11. diel - Praktický postup bezpečného zálohovania dát
V prechádzajúcej lekcii, Pravidlá bezpečného zálohovania dát , sme sa dozvedeli, prečo je dôležité zálohovať a aké sú najdôležitejšie požiadavky na zálohovacie riešenie.
V dnešnom dieli tutoriálu venovanému kyberbezpečnosti si ukážeme, ako prakticky realizovať bezpečné zálohovanie dát.
Praktický postup zálohovania dát
Už vieme, že základom správneho zálohovania je vytvorenie aspoň dvoch na sebe nezávislých záloh. Poďme si teda ukázať, ako také zálohovanie rozvrhnúť.
Plán bezpečného zálohovania
Možností, ako dané požiadavky splniť, je nespočet. V súčasnej dobe je najjednoduchšie a pre väčšinu užívateľov úplne dostačujúce využiť kombináciu lokálnej a vzdialenej zálohy:
- Lokálnou zálohou môže byť v najjednoduchšom a najlacnejšom prípade jednoducho USB Flash Disk. Pokiaľ požadujeme vyššiu rýchlosť prenosu, použijeme externý harddisk. Pri ešte vyšších nárokoch môžeme využiť v lokálnej sieti zapojený NAS server, ktorý poskytuje paletu rôznych hotových riešení pre najrôznejšie situácie.
- Pre vzdialenú (geograficky oddelenú) zálohu s výhodou využijeme ponuku rôznych cloudových služieb.
Viacmenej každý dnes už využíva ponuku cloudového uloženia dát vo svojom mobile. Pre Android zariadenie existuje napr. Disk Google (uvedený v príklade nižšie) a nie je dôvod ho nevyužiť aj na zálohovanie ďalších dát. Užívatelia Windows (resp. predplatného MS Office 365) zase majú možnosť využívať cloudu OneDrive od Microsoftu.
Samotný prenos dát cez Internet je pri týchto službách šifrovaný a ich uloženie technicky vzaté väčšinou tiež. Avšak kľúče k tomuto šifrovaniu majú títo poskytovatelia k dispozícii nezávisle od nás. Preto tam rozhodne neukladajme súbory podliehajúce utajeniu C2+, pokiaľ nie sú šifrované aspoň samy o sebe.
Problematikou šifrovania jednotlivých súborov sme sa už zaoberali v samostatnej lekcii.
Vhodným riešením môže byť služba MEGA Cloud. Tá jednak ponúka 20-25 GB miesta aj vo free variante a jednak tvrdí, že kľúče pre prístup k našim dátam sama nemá. To je najskôr pravda, berme to však radšej len ako ďalší stupeň ochrany a držme sa aj v tomto prípade pravidla, že súbory C2+ musia byť šifrované aj samy o sebe.
Pri návrhu zálohovania musíme tiež zvážiť limity prenosovej rýchlosti, dané našim pripojením na Internet, prípadne aj limity preneseného množstva dát. Samotné miesto dostupné na uvedených cloudoch je možné prípadne rozširovať len s minimálnymi nákladmi a väčšine užívateľov postačia aj verzie, ktoré sú dostupné zadarmo.
Zálohovacia schéma
Schéma takého zálohovania potom môže byť napríklad nasledujúca:
Prostredný zelený stĺpec ukazuje vlastné zariadenie, na ktorom sa s dátami pracuje. Vľavo sa nachádza lokálna záloha. Modrý stĺpec vpravo predstavuje vzdialenú zálohu dát pomocou cloudu. V ňom je využitý Disk Google pre dáta do utajenia C1 a MEGA cloud pre dáta v utajení C2.
Disk Google je tu súčasne využívaný na zdieľanie dát do do úrovne zabezpečenia C1 medzi zariadeniami.
Súbory s príponou .kdbx
vo vyššie uvedenom nákrese majú
špeciálny význam – sú to súbory s šifrovanými heslami, ktoré ukladáme
pomocou nášho Správcu hesiel. Ak sme použili niektorého z
predtým odporúčaných správcov
hesiel, budú mať práve túto príponu. Formát KDBX sa stal nepísaným
štandardom u open source správcov hesiel. Mohli by sme samozrejme použiť aj
iný formát súboru, z hľadiska zálohovania nám ide len o to, že sa pomocou
takého súboru dostaneme k heslám do príslušnej bezpečnostnej úrovne.
Druhý špeciálny význam majú súbory zvýraznené červeným písmom. Tie sa pri zálohovaní nesynchronizujú, vytvárame ich jednorazovo pri zavádzaní alebo zmene spôsobu zálohovania. Slúži nám na to, aby sme boli schopní obnoviť prístup k dátam v šifrovaných zálohách, ak by akákoľvek časť procesu zálohovania zlyhala. Tieto súbory pre obnovu však môžeme použiť iba s heslami, ktoré si pamätáme z pamäte.
Táto schéma vo všeobecnosti predpokladá znalosť troch
hesiel – jedno heslo úrovne C1, a dvoch variantov hesla C2 pre spustenie
súborového systému (boot-time heslo) a pre prístup k databáze hesiel
uložených pomocou správcu súborov v C2.kdbx
.
Postup pre obnovenie dát z uvedenej zálohy
Firmy, ktoré chcú spĺňať štandardy práce podľa noriem ISO, sú povinné mať pripravený predpis na postup v prípade havárie, tu na obnovu dát pri ich strate. Z hľadiska danej normy je to podobné, ako napríklad povinnosť pripraviť plán pre požiarnu evakuáciu.
V popise plánu obnovy nemusíme byť nijako formálni, postačí, keď si aspoň v stručnosti svoj postup v niekoľkých vetách načrtneme. Neskôr nám to ušetrí čas pri prípadnej obnove dát. Plán nám totiž aj spätne pripomenie, akým spôsobom máme naše zálohy a ich ochrany heslom štruktúrované. Ako plán obnovy môže slúžiť aj vyššie uvedený obrázok so schémou zálohovania.
Obnova z lokálnej zálohy
Z (re)inštalovaných Windows s nainštalovaným VeraCrypt a KeePassXC
pripojíme šifrovaný kontajner C2.KeyFiles chránený boot-time heslom úrovne
C2. Z neho obnovíme C2.KeyFile. Pomocou neho pripojíme vlastnú zálohu dát
umiestnenú v kontajneri C2 na záložnom disku a obnovíme súbory, vrátane
kľúčového C2.kdbx
. KDBX súbor otvoríme v KeePassXC pomocou
štandardného hesla pre úroveň C2, čím obnovíme prístup k heslám do
úrovne C2.
Obnova z cloudu
Z C1 cloudu (tu disk Google) stiahneme kontajner na obrázku pomenovaný "Container chránený boot-time C2 heslom...", chránený boot-time verziou hesla C2. Kontajner stiahneme buď pomocou telefónu, alebo obnovíme prístup ku Google disku cez obnovenie účtu Google, napr. cez záložný email. Po jeho pripojení získame prístup k staršej verzii C2.kdbx, obsahujúcej heslo ku cloudu C2 (Mega Cloud). Z neho potom obnovíme dáta úrovne zabezpečenia C2.
Softvér pre zálohovanie
V prípade zálohovania do cloudu je najjednoduchšie jednoducho využiť program, ktorý daný poskytovateľ k službe automaticky dodáva. Iba si v ňom musíme definovať, ktoré adresáre sa majú zálohovať. Dôležité je, aby sme zálohovanie adresárov mali nastavené ako zrkadlené (tzv. mirror = zrkadlo).
Program MegaSync pre cloud MegaCloud to robí automaticky. Disk Google alebo OneDrive od Microsoftu nám ale v predvolenom nastavení ponúknu streamovanie súborov na virtuálny disk. Niekedy to môže byť užitočné. Pri výpadku Internetu nebudú však takéto súbory v lokálnom zariadení dostupné, pokiaľ nie sú súčasne explicitne nastavené ako dostupné off-line.
Softvér pre lokálne zálohy
V prípade lokálneho zálohovania máme na výber z mnohých možností. Pokiaľ pracujeme prevažne v prostredí Microsoft, potom sa môžeme využiť zálohovaciu službu História súborov. Tá je od Windows 10 vstavanou súčasťou OS. Výhodou je, že sa tu automaticky uchovávajú aj predchádzajúce verzie súborov, kým sa nezaplní zálohovacie médium.
Microsoft od verzie zálohovania vo Windows 7 pokročil v tom, že formát zálohy už nie je proprietárny. Verzia súborov už dopĺňa do názvov súborov. Samotnú obnovu potom možno vykonať ich skopírovaním a úpravou názvu. Pre malý počet súborov to urobíme ručne, pre viacero súborov použijeme skript. V prostredí Windows nás od tejto potreby samozrejme odtieni samotný zálohovací program, ktorý to urobí automaticky.
Existuje samozrejme aj open source riešenie na Microsofte nezávislé. Odporúčam program FreeFileSync, ktorý je zadarmo dostupný pre všetky platformy (resp. za cenu ktorú si sami určíte – formou daru). Jednoducho si v ňom nastavíme zrkadlenie adresárov a prípadné výnimky a potom danú úlohu spustíme. Spustenie je možné aj automatizovať exportom úlohy do dávky, teda skriptu, alebo automatickým spúšťaním na pozadí:
V praxi to môže vyzerať napríklad tak, že po skončení svojej dennej práce jednoducho fyzicky pripojíme záložný disk. VeraCrypt nám z neho automaticky, pomocou Keyfile uloženom na našom počítači namiesto hesla, pripojí šifrovaný kontajner ako virtuálny disk. A kliknutím na ikonku Zálohovať nám FreeFileSync lokálne zazálohuje zmenené dáta z nášho zariadenia.
Všimnime si, že uvedená kombinácia zálohovania je na sebe nezávislá, ako z hľadiska použitého softvéru, tak z hľadiska spustenia ciest, po ktorej zálohovanie prebieha. Spĺňa aj podmienku geografického oddelenia záloh.
Fyzické pripojenie externého disku iba počas zálohovania nám poskytuje aj dodatočnú ochranu napr. pred útokom ransomware, ktorý nám takú zálohu viac-menej nemôže poškodiť či zašifrovať.
V ďalšej lekcii, Zásady bezpečnosti pri práci s mailami a webovými stránkami , sa dozvieme, ako chrániť dáta posielané prostredníctvom emailu. Ukážeme si tiež, ako spoznáme, či sú nami navštívené webové stránky naozaj autentické.