Kann Veeam direkt (ohne LW mount) auf ein iSCSI target schreiben?

kostas
Goto Top
Hallo Zusammen,

ich hatte vor ein paar Jahren die Backup-Software NetJapan im Einsatz. Die konnte sich direkt auf ein iSCSI target mounten OHNE vorher ein Laufwerk in das System zu verbinden. Nach dem Backup wurde das target wieder geschlossen. Das iSCSI target war so konfiguriert dass nur eine Verbindung möglich war. Aus meiner Sicht eine sehr gute Möglichkeit gegen ransomware. Kann das veeam möglicherweise auch?

Gruß Kostas

Content-Key: 1687896683

Url: https://administrator.de/contentid/1687896683

Ausgedruckt am: 13.08.2022 um 08:08 Uhr

Mitglied: NordicMike
NordicMike 04.01.2022 um 13:46:12 Uhr
Goto Top
Ich habe mal ins Veeam rein geschaut und kein iSCSI als Target zum Anlegen von Backup Repositories gesehen.

Du kannst es jedoch lösen, indem du ein SMB Share anlegst, dessen Zugangsdaten nur dem Target Server und dem Veeam Backup bekannt sind (also kein Domain User, sondern ein lokaler User auf dem Share Server). Somit kommt niemand an die Backups ran, ausser das Veeam Programm selbst. Veeam hat dafür eine gesicherte Credentials Verwaltung. Nicht einmal der Explorer selbst des Rechners kommt auf das Share, auf dem Veeam installiert ist.
Mitglied: tech-flare
Lösung tech-flare 04.01.2022 aktualisiert um 14:40:35 Uhr
Goto Top
Zitat von @NordicMike:


Du kannst es jedoch lösen, indem du ein SMB Share anlegst, dessen Zugangsdaten nur dem Target Server und dem Veeam Backup bekannt sind (also kein Domain User, sondern ein lokaler User auf dem Share Server). Somit kommt niemand an die Backups ran, ausser das Veeam Programm selbst.

Naja das ist eine gewagte Aussage.. es könnte genauso eine Sicherheitslücke auf dem SMB Share vorhanden sein oder whatever...

Wenn ihr Beide auf sichere Backups abziehlt, dann ist für euch das Immutable Backup die richtige Lösung. Alternativ Tape.

Wir setzen Beides ein. Tape Sicherhung und Immutable Backups auf ein Storages, welches direkt per FC am Linux Repo dran hängt.
Mitglied: Kostas
Kostas 04.01.2022 um 15:23:16 Uhr
Goto Top
Sehr interessant das mit immutable Backup. Veeam soll das auch unterstützen, habe ich in einem anderen Betrag gelesen. Die Sache mit dem iSCSI target welches nicht als Laufwerk eingebunden wird, fand ich auch sehr nützlich. Ich hatte eine QNAP über eine zwei NIC am Server über iSCSI angebunden. Somit war der Backup store im Netz nicht erreichbar und nur die Backupsoftware von dem einem Server zu erreichen. Dass es nicht einmal als LW zu sehen war während des Backup gab mir ein Gefühl der Sicherheit. Für einen anderen Kunden muss ich nun veeam nutzen. Ein Tape-Drive steht auch noch zur Disposition. Mal sehen was wir da machen.

Vielen lieben Dank.
Mitglied: tech-flare
tech-flare 04.01.2022 um 16:12:21 Uhr
Goto Top
Zitat von @Kostas:

Sehr interessant das mit immutable Backup. Veeam soll das auch unterstützen, habe ich in einem anderen Betrag gelesen. Die Sache mit dem iSCSI target welches nicht als Laufwerk eingebunden wird, fand ich auch sehr nützlich. Ich hatte eine QNAP über eine zwei NIC am Server über iSCSI angebunden. Somit war der Backup store im Netz nicht erreichbar und nur die Backupsoftware von dem einem Server zu erreichen. Dass es nicht einmal als LW zu sehen war während des Backup gab mir ein Gefühl der Sicherheit.
Das ist aber nur ein Gefühl. Angenommen einer erreicht Admin Rechte auf dem QNAP...somit ändert in der Netzwerkkonfiguration dies so ab, dass man das ISCSI Target auch über die anderen NICS erreicht. Schon löst sich dein Gefühl in Luft auf.

Ja Veeam unterstützt Immutable Backups.

Der Vorteil von Immutalbe Backups besteht daran, dass diese gegenüber Tapes sogar ein Instant (live) Restore unterstützen.
Mitglied: NordicMike
NordicMike 04.01.2022 um 16:32:31 Uhr
Goto Top
Naja das ist eine gewagte Aussage

SMB ist eine Strategie analog zu iSCSI, SFTP oder sonst irgendeinem Protokoll, das natürlich seine Sicherheitslücken haben kann. Klar, das manuelle Entfernen der Medien ist die sicherste Strategie. Ich habe ihm mit SMB nur eine Alternative zu iSCSI gegeben.

Wir machen als immutable Alternative z.B. Snapshots alle 30 Minuten, die ebenfalls nicht mehr überschreibbar sind - also unabhängig vom Backup.