Leuchtkondom 17 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Hallo Leute, kurz zur Ist Situation: Wir sichern unsere VMs alle per Veeam auf den Backupserver. Von dort wird per BAckup Copy Job über eine Laserverbindung die Daten noch auf ein NAS in ein anderes Gebäude gesichert. Trotzdem haben wir uns entschlossen jetzt die Daten noch auf ein weiteres Ziel zu sichern und haben uns ein RDX Quickstation 4 gekauft. per Backup Copy Job werden von Veeam die Backups dort drauf kopiert. Diese sind per Veeam verschlüsselt. Jetzt wollte ich aber zusätzlich noch auf die RDX Medien einen Ordner erstellen, wo per Job-Pre-Script Daten drauf kopiert werden. Jetzt meine Frage, ich habe Bitlocker versucht. Das ist jedoch nicht nutzbar, die Schreib-Performance bricht von ca. 85 MB/s auf 15 MB/s ein. Jetzt habe ich diesen Ordner per EFS Verschlüsselt. Da ist kein Performance Verlust spürbar, meine Frage wäre nur, wie sicher ist denn das ganze? Angenommen die RDX Medien, die dann täglich getauscht werden, kommen in die falschen Hände. Wie sicher sind die Daten im Ordner X? Habe schon ein wenig gegoogelt, alles was ich finde ist jedoch recht alt, ich weiß ja nicht in wie Weit sich das zu heute geändert hat. Ansonsten wäre ich auch für andere Ideen offen :-) Habe auch per Veeam probiert, mit dem File Copy Job. Da ist ja aber wirklich gar nichts möglich, weder Verschlüsselung noch ein Spiegeln (ich möchte Quelle und Ziel spiegeln, nicht nur einfach kopieren). Lieben Dank Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Wieviele "Brüche" von EFS hast du denn auf die Schnelle mittels Google gefunden? Wenn es korrekt implementiert ist, so dass ein DRA existiert und jemand das Zertifikatshandling monitored, sollte das als sicher gelten. vor 13 Minuten schrieb Leuchtkondom: Angenommen die RDX Medien, die dann täglich getauscht werden, kommen in die falschen Hände. Wie sicher sind die Daten im Ordner X? Ich _würde_ sagen, ziemlich sicher, bei korrekter Vorgehensweise mit EFS. Aber das gilt ja wie immer nur ohne Gewähr und bis zur Entdeckung der nächsten Securitylücke. ;) https://technet.microsoft.com/en-us/library/cc749962.aspx (schon ziemlich alt), aber eventuell ein Ansatz um mal zu recherchieren. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Moin, ich ziehe das Konzept grundlegend in Zweifel. Hast du dir schon mal Gedanken gemacht, wie du im Fall des Falles an die verschlüsselten Daten rankommen willst? Bist du dir sicher, dass das nötige EFS-Zertifikat dann bereitsteht? Oder noch grundlegender: Hast du dich mit der Funktionsweise von EFS soweit vertraut gemacht, dass du begründet annehmen kannst, dass es für dieses Szenario geeignet ist? Das sehe ich nämlich ganz und gar nicht so. Wie immer, kommt es nicht auf das Backup an, sondern auf das Recovery. Und da ist Verschlüsselung immer ein Problem. Wenn du der Meinung bist, dass du Backup-Verschlüsselung brauchst, dann löse das Problem so, dass du dich auf die Lösung verlassen kannst. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Leuchtkondom 17 Geschrieben 27. Januar 2018 Autor Melden Teilen Geschrieben 27. Januar 2018 Vielen Dank für eure Beiträge. Nils, du hast sicher recht. Bisher habe ich mich mit EFS noch nicht all zuviel Beschäftigt, und dass diese Art von Verschlüsselung vermutlich eher ungünstig für "Wechseldatenträger" ist, die an eventuell anderen Rechnern gelesen werden müssen, habe ich bereits gelesen. Bisher bin ich wie gesagt noch in der Findungsphase für diese Sicherung. Auch ist bisher in der Firma noch nicht geklärt, wie und wer das mit den RDX Medien am Ende handhabt. Da das ein Verbund aus mehreren Firmen ist und jeder so seine Befindlichkeiten hat, wird das erst im Vorstand geklärt. Ich mache mir nur im voraus schon mal Gedanken, im Falle des Falles des Abhandenkommens der Medien. Wie gesagt, die VMs werden ja nur Veeam verschlüsselt. Aber mal am konkreten Beispiel: Es gibt auch eine Datevserver VM. Dort läuft Datev DMS, Datev Rewe und noch viele andere Datev Applikationen. Diese VMs wird zwar von Veeam gesichert, trotzdem wird aller 2 Stunden die Datev eigene Datensicherung innerhalb der VM gestartet, weil nur so kann ich dann einzelne Programmteile wieder herstellen. Diese Daten landen dann auf dem Backupserver in einen Ordner. Diese Sicherungen werden wie gesagt schon an ein NAS in einen externen Gebäude gesichert, nichts desto trotz hätte ich diese auch ganz gern auf den RDX Medien. Was gäbe es denn, zum für diesen Fall ungeeigneten EFS, als Alternativen? Okay, ich könnte das ganze vorher packen und mit Passwort versehen, und dieses Archiv dann auf das RDX Medium speichern. Daher frage ich hier, was euch für Alternativen einfallen würden. Wie gesagt, Bitlocker war nicht nutzbar. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Moin, ich sag mal: Es gibt Berater für sowas. Und möglicherweise wäre es noch günstiger gewesen, eine Konzept zu entwickeln, bevor man in die Beschaffung und den Aufbau einsteigt. Aber zu spät ist es für sowas nie, nur evtl. teurer. Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Ähm?!? Unterstützt Veeam nicht von sich aus eine Verschlüsslung? Dann nutze diese! Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Macht er doch. Nochmal lesen? Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 Verschlüsselung? Knackbar? Da empfehle ich den KRYPTOCHEF Detlef Granzow (persönlich). SCNR Leider nur noch im archive.org: https://web.archive.org/web/20140517202802/http://kryptochef.net/ (Ich hatte Ihn schon fast vergessen) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 (bearbeitet) *Alu Hut aufsetz* Jede Verschlüsselung ist knackbar. Vor allem die von großen US Firmen, die stecken doch mit der NSA alle unter einer Decke! Aber mal ernsthaft, wie soll das hier irgendwer beurteilen? Selbst Sachen die öffentlich einsehbar von Gremien mit vielen Experten erarbeitet wurden haben sich irgendwann als absolut trivial herausgestellt. Man denke nur an die alte WEP Verschlüsselung, heute knackt man in wenigen Minuten mit kaum Vorkenntnissen. Man muss bei sowas auch immer an die Wiederherstellung denken. Wie kommt man dann an die Daten ran wenn man sie braucht? Willst du da erst mal irgendwo die Schlüssel aus dem Tresor ziehen? Der war halt leider auch in dem Gebäude das abgebrannt ist... bearbeitet 27. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 10 hours ago, NorbertFe said: Macht er doch. Nochmal lesen? War so viel Text... Habs jetzt verstanden, es geht um Sicherungen parallel zu Veeam. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Januar 2018 Melden Teilen Geschrieben 27. Januar 2018 ;) Ja passiert immer mal. Zitieren Link zu diesem Kommentar
ZAPnDUSTER 11 Geschrieben 30. Januar 2018 Melden Teilen Geschrieben 30. Januar 2018 Am 1/27/2018 um 11:25 schrieb Leuchtkondom: Jetzt meine Frage, ich habe Bitlocker versucht. Das ist jedoch nicht nutzbar, die Schreib-Performance bricht von ca. 85 MB/s auf 15 MB/s ein. Was ist denn das für ein Server bzw. Storage Controller und CPU? Da stimmt meiner Meinung nach was nicht, ich würde das Übel an der Wurzel suchen und mir erst mal das ansehen wollen. Korrigiert mich, wenn ich falsch liege, aber die Werte sind unterirdisch und nicht normal. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 30. Januar 2018 Melden Teilen Geschrieben 30. Januar 2018 Eine alternative wäre doch die Daten nicht direkt auf das Backup Ziel zu sichern sondern auf einen Ort, welcher von Veeam über das normale Backup mitgesichert wird. Dann brauchst du keine zwei Unterschiedlichen Verschlüsslungsmechanismen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Januar 2018 Melden Teilen Geschrieben 30. Januar 2018 Ich bin bei Backups Fan von Hardware-Verschlüsselung. Wir haben gute Erfahrungen mit LTO Libraries gemacht. Dafür gibt es kleine USB-Schlüsselspeicher, die den Schlüssel erst nach Eingabe eines Passworts rausrücken. Auf den Bändern ist dann generell kein Schlüssel zu finden und die LTO Laufwerke weigern sich ohne Schlüssel die Bänder zu lesen. Bevor Ihr fragt: Benutzt nicht die Software-Verschlüsselung von Comvault Simpana. Da gibt es ein paar Design-Schwächen, die der Hersteller aber nicht wirklich einsehen will. LTO-Laufwerke bekommt man durchaus auch gebraucht halbwegs günstig. Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 (bearbeitet) Wir sichern unsere Daten zuerst auf eine Storage und anschließend auf LTO Bänder. Nach der Sicherung bringt der Azubi die Bänder zur Bank und legt diese dort im Tresor ab. Unser Backupverfahren ist abgesegnet durch die GF und dem internen und externen Datenschutzbeauftragten. Wir überspielen zudem regelmäßig alte Monats- und Jahressicherungen auf neue LTO Generationen. Somit stellen wir sicher, auch eine 10 Jahre alte Sicherung sauber wiederherstellen können. Den Performanceeinbruch bei Bitlocker kann ich nicht nachvollziehen. Unsere kompletten Clients plus Server an externen Standorten (Besenkammer :)) sind mittels Bitlocker verschlüsselt. Wir verwenden allerdings MBAM als Enterprise Lösung. bearbeitet 31. Januar 2018 von speer Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.