Lekce 12 - Praktický postup bezpečného zálohování dat
V přechozí lekci, Pravidla bezpečného zálohování dat, jsme se dozvěděli, proč je důležité zálohovat a jaké jsou nejdůležitější požadavky na zálohovací řešení.
V dnešním dílu tutoriálu věnovanému kyberbezpečnosti si ukážeme, jak prakticky realizovat bezpečné zálohování dat.
Praktický postup zálohování dat
Již víme, že základem správného zálohování je vytvoření alespoň dvou na sobě nezávislých záloh. Pojďme si tedy ukázat, jak takové zálohování rozvrhnout.
Plán bezpečného zálohování
Možností, jak dané požadavky splnit, je nespočet. V současné době je nejjednodušší a pro většinu uživatelů zcela dostačující využít kombinaci lokální a vzdálené zálohy:
- Lokální zálohou může být v nejjednodušším a nejlevnějším případě prostě USB Flash Disk. Pokud požadujeme vyšší rychlost přenosu, použijeme externí harddisk. Při ještě vyšších nárocích můžeme využít v lokální síti zapojený NAS server, který poskytuje paletu různých hotových řešení pro nejrůznější situace.
- Pro vzdálenou (geograficky oddělenou) zálohu s výhodou využijeme nabídku různých cloudových služeb.
Cloudové služby
Víceméně každý dnes již využívá nabídku cloudového uložení dat u svého mobilu. Pro Android zařízení existuje např. Disk Google (uvedený v příkladu níže) a není důvod ho nevyužít i pro zálohování dalších dat. Uživatelé Windows (resp. předplatného MS Office 365) zase mají možnost využívat cloudu OneDrive od Microsoftu.
Samotný přenos dat přes Internet je u těchto služeb šifrován a jejich uložení technicky vzato většinou také. Nicméně klíče k tomuto šifrování mají tito poskytovatelé k dispozici nezávisle na nás. Proto tam rozhodně neukládejme soubory podléhající utajení C2+, pokud nejsou šifrovány alespoň samy o sobě.
Problematikou šifrování jednotlivých souborů jsme se již zabývali v samostatné lekci.
Vhodným řešením může být služba MEGA Cloud. Ta jednak nabízí 20-25 GB místa i ve free variantě a jednak tvrdí, že klíče pro přístup k našim datům sama nemá. To je nejspíše pravda, berme to však raději jen jako další stupeň ochrany a držme se i v tomto případě pravidla, že soubory C2+ musí být šifrované i samy o sobě.
Při návrhu zálohování musíme také uvážit limity přenosové rychlosti, dané naším připojením k Internetu, případně i limity přeneseného množství dat. Samotné místo dostupné na uvedených cloudech lze případně rozšiřovat jen s minimálními náklady a většině uživatelů postačí i verze, které jsou dostupné zdarma.
Zálohovací schéma
Schéma takového zálohování pak může být například následující:
Prostřední zelený sloupec ukazuje vlastní zařízení, na kterým se s daty pracuje. Vlevo se nachází lokální záloha. Modrý sloupec vpravo představuje vzdálenou zálohu dat pomocí cloudu. V něm je využit Disk Google pro data do utajení C1 a MEGA cloud pro data v utajení C2.
Disk Google je zde současně využíván ke sdílení dat do do úrovně zabezpečení C1 mezi zařízeními.
Soubory s příponou .kdbx
ve výše uvedeném nákresu mají
speciální význam – jsou to soubory s šifrovanými hesly, které ukládáme
pomocí našeho Správce hesel. Pokud jsme použili některého
z dříve doporučovaných správců
hesel, budou mít právě tuto příponu. Formát KDBX se stal nepsaným
standardem u open source správců hesel. Mohli bychom samozřejmě použít i
jiný formát souboru, z hlediska zálohování nám jde jen o to, že se
pomocí takového souboru dostaneme k heslům do příslušné bezpečnostní
úrovně.
Druhý speciální význam mají soubory zvýrazněné červeným písmem. Ty se při zálohování nesynchronizují, vytváříme je jednorázově při zavádění nebo změně způsobu zálohování. Slouží nám k tomu, abychom byli schopni obnovit přístup k datům v šifrovaných zálohách, pokud by jakákoli část procesu zálohování selhala. Tyto soubory pro obnovu však můžeme použít pouze s hesly, která si pamatujeme z paměti.
Uvedené schéma obecně předpokládá znalost tří hesel –
jedno heslo úrovně C1, a dvou variant hesla C2 pro spuštění souborového
systému (boot-time heslo) a pro přístup k databázi hesel uložených pomocí
správce souborů v C2.kdbx
.
Postup pro obnovení dat z uvedené zálohy
Firmy, které chtějí splňovat standardy práce podle norem ISO, jsou povinné mít připravený předpis pro postup v případě havárie, zde pro obnovu dat při jejich ztrátě. Z hlediska dané normy je to podobné, jako třeba povinnost připravit plán pro požární evakuaci.
V popisu plánu obnovy nemusíme být nijak formální, postačí, když si alespoň ve stručnosti svůj postup v několika větách načrtneme. Později nám to ušetří čas při případné obnově dat. Plán nám totiž i zpětně připomene, jakým způsobem máme naše zálohy a jejich ochrany heslem strukturované. Jako plán obnovy může sloužit i výše uvedený obrázek se schématem zálohování.
Obnova z lokální zálohy
Z (re)instalovaných Windows s nainstalovaným VeraCrypt a KeePassXC
připojíme šifrovaný kontejner C2.KeyFiles chráněný boot-time heslem
úrovně C2. Z něho obnovíme C2.KeyFile. Pomocí něho připojíme vlastní
zálohu dat umístěnou v kontejneru C2 na záložním disku a obnovíme
soubory, včetně klíčového C2.kdbx
. KDBX soubor otevřeme v
KeePassXC pomocí standardního hesla pro úroveň C2, čímž obnovíme
přístup k heslům do úrovně C2.
Obnova z cloudu
Z C1 cloudu (zde disk Google) stáhneme kontejner na obrázku pojmenovaný "Container chráněný boot-time C2 heslem...", chráněný boot-time verzí hesla C2. Kontejner stáhneme buď pomocí telefonu, nebo obnovíme přístup ke Google disku přes obnovení účtu Google, např. přes záložní email. Po jeho připojení získáme přístup ke starší verzi C2.kdbx, obsahující heslo ke cloudu C2 (Mega Cloud). Z něho pak obnovíme data úrovně zabezpečení C2.
Software pro zálohování
V případě zálohování do cloudu je nejjednodušší prostě využít program, který daný poskytovatel ke službě automaticky dodává. Pouze si v něm musíme definovat, které adresáře se mají zálohovat. Důležité je, abychom zálohování adresářů měli nastavené jako zrcadlené (tzv. mirror = zrcadlo).
Program MegaSync pro cloud MegaCloud to dělá automaticky. Disk Google nebo OneDrive od Microsoftu nám ale ve výchozím nastavení nabídnou streamování souborů na virtuální disk. Někdy to může být užitečné. Při výpadku Internetu nebudou však takové soubory v lokálním zařízení dostupné, pokud nejsou současně explicitně nastaveny jako dostupné off-line.
Software pro lokální zálohy
V případě lokálního zálohování máme na výběr z mnoha možností. Pokud pracujeme převážně v prostředí Microsoft, pak se můžeme využít zálohovací službu Historie souborů. Ta je od Windows 10 vestavěnou součástí OS. Výhodou je, že se zde automaticky uchovávají i předchozí verze souborů, dokud se nezaplní zálohovací médium.
Microsoft od verze zálohování ve Windows 7 pokročil v tom, že formát zálohy už není proprietární. Verze souborů již doplňuje do názvů souborů. Samotnou obnovu pak lze provést jejich zkopírováním a úpravou názvu. Pro malý počet souborů to uděláme ručně, pro více souborů použijeme skript. V prostředí Windows nás od této potřeby samozřejmě odstíní samotný zálohovací program, který to udělá automaticky.
Existuje samozřejmě i open source řešení na Microsoftu nezávislé. Doporučuji program FreeFileSync, který je zdarma dostupný pro všechny platformy (resp. za cenu kterou si sami určíte – formou daru). Jednoduše si v něm nastavíme zrcadlení adresářů a případné výjimky a pak danou úlohu spustíme. Spuštění je možné i automatizovat exportem úlohy do dávky, tedy skriptu, nebo automatickým spouštěním na pozadí:
V praxi to může vypadat třeba tak, že po skončení své denní práce prostě fyzicky připojíme záložní disk. VeraCrypt nám z něho automaticky, pomocí Keyfile uloženém na našem počítači namísto hesla, připojí šifrovaný kontejner jako virtuální disk. A kliknutím na ikonku Zálohovat nám FreeFileSync lokálně zazálohuje změněná data z našeho zařízení.
Povšimněme si, že uvedená kombinace zálohování je na sobě nezávislá, jak z hlediska použitého software, tak z hlediska spuštění cest, po níž zálohování probíhá. Splňuje i podmínku geografického oddělení záloh.
Fyzické připojení externího disku pouze po dobu zálohování nám poskytuje i dodatečnou ochranu např. před útokem ransomware, který nám takovou zálohu víceméně nemůže poškodit či zašifrovat.
V následujícím kvízu, Kvíz - Zabezpečení dat šifrováním a zásady zálohování, si vyzkoušíme nabyté zkušenosti z předchozích lekcí.