Frank ℤisko - Backup

Fehler, Verbesserungen oder Anmerkungen können mir gern per Email geschickt werden.

Vorraussetzungen

Verständnis von Dateistrukturen.
Vorstellung wo wie welche Daten (lokal, On-Site, Off-Site, Cloud/Auftragsdatenverarbeitung) verarbeitet werden können.

tl;dr

Es läuft dieser Computer. Auf diesem arbeitet man und auf diesem legt man viele viele Daten ab. Wenn der Speicher nicht ausreicht gern mal auf einer externen Festplatte. Benötigt man regelmäßig mehr Speicherplatz kann es sinnvoll sein ein NAS zu betreiben. Wenn der Computer und/oder das NAS abrauchen, sind die Daten/Assets weg.

Man könnte regelmäßig Backups auf (verschlüsselte!) externe Speichermedien schreiben. Nur was tun wenn das ganze Haus abraucht? Ok, nehmen wir eine zweite (verschlüsselte!) externe Festplatte. Diese nehmen wir mit an einen sicheren und vertrauenswürdigen anderen Ort. Das kann z.B. das Elternhaus, das Büro, der Spind oder ein Bank-Schließfach sein.

Nur kommt man da manchmal nicht so schnell oder regelmäßig hin, dass das Risiko des Asset-Verlustes mit der Zeit wächst. Also ab in die Cloud?

Die Cloud sollte man immer so behandeln, als wäre das ein Computer in einem Mehrfamilienhaus. Da kommt zwar nicht jeder direkt ran. Aber die mit Zugriff wären die Nachbarn, aber eben auch der ein oder andere externe Dienstleister, Hausmeister, die Polizei und Kriminelle. So könnten die Daten jederzeit auch verschwinden.

Damit kommt man um eine Verschlüsselung der Daten vor(!) Upload nicht herum. Zusätzlich sollten, je nach Risiken, Maßnahmen bzgl. der Datenintegrität und Vertraulichkeit abgewogen werden.

Cloud = Fremder Leute Computer.
Cloud = Wie RAM, wenn die Power weg ist, sind die Daten weg. So ist es auch, wenn der Anbieter weg ist oder

Grundlegendes

Die typsischen Schutzziele für IT-Systeme sind Vertraulichkeit, Integrität und Verfügbarkeit.

Vertraulichkeit fängt mit einer entsprechenden Konfigurationen der Nutzerprivilegien auf dem lokalen wie auf dem Cloud-System an und endet mit einer Verschlüsselung der Daten, so dass nur berechtigte Personen (die mit Key) die Daten einsehen können. Transportverschlüsselung sollte mitlerweile selbstverständlich sein und sei zur Vollständigkeit erwähnt.

Datenintegrität ist ein Umfassenderes Thema. Diese fängt genauer schon bei der Entstehung und Bit-weisen Speicherung auf der Festplatte an. Hier relevant sind insbesondere eine zeitnahe, korrekte und vollständige Verarbeitung. … Ach was, alle kriterien sind wichtig. Wird eines nicht gewähleistet bestehen direkt Risiken, dass Daten (böswillig, versehentlich oder zufällig) verändert (also ggf. auch zerstört) werden könnten.

Verfügbarkeit ist zwar auch ein wichtiger Punkt für die Integrität. In der IT-Sicherheit spielt dieser eine separate und wichtige Rolle. Es ist eben wichtig, in vertretbarer Zeit wieder an die benötigten Daten zu gelangen. Das kann, nach dem das Wohnhaus abgefackelt ist auch ein Monat sein. Bei einer Störung in einem produzierenden Unternehmen können Stunden bereits massive Auswirkungen auf andere Bereiche und Prozesse und letztendlich auf die Bilanz haben.

Datenintegrität

Datenintegrität bildet die Grundlage für zuverlässige und vertrauensvolle Datenverarbeitung (von der Erstellung über alle Änderungen bis zur Löschung). Dabei spielen ein korrekter Inhalt, eine unveränderte Verarbeitung, die (unbeabsichtigte oder böswillige) Erkennung von Änderungen und zeitlich Korrekte und zeitnahe Verarbeitung eine große Rolle.

Datensicherheit

Ergänzend zur Datenintegrität geht es bei der Datensicherheit um den Schutz vor unberechtigten Zugriffen oder Veränderungen und im Falle das diese geschehen sind um deren Erkennung. Hat jemand unberechtigtes meine Daten gelesen? Hat jemand Ergänzungen, Veränderungen oder Löschungen vorgenommen?

Datenqualität

Dafür sind die Urheber/Autoren von Inhalten verantwortlich und in diesem Anwendungsfall nicht relevant.

Cloud-Anbieter

Cloud-Anbieter gibt es wirklich viele. Ich rate keine Eintagsfliegen zu wählen.

Der Cloudstandort hat Einfluss auf die geltenden Datenschutzrichtlinien, aber auch auf die Sicherheitsrisiken bzgl. Naturkatastrophen, Infrastukturapokalypsen (Unterseekabel wird beschädigt), politischen Unruhen und Kriegen. Oft kann man nicht genau sagen, wo die Daten exakt gespeichert werden. Eine Region ist in der Regel auswählbar.

Ich würde grundsätzlich davon ausgehen, dass geheimdienste Zugriff auf die Cloudanbieter haben. Nachdem Bekannt wurde, dass der BND, wie bereits vermutet, direkt am DECIX-Knoten in Frankfurt Daten abschnorschelt, kann man davon ausgehen, dass Geheimdienste auch an anderen Stellen der IT-Infrastruktur wirken.

Für die Berechnung der Preise werden 3TB an zu sichernden Daten angenommen. Es wird davon ausgegangen, dass ein Teil der zu sichernden Daten nicht mehr verändert werden und ein Teil regelmäßigen Änderungen unterliegen.

Region der Datenverarbeitung
Zeit, seidem der Anbieter am Markt ist
Stabilität der Firma bzgl. Zukäufen, Verkäufen, Portfolio- und Strategieänderungen
Werkzeuge und/oder Schnittstellen mit denen der Speicher genutzt werden kann
Preis für 3TB (mit ca. 150 GiB Änderungen im Monat)

Amazon S3

Region: Weltweit
Zeit: seit 2006
Stabilität: Seit 2006 bei Amazon
Werkzeuge:
Preis: “Pay what you use”, aber schwierig zu berechnen.

Amazon S3 Glacier

Region: Weltweit
Zeit: seit 2012
Stabilität: Seit 2012 bei Amazon
Werkzeuge:
Preis: “Pay what you use”, aber schwierig zu berechnen.

Amazon S3 Glacier Deep Archive

Backblaze B2

Region: USA
Zeit: seit 2007
Stabilität:
Werkzeuge:
Preis: ca. $ 188/a (errechnet mit: 2000GB initaler Upload, 100GB monatlicher Zuwachs, 5 GB monatliches Löschen, 10GB monatlicher Download)
rclone

Crashplan

Region: USA, Niederlande
Zeit: Code 42 betreibt seit 2001 den Dienst
Stabilität:
Werkzeuge:
Preis: §10/Monat/Gerät = $ 120/a/je Gerät (Crashplan Small Business)

Dropbox

Region: Weltweit, überwiegend USA, für Business-Kunden Datenspeicherng in Amazon S3 in Frankfurt möglich
Zeit: Dropbox Inc existiert seit 2007
Stabilität: Gelegentliche Sicherheitsvorfälle
Werkzeuge: Desktop-Client, CLI-Client
Preis: 19,99€/Monat = € 239,88/a € 199,00/a (Dropbox Professional)
Dropbox Plans & Pricing

Dropbox ist immer wieder durch Sicherheitslücken und fragwürdige Methoden aufgefallen. NSA gilt als Teilnehmer am PRISM-Programm sowie Kooperationspartner der NSA. Selbst wenn man die Daten verschlüsselt in die Cloud lädt ist es weiterhin möglich über Metainformationen, z.B. die zu synchroniseirende Datenmenge und Synchronisationszeitpunkte weitreichende Informationen über die Nutzer zu sammeln.

Google Drive / Google One

Name für ein Abo auf mehr Speicherplatz heißt Google One. Dabei können

Region: Weltweit
Zeit: Google Drive gibt es seit 2006
Stabilität: Google LLC, gehört der Holding XXVI Holdings Inc., welche wiederum Alphabet Inc. gehört
Werkzeuge: insync als Anwendung für Linux-Desktops und -Sever
Preis: € 99,99/a für 2 TB (Google One 2 TB)

Jottacloud

Region: Norwegen
Zeit:
Stabilität:
Werkzeuge:
Preis: € 7,50/Monat = € 90/a für Unlimited (Jottacloud Personal/1)
rclone jottacloud interface
Limited Bandwith up on 5 TB usage

apt install wget apt-transport-https ca-certificates
curl https://repo.jotta.us/public.gpg | gpg --dearmor > /usr/share/keyrings/apt-jottacloud-key.gpg
echo "deb [signed-by=/usr/share/keyrings/apt-jottacloud-key.gpg] https://repo.jotta.us/debian debian main" | tee /etc/apt/sources.list.d/jottacloud.list
apt update 
apt install jotta-cli
systemctl status jottad

cat > /etc/yum.repos.d/jotta-cli.repo <<__EOF__
[jotta-cli]
name=Jottacloud CLI
baseurl=https://repo.jotta.us/redhat
gpgcheck=1
gpgkey=https://repo.jotta.us/RPM-GPG-KEY-jotta-cli
__EOF__
dnf install jotta-cli

Microsoft OneDrive

Region: Weltweit
Zeit: 2007 als Windows Live Folders gestartet
Stabilität: Microsoft untersucht die gespeicherten Inhalte unaufgefordert auf Einhaltung von Compliance und Gestzte
Werkzeuge: Apps für Windows, Android und Mac, rclone, OneDrive Free CLI client ( Installation)
Preis:
- 1TB für $ 69,99/a als Microsoft 365 Single-Paket buchbar und um weitere 1 TB erweiterbar
- In One Drive for Busines (Plan 2)-gibt es bis zu 5 TB Speicher je Nutzer = 5 User * $ 5 * 12 Monate = $ 300/a für 5 mal 5 TB.

OVH

Region: USA, Niederlande
Zeit:
Stabilität:
Werkzeuge:
Preis:
- ( 2000 * 0,0119 + 12 * 100 * 0,0119 ) = € 38,08/a für Upload (3200 * 0,0024 * 12) = € 92/a (OVH Cloud Archive / (1)) mit 2000GB initaler Upload, 100GB monatlicher Zuwachs und dauerhaften Kosten nach 1 Jahr für jedes weitere Jahr ohne Löschen und ohne Download)
- 3200 * 0,0119 * 12 = € 456.96/a (OVH Object Storage / (1) jährliche Kosten für 3200 GB ohne Download)
- 0,0952 € inkl. MwSt./Monat/ GB * 2500 GB * 12 Monate = € 2856/a (OVH Block Storage Classic) / (1)

rsync.net

Region:
Zeit:
Stabilität:
Werkzeuge:
Preis: $ 450/a für 2501GB (Standard Offsite Filesystem)
SSH-Commands
rclone-kompatibel

Strato HiDrive

Region: Deutschland
Zeit: Strato gibt es seit 1997, wurde 2017 von Telekom AG übernommen. Webspeicher wird seit 2010 angeboten.
Stabilität: Strato AG gehört zur United Internet AG (1&1, GMX, IONOS, mail.com, Web.de, … Sedo, United-Domains).
Werkzeuge: SFTP, FTPS, WebDAV, SMB/CIFS, rsync, scp, git
Preis: 18€/Monat € 216/a. Bei mehr als 3TiB muss in den Business-Tarif gewechselt werden. (Strato HiDrive 3 TB)

Tresorit

Region: Schweiz und Ungarn
Zeit: Firma wurde 2011 gegründet. Die Dienstleistung wird seit 2014 angeboten.
Stabilität: Wurde nicht verkauft oder eingekauft. Engagement bei Hackathons. 0_kit.
Werkzeuge: Client-Anwendung, welche Daten bereits vor Upload verschlüsselt.
Preis: 25€/Monat, zzgl. MwSt. = € 357/a inkl. Mwst. 240€/a, zzgl. MwSt. = € 258,60/a inkl. MwSt. für 2 TB (Tresorit Solo)

Wasabi Hot Storage

Region: USA
Zeit: Wasabi Technologies Inc. gibt es seit 2017
Stabilität: Bisher regulärer Betrieb
Werkzeuge:
Preis: $6/Monat je TB -> 3TB = $ 216/a (Wasabi Pay As You Go)
rclone s3 interface

Backup-Werkzeuge

Backup-Nutzer

### USR ###

THISUSER="frank-bckusr"
useradd -m -G frank -s /bin/bash ${THISUSER}
passwd ${THISUSER}
su - ${THISUSER}

### SSH ###

mkdir -p -m 0700 ${HOME}/.ssh

LOCALSSHKEY=${HOME}/.ssh/id_ed25519_backup
ssh-keygen -t ed25519 -b 8192 -C "${USER}@${HOSTNAME}" -f ${LOCALSSHKEY}

REMOTENAMESHORT=foo
REMOTENAME=foohostname
REMOTEUSER=foobar

cat >> ~/.ssh/config <<__EOF__
Host ${REMOTENAMESHORT}
    HostName ${REMOTENAME}
    User ${REMOTEUSER}
    UseRoaming no
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    PubkeyAuthentication yes
    RekeyLimit 64M
    KexAlgorithms curve25519-sha256@libssh.org
    HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-ed25519
    Ciphers chacha20-poly1305@openssh.com
    MACs hmac-sha2-512-etm@openssh.com
    IdentityFile ${LOCALSSHKEY}
    IdentitiesOnly yes
    VisualHostKey yes
__EOF__

chmod 700 ${HOME}/.ssh
chmod 600 ${HOME}/.ssh/*

### GPG ###

mkdir -p -m 0700 ~/.gnupg
touch ~/.gnupg/{pub,sec}ring.gpg
touch ~/.gnupg/gpg.conf
chmod 600 ~/.gnupg/gpg.conf
mkdir -p -m 0700 ~/.gnupg/private-keys-v1.d

# Generate key
gpg --expert --full-generate-key --batch 
# Type: (8) ... RSA
# Func: (S) ... Toggle signing to: no
# Func: (V) ... Toggle encryption to: no
# Func: Just Cert
# Func: (Q) ... Quit
# Length: 4096 bits
# Declining: 2y ... declining 2 years
# Name: 
# Email:
# Comment:
# (F) ... Fertig

gpg --list-keys
gpg --list-sigs
gpg --list-secret-keys

KEY=

# Edit key
gpg --expert --edit-key ${KEY}
# addkey
# (8) RSA
# Sign
# 4096
# addkey
# (8) RSA
# Encrypt
# 4096
# addkey
# (8) RSA
# Auth
# 4096

BackupPC

apt install backuppc

Backup: Von einem Dateisystem in ein anderes Dateisystem, also nicht direkt zu einem Cloud-Dienst.
Inkrementelles Backup: backward deltas … damit ist die aktuelle inkrementelle Speicherung auf dem letzten Stand. Versionen werden rückwärts gespeichert. Damit ist das Backup immer aktuell, welches die Wiederherstellung erleichtert.
Verschlüsselung:
Systeme: Linux.

Déjà-Dup

GUI für Duplicity

Duplicity

apt install duplicity keychain

Backup: Lokal und remote.
Inkrementelles Backup: forward delta … damit werden alle änderungen nach der letzten Vollsicherung gespeichert. Für eine Wiederherstellung wird das Vollbackup und die Änderungen benötigt.
Verschlüsselung: Verschlüsselt, signiert und versioniert.
Systeme: Linux. Läuft auch unter Cygwin.

Duplicati

cd ~
curl https://updates.duplicati.com/beta/duplicati_2.0.5.1-1_all.deb
apt install duplicati_2.0.5.1-1_all.deb

Backup:
Inkrementelles Backup:
Verschlüsselung:
Systeme: Linux.
… hat als ein Klon mit GUI für Duplicity angefangen, ist nun aber neu-implementiert.

Rclone

apt install rclone

Backup:
Inkrementelles Backup:
Verschlüsselung:
Systeme: Linux.

Features:

Backup (and encrypt) files to cloud storage
Restore (and decrypt) files from cloud storage
Mirror cloud data to other cloud services or locally
Migrate data to cloud, or between cloud storage vendors
Mount multiple, encrypted, cached or diverse cloud storage as a disk
Analyse and account for data held on cloud storage using lsf, ljson, size, ncdu
Union file systems together to present multiple local and/or cloud file systems as one

Kompatible Provider sind z.B.: Amazon CloudDrive, Amazon S3, Backblaze B2, Box, Dropbox, Google Drive, Jottacloud, Nextcloud, OpenDrive, Seafile, SugarSync, Wasabi

rdiff-backup

apt install python3-pip python3-setuptools python3-pylibacl python3-pyxattr
pip3 install rdiff-backup

Backup: Von einem Dateisystem in ein anderes Dateisystem, also nicht direkt zu einem Cloud-Dienst.
Inkrementelles Backup: backward deltas … damit ist die aktuelle inkrementelle Speicherung auf dem letzten Stand. Versionen werden rückwärts gespeichert. Damit ist das Backup immer aktuell, welches die Wiederherstellung erleichtert.
Verschlüsselung:
Systeme: Linux.