• DE
  • ES
  • EN
  • NL

Blog

Backup strategieën die echt werken

Geplaatst op zondag 1 december 2024 door Jeroen Derks.

"Ik dacht niet dat het mij zou overkomen." Dat zegt iedereen na het verliezen van hun data. Harde schijven falen. Laptops worden gestolen. Ransomware versleutelt alles. Huizen overstromen. De vraag is niet of je dataverlies zult ervaren, maar wanneer.

Ik versleutel al mijn backups en bewaar ze op meerdere locaties, inclusief verschillende landen. Hieronder vind je de strategie die ik zelf gebruik, en die voor iedereen een goede basis is voor het maken van backups.

De 3-2-1 backup regel

De 3-2-1 regel is de basis van elke solide backup strategie:

  • 3 kopieën van je data (het origineel plus twee backups)
  • 2 verschillende mediatypen (interne schijf, externe schijf, cloud, tape, etc.)
  • 1 kopie offsite (fysiek gescheiden locatie)

Dit beschermt tegen verschillende faalscenario's. Een enkele backup op een externe schijf naast je computer beschermt niet tegen diefstal, brand of overstroming. Alleen cloud-backups beschermen niet tegen account lockouts of service storingen. De combinatie biedt defence in depth.

Waarom encryptie niet onderhandelbaar is

Elke backup die ik maak wordt versleuteld voordat deze mijn machine verlaat. Dit is geen paranoia — het is basis beveiligingshygiëne. Dit is waarom:

  • Fysieke diefstal: Als iemand je externe schijf of laptop steelt, zijn versleutelde backups nutteloos voor hen
  • Cloud opslag: Je vertrouwt een derde partij met je data. Encryptie betekent dat ze het niet kunnen lezen, zelfs als ze zouden willen
  • Offsite opslag: Backups bij een vriend thuis, bankkluis of andere locatie moeten onleesbaar zijn zonder je sleutel
  • Compliance: Veel regelgeving vereist encryptie van persoonlijke gegevens in rust

De meeste moderne backup tools ondersteunen encryptie native. Schakel het in. Gebruik een sterke wachtwoordzin. Bewaar de wachtwoordzin veilig (een wachtwoordmanager werkt goed).

Mijn backup locaties

Ik onderhoud backups op meerdere locaties, volgens de 3-2-1 regel:

Lokale backups

De eerste verdedigingslinie. Snel te maken, snel te herstellen. Ik gebruik versleutelde externe schijven die elk uur of dagelijks incrementele backups draaien. Dit vangt per ongeluk verwijderen en bestandscorruptie snel op.

Offsite backups (zelfde land)

Een backup bij een vriend thuis of op kantoor beschermt tegen lokale rampen — brand, overstroming, inbraak. Ik wissel periodiek versleutelde schijven uit. Het belangrijkste is dat het fysiek gescheiden is van de primaire locatie.

Offsite backups (verschillende landen)

Voor de echt kritieke data onderhoud ik versleutelde backups in verschillende landen. Dit beschermt tegen regionale rampen, juridische inbeslagname, en zorgt voor beschikbaarheid zelfs tijdens grote verstoringen. Cloud opslag met servers in meerdere regio's werkt hier goed voor.

Backup tools per platform

macOS: Time Machine

Time Machine is uitstekend voor lokale backups. Het is ingebouwd in macOS, draait automatisch, en ondersteunt encryptie. Sluit een externe schijf aan, schakel Time Machine in, vink het encryptie vakje aan, en je bent klaar.

Voor offsite/cloud backups, combineer Time Machine met een tool zoals Arq, Duplicati, of restic om versleutelde backups naar cloud opslag te pushen.

Windows: Bestandsgeschiedenis

Bestandsgeschiedenis biedt versioned backups van je bestanden naar een externe schijf of netwerklocatie. Het is eenvoudiger dan volledige systeem imaging maar dekt de belangrijkste data — je documenten, foto's en werkbestanden.

Voor uitgebreidere backups, overweeg Windows Backup (ingebouwd) of third-party tools zoals Veeam Agent (gratis), Duplicati, of Backblaze.

Linux: meerdere uitstekende opties

Linux gebruikers hebben verschillende uitstekende backup tools:

  • Borg Backup: Deduplicerend, versleuteld, efficiënt. Mijn persoonlijke keuze voor servers. Werkt over SSH, ondersteunt compressie, en behandelt grote datasets goed
  • Kopia: Modern alternatief voor Borg met een mooie GUI. Ondersteunt meerdere backends inclusief S3, Azure, Google Cloud, en lokale opslag
  • Deja Dup: Gebruiksvriendelijke GUI voor GNOME desktops. Gebruikt duplicity onder de motorkap. Geweldig voor desktop gebruikers die iets simpels willen
  • restic: Snel, veilig, ondersteunt veel backends. Goede documentatie en actieve ontwikkeling
  • rsync + scripts: Niet echt een backup tool, maar gecombineerd met snapshots en rotatie werkt het goed voor simpele behoeften

Wat te backuppen

Niet alles heeft dezelfde backup behandeling nodig:

Kritiek (3-2-1 met offsite)

  • Documenten, foto's, video's — onvervangbare persoonlijke bestanden
  • Code repositories (hoewel deze ook op GitHub/GitLab moeten staan)
  • Wachtwoordmanager databases
  • Encryptie sleutels en certificaten
  • Financiële administratie
  • Configuratiebestanden en dotfiles

Belangrijk (lokaal + één offsite kopie)

  • Applicatie instellingen en voorkeuren
  • Email archieven
  • Gedownloade software installers
  • Virtuele machines

Vervangbaar (alleen lokale backup, of geen)

  • Besturingssysteem bestanden (kunnen opnieuw worden geïnstalleerd)
  • Applicaties (kunnen opnieuw worden gedownload)
  • Cache en tijdelijke bestanden

De vergeten stap: test je restores

Een backup die je niet hebt getest is een backup die je niet kunt vertrouwen. Ik verifieer regelmatig mijn backups door:

  • Willekeurige bestanden herstellen: Kies elke maand een paar bestanden en herstel ze. Openen ze correct?
  • Volledige restore oefeningen: Jaarlijks herstel ik een complete backup naar een reserve schijf of VM. Dit vangt problemen voordat ze ertoe doen
  • Checksums verifiëren: De meeste backup tools kunnen backup integriteit verifiëren zonder een volledige restore
  • Encryptie controleren: Verifieer dat je daadwerkelijk je backups kunt ontsleutelen met de opgeslagen wachtwoordzin

Ik heb te veel gevallen gezien waar iemand jarenlang zorgvuldig backups draaide, alleen om tijdens een crisis te ontdekken dat de backups corrupt, onvolledig of onmogelijk te herstellen waren.

Aanvullende overwegingen

Versiebeheer

Bewaar meerdere versies van je backups. Als ransomware je bestanden versleutelt en je hebt maar één backup kopie die direct synchroniseert, wordt je backup ook versleuteld. Point-in-time recovery laat je teruggaan naar vóór het probleem begon.

Retentiebeleid

Bewaar niet alles voor altijd (tenzij je dat moet voor compliance). Een veelvoorkomend schema: uurlijkse backups voor 24 uur, dagelijks voor 30 dagen, wekelijks voor 12 weken, maandelijks voor 12 maanden. Dit balanceert herstelbaarheid met opslagkosten.

Automatisering

Handmatige backups gebeuren niet. Automatiseer alles. De beste backup is degene die draait zonder dat je eraan denkt.

Documentatie

Documenteer je backup strategie. Waar zijn de backups? Wat is de encryptie wachtwoordzin? Hoe herstel je? Bewaar deze documentatie apart van de backups zelf. Een familielid of collega zou je data moeten kunnen herstellen als je niet beschikbaar bent.

Aan de slag

Als je nog geen backup strategie hebt, begin simpel:

  1. Vandaag: Koop een externe schijf, stel Time Machine/Bestandsgeschiedenis/Deja Dup in met encryptie
  2. Deze week: Meld je aan voor een cloud backup service of stel rsync/restic in naar cloud opslag
  3. Deze maand: Regel offsite opslag — bij een vriend thuis, een bankkluis, of een tweede cloud provider
  4. Elk kwartaal: Test je restores

De beste tijd om backups in te stellen was voordat je ze nodig had. De op een na beste tijd is nu.

Hulp nodig bij het ontwerpen van een backup strategie voor je infrastructuur? Neem dan gerust contact op.