Unveränderliche Backups
Eine schreibgeschützte Kopie Ihrer Backups, die niemand ändern oder löschen kann. Weder Sie, noch ein fehlgeleitetes Skript, noch Ransomware. Geschützt durch Credential-Trennung und kontrollierte Sync-Jobs.
Drei Bedrohungen, eine Lösung
Unveränderliche Backups erstellen einen separaten Datastore, der automatisch vom primären synchronisiert wird. Löschvorgänge werden nicht weitergegeben. Credentials sind isoliert. Ihre Daten bleiben erhalten.
Ransomware
Ein Angreifer, der Ihre PBS-Credentials kompromittiert, kann Snapshots über die API löschen. Ihre unveränderliche Kopie wird durch einen separaten Sync-Job mit separaten Credentials gesteuert, auf die Sie keinen Zugriff haben. Selbst eine vollständige Credential-Kompromittierung lässt die unveränderlichen Daten unberührt.
Menschliche Fehler
Ein falsch konfigurierter Prune-Job, der 3 statt 30 Snapshots behält. Ein Bulk-Delete auf dem falschen Datastore. Ein Skript, das auf Produktion statt Staging zeigt. Unveränderliche Backups halten ihre eigene Retention unabhängig vom primären Datastore aufrecht.
Compliance
SOC 2, ISO 27001 und DSGVO-Rahmenwerke erwarten Backup-Kopien, die nicht durch dieselben Credentials geändert werden können, die für den täglichen Betrieb genutzt werden. Unveränderliche Backups liefern genau das: eine Kontrolltrennung, bei der die Backup-Kopie außerhalb der normalen Betriebszugänge liegt.
So funktionieren unveränderliche Backups
Der Mechanismus ist einfach: Ein Sync-Job kopiert Ihre Backups in einen zweiten Datastore mit remove-vanished auf false gesetzt. Löschvorgänge auf dem primären Datastore werden nicht weitergegeben.
In den Datastore-Einstellungen aktivieren
Legen Sie Ihren Change-Timeout (1-90 Tage) fest, wählen Sie Ihre Retention-Policy und klicken Sie auf Aktivieren. Der Change-Timeout bestimmt, wie lange zukünftige Änderungen warten müssen, bevor sie wirksam werden.
Wir erstellen einen dedizierten unveränderlichen Datastore
Ein zweiter PBS-Datastore wird auf demselben Server erstellt. Ein Sync-Job kopiert Ihre Backups mit deaktiviertem remove-vanished.
Erste Synchronisierung läuft sofort
Ihre vorhandenen Backups werden sofort in den unveränderlichen Datastore kopiert. Nachfolgende Syncs laufen nach Ihrem gewählten Zeitplan.
Sie erhalten ein schreibgeschütztes Restore-Token
Ein dediziertes API-Token mit DatastoreReader-Berechtigungen. Sie können Snapshots durchsuchen und wiederherstellen, aber nicht ändern oder löschen.
Datenfluss
Der Sync-Job läuft unter Admin-Credentials, auf die Sie keinen Zugriff haben. Ihr Restore-Token ist ausschließlich DatastoreReader.
Was ihn unveränderlich macht
Löschvorgänge werden nicht weitergegeben
Der Sync-Job verwendet remove-vanished: false. Wenn Sie einen Snapshot aus Ihrem primären Datastore löschen, bleibt er in der unveränderlichen Kopie erhalten.
Credential-Trennung
Sie besitzen ein DatastoreReader-Token. Alle Schreibvorgänge erfolgen über einen Sync-Job, der unter Admin-Credentials läuft, auf die Sie keinen Zugriff haben.
Unabhängige Retention
Der unveränderliche Datastore hat seinen eigenen Prune-Zeitplan. Behalten Sie 7 tägliche auf Ihrem primären, aber 30 tägliche und 12 monatliche auf der unveränderlichen Kopie.
Nur-Lese-Zugriff
Ihr Restore-Token erlaubt das Durchsuchen und Wiederherstellen. Sie können auf dem unveränderlichen Datastore nichts schreiben, ändern oder löschen.
Wiederherstellen aus unveränderlichen Backups
Gleiche Tools, gleicher Workflow. Der einzige Unterschied ist der Repository-String.
proxmox-backup-client restore <snapshot> <target> \
--repository user-<id>@pbs!restore@<host>:<datastore>-immIhr Dashboard zeigt alle Verbindungsdetails mit Kopierschaltflächen für jedes Feld: Host, Datastore-Name, Token-Name und Token-Secret.
Ihr Restore-Token kann:
- Snapshots durchsuchen
- Daten herunterladen und wiederherstellen
- Datastore-Inhalte auflisten
Ihr Restore-Token kann nicht:
- Snapshots löschen
- Daten ändern
- Retention oder Prune-Einstellungen ändern
Nutzungsbasierte Preise
€3 pro TB pro Monat*, stündlich pro GB abgerechnet. Sie zahlen für die Bytes, die Ihre unveränderlichen Snapshots tatsächlich verbrauchen, nicht für die zugewiesene Größe Ihres primären Datastores.
Pro TB/Monat
Basierend auf tatsächlicher NutzungAbrechnungsgranularität
Nicht in 100-GB-SchrittenAbrechnungsintervall
Zahlen Sie nur, was Sie nutzenKostenbeispiele
| Primärer Datastore | Unveränderliche Nutzung | Monatliche Kosten |
|---|---|---|
| 500 GB | ~400 GB | ~€1.20* |
| 2 TB | ~1.5 TB | ~€4.50* |
| 5 TB | ~4 TB | ~€12* |
Die tatsächliche unveränderliche Nutzung hängt von Ihren Retention-Einstellungen und dem Deduplizierungsverhältnis ab. Wenn Ihr primärer Datastore 2 TB hat, aber nur 800 GB eindeutiger Daten synchronisiert werden, zahlen Sie für 800 GB.
Was unveränderliche Backups nicht ersetzen
Die Grenzen zu kennen ist genauso wichtig wie die Funktionen zu kennen.
Kein Geo-Replikations-Ersatz
Ihre unveränderliche Kopie liegt auf demselben Server wie Ihr primärer Datastore. Sie schützt vor logischem Löschen und Credential-Kompromittierung, nicht vor physischem Serverausfall.
Geo-Replikation für physischen Schutz hinzufügen →Kein WORM-Speicher
Es gibt keine Write-Once-Durchsetzung auf Dateisystemebene mit Compliance-fähigen Retention-Locks. Unveränderlichkeit entsteht durch Zugriffskontrolle: Sie haben Nur-Lese-Zugriff, Schreibvorgänge erfolgen über einen kontrollierten Sync-Job.
Die vollständige technische Analyse lesen →Kein Schutz auf Serverebene
Root-Zugriff auf den physischen Server könnte theoretisch den unveränderlichen Datastore erreichen. Für dieses Isolationsniveau kombinieren Sie unveränderliche Backups mit Geo-Replikation auf einen separaten Server.
Die 3-2-1-1-0-Strategie ansehen →Konfigurierbarer Change-Timeout
Wenn Sie unveränderliche Backups aktivieren, legen Sie einen Change-Timeout fest (1 bis 90 Tage, Standard 1). Jede sicherheitsrelevante Änderung, ob Aktualisierung der Retention-Einstellungen oder vollständige Deaktivierung der Unveränderlichkeit, wird in die Warteschlange gestellt und erst nach Ablauf dieser Frist angewendet.
Setzen Sie ihn auf 7 Tage, und ein Angreifer, der Ihr Dashboard am Freitag kompromittiert, kann Ihre Retention nicht abschwächen oder die Unveränderlichkeit entfernen, bevor Sie es am Montag bemerken. Sie erhalten für jede Änderung eine E-Mail und können ausstehende Änderungen jederzeit abbrechen.
- 1-90 Tage VerzögerungSie wählen die Wartezeit beim Aktivieren der Unveränderlichkeit
- E-Mail bei jeder ÄnderungBenachrichtigung wenn Änderungen eingereiht und wenn sie angewendet werden
- Jederzeit abbrechenEine ausstehende Deaktivierung vor Ablauf des Timeouts stoppen
- Nach Aktivierung gesperrtDer Timeout selbst kann nach dem Setzen nicht verkürzt werden
- LöschschutzDatastore kann nicht gelöscht werden, solange Unveränderlichkeit aktiv ist
Vollständigen Schutz-Stack aufbauen
Jede Schicht adressiert eine andere Bedrohung. Gemeinsam decken sie Ransomware, menschliche Fehler und regionale Katastrophen ab.
Primärer Datastore
Ihr Arbeits-Backup-Ziel mit täglichen Prune-Jobs.
InbegriffenUnveränderliche Backups
Schreibgeschützte Kopie, die Löschvorgänge und Credential-Kompromittierung übersteht.
€3/TB/month*In unter einer Minute aktivieren
Unveränderliche Backups sind jetzt für alle Datastores verfügbar.
- Öffnen Sie Ihren Datastore im Dashboard
- Gehen Sie zu Einstellungen > Unveränderliche Backups
- Legen Sie Ihren Change-Timeout (1-90 Tage) und die Retention-Policy fest
- Klicken Sie auf Aktivieren
Ihre erste Synchronisierung startet sofort. Das Dashboard zeigt den Status Ihrer unveränderlichen Backups, die letzte Sync-Zeit, den Speicherverbrauch und die Restore-Credentials.
Häufig gestellte Fragen
proxmox-backup-client restore mit dem Namen des unveränderlichen Datastores und Ihrem schreibgeschützten Restore-Token. Das Dashboard zeigt alle Verbindungsdetails mit Kopierschaltflächen.Schützen Sie Ihre Backups vor dem Löschen
Unveränderliche Backups erstellen eine schreibgeschützte Kopie Ihrer Daten, die versehentliches Löschen, Ransomware und Credential-Kompromittierung übersteht. Ab €3/TB/Monat*.
* = MwSt. kann anfallen