Den 443er Port würde ich an deiner Stelle schließen. Nicht dass das generell ein großes Risiko ist, aber man muss halt drauf vertrauen, dass da im NAS alles richtig implementiert wurde. Selbst habe ich damit kene Probleme gehabt, aber ohne Notwendigkeit muss es ja nicht sein.
Dass dein FTP-Port hin und wieder getestet wird, ist normal. Macht aber nichts, weil du ja (hoffentlich!) im FTP-Server die anonymen Anmeldungen nicht zulässt. Außerdem solltest du für deine externen sichere Passwörter wählen, aber das versteht sich eigentlich von selbst.
Mit den 'Besuchern', die dir das NAS meldet, ist es ein bisschen wie mit Virenscannern. Erzählen mir manchmal Kunden, dass ihr toller Virenscanner schon wieder einen Angriff abgewehrt hat, muss ich schmunzeln. Nicht die erkannten Angriffe sind das Problem, sondern die nicht erkannten...
FTP kann als relativ sicher angesehen werden, zumindest wüsste ich da nichts von Backdoors. Soweit passt das mit dem Port 21 schon, du wirst aber noch Ports für passiv FTP brauchen.
VPN ist die beste Lösung, da hast du recht. Zumindest, solange keiner eine Lücke in dem von dir genutzen VPN-Protokoll findet und ausnutzt. Sicher ist auf dieser Welt rein garnix.
Man gibt Daten aber nicht aus Jux frei, sondern weil man das braucht. Dabei muss man auf die Kunden rücksicht nehmen, VPN-Gedöns wird von den wenigsten angenommen, weil es zu kompliziert ist. Deshalb empfehle ich FTP. Relativ sicher und leicht zu nutzen.