Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?

[JUK-Bavaria]

Zwischen 1 und 4 GByte. Aber ich hab mal nachgeschaut, ich denk mal im komm im Durchschnitt so auf 200 GB im Monat, das sind ja in 9 Monaten auch "nur" 1,8 TB. Ich hab für das AB4B-Volumen mal 12TB netto eingerechnet - bei 8TB Plattenplatz im PC. Da ich hier wohl nur nur auf max. 6TB Auslastung kommen werde, habe ich 200% Volumen für das Backup mit 9 Monaten Retension, da sollte das noch reinpassen.

 

[ctrlaltdelete]

Dann passt mein Vorschlag.

 

[ctrlaltdelete]

Aber ich hätte vom PL Verhältnis 3 x 16 TB HDDs genommen, Toshiba oder Seagate Exos. Die WD sind leider mittlerweile zu teuer.

 

[JUK-Bavaria]

Die WD liegen schon hier, ich wollt leise Platten, da die NAS im Arbeitszimmer sieht...

 

[plang.pl]

Ich habe Seagate Exos 18TB in der DS. Viel lauter als die WD Red Plus mit 4TB, die ich vorher hatte, sind die auch nicht. Bei Schreibzugriffen etwas lauter, dafür aber bei keinem Zugriff leiser.

 

[MLG]

Ein sehr informativer Thread!

Ich wäre dankbar, wenn Ihr folgende angedachte Backup-Strategie nochmal kritisch challengen könntet.

Ist das von mir angedachten Design evtl. völlig 'drüber' bzw. explodiert der dafür erforderlicher Speicher? Da ich AB4B bis dato noch nicht genutzt habe, hoffe ich es folgend richtig skizziert zu haben.

Generelle Annahmen:
1. Komplette Mac-Umgebung
2. Mac Studio = Server = ca. 500 GB Datenmenge
3. NAS Admin-Login ist nicht "admin" oder "root", sondern anders
4. NAS Admin-Login hat starkes Passwort
5. 2FA für Admin-Login ist aktiviert
6. Es gibt auf dem NAS keinerlei Freigaben, sondern nur drei definierte Speicherpools
7. Auf dem Endpoint/Server läuft der AB4B Agent
8. Falls Login/Kennwort für AB4B erforderlich, separater Account nur für Backup ohne Adminrechte
9. Time Machine auf dem Server bleibt vorerst ungenutzt (da "Push")

Anmerkung: Sonstige Endpoints werden vorerst nicht gesichert, sondern im Zweifel neu aufgesetzt.

Vorgehensweise On-Site Backup:
1. AB4B holt vom Server ein Bare-Metal-Backup ("Pull")
2. gesichert wird nach Generationenprinzip (Sohn, Vater, Großvater)
3. Sohn => Speicherpool #1 => 5x Ordner für jeden Werktag + WORM-Schutz 5 Tage aktiviert
Vater => Speicherpool #2 => 4x Ordner für jeden Samstag + WORM-Schutz 1 Monat aktiviert
Großvater => Speicherpool #3 = 11x Ordner für jeden Monat + WORM-Schutz 1 Jahr aktiviert
(ggfs. Urgroßvater => Speicherpool #4 = 10x Ordner für jedes Jahr + WORM-Schutz für 9 Jahre aktiviert)
4. Sohn-Backup = täglich + inkrementell
Vater-Backup = Samstags + Voll-Backup
Großvater-Backup = jeden 1. des Monats + Voll-Backup

Vorgehensweise Off-Site Backup:
1. HB sichert Sohn-Backups unmittelbar nach deren Erstellung in die Cloud
2. HB sichert Vater-Backups unmittelbar nach deren Erstellung in die Cloud
3. HB sichert Großvater-Backups unmittelbar nach deren Erstellung in die Cloud
(ggfs. 4. HB sichert Urgroßvater-Backups nach deren Erstellung in die Cloud)

Daraus ergäbe sich folgender Plattenbedarf (der Einfachheit hier ohne Reserve berechnet)
Sohn = 5x 500 GB = 2,5 TB (in der Praxis deutlich weniger, weil inkrementell)
Vater = 4x 500 GB = 2 TB
Großvater = 12x 500 GB = 6 TB
(Urgroßvater = 10x 500 GB = 5 TB)

Speicherpool #1 = 2,5 TB
Speicherpool #2 = 2 TB
Speicherpool #3 = 6 TB
(Urgroßvater #4 = 5 TB)

Ergo, nimmt man ohne RAID vier Platten für jeden Speicherpool und, falls man RAID nutzen und die Platten spiegeln will benötigt man für RAID 1 mindestens 8 Platten, will main RAID 5 o. ä. sind 16 Platten erforderlich.

Ist es so ökonomisch sinnvoll oder geht es evtl. eleganter ohne Kompromisse bei der Sicherheit?

 

[plang.pl]

Grundsätzlich ist AB4B schon ein Pull-Backup. Aber die Bare-Metal Sicherung mit dem Agent hebelt das wichtigste Sicherheitskriterium aus: Der Client verfügt über ein Passwort zum NAS. Bei der Dateiserver Sicherung ist das nicht der Fall: AB4B loggt sich per SMB auf dem Host ein und zieht sich die Daten. Der Client weiß nix von einem Passwort.
Wenn man aber Snapshots auf den gesicherten Daten hat oder diese zusätzlich wegsichert, kann ja (bei beschränkten User-Rechten für den Backup-User) nicht viel passieren.

 

[MLG]

Vielen Dank!

Aber die Bare-Metal Sicherung mit dem Agent hebelt das wichtigste Sicherheitskriterium aus: Der Client verfügt über ein Passwort zum NAS.

Ok, verstehe. Das war mir nicht bewusst. Dann verzichte ich auf Bare-Metal und ziehe nur die wirklich wichtigen Daten rüber.

Ich konnte mir AB4B bis dato leider nur von der Theorie erschließen, da das einzige mir zur Verfügung stehende NAS in der Produktivumgebung werkelt. Ich hab AB4B eben mal installiert und einen Testjob angelegt. Was mir auf den ersten Blick auffällt, der Testjob wird gefühlt schnarch langsam ausgeführt. Nun sagte weiter oben ein anderer User bereits das sei langsamer, aber wirklich sooo langsam? Das hat ja schon fast USB 2 Niveau. An der Verbindung zwischen Server und NAS liegt es definitiv nicht (10 GB SPF => ubiquity Pro Switch => 1 GB/s NAS).

Vielleicht ist mein Setup oben viel zu kompliziert?

Warum werden beim Sohn-Vater-Großvater Prinzip heute immer noch unterschiedliche Medien angeraten? Oder stammt diese Empfehlung noch aus alten Bandlaufwerk-Zeiten und aktueller Berichte schreiben diese lediglich ungeprüft ab? Ich hab es bei meinem oben skizzierten Ansatz mit Speicherpools versucht zu umschiffen. Ansonsten müsste ich ja Unmengen von einzelnen Platten kaufen. Wenn nur ein Mediendefekt abgesichert werden soll, hab ich dafür doch RAID und es wäre alles deutlich einfacher.

Wenn man aber Snapshots auf den gesicherten Daten hat oder diese zusätzlich wegsichert, kann ja (bei beschränkten User-Rechten für den Backup-User) nicht viel passieren.

Verstehe ich Dich richtig, Du agst, es reicht im Prinzip ein inkrementeller Job, wo man sich die oben angedachte Versionierung über die im Job bereits eingebaute Möglichkeit der 'Aufbewahrungsrichtlinie' baut und anschließend macht man einfach nur vom Backup-Verzeichnis auf der NAS Snapshots woanders hin, z. B. auf ein zweites NAS?

Es tut mir Leid, wenn die Fragen hier vielleicht zum x-ten Mal aufgeworfen werden. Ich will es ja einfach nur richtig machen.

 

[metalworker]

Also glaub dein Setup ist wirklich recht Kompliziert.

Wichtig ist vorallem die 3-2-1 Regel.

Ich selbst unterscheide bei mir immer noch zwischen Desaster Recovery ( das ist bei dir die ABB BareMEtal Sicherung )
und ner Zusätzlichen sicherung der Daten.
z.b. Ziehe ich mir auch Daten per Dateisicherung von ABB von meinen Servern , und diese sicherung wird dann
von nem Anderne NAS gezogen (somit hat auch das 1. NAS kein Zugriff )
und als 2. Werden die Daten bei mir nochmal in die Hetzner Storage Box geschrieben .Und dort mit Snapshots versehen.

 

[MLG]

@metalworker: Vielen Dank! Also alles ohne WORM-Firlefanz o. ä., korrekt?

 

[metalworker]

Ich würde es ohne machen .
Zumindest nicht die BareMetal

 

[plang.pl]

Dann verzichte ich auf Bare-Metal und ziehe nur die wirklich wichtigen Daten rüber.

Letzten Endes muss du selbst entscheiden, welche Art der Sicherung du fahren willst. Wenn genannte Methoden (beschränkter User füs Backup, Snapshots und versioniertes Backup) umgesetzt sind, kann man mit der Bare-Metal Sicherung eine vollständige und einfach wiederherzustellende Methode umsetzen.

Das hat ja schon fast USB 2 Niveau

Naja das kommt auf die DS an. Meine 720+ schafft über 2,5G im Durchschnitt 150MB/s.

 

[Ronny1978]

Eine evtl sogar gebraucht gekaufte Backup Syno mit einer grossen Festplatte tut da bessere Dienste und ist sicher nicht teurer als 3 USB Platten, abgesehen vom einfacheren Handling.

Es geht um Sicherheit und nicht um das Handling

Weil es mit einer einfachen "Serverlösung" billiger, einfacher, besser, sicherer geht. USB schützt nicht vor Ransomware! Festplatte angesteckt und schon ist es passiert.

Hier das gleiche. Einfaches Handling ist nicht sicher. Und NIEMAND hat gesagt, dass die USB Platten angesteckt bleiben sollen. Ich werfe meine nach jedem Backup Job aus und lege die in einem Schrank weg vom NAS. Wie soll ein Trojaner das Backup - bei einer abgesteckten Platte - dann verschlüsseln ?

 

[Synchrotron]

Die größere Gefahr bei Festplatten ist die Disziplin des Benutzers. Es passiert ja nie etwas, wodurch immer das Risiko besteht, das eine Handlung nicht mehr ausgeführt wird.

Das gilt für Heimnutzer. Gewerbliche Nutzer sollten es sich ersparen, den DJ zu machen. Einfach mal die Zeit für das Plattenhandling ausrechnen. Da rentiert sich eine BackupDS ganz schnell.

Das gilt an sich auch für Heimnutzer. Nur kalkulieren die oft ihre Zeit nicht mit hinein.

 

[Ronny1978]

Disziplin des Benutzers

Sicher oder einfach. Beides geht - meist - nicht gleichzeitig.

 

[Ronny1978]

Das gilt an sich auch für Heimnutzer. Nur kalkulieren die oft ihre Zeit nicht mit hinein.

2 Platten -> 1x Mittwoch/1x Samstag. Anstecken 5 Sekunden, abziehen und wegräumen 5 Sekunden. Hält sich also in Grenzen.

 

[Synchrotron]

Da stelle ich mich gerne mal mit der Stoppuhr dazu …

Wenn 5 Sekunden Wegräumen reicht, liegt das Backup im gleichen Raum. Feuer, Wasser, Diebstahl - wo hattest du noch gleich deine Daten ?

 

[Ronny1978]

Stimmt. Es kommen noch 2x 20 Sekunden dazu (Festplatten Wohnzimmer -> Arbeitszimmer zum NAS und wieder zurück). Wie konnte ich das vergessen. Die ganz wichtigen Daten liegen noch einmal VERSCHLÜSSELT bei Magenta Telekom in der Cloud UND bei C2 in der Cloud.

 

[Synchrotron]

Nur für andere, die hier nach Rat suchen: Mindestanforderung aus meiner Sicht für die Lagerung von Backup-Datenträgern ist ein anderer Brandabschnitt als die Original-DS.

Noch besser ist tatsächlich außer Haus - und wenn das heißt, alle 14 Tage mal bei Muttern Bratkartoffeln essen, und dabei das Laufwerk auszutauschen. Sie freut sich, ihre Bratkartoffeln sind lecker, und die Daten liegen sicher.

So, dass war jetzt genug Spaßbremse für Samstag Abend

 

[MLG]

Das gilt für Heimnutzer. Gewerbliche Nutzer sollten es sich ersparen, den DJ zu machen. Einfach mal die Zeit für das Plattenhandling ausrechnen. Da rentiert sich eine BackupDS ganz schnell.

Das sehe ich absolut genauso.

Meine Erfahrung lautet, die Laien (z. B. Mitarbeiter) bekommen das nicht auf die Kette und die insgesamt an den Tag gelegte Sorgfalt erfüllt nicht meine Ansprüche. Als ich das übernommen hatte, fand ich eine seit langem am NAS baumelnde USB-Platte mit einem gelben Post-It "Freitag" vor. Ging gar nicht!

Entsprechend mache ich das nun selbst. Eine USB-Plattenlösung ist mit erheblichen Mehraufwand verbunden und mir auch insgesamt zu fummelig. Ich möchte eine vollautomatisierte, aber dennoch solide-sichere Lösung. Kostet die etwas mehr, ist mir das egal. Der ersparte Mehraufwand ist es mir wert. Letzteres muss natürlich jeder für sich selbst entscheiden. Wie gesagt, für mich passt die USB-Platten-Strategie nicht. Somit leiste ich mir die Cloud als Brandmauer.