IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 12 - Praktický postup bezpečného zálohování dat

Předchozí
Další

V přechozí lekci, Pravidla bezpečného zálohování dat, jsme se dozvěděli, proč je důležité zálohovat a jaké jsou nejdůležitější požadavky na zálohovací řešení.

V dnešním dílu tutoriálu věnovanému kyberbezpečnosti si ukážeme, jak prakticky realizovat bezpečné zálohování dat.

Praktický postup zálohování dat

Již víme, že základem správného zálohování je vytvoření alespoň dvou na sobě nezávislých záloh. Pojďme si tedy ukázat, jak takové zálohování rozvrhnout.

Plán bezpečného zálohování

Možností, jak dané požadavky splnit, je nespočet. V současné době je nejjednodušší a pro většinu uživatelů zcela dostačující využít kombinaci lokální a vzdálené zálohy:

  • Lokální zálohou může být v nejjednodušším a nejlevnějším případě prostě USB Flash Disk. Pokud požadujeme vyšší rychlost přenosu, použijeme externí harddisk. Při ještě vyšších nárocích můžeme využít v lokální síti zapojený NAS server, který poskytuje paletu různých hotových řešení pro nejrůznější situace.
  • Pro vzdálenou (geograficky oddělenou) zálohu s výhodou využijeme nabídku různých cloudových služeb.

Cloudové služby

Víceméně každý dnes již využívá nabídku cloudového uložení dat u svého mobilu. Pro Android zařízení existuje např. Disk Google (uvedený v příkladu níže) a není důvod ho nevyužít i pro zálohování dalších dat. Uživatelé Windows (resp. předplatného MS Office 365) zase mají možnost využívat cloudu OneDrive od Microsoftu.

Samotný přenos dat přes Internet je u těchto služeb šifrován a jejich uložení technicky vzato většinou také. Nicméně klíče k tomuto šifrování mají tito poskytovatelé k dispozici nezávisle na nás. Proto tam rozhodně neukládejme soubory podléhající utajení C2+, pokud nejsou šifrovány alespoň samy o sobě.

Problematikou šifrování jednotlivých souborů jsme se již zabývali v samostatné lekci.

Vhodným řešením může být služba MEGA Cloud. Ta jednak nabízí 20-25 GB místa i ve free variantě a jednak tvrdí, že klíče pro přístup k našim datům sama nemá. To je nejspíše pravda, berme to však raději jen jako další stupeň ochrany a držme se i v tomto případě pravidla, že soubory C2+ musí být šifrované i samy o sobě.

Při návrhu zálohování musíme také uvážit limity přenosové rychlosti, dané naším připojením k Internetu, případně i limity přeneseného množství dat. Samotné místo dostupné na uvedených cloudech lze případně rozšiřovat jen s minimálními náklady a většině uživatelů postačí i verze, které jsou dostupné zdarma.

Zálohovací schéma

Schéma takového zálohování pak může být například následující:

Schéma zálohování - Kybernetická bezpečnost

Prostřední zelený sloupec ukazuje vlastní zařízení, na kterým se s daty pracuje. Vlevo se nachází lokální záloha. Modrý sloupec vpravo představuje vzdálenou zálohu dat pomocí cloudu. V něm je využit Disk Google pro data do utajení C1 a MEGA cloud pro data v utajení C2.

Disk Google je zde současně využíván ke sdílení dat do do úrovně zabezpečení C1 mezi zařízeními.

Soubory s příponou .kdbx ve výše uvedeném nákresu mají speciální význam – jsou to soubory s šifrovanými hesly, které ukládáme pomocí našeho Správce hesel. Pokud jsme použili některého z dříve doporučovaných správců hesel, budou mít právě tuto příponu. Formát KDBX se stal nepsaným standardem u open source správců hesel. Mohli bychom samozřejmě použít i jiný formát souboru, z hlediska zálohování nám jde jen o to, že se pomocí takového souboru dostaneme k heslům do příslušné bezpečnostní úrovně.

Druhý speciální význam mají soubory zvýrazněné červeným písmem. Ty se při zálohování nesynchronizují, vytváříme je jednorázově při zavádění nebo změně způsobu zálohování. Slouží nám k tomu, abychom byli schopni obnovit přístup k datům v šifrovaných zálohách, pokud by jakákoli část procesu zálohování selhala. Tyto soubory pro obnovu však můžeme použít pouze s hesly, která si pamatujeme z paměti.

Uvedené schéma obecně předpokládá znalost tří hesel – jedno heslo úrovně C1, a dvou variant hesla C2 pro spuštění souborového systému (boot-time heslo) a pro přístup k databázi hesel uložených pomocí správce souborů v C2.kdbx.

Postup pro obnovení dat z uvedené zálohy

Firmy, které chtějí splňovat standardy práce podle norem ISO, jsou povinné mít připravený předpis pro postup v případě havárie, zde pro obnovu dat při jejich ztrátě. Z hlediska dané normy je to podobné, jako třeba povinnost připravit plán pro požární evakuaci.

V popisu plánu obnovy nemusíme být nijak formální, postačí, když si alespoň ve stručnosti svůj postup v několika větách načrtneme. Později nám to ušetří čas při případné obnově dat. Plán nám totiž i zpětně připomene, jakým způsobem máme naše zálohy a jejich ochrany heslem strukturované. Jako plán obnovy může sloužit i výše uvedený obrázek se schématem zálohování.

Obnova z lokální zálohy

Z (re)instalovaných Windows s nainstalovaným VeraCrypt a KeePassXC připojíme šifrovaný kontejner C2.KeyFiles chráněný boot-time heslem úrovně C2. Z něho obnovíme C2.KeyFile. Pomocí něho připojíme vlastní zálohu dat umístěnou v kontejneru C2 na záložním disku a obnovíme soubory, včetně klíčového C2.kdbx. KDBX soubor otevřeme v KeePassXC pomocí standardního hesla pro úroveň C2, čímž obnovíme přístup k heslům do úrovně C2.

Obnova z cloudu

Z C1 cloudu (zde disk Google) stáhneme kontejner na obrázku pojmenovaný "Container chráněný boot-time C2 heslem...", chráněný boot-time verzí hesla C2. Kontejner stáhneme buď pomocí telefonu, nebo obnovíme přístup ke Google disku přes obnovení účtu Google, např. přes záložní email. Po jeho připojení získáme přístup ke starší verzi C2.kdbx, obsahující heslo ke cloudu C2 (Mega Cloud). Z něho pak obnovíme data úrovně zabezpečení C2.

Software pro zálohování

V případě zálohování do cloudu je nejjednodušší prostě využít program, který daný poskytovatel ke službě automaticky dodává. Pouze si v něm musíme definovat, které adresáře se mají zálohovat. Důležité je, abychom zálohování adresářů měli nastavené jako zrcadlené (tzv. mirror = zrcadlo).

Program MegaSync pro cloud MegaCloud to dělá automaticky. Disk Google nebo OneDrive od Microsoftu nám ale ve výchozím nastavení nabídnou streamování souborů na virtuální disk. Někdy to může být užitečné. Při výpadku Internetu nebudou však takové soubory v lokálním zařízení dostupné, pokud nejsou současně explicitně nastaveny jako dostupné off-line.

Software pro lokální zálohy

V případě lokálního zálohování máme na výběr z mnoha možností. Pokud pracujeme převážně v prostředí Microsoft, pak se můžeme využít zálohovací službu Historie souborů. Ta je od Windows 10 vestavěnou součástí OS. Výhodou je, že se zde automaticky uchovávají i předchozí verze souborů, dokud se nezaplní zálohovací médium.

Microsoft od verze zálohování ve Windows 7 pokročil v tom, že formát zálohy už není proprietární. Verze souborů již doplňuje do názvů souborů. Samotnou obnovu pak lze provést jejich zkopírováním a úpravou názvu. Pro malý počet souborů to uděláme ručně, pro více souborů použijeme skript. V prostředí Windows nás od této potřeby samozřejmě odstíní samotný zálohovací program, který to udělá automaticky.

Existuje samozřejmě i open source řešení na Microsoftu nezávislé. Doporučuji program FreeFileSync, který je zdarma dostupný pro všechny platformy (resp. za cenu kterou si sami určíte – formou daru). Jednoduše si v něm nastavíme zrcadlení adresářů a případné výjimky a pak danou úlohu spustíme. Spuštění je možné i automatizovat exportem úlohy do dávky, tedy skriptu, nebo automatickým spouštěním na pozadí:

FreeFileSync - Kybernetická bezpečnost

V praxi to může vypadat třeba tak, že po skončení své denní práce prostě fyzicky připojíme záložní disk. VeraCrypt nám z něho automaticky, pomocí Keyfile uloženém na našem počítači namísto hesla, připojí šifrovaný kontejner jako virtuální disk. A kliknutím na ikonku Zálohovat nám FreeFileSync lokálně zazálohuje změněná data z našeho zařízení.

Povšimněme si, že uvedená kombinace zálohování je na sobě nezávislá, jak z hlediska použitého software, tak z hlediska spuštění cest, po níž zálohování probíhá. Splňuje i podmínku geografického oddělení záloh.

Fyzické připojení externího disku pouze po dobu zálohování nám poskytuje i dodatečnou ochranu např. před útokem ransomware, který nám takovou zálohu víceméně nemůže poškodit či zašifrovat.

V následujícím kvízu, Kvíz - Zabezpečení dat šifrováním a zásady zálohování, si vyzkoušíme nabyté zkušenosti z předchozích lekcí.


 

Předchozí článek
Pravidla bezpečného zálohování dat
Všechny články v sekci
Kybernetická bezpečnost
Přeskočit článek
(nedoporučujeme)
Kvíz - Zabezpečení dat šifrováním a zásady zálohování
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
48 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity