Diverse Frage zur Backup-Strategie bzw. Bewertung meines Vorgehens

Hallo in die Runde,

Aktuell arbeite ich gerade an einer BackUp und Sicherheits-Strategie für ein kleines Unternehmen (StartUp) und wollte fragen, ob ihr meine Vorgehensweise mal bewerten könntet:

Das Unternehmen ist mit einer Fritz!Box via Glasfaser ins Internet verbunden. Alle Kunden/Unternehmensdaten werden via SMB von einem Hs973AX bereitgestellt (4x4TB Raid5, 1x4TB JBOD)

Wenn die Clients im HomeOffice sind, verbinden sie sich via OpenVPN mit dem Unternehmensnetz (FritzBox -> Portforwarding 1194 auf 973AX/QVPN-Service)

Alle Clients werden:

- via TimeMachine auf dem NAS gesichert (1x4TB JBOD)

Wichtige Daten werden

- tagsüber zweistündlich

-> mit HSB auf eine Hetzner StorageBox via WebDav gesichert (180d versioniert, Client Verschlüsselung aktiv, komprimiert, QuDeDup)

-> mit HSB intern auf dem NAS (vom RAID getrennte 4TB JBOD) gesichert (180d versioniert, komprimiert, QuDeDup)

- täglich mit HSB auf externes NAS (TS433) via WebDav gesichert (30d versioniert, Client Verschlüsselung aktiv, komprimiert, QuDeDup)

-> wird wiederum vom NAS (TS433) wöchentlich auf eine externe HDD gesichert (90d versioniert, ursprüngliche Client-Verschlüsselung)

- ständig via HSB auf externes NAS (TS433) via WebDav synchronisiert (keine Versionierung, bei Ausfall des 973AX schnell ins UnternehmenVPN integrierbar)

Das ganze 973AX (außer die TimeMachine-Backups!) wird

- täglich

-> mit HSB auf eine Hetzner StorageBox via WebDav gesichert (10 Monate intel. Versionierung, Client Verschlüsselung aktiv, komprimiert, QuDeDup)

-> mit HSB intern auf dem NAS (vom RAID getrennte 4TB JBOD) gesichert (30d versioniert, komprimiert, QuDeDup)

- wöchentlich mit HSB auf eine externe SD-Karte gesichert und mitgenommen (100d versioniert, Client Verschlüsselung aktiv, komprimiert, QuDeDup)

Zusätzlich werden alle Daten auf der Hetzner StorageBox einmal täglich mit einem Snapshot gesichert (Aufbewahrung 10 Tage).

Jetzt frage ich mich:

1. Bin ich paranoid oder seht ihr noch Lücken?

2. Würdet ihr die Clients/Macs zusätzlich noch mal sichern? Auf Ihnen sind keine relevanten Unternehmensdaten gespeichert, diese befinden sich alle auf dem 973AX.

3. Wie ist die Sicherheit von WebDAV einzuschätzen? Normalerweise wird ja eine integration via VPN empfohlen (zumindest für das zwei NAS/TS433). Ich würde die beiden Netze aber gerne voneinander trennen.

4. Oft wird vom Portforwarding (in diesem Fall 1194 für OpenVPN) auf das NAS/973AX abgeraten. Ist das wirklich so Sicherheitsrelevant?

Ich danke allen, die bis hierhin durchgehalten haben und würde mich über ein Feedback freuen!

Zitat von dolbyman

Ixh würde grade im Firmenumfeld das VPN NICHT dem QNAP überlassen..ein QNAP ist kein "edge Device" (So ists auch bei WebDAV..Finger weg) VPN auf ne Firewall/Router und keine Portweiterleitungen zum NAS

Danke. Ja, in Zukunft soll dafür eine eigene Firewall her. Das wird aber erst Ende des Jahr passieren, wenn eine Cloud-Telefonanlage eingeführt und die Fritz!Box ersetzt wird.

Zitat von dolbyman

ich rate auch davon ab Clients direkten Zugriff via VPN aufs NAS/Netzwerk zu geben ...Heim PC mit Malware und alles ist verschlüsselt.

Cirtix/Terminal/RDP/etc Services zulassen und alles Andere abriegeln (so mach ich das, bzw rate ich dazu)

Das ist meine Befürchtung. Alle Mitarbeiterinnen sind jedoch Mac-User, damit würde ich den Workflow komplett zerstören.

Zitat von Crazyhorse

Nur WLAN müsste man dann optimalerweise auch mit Infrastruktur hinter der Firewall mit VLANs, getrennten SSIDs und Client Isolation für Gäste, IoT usw. umsetzen.

So was haben nicht wenige im Heimnetz, hier geht es um eine Firma und da ist die DSGVO gleich mit dabei.

Wer sagt denn, dass all das nicht bereits erfüllt ist?