otto1699
Goto Top

Veeam Backup auf NAS - geschützt vor Verschlüsselung

Hallo,

ich suche eine Möglichkeit, die das Backup der VM's vor möglichen Verschlüsselungs-Trojaner schützt.

Zur Zeit sichere ich per Veeam die VM's auf einem NAS.


Würde es ausreichen auf dem NAS einen speziellen Backup-Nutzer anzulegen, der nur auf den Sicherungsordner zugreifen darf.
Allen anderen Nutzern max. Lesezugriff auf diesen Ordner.

Eine Bandsicherung möchte ich nicht anschaffen, das wäre wohl das Beste.


Was sagt Ihr dazu?


LG
Otto

Content-ID: 339844

Url: https://administrator.de/forum/veeam-backup-auf-nas-geschuetzt-vor-verschluesselung-339844.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

SlainteMhath
SlainteMhath 06.06.2017 um 09:30:40 Uhr
Goto Top
Moin,

beim aktuellen Stand der Sicherheit (SMB Exploits, LÜcken im Samba-Code...) würde ich die NAS (und eine NIC des Backup Servers) in ein separates, physikalisch getrenntes Netzwerk packen. Zusätzlich dann noch den Zugriff auf das Backup auf einen User einschränken.

lg,
Slainte
Coreknabe
Coreknabe 06.06.2017 um 09:57:18 Uhr
Goto Top
Moin,

und unbedingt darauf achten, dass die letzte SMB-Lücke durch ein Update des NAS-Herstellers geschlossen wurde! Synology hat das in unserem Fall angeboten, wir haben noch ein altes Netgear ReadyNAS 3100 laufen, dafür gibt es dieses Update nicht mehr! Konsequenz: Darauf werden nur noch nachrangige Backups gesichert, auf die nur ein separater User Berechtigungen besitzt. Sollte so eine Kiste das Hauptsicherungssystem bei Euch sein, würde ich das Ding ohne Update außer Betrieb nehmen...

Gruß
pablovic
pablovic 06.06.2017 aktualisiert um 10:38:51 Uhr
Goto Top
Hi
Ich denke Slaint hat hier schon alles gesagt, eigenes Netz und eigener Benutzer.
Zusätzlich könntest du noch ein Offline-Backup anlegen (NAS wird nur zur Backupzeit gestartet/Festplatte gemountet), danach wieder heruntergefahren

LG
P
SlainteMhath
SlainteMhath 06.06.2017 um 11:20:41 Uhr
Goto Top
qpablovic
... Slaint ...
Slainte - soviel Zeit muss sein! :P
MiSt
MiSt 06.06.2017, aktualisiert am 08.06.2017 um 06:43:05 Uhr
Goto Top
Es ist auch immer eine Frage des Aufwandes, welches man vor und nach einen Worst Case haben möchte bzw später hat.

Ich sichere (außerhalb des "normalen Backups) so:
  • VMs offline auf ein eSATA-Laufwerk, welches für diesen Zweck angeklemmt wird.
  • alle Dokumente auf ein weiteres eSATA-Laufwerk, welches auch nur für diesen Zweck angeklemmt wird. So komme ich auf jeden Fall später mit jedem System an meine Dokumente.

Bei beide Szenarien arbeite ich mit TotalCommander & Powershell/Hyper-V-Manager.

Gruß
Michael
pablovic
pablovic 06.06.2017 um 13:38:11 Uhr
Goto Top
Pardon, natürlich meinte ich Slainte
Pitbullracer
Pitbullracer 07.06.2017 um 16:22:07 Uhr
Goto Top
Wir setzen hier zusätzlich auch Synology als Backupziel ein - auf die Freigabe hat der nur BackupUser Rechte.
Hier gab es die letzter Zeit aber gefühlt wöchentlich DSM Updates.
Ganz ohne Offlinesicherung würde ich nicht arbeiten! Wenn vom Volumen machbar, RDX an die Synology.