Backups: "ziehen" oder "schieben"? (Verwendung eines Synology NAS als Backupspeicher)

[stevenfreiburg]

Letztes Jahr wurde meine DS720+ mit 6TB Daten von einer Ransomware komplett verschlüsselt (ich hatte zum Glück Backups).
Deswegen höre ich nun sehr interessiert bei den Themen Sicherheits- und Backupstrategien zu.

Mittlerweile habe ich eine DS923+; die bisherige 720+ hat ausgedient.
Naheliegende Idee ist nun die "alte" 720+ (nur noch) als Backupspeicher zu nutzen anstatt sie zu verkaufen.
Die Empfehlung ausgediente NAS Geräte als Backup-ZIEL zu nutzen//einzurichten, habe ich so auch bereits mehrfach hier im Forum gelesen.
Diesen Backupspeicher würde ich gerne maximal abschottem (kein Internetzugang etc.).

Nun wurde mir allerdings kürzlich genau davon -alte NAS Geräte als "Backup-ZIEL" einzurichten- dringend abgeraten.
Der Rat war, das Backup auf die 720+ so einzurichten, dass sich das Backupgerät (meine alte 720+) die Daten von der DS923+ "holen" sollte ("zieht").
Nur auf diese Weise hätte mein Backup Gerät die maximal mögliche Abschottung, da keinerlei Zugangsdaten extern gespeichert wären.


Dazu habe ich zwei Fragen:

1.
Für mich hört sich die Backupstrategie -"Zieh das Backup"- gut und sicher(er) an.
Ist das so?

2.
Wie richtet man so etwas konkret ein?
(Gesamtbackup nicht möglich, da die 720+ weniger Speicherplatz als die 923+ hat; es geht daher nur um die Sicherung wichtiger Daten)

 

[maxblank]

Dann geht das „Pull“-Backup über Active Backup nicht, da du nur das gesamte System sichern kannst. Ergänzung: Per Dateiserver-Sicherung abbildbar.

Da aber die DS720+ Snapshot Replication unterstützt, ist dies dein Mittel der Wahl.

https://kb.synology.com/de-de/DSM/tutorial/what_is_an_immutable_snapshot

Davon ganz oft welche machen und sehr viele.
Und dann natürlich auf das Backup NAS schicken und dort ebenfalls Snapshots machen.

Zusätzlich Backup zu Hetzner mit deren Storage Box und auch dort Snapshots einsetzen.
https://www.hetzner.com/storage/storage-box/

Dann bist du sehr gut aufgestellt.

Die DS720+ kannst du natürlich netzwerkmässig abschotten, zum Beispiel per VLAN. Das setzt aber entsprechende Firewall und / oder Switche voraus.

Edit: Nach Hinweis von @plang.pl ergänzt bzw. korrigiert.

 

[Rotbart]

Du kannst die Geräte auch über den. 2 Netzwerkport der 923+ direkt verbinden und so ein zweites Netz schaffen was vom Rest getrennt ist,dann brauchst du nur ein 2. Kabel.

 

[plang.pl]

„Pull“-Backup über Active Backup nicht, da du nur das gesamte System sichern kannst.

Falsch. Über die Dateiserver-Sicherung kann man über SMB ausgewählte Ordner vom Ziel ziehen.

 

[maxblank]

Stimmt, da hast du Recht. Trotzdem würde ich die Snapshots hier vorziehen. Sie sind einfach mächtiger und schneller in allen Belangen, sowohl im Sichern als auch in der Wiederherstellung.

 

[stevenfreiburg]

Backups in Form von "immutable_snapshots" fänd ich eigentlich am besten.
Leider aber hebelt meiner persönlichen Ansicht nach Synology den Vorteil von "immutable" aus, indem sie "immutable" auf max. 30 Tage begrenzen.

Bleiben also getrennte//separate Netzwerkverbindung/kabel und SMB als Lösungen, oder?


Als Cloud//Onlinespeicher hab ich 14 TB lebenslang bei pcloud (gabs mal für 1.300 US $); gegenüber anderen Cloudspeichern mit monatlichen Abokosten für mich die beste Lösung. Die auf 1 Jahr erweiterte Versionierung kostet 39 US $ pro Jahr. Das ist es mir wert, denn damit muss ich mich nicht um Dateiversionierungen und Schnappschüsse kümmern.

 

[plang.pl]

Obs schneller ist keine Ahnung. Immutable Snapshots sind aber die bessere Maßnahme zum Schutz vor Ransomware würd ich sagen

 

[maxblank]

Leider aber hebelt meiner persönlichen Ansicht nach Synology den Vorteil von "immutable" aus, indem sie "immutable" auf max. 30 Tage begrenzen.

Dann lege entsprechend WORM-Bereiche auf dem Backup-NAS an, in welche du die Snapshots ablegst.

https://kb.synology.com/de-de/DSM/t...models_support_WriteOnce_and_secure_snapshots

https://kb.synology.com/en-global/WP/WriteOnce_White_Paper/1

 

[Tommes]

Unabhängig von der Sache mit den Snapshots würde ich ein Pull-Backup einem Push-Backup stets vorziehen. Kann man auch über eine SSH Public Key Authentifizierung und rsync gut und sicher lösen.