Über Port 8007 dürfen explizit nur die IPs der Backup-Server rein, und so wie ich verstanden hatte, geht ein Pull-Job nur von einem PBS zum anderen, aber nicht von einem Proxmox zum PBS. Ist das falsch?
Ja, das ist schon richtig, ein sync-job (ob pull oder push) ist immer nur zwischen PBS möglich.
Ich verstehe dich also richtig, dass du deinen ProxmoxVE-Server jede Nacht Richtung drei PBS-Server machen lässt? Sind die alle bei Hetzner (ich vermute Hetzner wegen Finnland), dann würde ich mindestens einen auch bei einen anderen Anbieter hosten, falls Hetzner mal ausfällt.
Aber generell ist das Setup mit Backups auf drei Server nicht optimal. Ich verstehe dich richtig, dass jede VM nacheinander auf die drei PBSe gesichert wird? Dann wird auch jedes Mal eine neue " dirty bitmap" erzeugt, was effektiv die Backupzeiten verlängert. Wäre das initiale Backup dagegen nur Richtung einen Servers, würden diese Backups deutlich schneller gehen. Gleichzeitig ist ja der Port 8007 laut deiner Aussage von deiner lokalen Infrastruktur erreichbar, das ist nicht optimal, falls ein Angreifer deine lokale Infrastruktur erwischt, kann er auch versuchen deine Backups zu komprimitieren.
Ich würde daher eher mit pull-syncs arbeiten:
Alle Backups werden auf den selben initialen Backupserver gesichert, im Idealfall ist der bei dir im lokalen Netzwerk. Damit hast du ein schnelles restore bei einen Notfall. Dabei wird der PBS so konfiguriert, dass der PVE zwar neue Backups anlegen und restoren kann, aber sonst keine Rechte (insbesondere nicht löschen oder bearbeiten existierender Backups) hat. Der initiale Backupserver ist dann per vpn auf Port 8007 für den PVE, deinen Management-Client (für Zugriff auf Webinterface) und andere Backupserver (fürs pull-sync) erreichbar. Auch die anderen Backupserver haben nur Rechte, um Backups zu pullen, aber NICHT für ein Bearbeiten oder gar löschen.
Die anderen Backupserver hingegen haben eingehend alle Verbindungen dicht (auch den Port 8007), außer per vpn von einen Management-Client (also dein Notebook o.ä.). Sollte also dein ProxmoxVE- oder initialer Backupserver kompromitiert sein, kann der Angreifer trotzdem nichts machen, er hat ja gar keine Verbindung zu ihnen. Auch ihre Backups werden so konfiguriert, dass ein Bearbeiten oder Löschen nur durch einen Admin per Webinterface möglich ist. Im Falle eines restores kriegt der ProxmoxVE-Server dann halt temporär die nötigen Rechte für einen restore auf dem Backupserver, der dafür verwendet werden soll.
Dieses Setup mag zunächst umständlicher wirken, hat aber mehrere Vorteile:
- Ein Angreifer auf einen der Server kann nur sehr begrenzt bei den anderen Schaden anrichten (wenn überhaupt, ist der Port dicht, ist der Port dicht)
- Es ermöglicht schnellere Backups dank der dirty bitmap
Siehe auch das Kapitel in der PBS Doku
https://pbs.proxmox.com/docs/storage.html#ransomware-protection-recovery für best practices beim Schutz vor Ransomware.
Was natürlich klar sein sollte: Bei verschlüsselten Backups (grundsätzlich gute Idee), den encryption-key nochmal außerhalb der ProxmoxVE/ProxmoxBackupServer Struktur doppelt und dreifach sichern, damit man im Falle eines Falles überhaupt noch an das Backup drankommt.
