RAID 1 er ikke backup: sådan beskytter du dine data

“Jeg har jo spejlet mine diske - så er mine data sikre, ikke?”

Den sætning hører vi igen og igen her på IT Forum Danmark | Din hjælpende hånd på nettet

RAID 1 er den mest udbredte form for disk-spejling, og den giver en behagelig ro i maven, når en harddisk pludselig klikker sig i graven. Men roen kan hurtigt forvandles til panik, for RAID 1 er ikke en backup - det er blot en forsikring mod ét helt bestemt nedbrud.

I denne artikel skærer vi igennem myterne og viser, hvorfor et spejl slet ikke beskytter dig mod utilsigtet sletning, ransomware, filkorruption, brand, tyveri og alle de andre mareridts­scenarier, som kan tømme din harddisk hurtigere, end du kan nå at google “data recovery”. Vi gennemgår forskellen på redundans og sikkerhedskopi, introducerer den gennemprøvede 3-2-1-1-0-regel, og giver dig konkrete værktøjer og workflows, så du kan forvandle teori til praksis.

Uanset om du er privatbruger med et NAS i kælderen eller IT-ansvarlig i en mindre virksomhed, får du her en komplet guide til at beskytte dine filer - før uheldet er ude. Læn dig tilbage, og lad os sammen sikre, at dine data overlever alt fra klikdød til cyberangreb.

RAID 1 er ikke backup: forstå forskellen på redundans og sikkerhedskopi

RAID 1 - også kaldet mirroring - gemmer identiske data på to (eller flere) diske. Hvis en disk går i stykker, kan systemet fortsætte driften uden afbrydelse, fordi en intakt kopi allerede ligger klar. Det giver højere oppetid og diskredundans, men det er stort set også her fordelene stopper.

Det raid 1 ikke kan redde dig fra

  • Utilsigtet sletning og overskrivning: Fjerner du en fil eller gemmer en forkert version, bliver den øjeblikkeligt spejlet til alle diske. Fejlen er permanent - ingen “fortryd”.
  • Ransomware: Krypterer malware dine filer, kopieres de krypterede versioner straks til den anden disk.
  • Filkorruption og bit-rot: En korrupt blok spejles loyalt, medmindre der er filsystem- eller applikationsbaserede integritetstjek, som RAID i sig selv ikke leverer.
  • Firmware- eller controllerfejl: En defekt RAID-controller kan korrumpere hele matricen på én gang.
  • Tyveri, brand, vand- og røgskader: Begge diske befinder sig samme sted og ryger med, hvis noget går galt fysisk.
  • Strømspikes og lyn: Elektriske uheld kan ødelægge samtlige diske simultant.

Myten om “spejling = sikkerhedskopi”

En sikkerhedskopi (backup) er en uafhængig kopi, der kan gendannes til et kendt godt tidspunkt, selvom originalen er tabt eller ødelagt. RAID 1 er ikke uafhængigt; det er simultant. Derfor beskytter det kun mod én enkelt fejltype: disknedbrud.

Prøv at forestille dig RAID 1 som et par blanke A4-papirer i en kopimaskine: Skriver du noget forkert på det ene blad, bliver fejlen minutiøst kopieret til det andet. En ægte backup svarer til, at du har et arkivskab i et andet rum med versioner af dine dokumenter fra i går, sidste uge og sidste måned.

Rpo, rto og hvorfor de betyder noget

  • RPO (Recovery Point Objective): Hvor meget data må du maksimalt tåle at miste? RAID 1 har i praksis en RPO på 0 sekunder for disknedbrud, men uendelig for alle andre hændelser.
  • RTO (Recovery Time Objective): Hvor længe må gendannelsen tage? Ved én diskfejl er RTO ≈ 0, men ved f.eks. ransomware er RTO uendelig - fordi du mangler en ren kopi.

Integritetstjek og versionshistorik

RAID 1 kører ikke automatiske checksum-kontroller på filniveau og gemmer ingen versionshistorik. Uden et filsystem som ZFS eller Btrfs, som proaktivt validerer data, kan tavse fejl opstå, og RAID spejler dem villigt. En gennemarbejdet backup-løsning tilbyder:

  • Automatiske integritetstests (fx borgbackup check eller Veeam SureBackup).
  • Versionering og point-in-time snapshots, så du kan rulle tilbage til før skaden skete.
  • Isolering (offline/immutability), så ændringer på kildesystemet ikke straks ødelægger backup-dataene.

Konklusionen er enkel: RAID 1 er fremragende til at holde serveren kørende, men fuldstændig utilstrækkeligt som sikkerhedskopi. For reel databeskyttelse kræves en decideret backupstrategi med flere kopier, forskellige medier og geografisk samt logisk separation - præcis dét, du finder mere om i de næste afsnit.

Den rigtige backupstrategi: 3-2-1-1-0 og hvordan du anvender den

Det første skridt mod ægte datasikkerhed er at acceptere, at ingen enkeltløsning - heller ikke RAID - kan stå alene. Her kommer 3-2-1-1-0-reglen ind som et let huskbart rammeværk, der dækker hele livscyklussen fra backup-skabelse til gendannelsestest.

3-2-1-1-0-reglen - Kort fortalt

  • 3 kopier af dine data (produktionsdata + to sikkerhedskopier)
  • 2 forskellige medietyper (f.eks. lokal NAS og cloud/object storage)
  • 1 kopi offsite (geografisk adskilt - beskytter mod brand, oversvømmelse, tyveri)
  • 1 kopi offline eller immutable (luft­gabt USB-disk, WORM-bånd eller S3 Object Lock, så ransomware ikke kan ændre/slette data)
  • 0 verifikationsfejl (backup skal valideres automatisk og gendannelsestestes manuelt)

Backup-metoder: Fuld, inkrementel, differentiel

En moderne strategi kombinerer typisk flere metoder for at balancere lagerforbrug, gendannelsestid (RTO) og kompleksitet:

  • Fuld backup - alt kopieres. Giver hurtig gendannelse, men kræver mest plads og tid.
  • Inkrementel - kun ændrede blokke/filer siden seneste backup. Minimalt lagerforbrug; gendannelse kræver sidste fulde + alle efterfølgende inkrementelle.
  • Differentiel - ændringer siden sidste fulde. En mellemvej; hurtigere gendannelse end inkrementel, større backupfiler.

Snapshots & versionering

Filesystem- eller applikationssnapshots (ZFS, Btrfs, Windows Shadow Copy, Synology Btrfs-snapshot) fryser tilstanden på et givet tidspunkt uden at forstyrre driften. Kombineret med versionshistorik kan du rulle enkelte filer eller hele systemer tilbage - et effektivt værn mod ransomware og utilsigtet sletning.

Kryptering og adgangskontrol

Krypter altid offsite- og cloudkopier med en stærk nøgle, du selv kontrollerer - både i transit (TLS) og i hvile (AES-256). Benyt princip om mindst privilegium: backup-tjenesten får kun læseadgang til kildedata og ingen adgang den anden vej, så kompromitterede backupløsninger ikke sletter produktionsdata.

Automatisk planlægning, verifikation og test-gendannelse

  • Læg en tidsplan (daglig, ugentlig, månedlig) og automatisér med script, cron eller indbygget schedulering.
  • Lad softwaren køre hash-kontrol for hver backup-kæde, og lad loggene trigge alarmer (mail, webhook, SMS).
  • Foretag en prøve-restore mindst hvert kvartal. Test ikke kun filer, men også databaser, VM’er og tilladelser.

Retention-politikker

Gem tilstrækkeligt mange versioner til at dække både nylige hændelser og langtidshistorik - typisk “Grandfather-Father-Son” (GFS): daglige i 30 dage, ugentlige i 3-6 måneder, månedlige i 1-7 år. Husk:
• Jo længere retention, jo større krav til lager og GDPR-overholdelse.
• Arkiver gamle data til billigere, langsommere medier (bånd, Glacier, LTO).

Cloud-data, mobile enheder og nas - Ofte overset

  • Microsoft 365 / Google Workspace: Brug tredjepartsløsninger (Veeam M365, Synology Active Backup for Microsoft 365, Afi.ai m.fl.) - de indbyggede papirkurve er ikke backup.
  • Smartphones & tablets: Automatisk backup til både producentens cloud (iCloud/Google One) og lokal NAS/PC for ekstra sikkerhed.
  • NAS til NAS eller NAS til cloud: Ekstern USB-disk som roterende luftgab, krypteret replikering til fjern-NAS eller S3-compatible storage med Object Lock.

Gdpr, dataklassificering og compliance

Identificér hvilke data der er personoplysninger og klassificér dem (normale, følsomme, fortrolige). Overvej:

  • Databehandleraftaler med alle backup-leverandører.
  • Opbevaringsperioder - slet eller anonymisér data, når formålet udløber.
  • Kryptering som teknisk sikkerhedsforanstaltning, dokumenteret i din behandlingsfortegnelse.

Ved konsekvent at følge 3-2-1-1-0 og tænke hele vejen fra krypteret overførsel til dokumenteret gendannelsestest, kan selv små organisationer opnå enterprise-niveau beskyttelse - noget spejlede diske aldrig i sig selv kan levere.

Fra teori til praksis: værktøjer, workflows og anbefalinger

Nu hvor forskellen mellem RAID-redundans og reel backup er på plads, er næste skridt at omsætte teorien til daglig drift. Nedenfor finder du et katalog af gennemprøvede værktøjer, workflows og konkrete råd, der dækker alt fra den lille hjemme-NAS til den mellemstore virksomheds virtuelle serverpark.

1. Vælg det rette backup-værktøj

  • Time Machine (macOS) - perfekt til den private Mac eller den lille kreative arbejdsstation. Understøtter inkrementel backup og versionshistorik til ekstern disk eller netværks-share.
  • Windows Filhistorik & Windows Backup - gratis del af Windows, giver kontinuerlig filbeskyttelse samt fuld system-image. Kombinér med BitLocker for krypteret offsite-disk.
  • Synology Hyper Backup / Active Backup - UI-drevet løsning til NAS-ejere. Hyper Backup håndterer krypterede, deduplicerede job til USB, anden Synology eller S3/B2, mens Active Backup giver agent-fri backup af VMware, Hyper-V, Microsoft 365 og Google Workspace.
  • TrueNAS (ZFS/Btrfs snapshots & replikering) - uovertruffen dataintegritet via copy-on-write. Planlæg hyppige snapshots (lokalt) og replikér til sekundær boks i sommerhuset eller til et cloud-objektlager.
  • Veeam Backup & Replication / Veeam Agent - branchefavorit til SMB; giver image-, VM- og NAS-backup med SureBackup-test, kryptering og Object-Lock-understøttelse.
  • BorgBackup, Restic og Duplicati - open-source, CLI/GUI-venligt og oplagt til scriptede workflows. Understøtter AES-kryptering, deduplikering og upload til S3-kompatible tjenester.

2. Offsite & offline - Sådan gør du

  • USB-rotation - mindst to krypterede harddiske skiftes ugentligt. Én disk er altid offline og befinder sig på en anden fysisk adresse.
  • S3/Backblaze B2 med Object Lock - aktiver immutability, så selv admin-brugere ikke kan slette eller overskrive backups i den definerede retention-periode.
  • Arkivlagre - koldlagring i Azure Archive eller AWS Glacier Deep Archive til langtidsopbevaring (>5 år). Kombinér med årlig verificering.

3. Workflow-eksempler

Eksempel - hjemmebruger med Synology:

  1. Hyper Backup hver time til lokal USB-disk (1).
  2. Nightly krypteret backup til Backblaze B2 med Object Lock (2).
  3. Månedlig offline-disk roteret til familiens bankboks (3).

Eksempel - mindre virksomhed (10 VM’er):

  1. Veeam image-backup til onsite NAS med 30-dages retention.
  2. Daglig kopi til S3/Wasabi med 14-dages immutability.
  3. Ugentlig båndkørsel (LTO-8) opbevaret i sikkerhedsboks uden for huset.

4. Tjekliste før du trykker “start”

  • Implementering
    • Kortlæg kilder (PC’er, VM’er, SaaS-data mv.) og klassificér i forhold til GDPR.
    • Vælg 3-2-1-1-0-strategien og dokumentér RPO/RTO pr. datagruppe.
    • Sørg for kryptering både i transit og i hvile.
  • Monitorering
    • Aktivér SMART-overvågning og e-mail/SMS-alarmer på alle diske.
    • Hold øje med backup-jobs (fejl, varighed, gennemførsel).
  • Test af gendannelse
    • Kør kvartalsvise bare-metal-restore-tests i sandbox-miljø.
    • Verificér filhashes/modulus efter hver større restore.
  • Robust infrastruktur
    • UPS til både servere og netværk; brug ECC-RAM hvor muligt.
    • Segmentér netværket - backup-destinationen må ikke have direkte write-access fra produktion.
  • Budget & kapacitet
    • Beregn 30-50 % årlig datavækst - planlæg storage herefter.
    • Indregn båndbredde til offsite uploads (overvej seed-drives ved TB-mængder).

Med ovenstående værktøjer og tjekliste får du en holistisk backup-løsning, der ikke blot spejler dine data, men beskytter dem mod menneskelige fejl, cyberangreb og fysiske katastrofer - det RAID aldrig var designet til.

Indholdsfortegnelse