ExterneHDD nach Backup sicher aber ganzheitlich vom System trennen
Hallo zusammen!
Ich würde gerne eine Sicherung mit rotierenden Festplatten einsetzen, welche Wöchentlich gewechselt werden.
Nun kam für mich die Frage auf, ob es eine Möglichkeit gibt, nach dem Backup auf die Harddisk eine solche Festplatte "ganzheitlich" auszuwerfen. So das ein Verschlüsselungstrojaner keinen Zugriff auf diese Platte hat. (Nicht das wir im blödsten Fall mit einem Verlust von einer Woche Daten leben müssen.)
Ich meine, dass auswerfen an sich reicht eigentlich nicht, sondern man müsste fast die Platte komplett vom Strom trennen, da die "schlaueren" Viren ein scann über das System laufen lassen können? Oder sind das Märchen? Spätestens bei einem Neustart des Systems würde die HDD aber sicherlich wieder angebunden sein....
Ich habe da an eine USB-Zeitschaltuhr gedacht. Ist dies zu "brachial" oder habt ihr andere Ideen/Erfahrungen?
Grüsse
KMUlife
Ich würde gerne eine Sicherung mit rotierenden Festplatten einsetzen, welche Wöchentlich gewechselt werden.
Nun kam für mich die Frage auf, ob es eine Möglichkeit gibt, nach dem Backup auf die Harddisk eine solche Festplatte "ganzheitlich" auszuwerfen. So das ein Verschlüsselungstrojaner keinen Zugriff auf diese Platte hat. (Nicht das wir im blödsten Fall mit einem Verlust von einer Woche Daten leben müssen.)
Ich meine, dass auswerfen an sich reicht eigentlich nicht, sondern man müsste fast die Platte komplett vom Strom trennen, da die "schlaueren" Viren ein scann über das System laufen lassen können? Oder sind das Märchen? Spätestens bei einem Neustart des Systems würde die HDD aber sicherlich wieder angebunden sein....
Ich habe da an eine USB-Zeitschaltuhr gedacht. Ist dies zu "brachial" oder habt ihr andere Ideen/Erfahrungen?
Grüsse
KMUlife
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 430335
Url: https://administrator.de/forum/externehdd-nach-backup-sicher-aber-ganzheitlich-vom-system-trennen-430335.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
wie wäre es denn mit ein Paar mehr Informationen?
Betriebssystem, Sicherungssoftware, Sicherungsdatenträger lokal angebunden oder über Netzwerk?
Für lokale Sicherung zB.:
Mit dem mount- bzw unmount-Befehl Datenträger einhängen bzw aushängen und dann mit Zeitschaltuhr den Strom des Sicherungslaufwerkes abschalten.
Jürgen
wie wäre es denn mit ein Paar mehr Informationen?
Betriebssystem, Sicherungssoftware, Sicherungsdatenträger lokal angebunden oder über Netzwerk?
Für lokale Sicherung zB.:
Mit dem mount- bzw unmount-Befehl Datenträger einhängen bzw aushängen und dann mit Zeitschaltuhr den Strom des Sicherungslaufwerkes abschalten.
Jürgen
Hallo,
dass heißt, du hast eine 2stufige Disk-to-Disk-Sicherung in Veeam konfiguriert.
Wenn ich mich richtig erinnere, kann man RDX-Datenträger unter Veeam als Tape einbinden und damit auswerfen. Also auf Disk-to-Tape umstellen.
https://www.tandbergdata.com/de/index.cfm/solutions/backup-virtual-envir ...
https://www.tandbergdata.com/default/index.cfm/solutions/backup-virtual- ...
https://www.thomas-krenn.com/de/tkmag/wp-content/uploads/2013/11/TS_Tand ...
Jürgen
dass heißt, du hast eine 2stufige Disk-to-Disk-Sicherung in Veeam konfiguriert.
Wenn ich mich richtig erinnere, kann man RDX-Datenträger unter Veeam als Tape einbinden und damit auswerfen. Also auf Disk-to-Tape umstellen.
https://www.tandbergdata.com/de/index.cfm/solutions/backup-virtual-envir ...
https://www.tandbergdata.com/default/index.cfm/solutions/backup-virtual- ...
https://www.thomas-krenn.com/de/tkmag/wp-content/uploads/2013/11/TS_Tand ...
Jürgen
Ist zwar eine "naja" Lösung, aber:
- USB Platte mit separatem Netzteil, so das der USB nicht als Stromversorgung für die Platte reicht
- WOL(Wake-On-LAN) Steckdosenleiste
Idealerweise die Steckdosenleiste nicht über das System an- und ausmachen was den Backup macht. =)
Nach dem Backup automatisiert die WOL Steckdosenleiste ausmachen. =)
vg
- USB Platte mit separatem Netzteil, so das der USB nicht als Stromversorgung für die Platte reicht
- WOL(Wake-On-LAN) Steckdosenleiste
Idealerweise die Steckdosenleiste nicht über das System an- und ausmachen was den Backup macht. =)
Nach dem Backup automatisiert die WOL Steckdosenleiste ausmachen. =)
vg
Zitat von @KMUlife:
Backupsoftware wird VEEAM eingesetzt für sicherungen lokal und auf ein NAS in einer Aussenstelle
Backupsoftware wird VEEAM eingesetzt für sicherungen lokal und auf ein NAS in einer Aussenstelle
Du hast also eine Kopie der Daten in der Außenstelle auf einem NAS, das aber ständig über Netzwerk/Netzlaufwerk/Standortvernetzung an Euer System angebunden ist.
Du hast noch lokale Kopien der Daten, die mit VEEAM gesichert werden.
Bei beiden fehlt die echte Trennung von den Originaldaten.
Kannst Du ggf. die USB-HDDs in einem anderen Gebäude lagern, morgens eine abholen, darauf die nächtliche Sicherung spiegeln, und kurz vor Feierabend die USB-HDD wieder in das andere Gebäude (anderer Brandabschnitt / anderer Brandkomplex) bringen?
Vor dem Trennen der USB-HDD kannst Du auch gleich das Protokoll checken und siehst, ob es evtl. Fehlermeldungen gab.
Klar kann man das Ganze automatisieren. Automatisches Backup mit anschließender Mail, nach erfolgreichem Backup wird die USB-HDD ausgeworfen und der Strom getrennt, wenn die Sicherung fertig ist. Eine erfolgreiche Sicherung wurde erstellt, wenn z.B. 10.000 Dateien gesichert und verifiziert wurden. Ob es sich dabei um die Sicherung von 10.000 verschlüsselten Dateien handelt sieht man erst im Protokoll.
Gruß
Hallo.
"Disk-to-Disk" oder "Disk-to-Tape"
Du sicherst zuerst auf eine Disk (HDD) --> ist schneller als auf Tape --> beeinträchtigt das Life-System kürzer
Danach kopierst Du das Backup auf einen 2. Datenträger (Disk, Tape oä) --> keine Beeinträchtigung des Life-Systems
"aus welchen Gründen sollten verschiedene Medien genutz werden?"
Stell dir vor, du hättest 2 identische NAS und machst "Disk-to-Disk". Die Firmware des NAS hat einen Bug, der beim Schreiben der Daten auf das jeweilige RAID-System die Daten beschädigt. Da beide NAS den gleichen Fehler machen, sind beide Backups unbrauchbar.
Du könntest jetzt einwänden, dass wenn das erste Backup fehlerhaft ist, ist die Copy des Backup auch immer fehlerhaft, egal welches Medium für die Copy genutzt wird. Aber alle Bsp. "hinken".
Es geht hier nicht vordergründig um das konkrete Medium, eher um das "System": 2 NAS vom gleichen Hersteller --> Nein; NAS und RDX (oder USB-HDD) --> Ja; NAS und Tape --> Ja; NAS und BlueRay --> Ja
Trotzdem mache ich immer 2 unabhängige Backups von den Daten: Zum einen mache ich eine komplette Sicherung der VMs mit Veeam auf ein NAS ("Disk") und dann eine Copy auf ein anderes NAS - anderer Hersteller - ("Disk - to - Disk")
Unabhängig davon erfolgt eine weitere Sicherung der "Nutzdaten" über einen zeitgesteuerten Copy-Job (xcopy) auf ein weiteres NAS und von dort für ausgewählte Daten (ERP-System, DB) auf ein RDX-Laufwerk, welches außer Haus gelagert wird.
Die ERP-Datenbank wird mit der systemeigenen Sicherungsfunktion (MS-SQL) auf eine 2. Disk im Server gesichert und dann wie oben geschrieben auf ein NAS kopiert. Zum "Mitnehmen" erfolgt dann noch eine Kopie auf eine RDX-Kassette.
Die NAS stehen außerdem in unterschiedlichen Brandabschnitten auf den Betriebsgelände.
"Sollte ich mich evt. doch nach Bandlaufwerken umsehen?"
Bandlaufwerke sind für die 2. Stufe einer Sicherung immer noch eine bewährtet Lösung: preiswert, gut transportierbar. Auf moderne Bänder (LTO8) passen 30TB an Daten. Das Schreiben und Lesen dauert halt entsprechend lange. RDX ist da schneller aber auch teurer.
Jürgen
"Disk-to-Disk" oder "Disk-to-Tape"
Du sicherst zuerst auf eine Disk (HDD) --> ist schneller als auf Tape --> beeinträchtigt das Life-System kürzer
Danach kopierst Du das Backup auf einen 2. Datenträger (Disk, Tape oä) --> keine Beeinträchtigung des Life-Systems
"aus welchen Gründen sollten verschiedene Medien genutz werden?"
Stell dir vor, du hättest 2 identische NAS und machst "Disk-to-Disk". Die Firmware des NAS hat einen Bug, der beim Schreiben der Daten auf das jeweilige RAID-System die Daten beschädigt. Da beide NAS den gleichen Fehler machen, sind beide Backups unbrauchbar.
Du könntest jetzt einwänden, dass wenn das erste Backup fehlerhaft ist, ist die Copy des Backup auch immer fehlerhaft, egal welches Medium für die Copy genutzt wird. Aber alle Bsp. "hinken".
Es geht hier nicht vordergründig um das konkrete Medium, eher um das "System": 2 NAS vom gleichen Hersteller --> Nein; NAS und RDX (oder USB-HDD) --> Ja; NAS und Tape --> Ja; NAS und BlueRay --> Ja
Trotzdem mache ich immer 2 unabhängige Backups von den Daten: Zum einen mache ich eine komplette Sicherung der VMs mit Veeam auf ein NAS ("Disk") und dann eine Copy auf ein anderes NAS - anderer Hersteller - ("Disk - to - Disk")
Unabhängig davon erfolgt eine weitere Sicherung der "Nutzdaten" über einen zeitgesteuerten Copy-Job (xcopy) auf ein weiteres NAS und von dort für ausgewählte Daten (ERP-System, DB) auf ein RDX-Laufwerk, welches außer Haus gelagert wird.
Die ERP-Datenbank wird mit der systemeigenen Sicherungsfunktion (MS-SQL) auf eine 2. Disk im Server gesichert und dann wie oben geschrieben auf ein NAS kopiert. Zum "Mitnehmen" erfolgt dann noch eine Kopie auf eine RDX-Kassette.
Die NAS stehen außerdem in unterschiedlichen Brandabschnitten auf den Betriebsgelände.
"Sollte ich mich evt. doch nach Bandlaufwerken umsehen?"
Bandlaufwerke sind für die 2. Stufe einer Sicherung immer noch eine bewährtet Lösung: preiswert, gut transportierbar. Auf moderne Bänder (LTO8) passen 30TB an Daten. Das Schreiben und Lesen dauert halt entsprechend lange. RDX ist da schneller aber auch teurer.
Jürgen
Nimm keine steuerbare Steckdose o.ä für die USB-HDD, sondern zieh das USB-Kabel per Hand ab und bring die USB-HDD in ein anderes Gebäude oder nimm sie mit nach hause, falls das erlaubt ist.
Die Caddy wird nur noch virtuell ausgeworfen aber nicht mehr aus dem Laufwerk geschoben. Im Host ist sie somit noch verfügbar.
Hallo,
das ist ja auch völlig logisch und korrekt.
Wenn du das USB-Gerät an den Host anschließt, wird es im Host-BS eingebunden. Wenn das USB-Gerät nun in die VM durchgereicht wird, bleibt es physisch im Host eingebunden und wird nur logisch zur VM durchgereicht. Wenn du nun das USB-Gerät aus der VM "entfernst", bleib es doch nach wie vor im Host eingebunden. Der Caddy kann durch die VM nicht ausgeworfen werden, da er im Host ja noch benutzt wird. (Funktioniert bei CDs ja auch nicht)
Wenn keine VM mehr auf das USB-Gerät zugreift, kannst du es in einem 2. Schritt aus dem Host entfernen bzw. auf dem Host einen Auswurf des Caddy initieren.
Jürgen
PS. So richtig verstehe ich aber dein Problem nicht: Wenn du das RDX-Laufwerk als Sicherungsgerät ordnungsgemäß in Veeam konfiguriert hast (gibt eine Webinar darüber bei Veeam), erfolgt die Verwaltung der Datenträger (Caddys) doch durch Veeam (und damit auch das Auswerfen nach Beendigung des Coppy-Jobs). Warum willst du das außerhalb von Veeam über ein Script machen?