Hallo in die Runde,
Aktuell arbeite ich gerade an einer BackUp und Sicherheits-Strategie für ein kleines Unternehmen (StartUp) und wollte fragen, ob ihr meine Vorgehensweise mal bewerten könntet:
Das Unternehmen ist mit einer Fritz!Box via Glasfaser ins Internet verbunden. Alle Kunden/Unternehmensdaten werden via SMB von einem Hs973AX bereitgestellt (4x4TB Raid5, 1x4TB JBOD)
Wenn die Clients im HomeOffice sind, verbinden sie sich via OpenVPN mit dem Unternehmensnetz (FritzBox -> Portforwarding 1194 auf 973AX/QVPN-Service)
Alle Clients werden:
- via TimeMachine auf dem NAS gesichert (1x4TB JBOD)
Wichtige Daten werden
- tagsüber zweistündlich
-> mit HSB auf eine Hetzner StorageBox via WebDav gesichert (180d versioniert, Client Verschlüsselung aktiv, komprimiert, QuDeDup)
-> mit HSB intern auf dem NAS (vom RAID getrennte 4TB JBOD) gesichert (180d versioniert, komprimiert, QuDeDup)
- täglich mit HSB auf externes NAS (TS433) via WebDav gesichert (30d versioniert, Client Verschlüsselung aktiv, komprimiert, QuDeDup)
-> wird wiederum vom NAS (TS433) wöchentlich auf eine externe HDD gesichert (90d versioniert, ursprüngliche Client-Verschlüsselung)
- ständig via HSB auf externes NAS (TS433) via WebDav synchronisiert (keine Versionierung, bei Ausfall des 973AX schnell ins UnternehmenVPN integrierbar)
Das ganze 973AX (außer die TimeMachine-Backups!) wird
- täglich
-> mit HSB auf eine Hetzner StorageBox via WebDav gesichert (10 Monate intel. Versionierung, Client Verschlüsselung aktiv, komprimiert, QuDeDup)
-> mit HSB intern auf dem NAS (vom RAID getrennte 4TB JBOD) gesichert (30d versioniert, komprimiert, QuDeDup)
- wöchentlich mit HSB auf eine externe SD-Karte gesichert und mitgenommen (100d versioniert, Client Verschlüsselung aktiv, komprimiert, QuDeDup)
Zusätzlich werden alle Daten auf der Hetzner StorageBox einmal täglich mit einem Snapshot gesichert (Aufbewahrung 10 Tage).
Jetzt frage ich mich:
1. Bin ich paranoid oder seht ihr noch Lücken?
2. Würdet ihr die Clients/Macs zusätzlich noch mal sichern? Auf Ihnen sind keine relevanten Unternehmensdaten gespeichert, diese befinden sich alle auf dem 973AX.
3. Wie ist die Sicherheit von WebDAV einzuschätzen? Normalerweise wird ja eine integration via VPN empfohlen (zumindest für das zwei NAS/TS433). Ich würde die beiden Netze aber gerne voneinander trennen.
4. Oft wird vom Portforwarding (in diesem Fall 1194 für OpenVPN) auf das NAS/973AX abgeraten. Ist das wirklich so Sicherheitsrelevant?
Ich danke allen, die bis hierhin durchgehalten haben und würde mich über ein Feedback freuen!