Per Design sollte man nie aus einer VM auf den Host zurückkommen. Falls das dann doch geht, dann ist das ein VM-Escape und zählt zu den Bug/Exploits.
Die Idee dahinter war ja eine zusätzliche Sicherheit, nicht absolute Sicherheit (die es nie gibt).
Aber in (meiner) Theorie könnte ich das QuTS cloud als eine Art der "Außenfassade" nutzen. Es hat eine eigene IP. Über diese eigene IP könnte ich FileStation-Freigaben und/oder PhotoStation-Freigaben publizieren. Also nicht alle Ports (exposed Host) sondern nur die Ports, die meine "externen Dienste" auch wirklich brauchen.
Die Daten, die ich zur Verfügung stelle (z.B. Fotos), liegen aber auf dem "physischen NAS". Die VM mit QuTS cloud mounted sie nur als SMB-read only vom NAS. Ansonst ist auf der VM nix; ggf. kann man die Setting noch speichern (Konfiguration speichern). Wenn ich so nachdenke kann man sogar noch einfacher einmal die Woche einen VM-Snapshot ziehen als "Backup".
Für Datei, die ich selbst per FileStation aus dem Internet hochlade (falls man dieses Szenaraio überhaupt berücksichtigt) wird die virtuelle HDD der VM selbst genutzt. Damit ist die Datei zwar in der Gefahrenzone, aber wenn man wieder daheim ist, kann ich sie mit einem "sicherern Verfahren" auf das echte NAS kopieren (z.B. SFTP). Man könnte es sogar zyklisch per Script machen. Also ein Linux-Server im LAN prüft zyklisch per SSH, ob auf der VM eine Datei liegt und falls ja, kopiert er sie per SFTP auf das physische NAS. SMB möchte ich bewusst in diesem Szenario verhindern.
Sollte es die VM dann von außen doch mal erwischen. VM löschen, VM neu aufbauen, Konfig zurückladen und ggf. SMB-read only Freigaben neu mounten. (Oder eben VM Snapshot der letzten Woche laden. Wobei man in dem Moment dann auch weiß, dass es eine neue Lücke gibt und ggf. bis zum nächsten QuTS cloud-Update oder FileStation / PhotoStation Update waren kann.) Fertig. Damit wären der Scahden den Krypto-Würmer anrichten recht egal. Und ich hätte nahe zu den "Comfort", den die Leute mit "externen Freigaben" meisten wollen.
Ich denke das ist auch einfacher als eine NextCloud zu bauen, da es für 90% bedeuten würde, dass sie sich auf bekannten Terrain bewerden QTS vs. QuTScloud.
Da die QuTS cloud eine eigene IP hat, kann ich ihr sogar eine eigene (Sub-)Domäne mit SSL-Zertifikaten geben. Ich kann gezielt nur hier Ports öffnen, ich könnte sie sogar in ein andere VLAN und vom LAN trennen stellen. (Ja, ja, es wäre nur ein Software-Switch im QTS.)
Insgesamt wäre es aus meiner Sicht deutlich sichere als diese Sachen mit dem echten NAS und QTS zu machen. Und sollte es die VM, wie schon oben gesagt, doch mal erwischen, sollten die Daten durch das read-only Mount sicher sein. Und die VM wird eben weggeworfen.
Das wäre jedenfalls das einzige sinnvolle Szenario, wo ich trotz eines vorhandenen QTS oder QuTS hero, einen Nutzen in der QuTS cloud sehen würde.