezza.

SMB3 vs. SFTP/SCP

SFTP e SCP sono protocolli di trasferimento file sicuri comunemente usati nell'amministrazione di server. Pur fornendo una crittografia robusta, sono protocolli di trasferimento file, non di condivisione file. La differenza conta:

  • SFTP/SCP trasferiscono file; SMB3 presenta un file system
  • Time Machine richiede un file system montato (un disco che appare in Finder)
  • SMB3 supporta gli schemi di accesso casuali che Time Machine usa per i backup incrementali
  • SMB3 gestisce il file locking, essenziale per l'integrita' del backup

SMB3 vs. WebDAV

WebDAV e' un protocollo di condivisione file basato su HTTP. Pur funzionando su internet e supportando la crittografia HTTPS, e' significativamente piu' lento di SMB3 per le operazioni di backup a causa dell'overhead HTTP e della mancanza di funzionalita' come il compounding e il multichannel.

SMB3 vs. NFS

NFS (Network File System) e' ampiamente utilizzato negli ambienti Linux/Unix. Sebbene NFS4 supporti la crittografia tramite Kerberos, non e' nativamente supportato dal Time Machine di macOS. SMB3 e' il protocollo che Apple ha scelto per i backup di rete Time Machine, rendendolo l'unica scelta pratica per il backup Mac basato sul cloud.

SMB3 in pratica: come funziona il tuo backup nel cloud

Ecco cosa accade davvero quando il tuo Mac esegue il backup su un server SMB3 cloud come Capsule Backup:

  1. Stabilimento della connessione: il tuo Mac inizia una connessione SMB3 verso il server. Si negozia la versione del protocollo (Mac e server concordano sulla versione comune piu' alta).
  2. Autenticazione: le tue credenziali vengono verificate tramite autenticazione challenge-response NTLMv2. La tua password non attraversa mai la rete.
  3. Attivazione della crittografia: la crittografia di trasporto SMB3 viene attivata. Tutta la comunicazione successiva e' cifrata.
  4. Mount del volume: il volume di backup appare in Finder come un disco montato. macOS lo tratta in modo identico a un disco locale.
  5. Operazione di Time Machine: Time Machine analizza il Mac per le modifiche dall'ultimo backup, poi scrive solo i file modificati sul volume montato. Il livello di crittografia di Time Machine cifra questi dati prima che raggiungano SMB3 per il trasporto.
  6. Completamento: Time Machine registra il timestamp del backup e va in stand-by fino al successivo ciclo orario.

L'intero processo e' trasparente. Non vedi mai comandi SMB3, handshake di crittografia o negoziazioni di protocollo. Vedi un disco in Finder e un timestamp di "Ultimo backup" nella barra dei menu.

Considerazioni sulle prestazioni

SMB3 e' stato progettato per le prestazioni, ma la velocita' di backup su internet e' in ultima analisi limitata dalla connessione di rete. Ecco i fattori che influenzano le prestazioni del backup nel cloud:

La velocita' di upload della tua connessione

E' quasi sempre il collo di bottiglia. I server di Capsule Backup sono connessi tramite fibra 1 Gbps senza limiti di banda, quindi il lato server e' raramente il fattore limitante. La velocita' di upload del tuo ISP determina quanto velocemente i dati arrivano dal Mac al server.

Latenza di rete

SMB3 e' meno sensibile alla latenza rispetto alle versioni piu' vecchie di SMB grazie al compounding e al pipelining. Tuttavia, una latenza molto alta (>200ms) puo' influire sulle prestazioni. Scegliere una regione dati vicina alla tua posizione (Germania, Finlandia o USA) minimizza la latenza.

Distribuzione delle dimensioni dei file

Eseguire il backup di molti piccoli file e' piu' lento per megabyte rispetto a meno file di grandi dimensioni, perche' ogni file richiede operazioni di protocollo individuali. Time Machine mitiga questo problema utilizzando immagini sparse bundle che raggruppano le piccole modifiche.

Overhead della crittografia

L'overhead combinato della crittografia di Time Machine e di quella di trasporto SMB3 e' minimo sull'hardware Mac moderno. I chip Apple Silicon includono accelerazione hardware AES, rendendo la crittografia essenzialmente gratuita dal punto di vista delle prestazioni.

Best practice di sicurezza per i backup SMB3

Sebbene SMB3 fornisca una solida sicurezza per impostazione predefinita, ecco passi aggiuntivi per massimizzare la protezione:

  1. Attiva sempre la crittografia di Time Machine: cifra i tuoi dati a riposo sul server
  2. Usa una password robusta sia per l'account di backup sia per la crittografia di Time Machine
  3. Considera l'accesso VPN: Capsule Backup include il supporto WireGuard e OpenVPN per un livello di crittografia aggiuntivo
  4. Attiva l'IP whitelisting: limita l'accesso al volume di backup a indirizzi IP specifici
  5. Conserva le credenziali in modo sicuro: salva le password SMB e di crittografia di Time Machine in un password manager, non solo nel Portachiavi del Mac (che andrebbe perso se il Mac muore)

In conclusione

SMB3 e' il fondamento tecnologico che rende il backup Time Machine nel cloud pratico, sicuro e fluido. La sua crittografia integrata, le connessioni resilienti e le elevate prestazioni su reti WAN fanno si' che il tuo Mac possa eseguire il backup su un server a migliaia di chilometri di distanza con la stessa facilita' e sicurezza di un disco locale.

Non hai bisogno di pensare a SMB3 piu' di quanto pensi a HTTPS quando navighi sul web. Funziona e basta: cifra i tuoi dati, mantiene la connessione e garantisce che il backup arrivi al sicuro. E quell'affidabilita' e' esattamente cio' che vuoi dal protocollo che protegge i tuoi dati piu' importanti.

Per istruzioni passo passo sulla configurazione, visita la nostra guida alla configurazione. Per saperne di piu' su come Capsule Backup utilizza SMB3, vedi la nostra panoramica delle funzionalita'.

Domande frequenti

La crittografia SMB3 e' abbastanza robusta per dati sensibili?

Si'. SMB3 utilizza la crittografia AES-128 o AES-256 per il trasporto, lo stesso standard utilizzato da governi e istituzioni finanziarie nel mondo. Combinato con la crittografia AES-XTS-128 di Time Machine per i dati a riposo, i tuoi dati di backup sono protetti da due livelli di crittografia indipendenti. Per ulteriore sicurezza, servizi come Capsule Backup offrono anche accesso VPN e IP whitelisting.

Qualcuno puo' intercettare i miei dati di backup mentre viaggiano su internet?

La crittografia di trasporto SMB3 impedisce a chi intercetta il traffico di rete di leggere o modificare i dati. Tutta la comunicazione tra il Mac e il server di backup e' cifrata, inclusi i contenuti dei file, i nomi dei file e i comandi di protocollo. Anche se qualcuno catturasse ogni pacchetto di rete, vedrebbe solo dati cifrati. Questa protezione si applica automaticamente: non c'e' nulla da configurare.

SMB3 funziona su connessioni Wi-Fi e cellulari?

SMB3 funziona su qualsiasi connessione di rete TCP/IP, incluse Wi-Fi, Ethernet e persino hotspot cellulari. La gestione resiliente delle connessioni del protocollo significa che puo' riprendersi da brevi interruzioni di rete senza fallire il backup. Tuttavia, per i grandi backup iniziali si consiglia una connessione cablata stabile o un Wi-Fi forte per le migliori prestazioni.

Perche' Apple e' passata da AFP a SMB3 per Time Machine?

Apple ha effettuato la transizione da AFP a SMB3 per diverse ragioni: SMB3 e' un protocollo standard di settore con compatibilita' piu' ampia, crittografia piu' robusta e ampiamente revisionata, migliori prestazioni su connessioni internet e sviluppo attivo continuo. AFP era proprietario e non e' piu' in sviluppo attivo. Il passaggio permette a Time Machine di funzionare con qualsiasi server compatibile SMB3, non solo con hardware Apple, abilitando i servizi di backup nel cloud.

Mi serve una VPN se SMB3 cifra gia' i miei dati?

La crittografia SMB3 e' sufficiente per la maggior parte degli utenti: i tuoi dati sono completamente cifrati in transito senza VPN. Tuttavia, una VPN aggiunge difesa in profondita': cifra tutto il traffico (non solo SMB3), nasconde il fatto che ti stai connettendo a un servizio di backup e puo' fornire autenticazione aggiuntiva. Capsule Backup include l'accesso WireGuard e OpenVPN senza costi aggiuntivi per gli utenti che desiderano questo ulteriore livello. E' consigliato ma non obbligatorio.

Capsule Backup non e' affiliata o approvata da Apple Inc. Time Machine, macOS, Finder e Migration Assistant sono marchi di Apple Inc.