# Cloud Backups: AWS, Azure & GCP als strategische Offsite-Ziele
TL;DR / Management Summary Lokale Backups (Artikel 601) schützen vor kleinen Fehlern, aber nur die Cloud bietet Schutz vor physischer Zerstörung des Standorts (GAU). Wir nutzen Objektspeicher (S3, Blob) als kostengünstiges, unendliches Repository. Ein Senior Admin implementiert dabei zwingend Immutability (Object Lock), um Daten vor Ransomware zu schützen, und nutzt Storage-Tiering (Hot vs. Cold vs. Archive), um die Kosten für Terabytes an historischen Daten im Griff zu behalten.
# 1. Einführung & Anbietervergleich
Wo liegen meine Bits?
- AWS S3 (Simple Storage Service): Der Industriestandard. Beste Unterstützung durch Drittanbieter-Tools (Veeam, PBS).
- Azure Blob Storage: Ideal für Microsoft-zentrierte Umgebungen (Active Directory Integration).
- Google Cloud Storage (GCP): Stark bei Datenanalyse-Integration und extrem schnellen Kaltstart-Restores.
# 2. Das Kostenmodell verstehen
Die Falle des kostenlosen Uploads.
Cloud-Backup-Kosten bestehen aus drei Teilen:
- Storage (Kapazität): Was Sie pro Monat bezahlen.
- API Calls: Was jede Schreib/Lese-Aktion kostet.
- Egress (Echtes Geld!): Was es kostet, Daten aus der Cloud zurück ins LAN zu holen.
- Wichtig: Der Restore (Egress) ist der teuerste Teil. Kalkulieren Sie dies in Ihren DR-Plan ein!
# 3. Deep Dive: Immutability (WORM)
Daten, die nicht sterben können.
Das wichtigste Feature der Cloud ist der Object Lock (AWS) oder Immutable Blobs (Azure).
- Retention Period: Sie legen fest, dass Daten für z.B. 30 Tage nicht gelöscht werden dürfen.
- Compliance Mode: Selbst der Root-Admin kann die Daten nicht löschen. Dies ist der ultimative Schutz gegen Ransomware, die versucht, die Cloud-Backups zu terminieren.
# 4. Day-2 Operations: Storage Tiering
Sparen im Schlaf.
Bewegen Sie Daten automatisch in günstigere Schichten:
- Hot / Standard: Für die Backups der letzten 7 Tage (Schneller Restore).
- Cool / Infrequent Access: Für Backups der letzten 30 Tage.
- Archive / Glacier: Für Jahressicherungen.
- Nachteil: Ein Restore aus Glacier kann Stunden bis Tage dauern (Retrieval Time).
# 5. Troubleshooting & “War Stories”
Wenn der Upload klemmt.
# Top 3 Fehlerbilder
-
Symptom: Backup-Performance ist unterirdisch (nur wenige Mbit/s).
- Ursache: Zu kleine Blockgrößen beim Upload oder fehlende Parallelisierung.
- Lösung: Nutzen Sie Tools, die Multipart Uploads unterstützen.
-
Symptom: “Access Denied” beim Backup-Lauf.
- Ursache: IAM-Berechtigungen (AWS) oder SAS-Token (Azure) sind abgelaufen oder zu restriktiv.
- Lösung: Nutzen Sie das Prinzip der geringsten Rechte. Der Backup-User braucht nur
s3:PutObject, keins3:DeleteObject!
-
Symptom: Enorm hohe Kostenrechnung am Monatsende.
- Ursache: Zu viele kleine Dateien erzeugen Millionen von API-Calls.
- Fix: Packen Sie Daten vor dem Upload in größere Chunks (wie es PBS oder Borg tun).
# “War Story”: Der “Auto-Delete” Schock
Ein Admin konfigurierte eine Lifecycle-Policy in AWS, die alle Objekte nach 30 Tagen löschen sollte, um Kosten zu sparen. Das Problem: Er löschte damit auch den Root-Index seines Backup-Programms, der zum Start der Kette nötig war. Das Ergebnis: Da die inkrementellen Daten ohne den Index wertlos waren, waren 50 TB Backups schlagartig unbrauchbar. Lehre: Nutzen Sie niemals Cloud-eigene Lifecycle-Policies für Daten, die von einer Backup-Software verwaltet werden. Lassen Sie die Software selbst entscheiden, was gelöscht wird!
# 6. Monitoring & Reporting
Kosten und Quotas.
# CloudWatch / Azure Monitor
Richten Sie ein Cost-Alerting ein.
- Regel: Wenn die Backup-Kosten um mehr als 20% gegenüber dem Vormonat steigen -> Alarm! (Könnte auf einen Fehler in der Deduplikation oder auf Ransomware-Traffic hindeuten).
# 7. Fazit & Empfehlung
Cloud-Storage ist der ultimative “Safe” für Ihre Daten.
- Empfehlung: Nutzen Sie die Cloud für die Langzeit-Archivierung und den Katastrophenfall.
- Wichtig: Verschlüsseln Sie die Daten immer lokal (Client-side), bevor Sie sie in die Cloud schieben. Vertrauen Sie niemals den Verschlüsselungsversprechen der Provider allein.
# Anhang: Cheatsheet (Tools)
| Tool | Zweck | Unterstützt |
|---|---|---|
| Rclone | “rsync für Cloud” | Alle (S3, Blob, B2) |
| Veeam Cloud Connect | Direkter VM-Sync | Azure, AWS |
| Proxmox Backup Server | S3-Backend (via Fuse) | AWS S3, Wasabi |
| AWS CLI | Management via Script | Nur AWS |