cloud a backup
mini-expedície
31. marca 2016
bezpečnosť a legislatíva v cloude
18. apríla 2016
toto bude ľahké. zálohovať do cloudu je totiž dobrý nápad pre každého, bez rozdielu veľkosti či vyznania. ak si aj myslíte, že cloud nie je pre vás, alebo že je cloud slobodomurárske sprisahanie imperialistov na ovládnutie sveta a aj svoj nákupný zoznam do potravín si kryptujete, normálne čítajte ďalej, všetko platí aj pre vás, akurát si prichystajte svoj šifrovací kľúč.
čo priniesol cloud do oblasti zálohovania? nič, len nízke ceny a jednoduchosť. čiže totálnu revolúciu. teraz totiž môže každý bez rozdielu zálohovať takto:
poriadne.
ako je to poriadne? ako trebárs banky. ako zálohujú trebárs banky? takto:
odpradávna majú jednoduché pravidlo 3-2-1:
- majú tri kópie
- na dvoch rôznych médiách
- a jednu kópiu držia niekde od ruky
čiže pravidelne si robia kópie z diskov na nejaké iné médium, typicky na pásky. z pásiek robia duplicitné kópie a tie vozia niekam preč. v praxi je to ale dosť zložité a veľmi nákladné. vždy, keď sa už-už zdá, že éra pásiek je preč, príde uvedomenie, že sú pre veľké inštitúcie stále nenahraditeľné. paradoxné, lebo sa naozaj bavíme o technológii magneťákov z 80-tych rokov. áno admini v banke dnes robia to, čo vy v detskej izbe pred 30-timi rokmi: čistia magneťákové hlavy čistiacimi páskami, tie už ale našťastie nedostať len v tuzexe. pásky sú ale lacné, napríklad na 130-eurovú lto-7 vrazíte s kompresiou 15TB a vydrží v skrini dekády. a naviac – páskové roboty sú posledný cool hardvér!
ak ale nemáte petabajty dát a nervy a know-how na žonglovanie s páskami, poľahky sa poriešite v cloude. hocikto môže zálohovať poctivo ako banka a pravidlo 3-2-1 si poriešiť:
- zálohou na lokálnom NAS-ku,
- druhou zálohou v cloude
- a všetku robotu zautomatizovať backup softom
nasleduje návod ako na to, ale pred tým možno stručne že prečo.
naozaj treba písať, prečo zálohovať? dáta sú čoraz cennejšie a nenahraditeľnejšie. keď sa vám zmažú, zhoria, ukradnú, alebo pokazia adresáre so starými fotkami, ťažko si ich obnovíte. pokiaľ, pravda, nie ste v amerike, kde sa ženích súdil s fotografom 6 rokov po svadbe o opätovné usporiadanie celej svadby, lebo neodfotil hod kyticou a posledný taneček.
tradičné spôsoby ako prísť o dáta poznáte, poviem vám zopár nových. ransomware je typ vírusu, čo vám nenápadko zašifruje disk a potom pýta výpalné, aby ste sa dostali k dátam. pred bankomatom na bitcoiny v bratislave na laurínskej stoja v rade podnikatelia a strkajú tam stoeurovky. práve v anonymnej mene bitcoin totiž treba digitálnym banditom to výpalné zaplatiť. (btw sorry za hejt libertariánom, ale načo je ešte ten bitcoin dobrý okrem špekulácií, drog a výpalného?).
aha a potom je tu napríklad urban legend o tom, že zlodeji už aj na slovensku detekujú notebook v zaparkovanom aute, lebo ak je len za-sleepovaný, emituje žiarenie. potom že prečo macbook tak rýchlo nabehne po otvorení a prečo tak často mizne z áut.
a ako na to? tak zálohovanie musí mať minimálne dve kľúčové vlastnosti:
- musí fungovať samo pravidelne
- musí robiť viaceré verzie tých istých súborov
musí to zbiehať automaticky, lebo zabudnite na to, že si niekto pamätá robiť manuálne backupy. a treba držať aj veľmi staré zálohy, lebo ich často treba, keď si spomeniete obnoviť nejakú starinu.
takže návod:
treba si proste kúpiť nas-ko a treba ísť do cloudu. to je taka ta krabička za pár-sto eur, do ktorej sa strkajú disky a ktorá ich sprístupní po sieti cez rôzne protokoly, synology, qnap a podobne, všetky majú v cene aj nejaký synchronizačný, alebo zálohovací soft, takže vyššie uvedené pravidlá by mali byť dodržané. kúpte si nas-ko bez diskov a disky do neho si dokúpte sami, nech sú poriadne. čiže nie obyčajné SATA disky do desktopov, ale enterprise SATA disky do serverov. stoja o tretinu viac a vydržia dva-krát toľko, apoň 5 rokov, takže nie je o čom. chcete vedieť fintu od hardvérových frajerov? nekombinujte v jednom raid-e disky rôznych výrobcov, lebo môžu mať iný block size, ale ideálne nie je ani mať jeden typ diskov z tej istej výrobnej série, lebo môžu naraz odísť. fajn je mať ten istý typ diskov z rôznych výrobných sérií. odkukal som od hardvérových fetišistov vo websupporte.
no a potom ten cloud. zálohovať v cloude je skvelý nápad už len kvôli tomu, že cloudový provider je odruky. je blbosť držať zálohu servera niekde blízko samotného servera, zhoria vám spolu. to máte ako s náhradnými kľúčmi od bytu. je blbosť mať ich v šuflíku v spálni, treba ich mať u kámoša na druhej strane mesta. tým je práve cloudový provider.
v podstate aj dropbox, alebo microsoft onedrive poslúžia na zálohovanie, lebo automatizujú synchronizáciu súborov a dokonca robia aj verzionovanie (v dropboxe len 30 dní, ale dá sa nastaviť viac). ale na ozajstný backup si zakúpte normálnu cloudovú zálohovaciu službu. potom k tomu dostanete poriadny zálohovací softvér, kde si môžete nastaviť poriadnu zálohovaciu politiku, stanoviť časy a rýchlosti prenosov a kopec iných vecí.
zálohovacia politika je o tom, čo sa má kedy a ako zálohovať. niektoré súbory každú noc, iné každý druhý večer a tak. aby sa nezálohovali celé súbory každý deň, vymysleli múdre hlavy koncept diferenciálnych záloh. kompletná celá záloha sa typicky robí raz za týždeň, trebárs v nedeľu. kompletná záloha je, nuž heuréka, kompletná kópia dát. diferenciálna záloha ale spraví v pondelok len kópiu súborov, ktoré sa zmenili od nedele. a v utorok opäť spraví zálohu toho, čo sa zmenilo od nedele. no a potom sú tu inkrementálne zálohy, tie uložia len zmeny z predošlého dňa, takže v utorok uložia len rozdiely od pondelka. je to efektívne, šetrí to čas zálohovania, ale komplikuje to obnovu súborov, vtedy sa to musí vyskladať z viacerých záloh, preto sa predsa doporučuje spraviť raz za týždeň, typicky cez víkend, ten full backup.
denný inkrementálny backup vo väčšine firiem predstavuje objem asi 3 až 5 percent celkového objemu dát, je to dobré vedieť, ak budete rátať potrebnú prenosovú kapacitu. potom sa ma ľudia pýtajú – keď mám 100GB dôležitých dát, aký veľký disk potrebujem v cloude na všetky svoje zálohy? je to zhruba 5-násobok, t.j. 500GB, ale závisí to od zvolenej zálohovacej politiky a je to vlastne blbá otázka, lebo toto v cloude vôbec netreba riešiť – veľkosť disku si priebežne upravíte a platíte len toľko, koľko treba.
zálohovanie súborov je jednoduché. treba zálohovať dokumenty, ale aj konfigurácie aplikácií a aplikácie samotné, nehovoriac o tých custom vyvinutých. zálohovanie databáz, alebo trebárs poštových serverov, je už ale celkom veda. databázu pri zálohovaní buď treba vypnúť, alebo je potrebný agent softvér, ktorý to vie spraviť aj za chodu. to bola kedysi doména drahých softov ako symantec netbackup, alebo tivoli storage manager, ale už to tak nie je. veľa cloudových zálohovacích služieb vám odprace databázu, či exchange server do cloudu za chodu softom, ktorý je v cene služby. môj zamestnávateľ, ehm, teraz spustil obdobnú službu, koniec reklamy.
zálohovať sa dá aj celý virtuálny stroj, vmware, aj hyper-v a vôbec to nie je ťažké. pribúdajú aj služby cloud providerov, ktoré vám záložný virtuálny stroj v prípade výpadku u vás doma, spustia z verejného cloudu aj s vašimi IPčkami, takže je to dokonalé a prekvapivo lacné disaster-recovery riešenie. lídrom sa zdá byť veeam, ale ak chcete zvážiť viacej dodávateľov, skúste aj actifio, alebo inmage.
a čo pre tých, čo si stále myslia, že sa cloudu nedá dôverovať? ako povedal woody allen: to že som paranoik ešte neznamená, že ma nikto nesleduje. je to blbosť, ale kto chce, nech si ukladá svoje zálohy do cloudu zašifrované vlastným kľúčom a basta. veľa služieb to podporuje. len potom, ako vám vravela mama: nestrať kľúče!
18 Comments
Ubližuješ ľuďom tými malými písmenami 🙂
áno a ospravedlnujem sa, ale je to uz taky zvyk a folklor, z cias e-zinu prielom, ktory som takto pisal.
asi zacnem zalohovat 🙂
a zacnem s tym qnap ci synology..
Nuž neviem, ale tým backupom do cloudu môžu byt porušené nejaké existujuce zmluvy, ked dáš dáta o tvojich užívateľoch (hoci šifrované) tretej strane – cloud providerovi.
A zároveň netreba zabúdať, ze to čo teraz sa zdá, ze je bezpečne zašifrované, môže ísť o pár rokov ľahko dešifrovať s príchodom nejakých nový postupov a technológii (ako nám sa nám ukázali grafické karty použiteľné na lámanie hesiel)
Hackeri sa cloudu určite tešia 🙂
sorry, ale trikrat nespravne 🙂
z legislativneho hladiska je to takto: firemne data mozu byt hocikde, to zakon neupravuje. osobne udaje, teda take, podla ktorych sa da identifikovat clovek (meno, telefonne cislo, atd.) mozu byt tiez v cloude hocikde, akurat ak je to mimo EU, tak s tym ten obcan musi suhlasit. Ale ak to v EU je, tak netreba nic riesit. To sa tyka aj „citlivych osobnych udajov“ ako je nabozenske vyznanie, sexualna orientacia a cojaviemco.
Co sa tyka toho, ci je na tom bezpecnejsie tvoj domaci pocitac, alebo nas-ko, treba najprv triezvo zhodnotit, kolko namahy, znalosti a penazi investujes do ochrany. zamky na dverach, protipoziarna ochrana, firewall, IDS, anti-DDoS, previerky, audity, atd. Asi sa da argumentovat, ze malokto sa tolko venuje bezpecnosti ako cloudovi poskytovatelia. V podstate ak raz niekto vyhackuje Microsoft, tak Azure skoncil.
Dalsi argument je, ze nebezpecenstvo hacknutia vacsinou prichadza „z blizka“. Admini Amazonu vo Franfurkte maju hlboko v pazi Tvoje data.. nebezpecenstvo hrozi od ludi v nasom okoli, byvali zamestnanci, zli kamarati, konkurencia, atd. Tak potom pozor aby si to NASko odchadzajuci zamestnanec nestrcil pod pazuchu, alebo nepremazal na dialku.
K tomu sifrovaniu – predstava, ze niekto coskoro crackne trebars aes-256, co je jednym zo standardov, je skor scestna. mozno bude mat coskoro NSA kvantovy pocitac, ktory to dokaze, ale uz len jeho existencia bude tak prisne utajena, ze oni budu desifrovat len a len vysoko super-dolezite veci. takze pokial nekujes pikle na tretiu svetovu vojnu, NSA ti nebude desifrovat aes-256, aby neprezradili, ze to dokazu.
Tu v USA je to obdobne. Zalohovat sa moze hocikam, ale nemoze to opustit krajinu. Ak to opusti krajinu, mega vela zmluv sa tym porusi. Preto zalohujeme na opacnu stranu USA, hoci na opacnu stranu atlantiku by to bolo v nasej situacii ovela jednoduchsie.
Ohladom privatneho domaceho backup servera vidim problematiku takto: co je pre urady/policiu/whatever lahsie: dostat pristup do Azure cloudu, alebo povolenie na prehliadku bytu? Na otazku zamerne neodpovedam, pretoze pre roznych ludi moze odpoved vyjst rozne; zvlast ked malokto z nas ma moznost zvazit uplne vsetky rizikove faktory.
PS: videl som zopar malokrat odist disky z tej iste serie v rozpati par dni. Myslim, ze v dnesnej dobe je to uz asi prekonane, ale je to urcite sympaticke pravidlo:)
vdaka za koment. ano suhlas s tym „opustenim dat z krajiny“, ale tu sa rata ako krajina cele EU, co ulahcuje posobenie tych nadnarodnych cloud hracov, ktori si vsetci poriesili DC v EU
ohladne pristupu policajtov k datam v cloude je imho velmi zaujimave sledovat prebiehajuci sudny spor medzi Microsoftom a FBI, oni odmietli dat data drogoveho dilera z USA, ktore boli v Irsku na zaklade sudneho prikazu v USA, slo to na najvyssi sud, bude to zaujimavy precedens.
Pajka, s tym fyzickym umiestnenim dat hocikde asi nemas uplnu pravdu. Pokial viem napriklad v Polsku maju (mali?) zakon, ze bankove data musia byt aj fyzicky umiestnene v Polsku. O takej legislative samozrejme ma zmysel diskutovat.
joj ano, ja viem, ze su vynimky. okrem bank samozrejme aj silove zlozky statu, zdravotnicke zariadenia a podobne. ale pre nich som nepisal tento blog. a aj banky maju prekvapivo slobodne ruky co sa tyka cloudu. Podla studie Allen & Overy (http://www.rackscale.sk/files/editor/allenovery_cloud_computing.pdf) na strane 5 sa pise, ze banky mozu uplne v pohode ist do cloudu. Existuje len ista skupina vysoko citlivych bankovych dat, ktore by nemali byt spristupnene tretim osobam, ale tie si prosimpekne oni definuju sami. Ale vobec sa nepasujem za odbornika na to, co legislativne mozu robit banky a opakujem – cielovka tohto clanku neboli banky, ale skor podnikatelia, male a stredne firmy..
Pre malych a strednych podnikatelov to vyznam urcite ma. Dolezite je, aby cloud provider neprestal zo dna na den existovat.
Ved vsetko v cloude este tak skoro nebude. Ked zacal pred par rokmi hype okolo cloudu, vsetci vendori tvrdili, ze o 5 rokov uz „on premise“ ani nebude existovat. Minuly rok to uz, zda sa, pochopili a mame aktualny buzzword „hybrid cloud“…
no, nie uplne. zalohovat do cloudu ma zmysel aj pre tych uplne najvacsich. kludne aj petabyte dat. len trochu inak, najprv fyzickou stahovkou, potom po dedikovanej 10g linke a podobne. uz sa to deje.
nemyslim si, ze by koncept „hybrid cloud“ bol akoby krok dozadu po tom, ako „cloud neuspel naplno“. skor naopak, hybrid je len taky trolinku zbytocny medzikrok smerom do pure cloudu pre paranoikov 🙂 Tu trebars clanok vo Wired o tom, ze privatne cloudy su skor blbost.. http://www.wired.com/2015/12/2015-was-the-year-the-cloud-defeated-techs-walking-dead/
Vdaka. Fajn a velmi zrozumitelne, ideal na share netechnikom.
Chyba stranka (http://i.imgur.com/BDk1nh3.jpg) po kliku na viac info o cookies http://cloudbackup.telekom.sk/
Doplnil by som kontakt udaje na tu microsite. Chybu so strankou neviem, kde reportnut 🙂
vdaka za pripomienky, idem editnut..
Mohol by si nacrtnut svoj domaci setup zalohovania?
ja mam asi 200GB dolezitych dat, za dolezite pokladam dokumenty, fotky a konfiguracie pocitacov. Pribudne mi tak 1GB mesacne. Mam Synology NAS s 2 x 4TB Enterprise SATA hdd v RAID 1. Zalohujem z MacBooku softverom Time Machine, to robi inkrementy kazdych par hodin a full backup kedy si sam rozhodne, cc raz za 2 mesiace. Veci starsie ako rok mam este na druhom, starom, vypnutom NASku (TimeCapsule), ktore je inde. Okrem toho prilezitostne zalohujem na zasifrovany USB disk, tak raz do mesiaca. Z pohladu best-practice tejto strategii chyba prave nejaky cloud backup na nejake vybrane veci tak do 50GB, takze trpezlivo cakam, kym TelekomCloud Backup bude podporovat aj OSX, to bude hadam do roka.. Cloud kvoli tomu, lebo mam vsetky tie zalohy fyzicky prilis blizko od seba, takze existuju udalosti, typu poziar, alebo rozsiahla kradez na byte, kedy by som prisiel o vsetko.. Za zmienku tiez stoji, ze aj ked robim vo velkej serioznej korporacii a mam firemny notebook, ten nie je nijako zalohovany, len je zasifrovany proti kradezi. Existuje asi cosi ako firemne nariadenie, ze si mam dokumenty davat na sharepoint, ale tak..
Davnejsie som skusal https://owncloud.org/ na Websupport unlimited hostingu, ale nechcelo sa mi spravovat a potom som aj dostal mail ohladom niektorych suborov, tak som zmazal. Celkom zaujimave riesenie je sync od Bittorrent https://www.getsync.com/, co som skusal, alebo potom zrusil kvoli tomu, ze vsetky kompy boli na jednom mieste.
Mne osobne zatial postacuje Dropbox s vymaxovanym bonusom za referraly. Slusna alternativa Dropboxu je https://mega.nz/ s free 50GB
Pekny clanok, mala pozn:
„nemiešajte v jednom RAIDe disky rôznych výrobcov, ale ani disky jedného výrobcu z tej istej výrobnej série, lebo môžu naraz odísť. odkukal som od hardvérových fetišistov vo websupporte.“
…a potom vam umrie performance lebo rozne disky maju rozne zarovnanie velkosti blokov a rozny pocet blokov per disk, Toshiba 2TB != Seagate 2TB. Praveze treba kupovat rovnakeho vyrobcu, rovnaky typ diskov len z inych serii.
vdaka za koment a ano, je to presne ako pises, ja som to len zle naformuloval, ale myslel som to obdobne.
vlastne.. idem to prepisat aby to bolo jasnejsie, dik