Sicherheit bei Server-Backup auf Cloud-Speicher

[cortlieb]

Hallo liebe Experte,
ich komme eher aus der Elektronik und Embedded Software Welt.
Für ein IoT-Projekt habe ich einen Server aufgesetzt, auf dem Daten von verschiedenen Sensoren gespeichert (InfluxDB Datenbank) und dargestellt werden.
Nun möchte ich die Daten in der Datenbank regelmäßig sichern.
Folgendes habe ich mir gedacht. Cron-Job der regelmäßig:

• ein Backup der Datenbank macht (Datenbank eigenes Tool)
• sshfs-Verbindung zu Strato HiDrive (weil da sowieso für andere Zwecke Cloud-Speicher habe)
  Authentifizierung über ein Schlüsselpaar. Der private Key auf dem Server ohne Passphrase, da sonst die Verbindung nicht in einem bash-Script ohne Interaktion hergestellt werden kann (jedenfalls habe ich da keine befriedigende Lösung gefunden).
• Backup des Datenback-Backups (und evtl. weiterer Konfigurationsdateien) per Borg Backup auf HiDrive

Nun habe ich folgende Sicherheitsbedenken:
Wenn jemand Zugriff auf den Server bekommt, kann er nicht nur dort die Datenbank löschen, sonder auch gleich über den Zugriff auf HiDrive die Backups.

• Sind meine Bedenken berechtigt und wenn "ja", gibt es einen guten Weg, sich gegen dieses Szenario abzusichern?
• Ich habe hier und da gelesen, dass es sinnvoller ist, ein Backup vom Backup-Server vom Datenbank-Server abholen zu lassen.
  Mal davon abgesehen, dass ich da mit HiDrive nicht weiter komme, verschiebe ich das Problem nicht nur?
  Wenn jemand Zugriff auf den Backup-Server bekommt, kann er dort die Backups löschen und über den "Abhole-Zugriff" auf die Daten des Datenbank-Servers zugreifen. Gut, vielleicht kann man dann den Zugriff nur auf den Pfad des abzuholenden Backups beschränken und damit den Zugriff auf die eigentliche Datenbank verhindern.

 

[greystone]

Für Pull-Backups brauchst Du auf jeden Fall ein aktives Element. D. h. einen weiteren Server. Mini-VMs von Strato gibt es schon ab 1 €. Die könnte dann die Daten abholen auf das HiDrive speichern. Das ist bestimmt alles andere als performant, aber wenn die Sicherungsmenge sich in Grenzen hält, ist Performance da nicht kritisch.

Ich finde das sehr sinnvoll abzuholen statt auf den Server zu schieben, aus den von Dir beschriebenen Gründen. Du kannst natürlich den Zugriff des Backupservers auf das Live-System beschränken. Da kann man dann einen lokalen Benutzer anlegen, der nur Schreibrechte auf das eigene Homeverzeichnis hat. In dieses Homeverzeichnis legt man dann die DB-Backups rein. So kann der Backupserver nicht auf die Live-Datenbank zugreifen.

Bei mir hat der Backupserver Vollzugriff auf die Systeme, auch deswegen, weil ich von allen Systemen komplette Dateibackups durchführe und das geht nur als root. Das ist dann natürlich ein entsprechend kritisches Einfallstor in die Infrastruktur. Aber bis jetzt bin ich damit noch nicht auf die Nase gefallen.

 

[cortlieb]

Wow, warum ist das so billig?!
Ich zahle im Moment bei DomainFactory (da habe ich eigentlich gute Erfahrungen gemacht) für

• 1 vCPU
• 2 GB Arbeitsspeicher
• 40 GB SSD NVMe

5,99 €.
Bei Starto bekomme ich für 2,--€

• 2 vCPU
• 2 GB Arbeitsspeicher
• 50 GB SSD NVMe

Gibt es da einen Haken? Meine Erfahrung im Webshosting ist, dass DomainFactory schnell ist und Strato lahm, selbst wenn solche Kenndaten wie oben das nicht erklären.

Aber ich merke gerade, dass ich von meinem eigenen Thema abschweife .
Jedenfalls "Danke" für den Tipp!

 

[greystone]

Strato hat in Sachen VMs ziemliche Kampfpreise.

Diese spezielle VM-Produktvariante kenne ich jetzt nicht - nur die etwas größeren, aber die sind echt super performant.

 

[ThomasChr]

Die Hetzner Storagebox hat die Möglichkeit automatisiert Snapshots zu machen. Diese Snapshots sind (je nach Einstellung) über den SSH Zugriff nicht zu sehen und können nur über das Webinterface zugregriffen werden.
Wenn also eine Malware über die Backupzugangsdaten verfügt kann sie die Snapshots nicht löschen.
Wenn du jetzt täglich einen Snapshot machst bist du also sicher - zumindest wenn du eine Datenlöschung (oder viel schlimmer, eine Datenmanipulation) innerhalb der Anzahl der automatischen Snapshots bemerkst. (grob so 10 bis 40 oder so - es kommen aber noch die gleiche Anzahl an manuellen Snapshots hinzu.)

 

[sbr2d2]

Wenn jemand Zugriff auf den Server bekommt, kann er nicht nur dort die Datenbank löschen, sonder auch gleich über den Zugriff auf HiDrive die Backups.

Das Problem wirst du immer haben, egal welche Seite das Backup zieht oder schiebt. Sicher die Dienste die laufen vernünftig ab, schalte nicht benötigte Dienste ab. Du musst dir halt immer im klaren sein, alles was im Netz hängt, kann und wird irgendwann attakiert. Meist ist es nur das abklopfen bestimmter Dienste nach bekannten Sicherheitslücken oder anders Zeugs wie zufällige Name/Passwort kombination auf den SSH-Server. Das fällt dann unter Grundrauschen. Wie groß am Ende der Schaden ist entscheidet sich über den Grad deiner Absicherung.
Hier im Forum wirst du aber bestimmt gute Ansätze bekommen wie du zu einem recht Sicheren System kommen kannt.
Wenn du also Fragen hast wie man was am besten Sicher konfiguriert und betreibt, einfach raus damit.

 

[cortlieb]

Vielen Dank für eure Antworten.

• Hetzner Storagebox schaue ich mir mal an. Müsste dann aber entweder umziehen oder etwas zusätzliches buchen.
• Ich kann schon nachvollziehen, dass es einfacher ist das Ganze abzusichern, wenn man sich das Backup "zieht".
  Wenn das Backup vom eigentlich Server "geschoben" wird, muss es einen User mit Zugriff auf die eigentliche Datenbank und das Backup auf dem Backup-Server geben.
  Andersherum muss der Back-Server Zugriff auf das erstellte Backup auf dem eigentlichen Server haben, aber nicht auf die eigentliche Datenbank. D.h. eins (Datenbank/Backup) wäre nicht betroffen, wenn ein Server kompromittiert werden würde.
• Super, dass es dieses Forum gibt!
  Allerdings ist die Frage: "wie mache ich meinen Server sicher?" wahrscheinlich ein bisschen zu breit gestellt .
  Das ist dann so ein bisschen mein Problem. Ich versuche mich rein zu denken und habe sicherlich auch ein ausreichendes Grundverständnis. Im Detail sind mir aber Probleme vielleicht gar nicht bewusst und ich komme deswegen auch gar nicht auf die Idee nach Lösungen zu fragen.