Encrypted Cloud-Backup - Zuverlässige Lösung?

[revx]

Hallo zusammen,

ich suche eine zuverlässige Lösung für ein verschlüsseltes Cloud-Backup.
Verschlüsselt bedeutet: Auch den Ordner- und Dateiname! (daran scheitern leider die inkludierten Lösungen von QNAP und Synology).

Zudem soll die Wiederherstellung simpel sein für den Fall, dass wirklich nur noch die Daten in der Cloud (sowie der Private-Key) existieren.

Wohin soll es gesichert werden?

• 200 GB WebDav (e.g NextCloud Client)
• 1 TB SharePoint (e.g OneDrive Client)

Bevorzugt sollte es direkt auf dem Synology oder QNAP NAS laufen. Notfalls kann ich aber auch für die Aufgabe via Docker-Container oder VM umsetzen. Die Daten welche gesichert werden sollen liegen derzeit im Synology Drive, wenn sie für den Sync-Task aber nochmal dupliziert werden müssten, wäre das bei 1,2TB nun auch nicht tragisch.

Was könnt ihr da empfehlen?

 

[madmax2010]

Da, fertig mit anleitung:
https://github.com/erikw/restic-systemd-automatic-backup

WebDAV und Onedrive Sync sind keine geeigneten Methoden fuer backups.

Muss nicht unbedingt b2 sein, jeder S3 Bucket / ssh target tuts auch

Muss auch nicht diese Variante von Github sein,aber ders tack hier sit halt einfach schon fertig und nutzbar

 

[Looniversity]

Rclone kann das machen. Du erstellst ein "remote" genanntes Target pro Dienst, und dann noch je ein "crypt" genanntes Target. Dann lädst du alles auf das jeweilige crypt hoch, und rclone erledigt die Verschlüsselung transparent und vor dem Upload. Zum Entschlüsseln brauchst du nur die Rclone Konfig-Datei und das Passwort, das du genutzt hast (Edit: Und den Zugang zur Cloud, falls der sich geändert hat).

Das ist ein Konsolenprogramm, aber wenn du mit Docker kannst sollte das kein größeres Hindernis sein. Und es gibt viele Anleitungen im Netz. Ob du Rclone auf den NAS laufen lassen kannst weiß ich nicht, aber ein kleines Droplet oder eine VM tut es auf jeden Fall.

Edit: Und hier die Dokumentation. Zugänglichere Tutorials gibt es auch.

 

[foo_1337]

Was die Verschlüsselung betrifft sind beides die passenden Tools. Es kommt jetzt halt auf den Use Case an. Will man syncen, bietet sich eher rclone an, will man klassische Backups, dann eher restic.

 

[roger1377]

https://www.duplicati.com/

Sollte alle Anforderungen erfüllen ;-) (inkl. Verschlüsselung und Cloud-Backup)
Gibts auch als paket für Synology-NAS, Linux, Windows, Docker usw...

 

[h3@d1355_h0r53]

Also mit Duplicati hab ich schon Erfahrungen gemacht und das war grausam da entweder unendlich viele Dateien erzeugt werden oder halt sehr große Dateien. Vielleicht hat sich das verbessert, aber daneben war es beim Restore einfach lahm.

Darf ich aber die Frage stellen warum alles in die Cloud soll? OneDrive z.B. kostet 69 Euro im Jahr. Dafür kannst du dir eine gebrauchte Synology DS115j o.ä. kaufen (wobei ich heute eine 2-Bay Lösung kaufen würde). Wenn dann noch eine Festplatte rumliegt kannst du dir diese sparen, aber 2TB HDD gibt es für unter 50 Euro. Also hätte sich die Investition nach <1,5 Jahren schon gelohnt. Stromkosten dann halt noch paar Euro. Kannst dann irgendwohin stellen außerhalb des Hauses bei Eltern oder so und lässt es als Backup laufen, nachts wird versioniert alles synchronisiert. Bei meinen Eltern steht das so, deren Leitung ist langsam aber nachts paar Stunden ist kein Problem. Den ersten Sync habe ich noch daheim über LAN gemacht. Vorteile einer zweiten Synology: Alles in deiner Hand, Verschlüsselung möglich und einfach und lässt sich komplett problemlos mit Hyper Backup Vault umsetzen. Dazu Versionierung wie du willst. Und nicht abhängig vom Cloud Anbieter - diese können dir den Account sperren, kommt immer wieder vor. Des Weiteren ist es zwar jetzt verschlüsselt und unknackbar mit gutem Passwort und Angriffe würden mehr Zeit und Energie benötigen als wir haben, aber schon morgen kann das anders sein. Und dann weißt du im Zweifel nicht wie lange die Dateien beim Hoster tatsächlich noch rumliegen und wer Zugriff darauf hat oder gesetzlich haben muss... Ich hab das sehr lange überlegt und auch Synology C2 und Amazon Glacier angeschaut und alles mal durchgespielt. Aber am Ende war die 2. Synology günstiger und sicherer für mich.

 

[Looniversity]

OneDrive z.B. kostet 69 Euro im Jahr

OP schreibt nicht ob das privat oder gewerblich (da Sharepoint) ist. Vermutlich bezahlt er so oder so ohnehin Office 365 und hat den Cloudspeicher quasi gratis dabei.

Dafür kannst du dir eine gebrauchte Synology DS115j o.ä. kaufen (wobei ich heute eine 2-Bay Lösung kaufen würde)

Wer gibt dir da Garantie rauf? Ungefähr niemand - es hat schließlich einen Grund, dass die Verkäufer die Teile loswerden wollen. Wenn es ausfällt zahlst du mehr drauf als du gespart hast, und die Daten sind trotzdem weg.

warum alles in die Cloud soll

Einfacher wird ein Offsite-Backup nicht. Gerade wenn es gewerbliche Daten sind sollten die vielleicht nicht bei der Familie im Keller stehen. Und man kann jemanden für die Speicherung bezahlen, die Verantwortung abgeben, und es professionell machen lassen anstatt sich selbst damit rumzuschlagen. Für die private Fotosammlung kann man das machen, aber selbst da muss das nicht sein.

Wenn dann noch eine Festplatte rumliegt kannst du dir diese sparen

Ein Backup auf eine sketchy alte Festplatte legen.. da kann man sich den Aufwand auch ganz sparen, weil man ohnehin noch ein weiteres Backup braucht.

Des Weiteren ist es zwar jetzt verschlüsselt und unknackbar mit gutem Passwort und Angriffe würden mehr Zeit und Energie benötigen als wir haben, aber schon morgen kann das anders sein

Wenn AES geknackt wird sind die Daten zu Hause auch nicht sicherer. Im Zweifel hat der ISP die schon abgegriffen bevor sie im Keller der Eltern landen und wartet einfach, bis das entschlüsselt werden kann.

Aber am Ende war die 2. Synology günstiger und sicherer für mich.

Deine Entscheidung in allen Ehren, das eigene NAS ist aber keine mit AWS oder Azure vergleichbare Lösung. Natürlich mag es für dich ausreichend sein und dann auch günstiger. Aber allein schon der physische Zugangsschutz kann dein NAS nie auf dem gleichen Niveau gewährleisten. Und für alles andere siehe oben zu AES.

 

[roger1377]

das war grausam da entweder unendlich viele Dateien erzeugt werden oder halt sehr große Dateien

Die Größe der Ziel-Dateien kann per Option frei selbst bestimmt werden. Zumal werden inkrementelle Backups ebenfalls unterstützt.

 

[revx]

Danke euch! Duplicati schau ich mir mal an, das geht in die richtige Richtung.
Am besten vmtl. auf der Synology im Docker-Container?

Ich habe bereits ein Synology NAS mit 36TB in der Wohnung und ein QNAP-NAS als Backup mit 30TB im Keller im 2. UG. Da es ein recht großes Haus ist, müsste schon eine Bombe einschlagen, dass ich beide NAS auf einmal verliere. Das QNAP holt sich die Daten via rsync und ist durch eine Sophos-Firewall vom Synology ansonsten getrennt. Zudem finden auf beiden NAS Snapshots täglich statt.

Trotzdem will ich die wichtigsten Daten nochmal Remote verschlüsselt haben. Bei den Eltern kommt leider nicht in Frage - deren Internet-Verbindung ist zu lahm.

Office 365 soll genutzt werden da am günstigsten. Ich habe einen Office 365 Business Account (mit 1TB OneDrive und 1TB SharePoint). Hier werde ich die wichtigsten Dokumente absichern (Kopien von Zeugnissen, Familienfotos, etc.).

Daneben habe ich noch ein Office Family mit 6x 1TB OneDrive Storage. Das werde ich nutzen, um meine RAW-Fotos nochmal separat zu sichern.

Insgesamt kosten mit damit 8TB an Cloud-Storage nur ca. 10€ im Monat. Wobei bei dem Office Family das Risiko besteht, dass sie willkürlich die Nutzung unterbinden. Bei SharePoint Business habe ich da aber keine Bedenken.

 

[madmax2010]

Am besten vmtl. auf der Synology im Docker-Container?

warum im (docker) Container?

 

[revx]

Installiere nicht gerne 3rd-Party-Software direkt auf einem sicherheitskritischen NAS, sondern will dies lieber vom Haupt-OS getrennt haben. Deswegen der Gedanke es mit Docker zu isolieren.

 

[Looniversity]

Nebenbei: Eine Briefumschlag mit einer Notiz der Passwörter und Emails zu den Accounts und Backups etc im Banksafe, neben dem Zweitschlüssel und dem Schein der Lebensversicherung, ist auch nicht verkehrt.

Man meint immer, die Passwörter so gut zu kennen, dass man die nicht vergisst - aber das stimmt auch nur bis es nicht mehr so ist. Und sei es nur weil man vier Wochen aus anderem Grund im Krankenhaus oder auf Kur verbringt und in der Zeit nie an alle Passwörter (oder das Master-pw des Passwort-managers!) denkt. Dann steht man doof da.

Ich habe z. B. mal ein "absolut unvergessbares" Passwort vergessen weil ich vier Monate den Arm im Gips hatte und es in der Zeit nicht eingegeben oder abgerufen habe, weil es auch anders ging. Und zack, die Daten sehe ich nie wieder - war zum Glück nur ein Backup von Daten die ich noch habe.

 

[calippo]

OneDrive z.B. kostet 69 Euro im Jahr.

Wenn man ein bisschen im voraus kauft und nach Angeboten schaut, bekommt man es günstiger. Ich habe die Tage um ein weiteres Jahr verlängert für 27€. War bei einer BT-Maus dabei, die wird jetzt verschenkt.

Ein zweites NAS an einem anderen Standort ist natürlich auch eine Lösung. Ich habe da keine Möglichkeit.
Freunden will ich so was nicht zumuten, da ich selbst auch kein 24/7 NAS (Lautstärke) eines Freundes in der Bude haben will, das mir ggf. die Leitung verstopft, wenn ich sie selbst nutzen will.

 

[foo_1337]

warum im (docker) Container?

Bei den Dependencies (Mono) ist das wahrscheinlich die bessere Wahl

 

[roger1377]

... also wenn das NAS als "sicherheitskritisch" einzustufen ist, ist überhapt die Frage, ob open-source-beta-Software überhaupt eine Option ist. Im professionellen (buissnes) Bereich sollte man dann doch eher auf Industriestandards zurückgreifen. :-)

 

[revx]

@roger1377 Das "Beta" schreckt mich auch ein wenig ab, aber Duplicati ist nun auch nur die letzte "Verteidigungslinie" in der Backup Strategie
OpenSource ist hingegen ein großer Pluspunkt, nichts schlimmer als ein proprietäre BackUp Lösung ^^

Alternative die ich noch gefunden habe ist Syncovery. Das würde sich noch feingranularer konfiguirieren lassen und sichert dann auch via .zip Files die sich mit jedem Programm entschlüsseln lässt. Nur erschlagen einem hier die Anzahl an Optionen.

 

[revx]

So, Duplicati nun eingerichtet mit Docker und erster Testlauf läuft mit OneDrive.
Sieht soweit gut aus, nur der Upload-Speed ist mit 1,5 MB/s nicht so der Hit, die Leitung würde auch 4 MB/s mitmachen

 

[roger1377]

naja, das arme NAS muss ja auch verschlüsseln, komprimieren und die Daten auch noch auslagern. Da wird der kleine Prozessor am Anschlag sein. Bin mir sicher, wenn du die Verschlüsselung und Komprimierung ausstellst, kommst du auf deine 4MBit... Aber das war ja nicht Sinn der Übung

 

[Looniversity]

der kleine Prozessor

Wo siehst du die Typbezeichnung? Ein NAS das ab Werk Docker anbietet wird nicht gerade mit einem Atom daherkommen (siehe auch hier). Und AES-Verschlüsseln ist für alles aus den letzten 10 Jahren nun wirklich keine Herausforderung, das schaffen sogar die ollen Atom-Netbooks schneller.

Komprimierung ausstellst

Wo hat OP was von Komprimierung geschrieben? Zip-Dateien können auch quasi unkomprimiert erstellt werden, da kann so schnell hochgeladen wie es von der Platte gelesen wird.

und die Daten auch noch auslagern

...wat? Actually...nevermind.

 

[roger1377]

schon klar... ich kenne kein Synology-NAS, das "ab Werk" Docker installiert hat, sondern das muss immer als Paket nachinstalliert werden (auch bei den "großen" Synologys)
Die Komprimierung bei Duplicati ist standardmäßig aktiviert.