philipp711
Goto Top

Risikopotential Backup-Infrastrukur

Hallo Leute,

welche Risiken bestehen eurer Meinung nach bei folgendem Backup-Konzept:

Infrastruktur:
1) Backup-Server mit Veeam (für virtuelle Umgebung) und Backup-Exec (physikalische Server)
2) NAS-System als Ziel für Veeam
3) NAS-System als Ziel für BE
4) NAS-Sytem als Kopie-Ziel für NAS1&NAS2

Wir haben drei Standorte. In Standort1 befindet sich der Haupt-Serverraum. Im Standort2 & 3 gibt es im Prinzip nur "Technikräume" mit einem Rack inkl. USV etc. NAS3 (Kopie-nas) steht im Serverraum. NAS1 & 2 sind in den Technikräumen verteilt ( getrennte Brandbereiche).

Die NAS-Systeme haben alle ein Management-Interface worüber die Administration abgewickelt wird. Zusätzlich dazu steht jedes NAS mit einem Interface in einem getrennten Backup-Netzwerk. Der Server steht auch mit einem Bein in diesem Netzwerk. In diesem Netzwerkbereich werden SMB-Shares veröffentlicht worauf nur das Backup-Dienstkonto schreib und Leserechte hat.

Das bedeutet: Die Shares sind aus dem normalen Client- und Server-Netzwerken nicht erreichbar.

Die virtuelle Infrastruktur wird durch veeam täglich inkrementell und einmal wöchentlich voll gesichert. Genau so ist die Sicherung von Backup-Exec eingestellt. Veeam sichert mit einer Aufbewahrungsfrist von 3 Wochen auf NAS1. BE ebenfalls mit 3-Wochen-Frist auf NAS2. Durch Copy-Jobs in Veaam und BE werden noch einmal alle Backups auf NAS3 kopiert und für 6 Wochen aufbewahrt.

So haben wir alle Backups verteilt auf drei Standorte...

Die Hardware ist in jedem Standort durch klimatisierte und abschließbare Räume mit USV-Versorgung gesichert.

Seht ihr noch kritische Punkte?
-Bedrohung durch Cryptotrojaner die auch sie Backups-Verschlüsseln
-Physikalische Bedrohungen
-etc.

Muss man Backups wirklich extern lagern?! Müssen zwingend Magnetbänder verwendet werden die im Tresor "verschimmeln"?

Danke!

Content-Key: 317568

Url: https://administrator.de/contentid/317568

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: em-pie
em-pie 12.10.2016 aktualisiert um 14:07:05 Uhr
Goto Top
Moin,

schaut vom Grundsatz her eine runde Sache zu sein, folgendes ist mir jedoch "aufgefallen":


Infrastruktur:
1) Backup-Server mit Veeam (für virtuelle Umgebung) und Backup-Exec (physikalische Server)
Zwar kein Risiko, eher eine Sache der Bedienung:
Warum zwei unterschiedliche Backup-Lösungen?
Im DR-Fall würde es doch nur zusätzliche Aufwand bedeuten, den (oder beide?) Backup-Server wiederherzustellen und die onfigs/ Datenbanken zurückzuholen. Zudem dürfte die Planung von BackupJobs besser laufen, da z.B. die VMs nach den physischen Servern gesichert werden können und nicht die Gefahr bestünde, dass mittendrin beide anfangen, das Netzwerk auszulasten.


Die NAS-Systeme haben alle ein Management-Interface worüber die Administration abgewickelt wird. Zusätzlich dazu steht jedes NAS mit einem Interface in einem getrennten Backup-Netzwerk. Der Server steht auch mit einem Bein in diesem Netzwerk. In diesem Netzwerkbereich werden SMB-Shares veröffentlicht worauf nur das Backup-Dienstkonto schreib und Leserechte hat.
In welchem Netz steht der Backup-Server denn mit seinem "ersten Bein"?
Nicht dass du hier eine erste/ einzige Brücke schlägst, in dem ein pot. Angreifer über den Backupserver deine Shares kompromitiert...


Die virtuelle Infrastruktur wird durch veeam täglich inkrementell und einmal wöchentlich voll gesichert. Genau so ist die Sicherung von Backup-Exec eingestellt. Veeam sichert mit einer Aufbewahrungsfrist von 3 Wochen auf NAS1. BE ebenfalls mit 3-Wochen-Frist auf NAS2. Durch Copy-Jobs in Veaam und BE werden noch einmal alle Backups auf NAS3 kopiert und für 6 Wochen aufbewahrt.
Reichen dir 6 Wochen?
Mal angenommen, ich lösche heute Datensätze in der FiBu-Software (mal abgesehen davon, ob die Software so etwas unprotokolliert zulässt oder nicht) und in 10 Wochen steht der Wirtschaftsprüfer auf der Matte und stellt (gemäß Murphys Gesetz) fest, dass hier etwas nicht stimmt. Wie kannst du ihm nachweisen, dass jemand den Satz gelöscht haben muss bzw. dass dieser jemals existent gewesen ist?

Spätestens, wenn Rechnungen oder andere, aufbewahungspflichtige Dokumente digital archiviert werden und es kein analoges, Urpsungsdokument dazu gibt, musst du gewährleisten, dass auch nach z.B. 6, 10, 15 jahren die Daten noch vorgelegt werden können...
Wobei ein Auslagern auf Tapes, CDs o.Ä. ebenfalls bedeutet, dass die Daten "irgendwann" einmal auf neuere Technologien transferiert werden müssen (z.B. von LTO1 auf LTO6, weil es für LTO1 kaum noch Drives gibt)

Oder Ihr stellt erst nach 7 Wochen fest, dass ein Teil eurer Daten bereits versschlüsselt ins Backup eingeflossen sind.
Das können Daten sein, die bedeutsam sind, aber z.B. nur quartalsweise benötigt werden....


Gruß
em-pie
Mitglied: Penny.Cilin
Penny.Cilin 12.10.2016 um 13:20:55 Uhr
Goto Top
Hallo,

ich kann mich dem Vorposter nur anschließen. Es wird zwar über Datensicherung (Backup) nachgedacht. Aber nicht über die Langzeitaufbewahrung (Archivierung). Immer wieder sehe ich in erstaunte Gesichter, wenn ich von Aufbewahrungsfristen rede. Wie @em-pie schon geschrieben hat, sind gesetzliche Vorgaben einzuhalten.

Sofern dies nicht berücksichtigt wurde, mache ich immer den Vorschlag folgende Aufbewahrungsfristen einzuführen: 6 Monate, 1, 3, 5, 10 und 30 Jahre. Wobei die 30 Jahre für steuerrelevante Daten gelten. Dies muss nicht bei allen Unternehmen relevant sein.
Demzufolge muss die Infrastruktur ausgelegt werden.


Gruss Penny
Mitglied: Deepsys
Deepsys 12.10.2016 um 14:49:03 Uhr
Goto Top
Hi,

auch mir fehlt ein Archiv.
Zumindest mal alle x Monate oder so eine Sicherung auf Band wäre gut.
Für E-Mails gibt es ein Archiv?

Ich würde auf jeden Fall auch wieder Bänder einführen. Egal wie du die NAS sicherst, ein Benutzter muss immer drauf. Und wenn irgendeine böse Software diese Daten hat, kann sie dir alles löschen/verschlüsseln.
Das Band im Safe ist aber sicher, da komplett offline face-smile

Veeam und BackupExec habe ich leider auch; Veeam kann leider die nicht virtuellen Server nicht gut sichern.


VG,
Deepsys
Mitglied: Penny.Cilin
Penny.Cilin 12.10.2016 um 16:01:10 Uhr
Goto Top
Zitat von @Deepsys:

Hi,

auch mir fehlt ein Archiv.
Was spricht dagegen ein (Langzeit)-Archiv einzurichten?
Zumindest mal alle x Monate oder so eine Sicherung auf Band wäre gut.
siehe mein Kommentar
Für E-Mails gibt es ein Archiv?
siehe mein Kommentar

Ich würde auf jeden Fall auch wieder Bänder einführen. Egal wie du die NAS sicherst, ein Benutzter muss immer drauf. Und wenn irgendeine böse Software diese Daten hat, kann sie dir alles löschen/verschlüsseln.
Das Band im Safe ist aber sicher, da komplett offline face-smile
Hier bietet sich folgendes an:
Sicherung auf Disk (wegen schnellerer Wiederherstellungszeiten
dann Sicherung auf Band, davon macht man eine Kopie bzw. ein Auto Migrate.
Somit hast Du eine Sicherung vor Ort und die Kopie bzw. den Migrate im Safe.

Veeam und BackupExec habe ich leider auch; Veeam kann leider die nicht virtuellen Server nicht gut sichern.
Wo liegt Dein Problem bei VEEAM? Wie sieht Deine Umgebung aus? Welches Produkt nutzt Du? Wie sind die Sicherungen konfiguriert?
Hast Du Fehlermeldungen, was sagt der Support?


VG,
Deepsys


Gruss Penny
Mitglied: clSchak
clSchak 12.10.2016 um 17:27:08 Uhr
Goto Top
Hi

wir haben ein ähnliches Konstrukt wie Ihr, stellen aber mit der Bandsicherung via WORM Tapes einmal im Jahr ein Archiv-Set her. Das "lagern" wir in einem Nebengebäude im Tresor - alle 9-12 Monate nehmen wir davon irgend ein Tape und schauen ob wir die Daten noch lesen können *that's it*.

Archivieren tun wir allerdings nur alles wo irgendwo "Post" oder andere Dokumente enthalten sind, der Server für den Paketdienst oder ERP Anwendungsserver wird nicht archiviert. Wir archivieren so ca 40TB / Jahr auf rund 24 LTO6 Bänder, nebenher läuft die monatliche Sicherung auf regulären LTO6 Bänder, wobei das Backupset für 13 Monate vorgehalten wird.

Ahjo - Mailarchiv gibt es nochmal separat und kommt mit in die reguläre Sicherung face-smile

Gruß
@clSchak
Mitglied: DopeEx1991
DopeEx1991 12.10.2016 um 18:40:39 Uhr
Goto Top
Hi,
kleiner Tipp, Veeam Endpoint Backup bietet Veeam mitlerweile kostenlos an. Damit kannst du Windows Hardwarekisten zuverlässig sichern und nahtlos in die Backup-Repositorys eurer bestehenden Veeam Struktur einbinden.

LG
Mitglied: Philipp711
Philipp711 12.10.2016 aktualisiert um 19:05:54 Uhr
Goto Top
Vielen Dank für eure Einschätzung!

Zu euren Anmerkungen:
Das erste Bein steht im Management-Netz...irgendwo her müssen die Produktivdaten ja kommen. Theoretisch könnte die Kompromittierung des Backup-Servers zur kompormmitierung der NAS-Systeme führen - allerdings wird mit dem "Ding" ja außer alle 3 Wochen updates zu installieren nichts gemacht. Die Verwaltung Fackeln wir komplett über die Management-Tools Remote ab.

Die zwei Lösungen haben wir noch im Einsatz, da halt einmal die VM-Infrastruktur und die physikalische mit SQL-Integration etc. gesichert werden soll. Zudem sollte die Verwaltung und Reporting zentral abgewickelt werden wodurch die Veeam Endpoint etc. nicht eingesetzt werden kann.

Zur Archivierung:
Die gesetzlichen archivierungspflichten habe ich nicht vergessen. Allerdings wird dies bei uns in den Anwendung bzw. durch Schnittstellen durchgeführt. Das CRM- und DM-System sind mit einem Archivsystem gekoppelt. Dort wird revisionssicher und auch versioniert archiviert und nach Ablauf der Frist gelöscht. Dadurch muss im Prinzip nur die Archiv-DB inkl. Daten gesichert werden und man hat das Archiv quasi im Backup...

Grundsätzlich scheint unser Konzept aber doch relativ durchdacht sein...Danke!
Mitglied: runasservice
runasservice 12.10.2016 um 23:50:41 Uhr
Goto Top
Hallo,

Grundsätzlich scheint unser Konzept aber doch relativ durchdacht sein...

Klar, man kann sich selbstgefällig auf die Schulter klopfen face-wink

Elektronische Archivierung ist die datenbankgestützte, langzeitige, sichere und unveränderbare Aufbewahrung von jederzeit wiederreproduzierbaren elektronischen Informationsobjekten. Diese Archivierung ständig auf einem NAS vorzuhalten macht für mich keinen Sinn, zumal die NAS-Festplatten "nur" eine Lebenszeit von 2-3 Jahren haben. Du benötigist hier ständig ein Backup vom Backup.

Das Konzept entspricht auch nicht der 3-2-1 Regel, wonach min. 2 unterschiedliche Medien zum Einsatz kommen sollten, d.h eine Kombination aus NAS+RDX oder NAS+LTO wäre die optimale Lösung. RDX und LTO Medien kannst Du jederzeit problemlos auslagern und tansportieren.

LTO-Medien können z.B. 30 Jahre aufbewahrt werden und kosten auch nur ein paar Cent pro GB. Die können dann auch im Tressor verschimmeln...

MfG
Mitglied: Deepsys
Deepsys 13.10.2016 aktualisiert um 14:23:08 Uhr
Goto Top
Zitat von @Penny.Cilin:
Veeam und BackupExec habe ich leider auch; Veeam kann leider die nicht virtuellen Server nicht gut sichern.
Wo liegt Dein Problem bei VEEAM? Wie sieht Deine Umgebung aus? Welches Produkt nutzt Du? Wie sind die Sicherungen konfiguriert?
Hast Du Fehlermeldungen, was sagt der Support?
Moment, es gibt von Veeam keine supportete Lösung um physikalische Server zu sichern.
Ja, es gibt Endpoint.
Aber das legt auf jedem Server eine DB an (= will ich nicht), und schreibt nur das Ergebnis in die B&R Console. Ich kann aber nicht die Aufträge zentral verwalten, und sehe nicht die kompletten Logs.
Das meine ich.

Vielleicht in der 9.5, aber im Moment nicht. Frag mal Veeam auf der Messe oder so ob du mit Endpoint einen Oracle DB Server sichern solltest, dann bekommst du ein "es geht, aber ich würde es nicht empfehlen".

Also, muss nach Veritas BackupExec ran .....

VG,
Deepsys
Mitglied: Penny.Cilin
Penny.Cilin 13.10.2016 um 14:46:11 Uhr
Goto Top
Zitat von @Deepsys:

Zitat von @Penny.Cilin:
Veeam und BackupExec habe ich leider auch; Veeam kann leider die nicht virtuellen Server nicht gut sichern.
Wo liegt Dein Problem bei VEEAM? Wie sieht Deine Umgebung aus? Welches Produkt nutzt Du? Wie sind die Sicherungen konfiguriert?
Hast Du Fehlermeldungen, was sagt der Support?
Moment, es gibt von Veeam keine supportete Lösung um physikalische Server zu sichern.
OK, da stimme ich Dir zu. Hatte eigentlich gedacht, daß mittlerweile auch Baremetal funktionieren würde. Wenn man noch physische Server hat, ist man unter Umständen auf zwei Produkte angewiesen. Zumindest bei IBM Spectrum Protect (ehemals IBM TSM) bin ich der Meinung, daß man sowohl Baremetal als auch VMs sichern kann. Das kostet allerdings etwas.
Ja, es gibt Endpoint.
Aber das legt auf jedem Server eine DB an (= will ich nicht), und schreibt nur das Ergebnis in die B&R Console. Ich kann aber nicht die Aufträge zentral verwalten, und sehe nicht die kompletten Logs.
Das meine ich.

Vielleicht in der 9.5, aber im Moment nicht. Frag mal Veeam auf der Messe oder so ob du mit Endpoint einen Oracle DB Server sichern solltest, dann bekommst du ein "es geht, aber ich würde es nicht empfehlen".
Stimmt. wobei bei IBM Spectrum Protect zum Beispiel gibt es extra Agents dafür. Nennt sich Data Protection for Database.

Also, muss nach Veritas BackupExec ran .....
Du meinst Symantec BeckupExec bzw. Novell BackupExec...

VG,
Deepsys
Mitglied: em-pie
em-pie 13.10.2016 um 15:04:15 Uhr
Goto Top
Zitat von @Penny.Cilin:

Zitat von @Deepsys:

Zitat von @Penny.Cilin:
Veeam und BackupExec habe ich leider auch; Veeam kann leider die nicht virtuellen Server nicht gut sichern.
Wo liegt Dein Problem bei VEEAM? Wie sieht Deine Umgebung aus? Welches Produkt nutzt Du? Wie sind die Sicherungen konfiguriert?
Hast Du Fehlermeldungen, was sagt der Support?
Moment, es gibt von Veeam keine supportete Lösung um physikalische Server zu sichern.
OK, da stimme ich Dir zu. Hatte eigentlich gedacht, daß mittlerweile auch Baremetal funktionieren würde. Wenn man noch physische Server hat, ist man unter Umständen auf zwei Produkte angewiesen. Zumindest bei IBM Spectrum Protect (ehemals IBM TSM) bin ich der Meinung, daß man sowohl Baremetal als auch VMs sichern kann. Das kostet allerdings etwas.
Ja, das ist so. Sofern du mit Bare-Metal nicht die eigentlichen HyperVisor-Hosts meinst. Wobei das sicherlich auch ginge
Wir sichern einige ANlagen-Clients via TSM-Agent und alle übrigen Server mittels TSM for Virtual Environment (vmWare).
Und ja, teuer ist es, wobei wir die Variante gewählt haben, nach zu sichernden Datenmenge zu lizensieren; dann kannst du alle Produkte nutzen, solange du im Back- oder Frontend (weiss es gerade nicht genau) innerhalb der Datenmenge bleibst.

Der Tsm hat aber auch eine andere Denkweise:
hier wird nicht unbedingt nach dem Großvater-Vater-Sohn-Prinzip gesuchert, sondern der geht nach Versionen vor. Zumindest, wenn es um die Sicherung via Agent auf den Systemen geht. Bei der Snapshot-Sicherung weiss ich es aktuell gerade gar nicht.

Ja, es gibt Endpoint.
Aber das legt auf jedem Server eine DB an (= will ich nicht), und schreibt nur das Ergebnis in die B&R Console. Ich kann aber nicht die Aufträge zentral verwalten, und sehe nicht die kompletten Logs.
Das meine ich.

Vielleicht in der 9.5, aber im Moment nicht. Frag mal Veeam auf der Messe oder so ob du mit Endpoint einen Oracle DB Server sichern solltest, dann bekommst du ein "es geht, aber ich würde es nicht empfehlen".
Stimmt. wobei bei IBM Spectrum Protect zum Beispiel gibt es extra Agents dafür. Nennt sich Data Protection for Database.
Nicht nur für die DBs, auch für Exchange, LotusNotes, etc.

Also, muss nach Veritas BackupExec ran .....
Du meinst Symantec BeckupExec bzw. Novell BackupExec...

VG,
Deepsys

Wenn auch eine neue DaSi-Lösung im Raum stehen würde:
wie sähe es mit Arcserve aus. die neue Version soll nicht schlecht sein (so berichtete mir ein befreundeter Leidensgenosse). Der sichert gemixt: Virtuell und Physisch im Backup-2-Disk-2-Tape-Prinzip.
Mitglied: Deepsys
Deepsys 13.10.2016 um 15:07:52 Uhr
Goto Top
Zitat von @Penny.Cilin:
Also, muss nach Veritas BackupExec ran .....
Du meinst Symantec BeckupExec bzw. Novell BackupExec...
Nein, Symantec hat das wieder ausgegliedert/verkauft und es ist wieder Veritas:
https://www.veritas.com/de/de/product/backup-and-recovery/backup-exec

face-smile
Mitglied: clSchak
clSchak 13.10.2016 um 17:09:12 Uhr
Goto Top
Hi

Um mal den Faden von Veeam wieder aufzunehmen: man kann durchaus mit der Endpoint Protection ganze Server sichern und diese dann im B&R Repository weiter verarbeiten z.B. für die Bandsicherung. Auch die Wiederherstellung funktioniert anstandslos - auch mit SQL Datenbanken - auch auf Fileebene nicht nur das gesamte Backup.

Unterschätzt das Tool nicht, aber es kann wirklich nur eines: Backup ohne Extras - genau das was es soll: simpel, zuverlässig und einfach. Da hat BackupExec bedeutend mehr Pflege gebraucht und weitaus öfter mal ein Backup aus irgendeinen Grund nicht gezogen und man musste nacharbeiten. Wir haben zwar "nur" noch ~6 physikalische Maschinen der Rest ist VMWare. aber das funktioniert super - wir sichern damit auch einzelne Clients von den Kollegen.

Gruß
@clSchak
Mitglied: Penny.Cilin
Penny.Cilin 13.10.2016 um 17:25:47 Uhr
Goto Top
Zitat von @em-pie:


Der Tsm hat aber auch eine andere Denkweise:
hier wird nicht unbedingt nach dem Großvater-Vater-Sohn-Prinzip gesuchert, sondern der geht nach Versionen vor. Zumindest, wenn es um die Sicherung via Agent auf den Systemen geht. Bei der Snapshot-Sicherung weiss ich es aktuell gerade gar nicht.
Das ist ja der große Vorteil von TSM, weil für jedes Objekt (Datei, Verzeichnis) eine eigene Versionierung bei der Sicherung genutzt wird. Somit kann ich immer inkrementell sichern. Dadurch habe ich sher schnelle Sicherungs- und Wiederherstellungszeiten. Und ich brauche bei der Wiederherstellung nicht Fullbackup und dann die inkrementellen bzw. differenziellen Sicherungen wiederherstellen.
Ich habe zu Demo- und Lernzwecken TSM in einer virtuellen Umgebung installiert. So kann ich vorführen, wie die Arbeitsweise von TSM ist.
Bei HP Data Protector geht man mittlerweile einen ähnlichen Weg, d.h. immer inkrementell sichern.


Gruss Penny