Suche: Client-Server Backuplösung, die VSS beherrscht

Piktogramm

Admiral
Registriert
Okt. 2008
Beiträge
9.187
Servus, ich suche eine Backuplösung die folgendes kann:

1. Client-Server
Client liefert die Daten
Server behält Daten, sowohl auch Verwaltungsinformationen
Server kann Monitoring betreiben (sowohl Kontrolle ob Backups vollständig sind, im zu erwartendem Zeitfenster stattfanden, konsistent sind)
Edit: Server muss "on promise" verfügbar sein, oder wirklich im sensiblen Bereich DSGVO kompatibel sein.

2. Nutzung von Volume Shadow Copy
Da Windows Files ja gern mal sperrt, muss VSS genutzt werden.

3. Verschlüsselung
Sinnvoll wäre asymmetrisch, sodass der Client für jedes Backup einen symmetrischen Schlüssel generiert und diesem mit einem public Key sichert und an den Server schickt. Sodass keine Schlüssel dauerhaft auf dem Client liegen, die ein Entschlüsseln des Backups erlauben würden.

4. Inkrementelle Backups
Schlicht Zeitersparnis.

5. Scriptbar
CLI muss sein, alles Andere ist Gefrickel..

6. Logging
Aussagekräftige Logs die enthalten was funktioniert hat und was nicht!

Derzeit nutze ich für Windows Duplicati 2, da fehlt das Client-Servermodell. Soweit so gut, nur ist die Trennung zwischen Quelle und Senke da meines Wissens nicht sauber hinzubekommen. Der Client kann tendenziell Backups auch löschen/überschreiben. Zudem ist die Geschwindigkeit bei Duplicati davon abhänig, dass der Client lokal eine Datenbank hat, die den Stand des Backuprepos hat. Was aber auch ein potentielles Problem ist, wenn die lokale Datenbank und das Backuprepo auseinanderlaufen (been there, done that).
 
Schau dir mal Urbackup an. Ich nutze es schon recht lange ohne größere Probleme, aber kann dir nicht beantworten, welche deiner genannten Features evtl. nicht unterstützt werden.
 
Von was einer Art von Clients reden wir hier?

Ich werfe mal Veeam Backup & Replication in den Raum. Es gibt einen Grund, warum die letzte Woche 1 Million aktive Backup&Replication-Server Instanzen gefeiert haben...
Dann hast du deine zentrale Server-Instanz die je nach Art der Clients entweder Agents auf diesen steuert oder bei VMs das Backup direkt über den Hypervisor abzieht.

Ich weiß zwar nicht was du skripten willst, aber es gibt ein Powershell Modul mit dem man sehr viel machen kann. Die UI hat allerdings für fast alles eine Option.
 
@kartoffelpü
Bei Urbackup ist die Nutzung von VSS nur eine Randnotiz scheint aber implementiert, ansonsten scheint es aber alle Punkte zu treffen. Ich muss mal testen, ob das für meinen Fall taugt. Danke!

@Rickmer
Oh Gott, die Seite von Veeam überlastet meinen Bullshitfilter. Soviel Verkaufsgelaber bei so wenig belastbaren Informationen und zu gescheiten Datenschutzkonformitätserklärung kommt man wohl ohne direkten Kontakt auch nicht. Sowas mag ich nicht, wenn ich für einen Vertragsabschluss um wesentliche Informationen betteln muss, kaufe ich nix.
Zudem schaut mir das wie eine Lösung aus, die sich an ein Management richtet, welches viele Anwälte zur Verfügung hat und die IT-Abteilung zur Handlungsunfähigkeit zusammengespart hat. Bei mir ist es genau andersherum ;). So kommt man aber auch fix auf 1Mio. "Clients"

Edit: Clients sind in der Regel Blech
 
Ja, VSS funktioniert bei urbackup. Hatte ich noch nie Probleme mit.
Der Restore ist aber etwas frickelig, wenn ich mich recht erinnere. Müsste ich mich glatt mal wieder mit auseinandersetzen, da das beste Backup nichts bringt, wenn der Restore nicht klappt :)
 
  • Gefällt mir
Reaktionen: Piktogramm
Wenn man ein gutes Backup will würde ich Acronis empfehlen. Vorallem die Restore Boot CD ist gold wert.
 
@Piktogramm Nicht 1mio. Clients, sondern aktive Backup-Server.

Veeam R&D Forums Digest schrieb:
We reached 1 million of active Veeam Backup & Replication servers deployed! This is something we can track based on the number of hits on our update definition files, which each backup server configured to check for product updates polls weekly. According to our support big data, almost everyone keeps this option enabled – so we're only missing dark sites pretty much.

[...]

One million active installs makes us the most widely deployed Enterprise backup software in the world, more than several of our top competitors combined!

Piktogramm schrieb:
Zudem schaut mir das wie eine Lösung aus, die sich an ein Management richtet, welches viele Anwälte zur Verfügung hat und die IT-Abteilung zur Handlungsunfähigkeit zusammengespart hat.
Aus Sicht eines aktiver ITler mit Spezialisierung u.A. in Backup: Ich habe mit Acronis, Backup Exec, Altaro und Veeam gearbeitet und Veeam ist davon mit Abstand meine bevorzugte Lösung.

Piktogramm schrieb:
wenn ich für einen Vertragsabschluss um wesentliche Informationen betteln muss, kaufe ich nix.
Die Community Versionen sind kostenlos, so mal nebenbei ;)

Piktogramm schrieb:
Soviel Verkaufsgelaber bei so wenig belastbaren Informationen und zu gescheiten Datenschutzkonformitätserklärung kommt man wohl ohne direkten Kontakt auch nicht.
Was für belastbare Informationen suchst du?
https://www.veeam.com/documentation-guides-datasheets.html?ad=menu-resources

Falls du irgendwelche Performance-Metriken suchst: Das ist so unglaublich abhängig von der Umgebung in der das eingesetzt wird, dass jegliche festen Aussagen sinnlos wären... aber das gilt auch für alle anderen Backup-Programme.

Was die DSGVO angeht hat Veeam einige Ressourcen veröffentlicht, wenn man danach sucht: https://go.veeam.com/gdpr-compliance
Ansonsten könnte dich auch interessieren, dass Veeam bei den US Bundesagenturen eingesetzt wird, die haben ja auch gewisse Standards was Informationssicherheit angeht... https://www.veeam.com/federal.html
 
  • Gefällt mir
Reaktionen: snaxilian
+1 für Veeam, hab es vor vielen Jahren als Systemhaus-Sklave bei KMUs eingesetzt als auch danach bei nem Konzern.
Erfüllt afaik deine Anforderungen, die Links zu den technischen Dokus hat dir @Rickmer ja bereits geliefert. Nimm die Community Edition für nen PoC um zu prüfen ob es alle eure Anforderungen erfüllt.
Ansonsten spare dir deinen unsachlichen Rant. So ziemlich jeder kommerzielle Anbieter müllt seine Webseite mit Marketinggelaber zu... Wenn du das nicht willst, bleiben fast nur freie/kostenlose Lösungen.
Da würde ich mir am ehesten Bacula angucken denn viele andere unterstützen Windows nur mit Cygwin oder ähnlichen Verrenkungen...
 
@wern001
Für Acronis gilt fast das Selbe wie auch für Veeam. :/

@Rickmer
1Mio "Server" ist auch keine Kunst. Gerade Heute wo Vieles in Container gepackt wird bzw. in der Cloud läuft. Für Backups halte ich das auch für sinnvoll für (fast) jeden Clienten eine zugehörige Serverinstanz aufzuziehen, so hat man mit vertretbarem Overhead eine saubere Trennung und kann flexibel skalieren. Selbst wenn es keine 1zu1 Beziehung zwischen der Anzahl Client und Server gibt, ist 1Mio. Server nicht beindruckend. Zudem ist ein "ist Branchenstandard" oder weite Verbreitung oft überhaupt kein Garant für Qualität.

Und der Datenschutz, das die als US-Firma mit US-Behörden zusammenarbeiten ist für eine Firma die mit Gesundheitsdaten in der EU arbeitet alles, nur kein positives Merkmal. Das ist genau der Aspekt, der rechtlich schwierig ist. Das "EU-US-Privacy Shield" hat der Europäische Gerichtshof (richtigerweise) kassiert. Damit ist die Zusammenarbeit bei der Datenverarbeitung auf individuelle, komplizierte Verträge angewiesen. Wobei es belastbare, öffentliche Dokumente bei Veeam genau zu diesem Punkt nicht gibt. Da gibt es nur "wir behaupten, dass wir GDPR gut können, bitte sprich mit unserem Vertrieb". Damit gibt es an der Stelle weniger Transparenz für deren Produkte/Services als für deren Webseite. Die Webseite hat ja wenigstens eine Datenschutzerklärung..
Das hat für mich Geschmäckle und entsprechende Verträge bedingen, dass man da eigene Anwälte braucht. Naja oder man macht das Branchenübliche, scheißt auf Datenschutz und fabriziert dafür viel Papier zur Datenschutzsimulation :/

und @ snaxilian
Mir ist durchaus bewusst, dass viele kommerzielle Anbieter sich so präsentieren. Die Erfahrung ist aber auch, dass das im Regelfall die Geschäftsbeziehungen sind, die schwierig werden.
Und wenn eine Lösung Cygwin einsetzt, dass ist erstmal nicht verkehrt. Irgendwelche Bibliotheken und gegebenenfalls Laufzeitumgebungen nutzen alle Lösungen, was wesentlich besser ist als das Rad überall neu zu erfinden. Wichtig ist an der Stelle immer, dass die Bibliothekten aktuell gehalten werden und die restliche Umsetzung sauber ist.
 
Definier doch überhaupt erstmal deine Anforderungen präzise.
Wieviel wovon soll gesichert werden, und wie sieht das Backup-Ziel aus?

Suchst du jetzt eigentlich privat oder für ein Unternehmen?
Du schreibst von "Firma die mit Gesundheitsdaten in der EU arbeitet" aber auch von einzelnden Client-Servern...

Piktogramm schrieb:
1Mio "Server" ist auch keine Kunst. Gerade Heute wo Vieles in Container gepackt wird bzw. in der Cloud läuft. Für Backups halte ich das auch für sinnvoll für (fast) jeden Clienten eine zugehörige Serverinstanz aufzuziehen, so hat man mit vertretbarem Overhead eine saubere Trennung und kann flexibel skalieren. Selbst wenn es keine 1zu1 Beziehung zwischen der Anzahl Client und Server gibt, ist 1Mio. Server nicht beindruckend. Zudem ist ein "ist Branchenstandard" oder weite Verbreitung oft überhaupt kein Garant für Qualität.
Damit weiß ich zumindestens schonmal, dass du dich mit Veeam kein Stück auseinander gesetzt hast... für alles was kleiner als ein Großunternehmen / Multinational ist brauchst du idR nur einen Veeam Server

Wenn der krepiert ist das auch kein Drama, den hat man in kurzer Zeit neu installiert und vom Config Backup wiederhergestellt selbst wenn man kein Backup vom Backup Server macht

Piktogramm schrieb:
Und der Datenschutz, das die als US-Firma mit US-Behörden zusammenarbeiten ist für eine Firma die mit Gesundheitsdaten in der EU arbeitet alles, nur kein positives Merkmal. Das ist genau der Aspekt, der rechtlich schwierig ist. Das "EU-US-Privacy Shield" hat der Europäische Gerichtshof (richtigerweise) kassiert. Damit ist die Zusammenarbeit bei der Datenverarbeitung auf individuelle, komplizierte Verträge angewiesen. Wobei es belastbare, öffentliche Dokumente bei Veeam genau zu diesem Punkt nicht gibt. Da gibt es nur "wir behaupten, dass wir GDPR gut können, bitte sprich mit unserem Vertrieb". Damit gibt es an der Stelle weniger Transparenz für deren Produkte/Services als für deren Webseite. Die Webseite hat ja wenigstens eine Datenschutzerklärung..
Link doch mal ein Beispiel wo das deiner Meinung nach gut gemacht wurde

Wenn bei euch Datenschutz groß geschrieben wird sollte der Backup-Server so oder so keine Verbindung zum Internet haben, das wären dann die 'dark sites' aus dem Zitat von oben

Piktogramm schrieb:
Derzeit nutze ich für Windows Duplicati 2, da fehlt das Client-Servermodell. Soweit so gut, nur ist die Trennung zwischen Quelle und Senke da meines Wissens nicht sauber hinzubekommen.
Ich habe mir das grade mal kurz angeschaut. Ein Feature das mir da extrem fehlt ist eine Möglichkeit für automatisierte Restore-Tests.
Ein Backup ist erst komplett, wenn es getestet wurde. Nicht nur ein paar zufällig gewählte Dateien, sondern ob das auch bootfähig ist.

Wo ich bei fehlenden Features bin - sehe ich das richtig, dass Duplicati 2 von application aware Backup (konsistentes Backup von Datenbanken, z.B. SQL oder Mailserver sowie von Restore einzelnder Objekter in diesen, z.B. Restore einer einzelnden Mailbox) keine Ahnung hat?

Piktogramm schrieb:
Der Client kann tendenziell Backups auch löschen/überschreiben.
Igitt
Das ist schon schlimm genug wenn der Backup Server das kann

der Client sollte den Backup-Speicher nichtmals sehen können und auf keinen Fall read/write Privilegien haben

Stichwort immutable storage
 
Zuletzt bearbeitet:
Also vom Handling her +1 für Veeam. Verstehe jetzt auch nicht unbedingt den Kontext in Bezug auf Datenschutz, es wird ja nix auf die Cloud geschrieben und wie @Rickmer bereits sagte, sollte der Backupserver eh fern vom Internet stehen. Von dem was Veeam tut und kann ist es vermutlich eines der besten Programme. Acronis und Backup Exec können da aus meiner Sicht ziemlich abstinken. Aso btw. Veeam hat eine der beiden Firmenzentralen in der Schweiz, ist also nicht völlig amerikanisch.
Ergänzung ()

Mir fällt gerade ein, ein Kollege von mir hat auch das Urbackup am laufen was @kartoffelpü bereits erwähnt hat. Er ist damit sehr zufrieden. Also ich denke du solltest einfach mal selbst testen, ob dir Urbackup oder Veeam besser gefällt oder doch was anderes.
 
Du kannst es on premise betreiben. Stell ne Firewall davor sofern nicht sowieso vorhanden. Da ist kein Datenabfluss oder Kommunikation. Das einzige DSGVO Problem was du hast, ist das Berechtigungs- & Loggingkonzept damit ein neugieriger Backupadmin nicht in Daten oder Mails der Geschäftsführung guckt. Auch das ist aber lösbar.
Ja, Datenschutz ist wichtig, vor allem real gelebt und nicht nur Papier produzierend, da bin ich voll und ganz bei dir. Aber du siehst glaube ich gerade ein Problem wo keins ist nur weil dich die Webseite in der Aufmachung stört...
 
Rickmer schrieb:
Definier doch überhaupt erstmal deine Anforderungen präzise.
Wieviel wovon soll gesichert werden, und wie sieht das Backup-Ziel aus?
Eine Anzahl <50 Clients, 1-2Server sollen Backups automatisiert zu einem oder mehren Backupzielen mit geografischer Trennung sichern und wiederherstellen können.

Rickmer schrieb:
Suchst du jetzt eigentlich privat oder für ein Unternehmen?
Du schreibst von "Firma die mit Gesundheitsdaten in der EU arbeitet" aber auch von einzelnden Client-Servern...
Unternehmen, wenn die private Nutzung abfällt wird die für die Familie mit genutzt (das Konzept, nicht die Infrastruktur).

Rickmer schrieb:
Damit weiß ich zumindestens schonmal, dass du dich mit Veeam kein Stück auseinander gesetzt hast... für alles was kleiner als ein Großunternehmen / Multinational ist brauchst du idR nur einen Veeam Server
brauchen != machen bzw. sinnvoll
Und ja, ich habe endlich Zeit mich mit allem zu beschäftigen. Vielleicht kann man Veeam als Monoliten betreiben und da zig Instanzen großer Objectstorages dran hängen. Das ändert wenig daran, dass mich die Anzahl von Instanzen überhaupt nicht beeindruckt.

Rickmer schrieb:
Link doch mal ein Beispiel wo das deiner Meinung nach gut gemacht wurde
Wie soll ich dir das denn liefern? Das bekommen doch schon die Bundesländer und Behörden nicht gescheit hin DSGVO konforme Verträge mit Microsoft abzuschließen, sodass die (Bundes)Datenschutzbeauftragten schon entsprechende Warnungen bzw. Verbote aussprechen. Als (kleines) KMU fehlt da völlig die Verhandlungsmacht als auch das Geld um mit Anwälten entsprechende Verträge auszuhandeln.

In der EU wird es einfacher, da ist der Rechtsrahmen einheitlich(-er) was den Umfang einer ordentlichen Datenauftragsvereinbarung enorm vereinfacht (wird trotzdem noch oft verkackt..)

Rickmer schrieb:
Wenn bei euch Datenschutz groß geschrieben wird sollte der Backup-Server so oder so keine Verbindung zum Internet haben, das wären dann die 'dark sites' aus dem Zitat von oben
Off-Site Backaups gehen nur mit Internet, solang man nicht so viel Geld hat, dass man sich seine eigene Faser mieten bzw. legen kann. Zudem ein gescheites Sicherheitskonzept auch das Intranet immer als genauso unsicher ansehen sollte wie das Internet. Entsprechend sollte es kein Unterschied machen, wie die Senke erreichbar ist.
Grüße aus der "Gegen Geld sage ich dir, wo deine IT-Sicherheit stinkt"-Branche ;)

Rickmer schrieb:
Ich habe mir das grade mal kurz angeschaut. Ein Feature das mir da extrem fehlt ist eine Möglichkeit für automatisierte Restore-Tests.
Ein Backup ist erst komplett, wenn es getestet wurde. Nicht nur ein paar zufällig gewählte Dateien, sondern ob das auch bootfähig ist.
Mir reichen an sich Dateien, bootbare Images erzeugen die Rechner indem sie immer mal wieder in ein Linux booten, ein Image der ganzen Platte ziehen. Zum (täglichem) Wegschreiben sind die Images aber zu groß und Bindiffs über remote Liegende Images sind aufgrund der Latenzen nahezu unmöglich.
Wenn eine Backuplösung jedoch unter dem Hauptsystem (Windows) inkrementelle Backups des ganzen Multibootsystems zeihen kann, wäre ich voll dafür.

Rickmer schrieb:
Wo ich bei fehlenden Features bin - sehe ich das richtig, dass Duplicati 2 von application aware Backup (konsistentes Backup von Datenbanken, z.B. SQL oder Mailserver sowie von Restore einzelnder Objekter in diesen, z.B. Restore einer einzelnden Mailbox) keine Ahnung hat?
Das Duplicati nicht sauber trennt ist ja einer der Gründe wieso es weg soll. Wobei das Problem ja durchaus auf Seiten des Ziels angegangen werden kann. Das Ziel kann ja intern fröhlich Snapshots anlegen, auf die der remote zugreifende Account keinen Zugang hat. Hässlich aber möglich.
Und der Medizinbereich ist voller selbst gebautem Pfusch div. Anbieter. Es gibt quasi keine fertige Backuplösung, die auf diesen Bockmist angepasste Profile hat. Deswegen mein Verlangen nach einer Lösung die ein Commandline-Interface hat. Ich wäre ja schon MEGA glücklich wenn die Software überhaupt verbreitete DBS einsetzen würde. :heul:

Abgesehen davon, dass ich aus der Unix-Welt komme und es sowieso verdächtig finde, wenn Software es nicht überlebt, wenn man einfach einen Snapshot anfertigt und von diesem weiter arbeiten will. Da gibts zwar berechtigt auch Anwendungen unter Linux die das nicht können, aber das was Windows und darauf laufende Anwendungen mit Dateilocks anstellen, die teils nichtmal mittels VSS kopierbar sind ist wirklich gaga! Gleichzeitig aber genau mein Anwendungsfall..

flatika schrieb:
Also vom Handling her +1 für Veeam. Verstehe jetzt auch nicht unbedingt den Kontext in Bezug auf Datenschutz, es wird ja nix auf die Cloud geschrieben und wie @Rickmer bereits sagte, sollte der Backupserver eh fern vom Internet stehen.
Eine Datenschutzfolgeabschätzung muss ich trotzdem schreiben und der/die/das Datenschutzbeauftragte muss es abnehmen. Also selbst wenn es "on promise" läuft aber die Möglichkeit hat externe Objectstorages wie AWS S3 einzusetzen, brauche ich Doku vom Anbieter oder aber habe selbst einen erheblichen Mehraufwand.
Und nochmal, Off-Site Backups gehen nur übers Internet, außer man hat genügend Kohle eine eigene Glasfaser legen zu lassen/zu mieten. Wobei selbst dann egal sein sollte, da es eine Fehlannahme ist, dass ein Intranet sicher und das Internet unsicher ist. Beides sollte man immer gleich behandelt werden.
Wobei, dass Intranets irgendwie als magisch sicher angenommen werden, sichert den Kollegen vom CERT und der Forensik die Jobs... Also, jaja Intranet gut, Internet böse :)

flatika schrieb:
Von dem was Veeam tut und kann ist es vermutlich eines der besten Programme. Acronis und Backup Exec können da aus meiner Sicht ziemlich abstinken. Aso btw. Veeam hat eine der beiden Firmenzentralen in der Schweiz, ist also nicht völlig amerikanisch.
Im Falle einer Auftragsdatenverarbeitung ist die Schweiz halt auch nicht EU sondern EFTA, macht die Sache leichter aber noch nicht einfach. Zudem dann die Mutter immer noch im US-Rechtsrahmen liegt.
Bei on-Promise brauchts dann immer noch Unterlagen für die eigene Datenschutzdokumentation..

flatika schrieb:
Ergänzung ()

Mir fällt gerade ein, ein Kollege von mir hat auch das Urbackup am laufen was @kartoffelpü bereits erwähnt hat. Er ist damit sehr zufrieden. Also ich denke du solltest einfach mal selbst testen, ob dir Urbackup oder Veeam besser gefällt oder doch was anderes.
Nunja, Urbackup schaut wirklich nicht schlecht aus. Vor allem ist die Doku zur Absicherung und Datenfluss recht eindeutig.

snaxilian schrieb:
Ja, Datenschutz ist wichtig, vor allem real gelebt und nicht nur Papier produzierend, da bin ich voll und ganz bei dir. Aber du siehst glaube ich gerade ein Problem wo keins ist nur weil dich die Webseite in der Aufmachung stört...
Ich bin halt ein gebranntes Kind. Als Werbetexter habe ich solche Texte verfasst, wenn das Produkt Bockmist war. Als Mensch in der IT-Sicherheit verstehe ich sowas als Indiz, dass Bockmist wahrscheinlich ist. Als Admin für das Familienunternehmen habe ich gelernt, dass solche Anbieter Mehrkosten und Mehraufwand bedeuten.
Als angestellter IT-Admin würde ich das auch anders sehen. Da wäre das wunderbar für die Verantwortungsdiffusion, ich könnte (bezahlte) Arbeitsstunden verbuchen und hätte dennoch eine (wahrscheinlich) funktionierende Lösung.
 
Piktogramm schrieb:
Eine Datenschutzfolgeabschätzung muss ich trotzdem schreiben
Gut mit DSFA bin ich nicht unbedingt bewandert, aber was solltest du da denn benötigen? AWS ist ja nicht gleich Veeam und somit ein anderer Dienstleister. Das heißt die Doku ist ja nicht bei Veeam, weil die schieben das Backup ja nur dort hin. Und das Zauberwort heißt ja oft Verschlüsselung, wenn es darum geht. Und Veeam tut sowohl den Datenstrom als auch das Backup selbst verschlüsseln, wenn es konfiguriert wird.

Ich habe da noch etwas im Kopf, aber mir fällt der Hersteller nicht mehr ein. Ist auch ein Backupprogramm komplett aus Deutschland, ich meine vom Bodensee unten. Muss mir da aber nochmal den Kopf zerbrechen wie die hießen.
 
Piktogramm schrieb:
Eine Anzahl <50 Clients, 1-2Server sollen Backups automatisiert zu einem oder mehren Backupzielen mit geografischer Trennung sichern und wiederherstellen können.
Warum die ganzen Clients?
Alle Nutzdaten sollten auf Netzlaufwerken vom Server liegen, alles andere ist äußerst unsauber.

Piktogramm schrieb:
Und ja, ich habe endlich Zeit mich mit allem zu beschäftigen. Vielleicht kann man Veeam als Monoliten betreiben und da zig Instanzen großer Objectstorages dran hängen.
Mir wäre jetzt spontan kein Enterprise Backup Programm bekannt, das ohne zentrale Kontrolleinheit kommt.
Klar kannst du das auch bei Veeam in Einzel-Rollen und Redundanz zerpflücken, aber für 50 Clients und ein paar Server lohnt sich der Aufwand hinten und vorne nicht.

Eine einzelnde Veeam Installation kann locker mehrere hundert Server betreuen bevor man hier in die Breite streuen muss.

Von einer Backup-Software wo ich mich um dutzende oder hunderte Komponenten kümmern muss wäre ich alles andere als beeindruckt.

Klar, Fat Clients bekommen einen Agent drauf gepackt um per Veeam gesichert zu werden, aber das ist auch alles zentral verwaltet. Server gehören auf Hypervisor-Level ins Backup eingebunden.
(Mit wenigen Ausnahmen, z.B. bei SQL Clustern ist das technisch nicht möglich weil alle Server im Cluster sich die HDD mit der SQL Datenbank teilen. Da muss man mit Agents ran.)

Piktogramm schrieb:
Off-Site Backaups gehen nur mit Internet, solang man nicht so viel Geld hat, dass man sich seine eigene Faser mieten bzw. legen kann. Zudem ein gescheites Sicherheitskonzept auch das Intranet immer als genauso unsicher ansehen sollte wie das Internet. Entsprechend sollte es kein Unterschied machen, wie die Senke erreichbar ist.
Off-Site Backups per Tape sind nach wie vor eine Option. LTO-9 mit 18TB unkomprimiert kommt grade auf den Markt.

Aber auch wenn man in die Cloud sichert brauchst du den Server nicht offen stellen, dafür ist 'ne vernünftige Firewall zuständig. Da wird dann über spezifische Ports auf spezifische IPs der Zugriff gewährt und alles andere abgeriegelt.

Die dritte Möglichkeit ist den zweiten Standort per VPN anbinden.


Was das Intranet angeht: VLANs und eine brauchbare Firewall in der Mitte
Der Backup-Server hat in der Domäne natürlich auch nichts verloren, sonst ist der kompromittiert sobald der erste Domain-Admin Account kompromittiert ist.

Piktogramm schrieb:
Mir reichen an sich Dateien, bootbare Images erzeugen die Rechner indem sie immer mal wieder in ein Linux booten, ein Image der ganzen Platte ziehen. Zum (täglichem) Wegschreiben sind die Images aber zu groß und Bindiffs über remote Liegende Images sind aufgrund der Latenzen nahezu unmöglich.
Wenn eine Backuplösung jedoch unter dem Hauptsystem (Windows) inkrementelle Backups des ganzen Multibootsystems zeihen kann, wäre ich voll dafür.
Das klingt extrem umständlich und unbequem.

Wenn zwingend ein Dual-Boot notwendig ist kann das der Veeam Agent über 'ganzes System sichern'.
https://forums.veeam.com/veeam-agen...oesn-t-backup-my-linux-partitions-t68665.html

Da sind dann auch inkrementelle Backups problemlos möglich.

Piktogramm schrieb:
Abgesehen davon, dass ich aus der Unix-Welt komme und es sowieso verdächtig finde, wenn Software es nicht überlebt, wenn man einfach einen Snapshot anfertigt und von diesem weiter arbeiten will. Da gibts zwar berechtigt auch Anwendungen unter Linux die das nicht können, aber das was Windows und darauf laufende Anwendungen mit Dateilocks anstellen, die teils nichtmal mittels VSS kopierbar sind ist wirklich gaga! Gleichzeitig aber genau mein Anwendungsfall..

Virtualisieren, Remotezugriff per Thin Client.
Dann kannst du immer einen Snapshot auf Hypervisor-Ebene machen.

Das ist dann zwar nicht application aware, aber besser als nichts.

Piktogramm schrieb:
Eine Datenschutzfolgeabschätzung muss ich trotzdem schreiben und der/die/das Datenschutzbeauftragte muss es abnehmen. Also selbst wenn es "on promise" läuft aber die Möglichkeit hat externe Objectstorages wie AWS S3 einzusetzen, brauche ich Doku vom Anbieter oder aber habe selbst einen erheblichen Mehraufwand.
Es gibt auch deutsche Unternehmen die Object Storage anbieten, z.B. Strato
https://www.strato.de/cloud-speicher/hidrive-s3/

Oder halt eigene Cloud-Instanz an einem eigenen Standort aufsetzen.
Oder das Hardened Linux Repository von Veeam einsetzen, im Zweifelsfall per VPN am zweiten Standort oder in ein Rechenzentrum eingemietet.
 
Zuletzt bearbeitet:
Das die Antwort "Verschlüsselung" heißt wird oft so beschrieben, ist aber fachlich falsch.
Symmetrische Crypto bedeutet ja z.B., dass das Passwort im Klartext auf dem Clienten liegt und wenn der Server automatisch Restoretests ausführt auch auf dem Server und wenn es scheiße umgesetzt ist auch auf dem Storage.
DSFA wäre also denkbar schlecht.

Oder es ist ordentlich umgesetzt. Dann wird zwar symmetrische Crypto genutzt (ist einfach schneller), jedoch dass Passwort mit jedem Vorgang zufällig erzeugt und mit einem public Key verschlüsselt. Wobei die private Keys nur einer begrenzten Anzahl an Personen zugängig ist, im besten Fall mit 2Fa und dediziertem Hardewaretoken. In dem Fall kann kann es keine automatisierte Tests für Restores geben, dafür ist es aber die sicherere Methode.
DSFA für den Fall, dass der Backupserver bzw. Storage Daten verlieren wäre vergleichsweise entspannt und auch der Personenkreis der reale Möglichkeiten hat die private Keys zu nutzen ist denkbar klein.
 
Piktogramm schrieb:
Symmetrische Crypto bedeutet ja z.B., dass das Passwort im Klartext auf dem Clienten liegt und wenn der Server automatisch Restoretests ausführt auch auf dem Server und wenn es scheiße umgesetzt ist auch auf dem Storage.
Kannst ja selbst nachlesen wie das bei Veeam umgesetzt wird

Backup&Replication: https://helpcenter.veeam.com/docs/backup/vsphere/data_encryption.html?ver=110
Veeam Agents: https://helpcenter.veeam.com/docs/agentforwindows/userguide/data_encryption.html?ver=50
 
  • Gefällt mir
Reaktionen: snaxilian
Rickmer schrieb:
Warum die ganzen Clients?
Alle Nutzdaten sollten auf Netzlaufwerken vom Server liegen, alles andere ist äußerst unsauber.
Hatte ich schon erwähnt, wie scheiße Software im Medizinbereich ist? Das ist eine bunte Mischung aus: Ändert sich mit jedem Update, Performance ist nicht handhabbar wenn alle relevanten Daten auf Netzwerkspeicher liegen oder es funktioniert gar nicht...
Einfach alles sichern ist die reine Notwehr :(

Es gibt da ernsthaft Software, die unter C:\Windows\* Configs und Nutzdaten ablegt und mit entsprechenden Rechten laufen muss. Leg da mal was auf den Netzspeicher..


Rickmer schrieb:
Von einer Backup-Software wo ich mich um dutzende oder hunderte Komponenten kümmern muss wäre ich alles andere als beeindruckt.
Konfigurationsmanagement ist das Zauberwort. Ich bin sehr begeistert, wenn das einfach funktioniert. Ein zentrales Verwaltungsmodul und beliebig viele Instanzen mit sauberer Trennung. Ein Träumchen wenn es funktioniert.

Rickmer schrieb:
Off-Site Backups per Tape sind nach wie vor eine Option. LTO-9 mit 18TB unkomprimiert kommt grade auf den Markt.
Physische Datenträger bedingen physische Interaktion und sind das Gegenteil von Automation.

Rickmer schrieb:
Aber auch wenn man in die Cloud sichert brauchst du den Server nicht offen stellen, dafür ist 'ne vernünftige Firewall zuständig. Da wird dann über spezifische Ports auf spezifische IPs der Zugriff gewährt und alles andere abgeriegelt.

Die dritte Möglichkeit ist den zweiten Standort per VPN anbinden.
Egal wieviele Zwischenschichten eingezogen werden, der Verbindungskanal bleibt das Internet. Genauso wie der Backupserver immer irgendwie über Netzwerk erreichbar sein muss. Mit dieser Erreichbarkeit ist der Server auch erreichbar und Intranet/VPN als sicher zu betrachten ist einfach falsch. Theoretisch muss so ein Backupserver im Internet stehen können und allem standhalten können. Alles Andere wäre Pfusch.
Dass man einen Backupserver unabhängig davon nicht sinnlos exponiert ist mir auch klar.

Rickmer schrieb:
Das klingt extrem umständlich und unbequem.
IT in der Medizin ist Schmerz!

Rickmer schrieb:
Virtualisieren, Remotezugriff per Thin Client.
Dann kannst du immer einen Snapshot auf Hypervisor-Ebene machen.
Ist keine Option, da hängt Hardware an den Clients. Virtualisierung und Hardware durchreichen kann man da komplett vergessen. Zum einen weil der Pfusch sowieso nur bei gutem Wetter funktioniert und zum Anderen weil es kein Support gibt wenn man von den engen Vorgaben der Hardwareanbieter abweicht. Und damit du eine Vorstellung hast wie man den Support verliert:
Windows auf falschem/zu neuem Patchstand -> kein Support
Standardnutzer hat UAC nicht deaktiviert und keine dauerhaften Adminrechte -> kein Support
Falsche Netzwerkkomponente verbaut -> rate mal!?
AMD CPU? -> Lol nein!
Zu neue Intel CPU -> Steht nicht in der Kompatibilitätsliste!

Und nein, die Hardware ist zu teuer um da einfach mal zu wechseln.
Ergänzung ()

Rickmer schrieb:
Genau das meine ich mit bescheidener Doku. Der erste Link ist halt einfach Pseudodokumentation. Da steht nichts belastbares wie Schlüssel hinterlegt und ausgehandelt werden noch irgendwas zum verwendten AES Modus. Der gesamte Text lässt sich auf ein "wir machen irgendwie Crypto" zusammenschrumpfen, da steht schlicht und ergreifen nicht mehr.

Da muss man sich durch die ganze Verdammte Doku hangeln, bis man irgendwo hierzu kommt:
https://helpcenter.veeam.com/docs/backup/vsphere/enterprise_manager_keys.html?ver=110

Da erfährt man dann, dass ordentliche public/private Key Crypto verfügbar ist, wenn ein entsprechendes Zusatzmodul gebucht ist. Was aber auch bedeutet, dass man in der Produktmatrix nachschauen muss welches Angebot den Enterprise Manager enthält.
Bockmist nenne ich sowas. In der Zeit wie man da durch die Doku kommt habe ich von einigen FOSS Lösungen ein Codereview fertig -.-

Die Dokumentation von urback als Vergleich:
https://www.urbackup.org/administration_manual.html#x1-180004

Da steht deutlich kompakter wie Transport- und Nutzdatenverschlüsselung abläuft und asymmetrische Cryptografie ist genau die Selbstverständlichkeit die es ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Rickmer
Mhhh also das mit der Verschlüsselung hat dir @Rickmer bereits durchgereicht. Mir fällt dieser eine Anbieter nicht mehr ein, aber dafür noch zwei andere. Novastor und SEP sesam
 
Zurück
Oben