Verbesserung der Sicherungsstrategie

[Bib]

Hallo,
wir haben hier einen Hyper-V mit 6 virtuellen Servern, einen zusätzlichen alten (Win2008 Hardware-)Server, auf dem nur die Telefonanlage läuft sowie ca. 15 Clients.

Dies alles wird mittles Veeam auf ein QNAP NAS TVS-863 mit 8x 2TB HDD im Raid 6 gesichert.

Dieses QNAP wird dann täglich noch auf wechselnd angeschlossene und ansosnten im Tresor verwahrte 2,5"-HDDs (USB3.0, 3 TB) gesichert.


Wenns es aber bei uns mal brennen sollte, ist vermutlich alles kaputt. Daher überlege ich, ob es nicht sinnvoll wäre, ein zusätzliches NAS in einem externen Gebäude aufzustellen, welches über VPN mit dem Hauptgebäude verbunden ist. An beiden Standorten steht VDSL 100.000 mit 40.000 Upload zur Verfügung.


Was würdet ihr mir hier empfehlen? Wenn ich dann zusätzlich über VPN sichere, kann ich mir dann die externen USB-HDDs sparen oder sollte ich das trotzdem beibehalten?

Ich hab für das externe Gebäude an ein kleines z.B. 2-Bay NAS gedacht, darin 2x 4 TB im Raid 1 - damit müsste ich schon eine Weile auskommen. Aktuell ist das Sicherungs-NAS mit ca. 2 TB von 10 TB belegt und die Datgenmengen werden wohl nicht sehr rapide anwachsen die nächsten Jahre.

Außerdem würde auf dem externen NAS nur der Hyper-V mit den virtuellen Servern gesichert, die ganzen Clients usw laufen dann weiterhin nur intern aufs NAS.

 

[VirtuGuy]

Bei der Datenmenge/Bandbreite würde ich durchaus überlegen ob Ihr nicht auch die Client Daten jede Nacht kopiert. Je nach Absicherung des externes Gebäudes, würde ich dringend zu einer Verschlüsselung des externen Backups raten. Im Grunde könnte dies auch Veeam übernehmen.

Ich würde auch die "externen" USB Backups beibehalten.

 

[Bib]

Verschlüsselung ist klar, das externe Gebäude ist nicht sonderlich gut abgesichert.

Von QNAP zu QNAP direkt und inkrementell geht nicht? Das muss dann immer als 2. Sicherungsjob in Veeam ablaufen lassen? Jedesmal die kompletten Daten von QNAP zu QNAP - so wie bei den lokalen USB-HDDs jede Nacht ist zu viel.


Und die mit Veeam Endpoint gesicherten Clients muss ich auch alle mittels einem lokal bei jedem Client angelegtem 2. Sicherungsjob dann zusätzlich aufs externe NAS sichern lassen?


Normales günstiges QNAP/Synology mit 2-Bay und Raid 1 reicht ja hier vollkommen aus, denke ich mal? Oder evtl. ein 4-Bay um später noch 2 zusätzliche HDDs einstecken zu können, falls der Speicherplatz eng werden würde... Wobei ich dann beim externen NAS nicht so viele wiederherstellbare Restore-Points benötigen würde.

 

[martingo]

Doch, QNAP zu QNAP geht natürlich auch inkrementell. Gibt mehrere Möglichkeiten, kannst Du ja selbst in der Backup Station einsehen.
Auf Dateiebene muss aber natürlich eine inkrementelle Möglichkeit gegeben sein. Falls Deine Backuplösung (kenne Veeam nicht) auch inkrementelle Backups in eine große Datei packt, kann das natürlich nicht mehr nachvollzogen werden. Spätestens wenn sich die ganze Datei durch Verschlüsselung ändert. Wenn pro inkrementeller Sicherung aber nur eine oder mehrere kleine Dateien mit geändertem Inhalt hinzukommt, geht ds ohne weiteres.

Ich persönlich würde die Verschlüsselung eher auf tiefer liegender Schicht regeln, d.h. verschlüsselte Platten im NAS und gesicherte Übertragung per VPN.

Die extern verwahrten Platten solltest Du auf jeden Fall beibehalten (wenngleich der Zyklus dann vielleicht etwas länger werden darf). Spätestens wenn ein Angreifer administrative Rechte erlangt, könnte er sonst sowohl das Backup als auch das Backup vom Backup zerstören.

 

[lookam]

Schon mal darüber nachgedacht, die weitere Sicherung einfach in die Cloud zu schieben? Gibt ja mittlerweile einige Cloud Anbieter mit unbegrenztem Storage ( Amazon Drive, Backblaze,...). Bei Deiner Upload-Geschwindigkeit müsste das sehr performant sein. Mit der Auslagerung von verschlüsselten Backups ist man gegen Feuer, Diebstahl oder Vandalismus Gefahren gut abgesichert.
Für Veeam gibt es auch profesionielle Lösungen mit Cloud Storage Providern, über die man ein Backup direkt in die Cloud machen kann.

 

[Janex]

Schon mal darüber nachgedacht, die weitere Sicherung einfach in die Cloud zu schieben? Gibt ja mittlerweile einige Cloud Anbieter mit unbegrenztem Storage ( Amazon Drive, Backblaze,...). Bei Deiner Upload-Geschwindigkeit müsste das sehr performant sein. Mit der Auslagerung von verschlüsselten Backups ist man gegen Feuer, Diebstahl oder Vandalismus Gefahren gut abgesichert.
Für Veeam gibt es auch profesionielle Lösungen mit Cloud Storage Providern, über die man ein Backup direkt in die Cloud machen kann.

Dann aber vor Upload verschlüsseln.

 

[Bib]

Cloud wäre schon auch eine Möglichkeit. Wobei die Datenübertragung bei den Datenmengen selbst mit VDSL 100.000 ziemlich lange dauern würde. Ich habe letztens einen kompletten virtuellen Server erstmalig über VPN gesichert. Das hat 18 Stunden gedauert, begrenzt hat hier der Upload von 40.000. Wenn ich dann im Notfall zurücksi9chern muss, dann kann ich erst mal so an die 7-8 Stunden warten, bis ich die Daten aus der Cloud heruntergeladen habe... Und das war nur ein einziger virtueller Server. Wir haben hier insgesamt 6 im Haus, 2 von einer Aussenstelle und 1 kommt in Kürze noch dazu. Also 9 Stück.

Wir haben 2 Aussenstellen mit VPN, eine im Ort und eine 10 km entfernt, da könnten wir problemlos ein QNAP aufstellen.


Welches QNAP ab 4 HDD-Einbauplätzen würde denn hier passen?

AES-Hardwareverschlüsselung sollte es haben. Wieviel RAM? 2 oder 8GB? Das QNAP würde nur als Ablage für die zusätzlichen Backups dienen. Sämtliche andere Dienste haben wir bereits auf virtuellen Servern am laufen.

Wäre das QNAP TS-431X-2G ausreichend?

Dazu vorerst 2x WD Red mit je 4 TB im Raid 1? (oder falls mehr Platz benötigt wird, 4x WD Red 4 TB)

 

[Bani]

Finde es verantwortungsbewusst, dass du dir Gedanken über ein vernünftiges Backupkonzept machst, und wenn du die Ausgaben durchbekommst, alles gut, kann man so machen und ein zusätzliches NAS aufstellen.
Aber warum nicht das vermeintlich einfachste und die Sicherung auf den externen Platten an einen anderen Ort verbringen?
Auf wie viele externe HDDs sichert ihr denn? Zwei im Wechsel, oder mehr?
Jeweils die die nicht im Betrieb ist an den GF/Verantwortlichen weiterreichen, der soll sie dann mit nach Hause nehmen.
Wenn es sehr sensible Daten sind braucht er einen Safe und ihr eine Verschlüsselung des Backups. Backup ist somit offsite, im Brandfall ist nicht alles weg und du sparst dir potenzielle Probleme mit Flaschenhals WAN, Einrichtung und Pflege des Backupmechanismus usw.
Am besten prüft ihr die Backups auch regelmäßig, egal welche Lösung es nachher wird.

Nur so als Gedanke, man muss nicht gleich mit Kanonen auf Spatzen schießen

 

[Bib]

Wäre natürlich auch eine Möglichkeit, aber übers Netzwerk ist es für alle beteiligten einfacher. Wir sichern abwechselnd auf 4 externe HDDs.

Den WAN-Sicherungs-Job über Veeam einzurichten ist kein großer Akt, VPN steht schon, es werden keine weiteren Lizenzen benötigt, nur ein zusätzliches NAS. Der Flaschenhals WAN ist eigentlich nur bei der ersten initialen Vollsicherung ein Problem, später mit inkrementellen Backups ist das gleich durch. Die erste Sicherung könnte ich auch noch lokal im Netzwerk machen und das NAS dann erst später ins andere Gebäude stellen.

Finanziell auch kein Problem, wenns ums Thema Datensicherheit geht, dann wird niemand bei uns zu sparen anfangen. Wir hatten uns letztes Jahr einen Verschlüsselungstrojaner eingefangen (zum Glück ohne größere Probleme und Ausfälle) und seither gibts keine Diskussionen mehr, wenn ich was verbessern kann.


Also: Taugt das oben genannte QNAP was? Oder ein besseres Modell auswählen? Reicht der RAM oder besser die 8GB Variante?