5
Kann Veeam direkt (ohne LW mount) auf ein iSCSI target schreiben?
Hallo Zusammen,
ich hatte vor ein paar Jahren die Backup-Software NetJapan im Einsatz. Die konnte sich direkt auf ein iSCSI target mounten OHNE vorher ein Laufwerk in das System zu verbinden. Nach dem Backup wurde das target wieder geschlossen. Das iSCSI target war so konfiguriert dass nur eine Verbindung möglich war. Aus meiner Sicht eine sehr gute Möglichkeit gegen ransomware. Kann das veeam möglicherweise auch?
Gruß Kostas
ich hatte vor ein paar Jahren die Backup-Software NetJapan im Einsatz. Die konnte sich direkt auf ein iSCSI target mounten OHNE vorher ein Laufwerk in das System zu verbinden. Nach dem Backup wurde das target wieder geschlossen. Das iSCSI target war so konfiguriert dass nur eine Verbindung möglich war. Aus meiner Sicht eine sehr gute Möglichkeit gegen ransomware. Kann das veeam möglicherweise auch?
Gruß Kostas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1687896683
Url: https://administrator.de/contentid/1687896683
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Ich habe mal ins Veeam rein geschaut und kein iSCSI als Target zum Anlegen von Backup Repositories gesehen.
Du kannst es jedoch lösen, indem du ein SMB Share anlegst, dessen Zugangsdaten nur dem Target Server und dem Veeam Backup bekannt sind (also kein Domain User, sondern ein lokaler User auf dem Share Server). Somit kommt niemand an die Backups ran, ausser das Veeam Programm selbst. Veeam hat dafür eine gesicherte Credentials Verwaltung. Nicht einmal der Explorer selbst des Rechners kommt auf das Share, auf dem Veeam installiert ist.
Du kannst es jedoch lösen, indem du ein SMB Share anlegst, dessen Zugangsdaten nur dem Target Server und dem Veeam Backup bekannt sind (also kein Domain User, sondern ein lokaler User auf dem Share Server). Somit kommt niemand an die Backups ran, ausser das Veeam Programm selbst. Veeam hat dafür eine gesicherte Credentials Verwaltung. Nicht einmal der Explorer selbst des Rechners kommt auf das Share, auf dem Veeam installiert ist.
Du kannst es jedoch lösen, indem du ein SMB Share anlegst, dessen Zugangsdaten nur dem Target Server und dem Veeam Backup bekannt sind (also kein Domain User, sondern ein lokaler User auf dem Share Server). Somit kommt niemand an die Backups ran, ausser das Veeam Programm selbst.
Naja das ist eine gewagte Aussage.. es könnte genauso eine Sicherheitslücke auf dem SMB Share vorhanden sein oder whatever...
Wenn ihr Beide auf sichere Backups abziehlt, dann ist für euch das Immutable Backup die richtige Lösung. Alternativ Tape.
Wir setzen Beides ein. Tape Sicherhung und Immutable Backups auf ein Storages, welches direkt per FC am Linux Repo dran hängt.
Sehr interessant das mit immutable Backup. Veeam soll das auch unterstützen, habe ich in einem anderen Betrag gelesen. Die Sache mit dem iSCSI target welches nicht als Laufwerk eingebunden wird, fand ich auch sehr nützlich. Ich hatte eine QNAP über eine zwei NIC am Server über iSCSI angebunden. Somit war der Backup store im Netz nicht erreichbar und nur die Backupsoftware von dem einem Server zu erreichen. Dass es nicht einmal als LW zu sehen war während des Backup gab mir ein Gefühl der Sicherheit. Für einen anderen Kunden muss ich nun veeam nutzen. Ein Tape-Drive steht auch noch zur Disposition. Mal sehen was wir da machen.
Vielen lieben Dank.
Vielen lieben Dank.
Zitat von @Kostas:
Sehr interessant das mit immutable Backup. Veeam soll das auch unterstützen, habe ich in einem anderen Betrag gelesen. Die Sache mit dem iSCSI target welches nicht als Laufwerk eingebunden wird, fand ich auch sehr nützlich. Ich hatte eine QNAP über eine zwei NIC am Server über iSCSI angebunden. Somit war der Backup store im Netz nicht erreichbar und nur die Backupsoftware von dem einem Server zu erreichen. Dass es nicht einmal als LW zu sehen war während des Backup gab mir ein Gefühl der Sicherheit.
Das ist aber nur ein Gefühl. Angenommen einer erreicht Admin Rechte auf dem QNAP...somit ändert in der Netzwerkkonfiguration dies so ab, dass man das ISCSI Target auch über die anderen NICS erreicht. Schon löst sich dein Gefühl in Luft auf.Sehr interessant das mit immutable Backup. Veeam soll das auch unterstützen, habe ich in einem anderen Betrag gelesen. Die Sache mit dem iSCSI target welches nicht als Laufwerk eingebunden wird, fand ich auch sehr nützlich. Ich hatte eine QNAP über eine zwei NIC am Server über iSCSI angebunden. Somit war der Backup store im Netz nicht erreichbar und nur die Backupsoftware von dem einem Server zu erreichen. Dass es nicht einmal als LW zu sehen war während des Backup gab mir ein Gefühl der Sicherheit.
Ja Veeam unterstützt Immutable Backups.
Der Vorteil von Immutalbe Backups besteht daran, dass diese gegenüber Tapes sogar ein Instant (live) Restore unterstützen.
Naja das ist eine gewagte Aussage
SMB ist eine Strategie analog zu iSCSI, SFTP oder sonst irgendeinem Protokoll, das natürlich seine Sicherheitslücken haben kann. Klar, das manuelle Entfernen der Medien ist die sicherste Strategie. Ich habe ihm mit SMB nur eine Alternative zu iSCSI gegeben.
Wir machen als immutable Alternative z.B. Snapshots alle 30 Minuten, die ebenfalls nicht mehr überschreibbar sind - also unabhängig vom Backup.
