NeuPVE/PBS: Unveränderliche Datenspeicher
|
NeuGeo-Replikation
remote-backups.comremote-backups.com
Contact illustration
Anmelden
Passwort vergessen?
Noch kein Konto?Registrieren

Unveränderliche Backups

Eine schreibgeschützte Kopie Ihrer Backups, die niemand ändern oder löschen kann. Weder Sie, noch ein fehlgeleitetes Skript, noch Ransomware. Geschützt durch Credential-Trennung und kontrollierte Sync-Jobs.

Unveränderliche Backups aktivierenSo funktioniert es

Drei Bedrohungen, eine Lösung

Unveränderliche Backups erstellen einen separaten Datastore, der automatisch vom primären synchronisiert wird. Löschvorgänge werden nicht weitergegeben. Credentials sind isoliert. Ihre Daten bleiben erhalten.

Ransomware

Ein Angreifer, der Ihre PBS-Credentials kompromittiert, kann Snapshots über die API löschen. Ihre unveränderliche Kopie wird durch einen separaten Sync-Job mit separaten Credentials gesteuert, auf die Sie keinen Zugriff haben. Selbst eine vollständige Credential-Kompromittierung lässt die unveränderlichen Daten unberührt.

Menschliche Fehler

Ein falsch konfigurierter Prune-Job, der 3 statt 30 Snapshots behält. Ein Bulk-Delete auf dem falschen Datastore. Ein Skript, das auf Produktion statt Staging zeigt. Unveränderliche Backups halten ihre eigene Retention unabhängig vom primären Datastore aufrecht.

Compliance

SOC 2, ISO 27001 und DSGVO-Rahmenwerke erwarten Backup-Kopien, die nicht durch dieselben Credentials geändert werden können, die für den täglichen Betrieb genutzt werden. Unveränderliche Backups liefern genau das: eine Kontrolltrennung, bei der die Backup-Kopie außerhalb der normalen Betriebszugänge liegt.

So funktionieren unveränderliche Backups

Der Mechanismus ist einfach: Ein Sync-Job kopiert Ihre Backups in einen zweiten Datastore mit remove-vanished auf false gesetzt. Löschvorgänge auf dem primären Datastore werden nicht weitergegeben.

1

In den Datastore-Einstellungen aktivieren

Legen Sie Ihren Change-Timeout (1-90 Tage) fest, wählen Sie Ihre Retention-Policy und klicken Sie auf Aktivieren. Der Change-Timeout bestimmt, wie lange zukünftige Änderungen warten müssen, bevor sie wirksam werden.

2

Wir erstellen einen dedizierten unveränderlichen Datastore

Ein zweiter PBS-Datastore wird auf demselben Server erstellt. Ein Sync-Job kopiert Ihre Backups mit deaktiviertem remove-vanished.

3

Erste Synchronisierung läuft sofort

Ihre vorhandenen Backups werden sofort in den unveränderlichen Datastore kopiert. Nachfolgende Syncs laufen nach Ihrem gewählten Zeitplan.

4

Sie erhalten ein schreibgeschütztes Restore-Token

Ein dediziertes API-Token mit DatastoreReader-Berechtigungen. Sie können Snapshots durchsuchen und wiederherstellen, aber nicht ändern oder löschen.

Datenfluss

Ihr Proxmox
Backup-Quelle
Primärer Datastore
Ihre Credentials
Unveränderlicher Datastore
Nur-Lese für Sie · Sync-Job schreibt ausschließlich

Der Sync-Job läuft unter Admin-Credentials, auf die Sie keinen Zugriff haben. Ihr Restore-Token ist ausschließlich DatastoreReader.

Was ihn unveränderlich macht

Löschvorgänge werden nicht weitergegeben

Der Sync-Job verwendet remove-vanished: false. Wenn Sie einen Snapshot aus Ihrem primären Datastore löschen, bleibt er in der unveränderlichen Kopie erhalten.

Credential-Trennung

Sie besitzen ein DatastoreReader-Token. Alle Schreibvorgänge erfolgen über einen Sync-Job, der unter Admin-Credentials läuft, auf die Sie keinen Zugriff haben.

Unabhängige Retention

Der unveränderliche Datastore hat seinen eigenen Prune-Zeitplan. Behalten Sie 7 tägliche auf Ihrem primären, aber 30 tägliche und 12 monatliche auf der unveränderlichen Kopie.

Nur-Lese-Zugriff

Ihr Restore-Token erlaubt das Durchsuchen und Wiederherstellen. Sie können auf dem unveränderlichen Datastore nichts schreiben, ändern oder löschen.

Now Available

Geo-Redundant Immutable Backups

Your immutable copy can now live in a different datacenter from your primary. Enable geo-replication on your immutable datastore to get a second read-only copy on a physically separate server.

The immutable copy handles logical threats: credential compromise, accidental deletion, a rogue prune job. The geo-replicated copy handles physical ones - if the datacenter goes offline entirely, you still have a read-only copy somewhere else.

How geo-replication works →
Data Flow
Primärer Datastore
Primary datacenter
Unveränderlicher Datastore
Primary datacenter
Geo-Immutable Copy
Second datacenter

Both copies are read-only for you. The geo-replicated one lives on a different physical server in a separate datacenter.

Wiederherstellen aus unveränderlichen Backups

Gleiche Tools, gleicher Workflow. Der einzige Unterschied ist der Repository-String.

proxmox-backup-client restore <snapshot> <target> \
    --repository user-<id>@pbs!restore@<host>:<datastore>-imm

Ihr Dashboard zeigt alle Verbindungsdetails mit Kopierschaltflächen für jedes Feld: Host, Datastore-Name, Token-Name und Token-Secret.

Ihr Restore-Token kann:
  • Snapshots durchsuchen
  • Daten herunterladen und wiederherstellen
  • Datastore-Inhalte auflisten
Ihr Restore-Token kann nicht:
  • Snapshots löschen
  • Daten ändern
  • Retention oder Prune-Einstellungen ändern

Nutzungsbasierte Preise

€3 pro TB pro Monat*, stündlich pro GB abgerechnet. Sie zahlen für die Bytes, die Ihre unveränderlichen Snapshots tatsächlich verbrauchen, nicht für die zugewiesene Größe Ihres primären Datastores.

€3*

Pro TB/Monat

Basierend auf tatsächlicher Nutzung
Pro GB

Abrechnungsgranularität

Nicht in 100-GB-Schritten
Stündlich

Abrechnungsintervall

Zahlen Sie nur, was Sie nutzen

Kostenbeispiele

Primärer DatastoreUnveränderliche NutzungMonatliche Kosten
500 GB~400 GB~€1.20*
2 TB~1.5 TB~€4.50*
5 TB~4 TB~€12*

Die tatsächliche unveränderliche Nutzung hängt von Ihren Retention-Einstellungen und dem Deduplizierungsverhältnis ab. Wenn Ihr primärer Datastore 2 TB hat, aber nur 800 GB eindeutiger Daten synchronisiert werden, zahlen Sie für 800 GB.

Was unveränderliche Backups nicht ersetzen

Die Grenzen zu kennen ist genauso wichtig wie die Funktionen zu kennen.

Kein WORM-Speicher

Es gibt keine Write-Once-Durchsetzung auf Dateisystemebene mit Compliance-fähigen Retention-Locks. Unveränderlichkeit entsteht durch Zugriffskontrolle: Sie haben Nur-Lese-Zugriff, Schreibvorgänge erfolgen über einen kontrollierten Sync-Job.

Not Real-Time

The immutable datastore syncs on a schedule, not continuously. If a snapshot exists on your primary but hasn't synced yet, it's not in the immutable store yet. How often you sync determines how current your immutable copy is.

See the 3-2-1-1-0 strategy →

Konfigurierbarer Change-Timeout

Wenn Sie unveränderliche Backups aktivieren, legen Sie einen Change-Timeout fest (1 bis 90 Tage, Standard 1). Jede sicherheitsrelevante Änderung, ob Aktualisierung der Retention-Einstellungen oder vollständige Deaktivierung der Unveränderlichkeit, wird in die Warteschlange gestellt und erst nach Ablauf dieser Frist angewendet.

Setzen Sie ihn auf 7 Tage, und ein Angreifer, der Ihr Dashboard am Freitag kompromittiert, kann Ihre Retention nicht abschwächen oder die Unveränderlichkeit entfernen, bevor Sie es am Montag bemerken. Sie erhalten für jede Änderung eine E-Mail und können ausstehende Änderungen jederzeit abbrechen.

  • 1-90 Tage Verzögerung
    Sie wählen die Wartezeit beim Aktivieren der Unveränderlichkeit
  • E-Mail bei jeder Änderung
    Benachrichtigung wenn Änderungen eingereiht und wenn sie angewendet werden
  • Jederzeit abbrechen
    Eine ausstehende Deaktivierung vor Ablauf des Timeouts stoppen
  • Nach Aktivierung gesperrt
    Der Timeout selbst kann nach dem Setzen nicht verkürzt werden
  • Löschschutz
    Datastore kann nicht gelöscht werden, solange Unveränderlichkeit aktiv ist

Vollständigen Schutz-Stack aufbauen

Jede Schicht adressiert eine andere Bedrohung. Gemeinsam decken sie Ransomware, menschliche Fehler und regionale Katastrophen ab.

Primärer Datastore

Ihr Arbeits-Backup-Ziel mit täglichen Prune-Jobs.

Inbegriffen

Unveränderliche Backups

Schreibgeschützte Kopie, die Löschvorgänge und Credential-Kompromittierung übersteht.

€3/TB/month*

Geo-Replikation

Geografische Trennung, die physische Katastrophen übersteht.

€4/TB/copy*

Edge-Standorte

Bis zu 13x schnellere Backups über Hochlatenz-Verbindungen.

Inbegriffen
Mehr über die 3-2-1-1-0-Backup-Strategie erfahren →

In unter einer Minute aktivieren

Unveränderliche Backups sind jetzt für alle Datastores verfügbar.

  1. Öffnen Sie Ihren Datastore im Dashboard
  2. Gehen Sie zu Einstellungen > Unveränderliche Backups
  3. Legen Sie Ihren Change-Timeout (1-90 Tage) und die Retention-Policy fest
  4. Klicken Sie auf Aktivieren

Ihre erste Synchronisierung startet sofort. Das Dashboard zeigt den Status Ihrer unveränderlichen Backups, die letzte Sync-Zeit, den Speicherverbrauch und die Restore-Credentials.

Häufig gestellte Fragen

WORM-Speicher (wie S3 Object Lock) erzwingt Unveränderlichkeit auf Dateisystemebene mit Retention-Locks, die selbst Administratoren nicht überschreiben können. Unsere unveränderlichen Backups erreichen praktische Unveränderlichkeit durch Zugriffskontrolle: Sie haben Nur-Lese-Zugriff, und alle Schreibvorgänge erfolgen über einen kontrollierten Sync-Job mit separaten Credentials. Für die meisten Anwendungsfälle liefert das dasselbe Ergebnis, ist aber nicht dasselbe wie Compliance-fähiges WORM.

Der unveränderliche Datastore liegt auf demselben Server wie Ihr primärer Datastore. Er schützt vor logischem Löschen (Prune-Jobs, manuelles Löschen, Ransomware, die Snapshots entfernt) und Credential-Kompromittierung. Für Schutz vor physischem Serverausfall oder Rechenzentrumskatastrophen kombinieren Sie unveränderliche Backups mit Geo-Replikation.

An der unveränderlichen Kopie ändert sich nichts. Der Sync-Job verwendet remove-vanished: false, sodass Löschvorgänge auf Ihrem primären Datastore nicht weitergegeben werden. Ihre unveränderlichen Snapshots bleiben mit ihrer eigenen unabhängigen Retention-Policy erhalten.

Ja. Der unveränderliche Datastore hat seine eigene Retention-Policy (keep-last, keep-daily, keep-weekly, keep-monthly, keep-yearly), vollständig unabhängig von Ihrem primären. Sie konfigurieren dies beim Aktivieren der unveränderlichen Backups.

Unveränderliche Backups werden mit €3/TB/Monat auf Basis des tatsächlichen Speicherverbrauchs auf dem unveränderlichen Datastore abgerechnet, gemessen pro GB pro Stunde. Das unterscheidet sich von der Standard-Speicherpreisgestaltung (die 100-GB-Schritte verwendet). Wenn Deduplizierung dazu führt, dass nur 800 GB eindeutiger Daten von einem 2-TB-primären Datastore synchronisiert werden, zahlen Sie für 800 GB.

Selbst wenn jemand Zugriff auf Ihr Dashboard-Konto erlangt, löst das Deaktivieren unveränderlicher Backups eine Wartezeit aus, die Ihrem konfigurierten Change-Timeout entspricht (1-90 Tage). Sie erhalten sofort eine E-Mail-Benachrichtigung und können die Deaktivierung jederzeit abbrechen. Die gleiche Verzögerung gilt für Änderungen an Retention-Einstellungen, sodass ein Angreifer Ihren Prune-Zeitplan ebenfalls nicht abschwächen kann.

Ja. Der Sync-Job kopiert verschlüsselte Chunks unverändert. Der unveränderliche Datastore enthält dieselben verschlüsselten Daten. Sie verwenden denselben Verschlüsselungsschlüssel zur Wiederherstellung aus beiden Datastores.

Verwenden Sie den Standard-Befehl proxmox-backup-client restore mit dem Namen des unveränderlichen Datastores und Ihrem schreibgeschützten Restore-Token. Das Dashboard zeigt alle Verbindungsdetails mit Kopierschaltflächen.

Schützen Sie Ihre Backups vor dem Löschen

Unveränderliche Backups erstellen eine schreibgeschützte Kopie Ihrer Daten, die versehentliches Löschen, Ransomware und Credential-Kompromittierung übersteht. Ab €3/TB/Monat*.

Unveränderliche Backups aktivierenAlle Pläne ansehen

* = MwSt. kann anfallen