Lekce 11 - Pravidla bezpečného zálohování dat
V předchozí lekci, Šifrujeme jednotlivé soubory, jsme se dozvěděli, jak a proč šifrovat samotné dokumenty na úrovni souboru.
V tomto tutoriálu o kyberbezpečnosti se budeme věnovat problematice zálohování dat. Budeme zálohovat, zálohovat a zálohovat.
Jestliže šifrování představuje nejdůležitější nástroj pro ochranu důvěrnosti dat (Confidentiality), pak zálohování dat je rozhodně nejdůležitějším nástrojem pro jejich ochranu před ztrátou přístupu k nim (Availability).
Na otázku, kdy začít zálohovat, existuje jednoduchá odpověď: jakmile je co zálohovat!
Co zálohovat?
Čímž se dostáváme k zásadní otázce vymezení toho, co je vlastně pro nás tak důležité, abychom to museli (a jak moc bezpečně) zálohovat. Nabízí se tři skupiny dat:
- Data, která zálohovat ani nemusíme – třeba instalační soubory programů, které si jinak stejně - a navíc v aktuální verzi – stáhneme z Internetu kdykoliv znovu. Kdyby už ničeho jiného, týká se to vlastního operačního systému, ale jistě používáme i řadu dalších programů.
- Data, o která bychom raději nepřišli - třeba foto/videa z různých akcí, ovšem svět by se nám nezbořil, kdyby náhodou ano.
- Data kritická – klíčové projekty, na kterých delší dobu pracujeme anebo přinejmenším přístupové údaje k našim účtům. Může se jednat o účty nejen bankovní, kde existuje možnost alternativního přístupu přes identifikaci pomoci státní instituce. Pokud máte větší částku třeba ve své Bitcoin peněžence, pak to platí i o účtech finančních. Dále jde o nebankovní služby jako emailové účty. Dnes je pro řadu lidí důležitý i přístup třeba ke Googlu či Facebooku.
Pokud nám to připomíná rozvržení úrovní zabezpečení C0-C2, je to zcela v pořádku. I zde si totiž musíme v první řadě vybrat, jak moc nám na čem záleží a porovnat případné ztráty s investicí do jejich zabezpečení.
Základní zásady zálohování
Základní zásada je zcela jednoduchá - vytváříme více nezávislých záloh. (V praxi zjistíme, že to, co nám zabere úplně nejvíce času, je pozdější rozvržení „kam co vlastně zálohovat“).
Nezávislost záloh
Všechna skutečně důležitá data se musí nacházet minimálně ve dvou zálohách, která jsou na sobě vzájemně nezávislá. Podobně, jako každé auto musí být vybaveno dvěma vzájemně nezávislými brzdovými systémy. (Nepočítáme vlastní zařízení, která s nimi aktivně pracují a vlastně tak vytvářejí třetí kopii dat.)
Tři nejdůležitější požadavky na nezávislost, které bychom měli vždy dodržet, jsou tyto:
- Požadavky na software, který zálohování provádí - pokud selže jeden program, nesmí to ovlivnit druhý. V komplexních komerčních zálohovacích systémech se často používá jeden program, který se stará o vlastní zálohování a přenos souborů. I v takovém případě však musí existovat druhý nezávislý program, který výsledek zkontroluje. Takto se o případném selhání uživatel ihned dozví. Pokud by nebyl druhý dohledový software použit, nelze považovat takové zálohování za nezávislé.
- Geografické oddělení záloh - pokud máme všechna média v jedné místnosti, která nám vyhoří či ji vykradou, je úplně jedno, kolikrát jsme tam tu zálohu měli.
- Cesta, po níž se zálohování provádí - například připojení k Internetu je věc, na kterou se nelze zcela spolehnout. V případě cíleného kybernetického útoku je to dokonce jedna z nejzranitelnějších částí celého systému. Nemohou na ní tedy být závislé oba zálohovací systémy.
Lidský faktor
Pokud bychom řešili zálohování třeba ve větší firmě, příkladem kritického faktoru jsou také osoby, které mají k zálohám přístup. Jeden zaměstnanec nesmí mít ve firmě přístup ke všem zálohám. Pokud by se nám chtěl takový zaměstnanec pomstít, nesmí mít možnost zničit všechny zálohy.
Čas nutný do obnovy funkčního systému
Kdybychom toto zabezpečení řešili profesionálně, resp. pro větší firmu, pak by nám k tomu přibyly i další požadavky. Tím by byl například čas nutný do obnovy funkčního systému. Pokud bychom měli několik počítačů s Windows (ve firmě či rodině), které je jednou za čas stejně nutné přeinstalovat, tak nám o čas až tak nejde. A aspoň si při tom na počítači uděláme pořádek.
Na druhou stranu, denní výpadek služeb větší firmy může klidně představovat ztrátu v desítkách milionů korun i více. Ve specifických případech výpadku kritické infrastruktury může jít i o lidské životy. V takových případech se používají specializovaná řešení založená na clusterech nebo minimálně bitových kopií celého systému - většinou komerční a vyžadují individuální přizpůsobení odborníky na místě. My je v rámci tohoto základního kurzu řešit nebudeme.
Nebudeme se příliš zabývat ani rozdíly v různých způsobech zálohování (plné, inkrementální neboli přírůstkové, diferenciální neboli rozdílové, bitmapové apod.). Téma pojmeme co nejjednodušeji (on by se totiž opět nechal napsat celý kurz jen o „zálohování“). Co však rozhodně neopomineme, je zabezpečení těchto záloh šifrováním.
Ukažme si tedy, jak vytvářet bezpečné prostory pro ukládání našich záloh.
Šifrované kontejnery pomocí VeraCryptu
Jak už jsme stručně zmínili v lekci o šifrování disků a svazků, program VeraCrypt nám umožňuje vytvářet vlastní šifrované kontejnery podle našich potřeb. Kontejner není nic jiného, než (v našem případě šifrovaný) soubor. Kontejner lze, opět pomocí VeraCryptu, navíc připojit jako další disk (svazek). Ten můžeme mít naformátovaný podle našich představ a pracovat s ním jako s jakýmkoli jiným diskem.
Vytvoření šifrovaného kontejneru
Kontejner vytvoříme ve VeraCryptu snadno pomocí průvodce z menu Volumes -> Create new volume. Kromě velikosti (a případně typu souborového systému) si však povšimněme možnosti Use key files při výzvě pro zadání hesla:
Key files
Pokud možnost Use key files použijeme, pak se místo hesla pro tvorbu šifrovacího klíče použije určený soubor. Doporučujeme si vygenerovat vlastní soubor s náhodnými daty pomocí: Tools -> Keyfile generator. Díky tomu můžeme připojit daný kontejner klíčem ze souboru, bez ručního zadávání hesla, a tak celý proces snadněji automatizovat.
Další volba, která by nás v této souvislosti mohla zajímat, je nastavení umístění Keyfiles pod Settings -> Default Keyfiles.
Favorites
Vytvoříme-li si takový kontejner třeba na přenosném USB disku, pak ho nemusíme při každém připojení zařízení připojovat pomocí volby Mount ručně znovu. Jednoduše si ho přidáme do Favorites a zatrhneme příslušné volby:
Povšimněme si i ostatních voleb, které se nám mohou později hodit. Nastavení lze samozřejmě kdykoli změnit ve Favorites -> Organize Favorite Volumes (odtud pochází i tento obrázek).
Jako vždy, VeraCrypt toho umí i více. Například v minulých lekcích zmiňované zašifrování celého systémového disku nalezneme pod System -> Encrypt System Partition/Drive. Nicméně tohle nám pro účely vytváření šifrovaných úložišť bude stačit.
V další lekci se dozvíme, Praktický postup bezpečného zálohování dat, jak takové zálohování dat prakticky realizovat.