Business Active Backup for Business - Verschlüsselung der gesicherten Daten

[tp1de]

Ich habe Active Backup for Business eingerichtet um meinen Desktop und Laptop zu sichern (Bare-Metal).
Zusätzlich werden 2 Dateiserver mit rsync gesichert.

Nun frage ich mich, ob das gespeicherte Image verschlüsset ist? Soweit ich das verstehe wird nur die Datenübertragung selbst verschlüsselt und nicht die gesicherten Daten.

Wie kann ich sicherstellen, dass bei Ausbau der Platte / Diebstahl kein Zugriff ohne Verschlüsselungspasswort möglich ist?
Kann bzw. soll ich den Speicherort / Gemeinsamer Order für Active Backup verschlüsseln?

 

[Cyberbob_at_tot]

Hallo, ich habe hier das selbe Problem, bzw. eine Wissenslücke,

ich habe versucht den Ordner "ActiveBackupforBusiness" direkt als verschlüsseltem Ordner anzulegen. Aber der Agent kann dann keine Aufgabe mehr erstellen.

Daher auch von mir die Frage. Hat jemand zum Thema mehr informationen ?

 

[tp1de]

Leider habe ich in den letzten 5 Wochen hier im Forum keine Antwort bekommen.
Ohne Datenverschlüsselung werde ich Active Backup for Business nicht einsetzten. Ich sichere jetzt nur noch unkritische Bereiche von Dateiservern mit Active Backup.

Bei allem Anderen - insbesondere PC's - bleibe ich bei ACRONIS Trueimage mit Verschlüsselung und Datenkomprimierung.

SO IST ACTIVE BACKUP FOR BUSINESS FÜR VERTRAULICHE DATEN NICHT EINSETZBAR.

 

[Cyberbob_at_tot]

Da stimme ich leider zu.

Habe gerade noch die Antwort von Synology erhalten. Es ist nicht möglich, die Backups in ein verschlüsselten Ordner als Ziel zu schieben.
"Hierbei handelt es sich um eine Softwarelimitierung um sicherzustellen, dass das Zielverzeichnis für Backups und Restores jederzeit zur Verfügung steht."
Aber habe den Wunsch mal geäußert, dass diese Funktionion mit eingebaut werden soll.

 

[tp1de]

Fazit: Wie der Name schon sagt, ist ACTIVE BACKUP aktuell nur im Business-Bereich einsetzbar, wo es zugangsgesicherte Server-Räume gibt.
Nicht im Privathaushalt, wo das Diebstahlrisiko der Datensicherung/Festplatten nur durch Verschlüsselung abgedeckt wird.

Da ich meine Desktops / Laptopts mit Bitlocker verschlüssele, geht nur Backup mit hinreichender Verschlüsselung!

Technisch wäre es ja leicht, nicht nur die Datenübertragung, sondern auch die Sicherungsdateien selber zu verschlüsseln (so wie Hyperbackup ja auch macht).

 

[Bequa]

Ich kann mich hier nur anschliessen, habe mich gerade mit ACTIVE Backup auseinandergesetzt und es jetzt wegen fehlender Verschlüsselung wieder verworfen. Vielleicht kommt ja hier doch bald was, in Zeiten von DSGVO und den damit verbundenen Auflagen ist ein unverschlüsseltes Backup keine Lösung.

 

[mb01]

Mit der relativ neuen 2.10-Version von Oktober scheint es auch immer noch nicht zu gehen, sehr enttäuschend. Ich hab testweise mal Active Backup auf der Syno gestoppt, den zugehörigen Ordner verschlüsselt und dann Active Backup wieder gestartet: Nada, bei der nächsten Sicherung interner Fehler bzw. findet er den Order nicht.

Ich hab Active Backup erstmal nur testweise im Einsatz, das Thema Verschlüsselung hatte ich vertagt. Erst jetzt ist mir aber klar geworden, dass man seine Backup-Daten auf der Syno nicht verschlüsseln kann. Anwendungsfall wäre u.a. auch bei mir ein Notebook, was sonst mit Bitlocker zumindest halbwegs abgesichert ist. Gut, unbedingt notwendig ist Active Backup dank VPN/Drive/Hyberbackup ja nicht, aber ich fände es schon nett, mit ein paar Klicks schnell wieder meine Notebook-Umgebung wieder lauffähig zu bekommen, falls da "irgendwas" passiert.

Sehr schwach von Synology ... vielleicht müssten sie mal dieses veraltete Verschlüsselungskonzept mit ecryptfs(?) übern Haufen schmeissen und da eine neue leistungsfähigere Lösung einbinden. Wozu zahlt man für den Kram sonst so viel Kohle.

 

[Jagnix]

Hört auf zu "heulen" und schreibt ein Feature Request an Synology.

 

[mb01]

Ich hatte es als Kommentar unter eines der kürzlich veröffentlichen Synology-2020-Videos auf Youtube formuliert ... und die Antwort kam schnell: Die Entwickler arbeiten dran und es sei in einem größeren Update 2020 damit zu rechnen. Dann schauen wir mal ...

 

[Heidi]

Hier eine kleine technische Begründung warum der Active-ordner nicht verschlüsselt angelegt werden kann. Wie die meisten wohl wissen, kann das Active-backup nur auf dem Btrfs Filesystem angelegt werden. Denn für die platzsparende Speicherung ist die Btrfs-Funktion des Snapshots bzw. der Versionierung nötig. Auf dem ext4 geht das nicht. bei jeder Sicherung müsste man nun ein komplett neues Image vom PC anlegen. Da geht schnell der Platz aus.


Bei der Verwendung von verschlüsselten Ordnern wird innerhalb des Ordners ein neues Filesystem angelegt. Es handelt sich hierbei um das eCryptFS (siehe Wiki und Synology Whitepaper). Das eCryptFS kann leider keine der tollen Funktionen des Btrfs. So ist auch eine platzsparende Versionierung (Drive-Paket) innerhalb eines verschlüsselten Ordners nicht möglich. Auch kann die Snapshot und Snapshot-Replication Funktion nicht genutzt werden.

Ich sehe hier einen Zusammenhang. Sobald verschlüsselter Ordner verwendet: Keine Btrfs-Funktionen verfügbar = kein ActiveBackup for Business verwendbar.

Die ideale private IT-Struktur sieht m.E. so aus, dass der "PC" nur ein Client darstellt, auf dem das Betriebssystem und die Programme mit deren Einstellungen laufen. Die Daten befinden sich auf der Syno, die mit Raid und autom. backup und Verschlüsselung für den Sicherheit sorgt. Das ActiveBackupfB sichert demnach nur das z.B. windows mit allen Einstellungen, sodass man den PC Migrieren kann oder refresehen oder ein bare-metal-recovery durchführen kann.

Aber ja, tatsächlich liegen auch auf meinem win-PC einige Daten auf dem Desktop unverschlüsselt herum und der große Thunderbird-Ordner liegt der Start-Geschwindigkeit halber auch auf C: (ist ne SSM Platte) rum. Aber hier stellt sich dann die Frage nach einem Diebstahl sowieso, wenn die Daten auf dem win unverschlüsselt liegen. Okay, der win-login ist zumindest "gesichert", aber tatsächlich müsste hier dann erst eine Bitlocker-Geschichte laufen, damit man den schwarzen Peter der unverschlüsselten Syno in die Schuhe schieben kann...

Also, auch ich hoffe auf eine verschlüsselte Variante des ActiveBackupForBusiness in naher Zukunft (DMS7.0......?!)

 

[Heidi]

Hallo zusammen,

ich lese gerade so durch diesen Thread, merkt, dass ich der letzte war, der 'damals' geschrieben hat und aktualisiere hiermit den Stand der initialen Frage nach der Verschlüsselung des Ziel-Ordners für das ActiveBackupforBusiness (ABB).

Seit ABB-Version 2.2.0-12070 vom 1. Juni 2021 ist die Funktion der Verschlüsselung des Ziel-Ordners verfügbar.

 

[Heidi]

Ich hatte gerade Kontakt mit dem Support zur Frage, wie man "nachträglich" die Verschlüsselung seines ABB einrichten kann. Die Antwort wie folgt:

Active Backup for Business verwendet eine eigene Verschlüsselung, diese funktioniert unabhängig von der Verschlüsselung der freigegebenen Ordner. Ein nachträgliches Aktivieren der Verschlüsselung ist nicht möglich.

Auch die Komprimierung wird von Active Backup for Business selbst durchgeführt. Für den freigegebenen Ordner sollte deshalb keine Komprimierung aktiviert werden.

Zur Lösung des Problems können Sie ein neues Sicherungsziel erstellen:

• Erstellen Sie einen neuen freigegebenen Ordner ohne Verschlüsselung und ohne Komprimierung (die Daten-Prüfsummen können Sie aktivieren, dies beeinträchtigt aber die Sicherungsleistung)
• Erstellen Sie in Active Backup for Business eine neue Sicherungsaufgabe, wählen Sie dabei den neuen Ordner als Ziel aus. Beim Erstellen der ersten Aufgabe in diesem Ordner haben Sie die Möglichkeit, die Komprimierung und Verschlüsselung zu aktivieren. Diese Optionen sind dann auch für alle anschließend in diesen Ordner erstellten Aufgaben aktiviert.

 

[DS111-User]

Danke für die Erklärung @Heidi!

Anscheinend muss man wirklich zuerst einen neuen freigegebenen Ordner über die DSM-Systemsteuerung erstellen und dann diesen neuen Ordner innerhalb von "Active Backup 4 Business" als Sicherungsziel angeben.
Dann kann man folgende Einstellungen in der Default-Aufgabe (oder eigenen neuen Aufgaben) einstellen:

Wie das mit dem "Sicherungsziel bereitstellen, wenn dieses Synology NAS neu gestart wird" funktioniert, habe ich noch nicht herausgefunden.

Gibt man bei der Verschlüsselung ein Passwort an, wird einem dieser Schlüssel automatisch als *.key-Datei auf das lokale Geräte heruntergeladen. Samt Hinweis, dass ohne dieses Passwort die gesicherten Daten endgültig verloren sind.

 

[maxblank]

Damit wird der entsprechende Key oder das Passwort im sogenannten „Schlüssel-Tresor“ hinterlegt und der verschlüsselte Ordner beim Neustart automatisch eingebunden und entschlüsselt. Ansonsten muss das nach jedem Neustart manuell erfolgen.

 

[Heidi]

Sobald das Ziel verschlüsselt wird, muss das -ähnlich einem "Passwort-Tresor" oder den "verschlüsselten Gemeinsamen Ordnern" per Passwort geöffnet" werden, damit die Clients drauf zugreifen können. Andernfalls ist der Tresor geschlossen. Der Tresor fällt bei jedem Geräte-Shutdown ebenfalls zu. Durch Hinterlegen des Passworts, oder einen Dongles kann das automatisch erfolgen.

Im Privatbereich muss ich ja nur alle Nase lang mal auf das Backup zugreifen. Ich lasse meinen tresor einfach immer zu und öffne nur dann, wenn ich draus wirklich war brauche. Bedeutet max. Sicherheit bei kaum Komfortverlust.

 

[schukra]

Ich habe erfolgreich ein verschlüsseltes Backup anlegen können. Den Schlüssel habe ich in der Systempartition hinterlegen lassen. Es funktioniert alles prima. Jetzt eine Verständnisfrage:
Ich möchte alle Schlüssel gemäß der Empfehlung auf einen externen Datenspeicher exportieren. Aber der Schlüssel meines AB4B Sicherungsziels erscheint leider nicht im Schlüsselmanager. Gibt es irgendwie eine Möglichkeit das nachträglich hinzubekommen? Schlüsseldatei und Passphrase liegen mir natürlich vor. Wo genau liegt eigentlich der Schlüssel in der Systempartition? Komme ich da mit SSH dran?

 

[maxblank]

Schlüsseldatei und Passphrase liegen mir natürlich vor

Dann hast du alles, was du benötigst. Diese Schlüsseldatei, die beim Erstellen automatisch heruntergeladen wird, ist auch im Schlüsselmanager hinterlegt, wenn gewünscht.