Zálohování je téma, které většinu lidí nenadchne. Není to sexy. Jen to bere prostředky – čas, peníze, kapacitu disků. Nikdo vám za dobře nastavené zálohy nezatleská. Zálohování je jako pojištění – oceníte ho až v momentě, kdy ho potřebujete. A v ten moment buď funguje, nebo jste v problému.
Umělá inteligence mění pravidla hry
Ransomware dříve vytvářeli specialisté. Dnes s pomocí AI dokáže škodlivý kód sestavit kdokoliv s přístupem k internetu. A nejde jen o viry – útočníci používají AI k analýze LinkedIn profilů, organizační struktury firmy a stylu komunikace. Výsledkem je phishingový e-mail v dokonalé češtině, napodobující styl konkrétního manažera. Zaměstnanec klikne. A záloha je vaší poslední linií obrany.
Záloha ale není jedinou linií obrany. Firewall, segmentace sítě, vícefaktorová autentizace – to je prevence. Zálohování je lék. Potřebujete obojí.
Falešné bezpečí
Největším nepřítelem zálohování nejsou peníze. Je to falešný pocit bezpečí. „Za 10 let se nám nic nestalo, tak proč investovat do záloh?"
Existují firmy, které řeší zálohování tak, že rozdají zaměstnancům externí disky. V praxi to nefunguje. Když data skutečně potřebujete zpět, zjistíte, že dotyčný zrovna nezálohoval. A pokud dojde k zavirování počítače, přijde i o data na právě zapojeném zálohovacím médiu.
Toto není systémové řešení. Je to iluze bezpečí.
Kolik stojí hodina výpadku vaší firmy?
Tohle je ta klíčová otázka. Ne „jestli" zálohovat, ale „kolik nás stojí, když nemůžeme pracovat." A nepočítejte jen ušlý zisk – započítejte i ztrátu reputace. U B2B firmy, která dodává do desítek trhů, může týdenní výpadek znamenat trvalý odchod klientů ke konkurenci.
V IT se používají dva pojmy, které stojí za zapamatování:
- RTO – za jak dlouho musíte být zpátky v provozu, než firma začne krvácet
- RPO – o kolik dat si můžete dovolit přijít
Pokud zálohujete jednou denně, vaše RPO je 24 hodin. Jinými slovy – při havárii přijdete o celý den práce. Je to přijatelné? Pro někoho ano, pro někoho ne. Ale tuhle otázku je potřeba si položit předem, ne až když hoří.
Disky v RAIDu nejsou záloha. Servery v clusteru nejsou záloha.
Spousta firem si myslí: „Máme disky v RAIDu, jsme v bezpečí." Nebo: „Máme dva servery v clusteru, data jsou chráněná."
RAID chrání před selháním jednotlivých disků. Podle typu pole zvládne výpadek jednoho disku (RAID 5), dvou disků (RAID 6) nebo i víc. Cluster zase chrání před výpadkem celého serveru – když jeden spadne, druhý převezme provoz. To jsou důležité věci a mají své místo.
Ale ani jedno z toho není záloha. Pokud admin omylem smaže databázi, RAID toto smazání věrně zrcadlí na všechny disky. Pokud ransomware zašifruje data, cluster toto zašifrování okamžitě zreplikuje na všechny uzly.
Viděl jsem firmu, která měla RAID 10, ale žádné zálohy. Obnova trvala 6 dní.
Redundance řeší dostupnost. Záloha řeší integritu dat. Potřebujete obojí – a nesmíte si je plést.
Proč cluster přesto potřebujete
Představte si, že máte jeden fyzický server a přestane fungovat. Musíte zavolat dodavatele, zjistit jestli mají skladem server s odpovídajícími parametry. Většinou nemají. Objednávka trvá 3–5 pracovních dní. Pak server rozbalíte, namontujete do racku, nainstalujete systém, nakonfigurujete síť. A teprve potom začnete obnovovat data ze záloh.
Celkem: 3–7 dní výpadku. V lepším případě.
Se servery v clusteru je to jinak. Když jeden vypadne, druhý zaskočí. Přepnutí trvá minuty, ne dny. Klient nezjistí žádný výpadek.
Cluster ale neznamená, že zálohy nepotřebujete. O data můžete přijít pořád – pokud je nezálohujete.
Pravidlo 3-2-1-1-0
Kam zálohujeme? Kolik kopií máme? V oboru se prosazuje pravidlo 3-2-1-1-0:
- 3 kopie dat (produkční data + dvě zálohy)
- 2 různá média (např. diskové pole + NAS)
- 1 kopie offsite (mimo hlavní lokalitu)
- 1 kopie nezměnitelná (nikdo ji nemůže přepsat ani smazat, ani administrátor)
- 0 chyb (pravidelné testování, že zálohy skutečně fungují)
Proč ta nezměnitelná kopie? Protože moderní ransomware se jako první snaží napadnout zálohovací server a smazat zálohy. Pokud nemáte nezměnitelné úložiště, útočník vás má v šachu – data zašifrovaná, zálohy smazané, zbývá jen zaplatit výkupné. A nejde jen o útočníky – nezměnitelná záloha chrání i před chybou vlastního administrátora.
Ne každá firma dokáže pravidlo 3-2-1-1-0 splnit hned a kompletně. Ale i jednodušší záloha je nesrovnatelně lepší než žádná. Důležité je začít – a postupně se k tomuto standardu přibližovat.
Pásky nejsou mrtvé
V systému 3-2-1-1-0 se občas stále využívají páskovací jednotky. Mnozí se jim smějí, ale mají jednu nepřekonatelnou vlastnost: jsou offline. Fyzicky odpojená páska – útočník ji prostě nemůže zavirovat, pokud není připojená.
Pro rychlou obnovu jsou pásky pomalé. Ale pro dlouhodobou archivaci a jako pojistka posledního stupně mají v poměru cena/kapacita stále smysl.
Veeam Vault – moderní alternativa
V současné době je obrovský tlak na rychlost obnovy. Pro firmy, které nechtějí spravovat vlastní offsite infrastrukturu, existuje zajímavá alternativa – Veeam Vault. Cloudové úložiště přímo od firmy Veeam. Zálohy jsou automaticky nezměnitelné – nikdo na ně nemůže po nastavenou dobu sáhnout, ani administrátor. A obnova z cloudu je řádově rychlejší než z pásek. Samozřejmě záleží na rychlosti vaší internetové linky – u menších firem se stovkami gigabajtů dat to není problém, u terabajtů už je potřeba počítat s časem.
Zálohy bez instrukcí jsou k ničemu
Můžete mít nejlepší hardware na světě. Ale pokud k tomu nemáte Disaster Recovery plán – dokument, který říká krok za krokem co dělat – tak je to k ničemu.
V praxi často chybí jednoduché instrukce pro techniky. Co dělat, když server vykazuje známky poruchy. Co dělat při výpadku proudu. Kdo komu volá. V jakém pořadí se co vypíná a zapíná. „Jako první nahoď DNS server, pak doménový řadič, pak teprve SQL" – bez takového papíru jste v krizové situaci ztraceni.
A ten papír nesmí být jen v cloudu nebo na serveru, který právě nejede. Musí být vytištěný v sejfu. Spolu s:
- Vytištěná hesla – administrátorské účty, přístupy k zálohovacímu serveru, k NAS
- Recovery klíče – BitLocker, šifrovací klíče záloh
- Bootovací USB – instalační médium VMware ESXi a Veeam Recovery Media
- Licenční klíče – VMware, Veeam, Windows Server
Bez těchto věcí v trezoru se nikam nedostanete. Server obnovíte jen tehdy, když máte z čeho nabootovat, kam se přihlásit a čím odemknout zálohy.
Testujte. Pravidelně.
Ze svých zkušeností si nepamatuji, že by bylo běžné, aby se každé tři měsíce dělaly zátěžové testy – simulované vypínání serverů, obnova ze záloh. A přitom právě tohle dělá rozdíl. Firma, která pravidelně testuje obnovu, se z incidentu vzpamatuje za hodiny. Firma, která zálohy nikdy netestovala, zjistí v nejhorší možný moment, že zálohy jsou neúplné, poškozené, nebo že nikdo neví, jak je použít.
Ideálně jednou za čtvrtletí obnovte kritický server na izolovaném prostředí a ověřte, že fungují nejen data, ale i aplikace.
Napájení: UPS, generátor, nebo housing?
Nepodceňujte záložní zdroj. UPS musí být dimenzovaný tak, aby vydržel po celou dobu, než přijdou technici – případně aby byl nastavený management řízeného vypínání serverů.
A hlavně – musí být definované, co je kritická infrastruktura. Pokud má firma 27 virtuálních serverů, musí existovat jasná posloupnost vypínání a zapínání jednotlivých agend.
Co když je výpadek delší? Generátor v pronajatých kancelářích ve výškové budově? Často to nejde. A i když generátor seženete – z vlastní zkušenosti vím, že realita umí překvapit. Při jednom delším výpadku proudu jsme generátor sháněli hodiny. Když jsme ho konečně našli, zjistili jsme, že nikdo z přítomných nemá řidičské oprávnění na přívěs, aby ho mohl přivézt. I takové detaily jsou rizika, se kterými je potřeba počítat.
A pokud firma poskytuje služby pro více poboček nebo klienty v různých zemích, je legitimní otázkou, zda neumístit servery do profesionálního housingu v komerčním datacentru.
| Parametr | Vlastní server | Housing (DC) | Cloud |
|---|---|---|---|
| Kontrola | Úplná, ale vše řešíte sami | Vysoká, o HW se staráte vy | Nižší, ale bez starostí o HW |
| Napájení | Rizikové (UPS/jističe) | Špičkové (redundance) | Garantované (SLA) |
| Rychlost obnovy | Pomalá (čekání na díly) | Rychlá (náhradní HW v místě) | Velmi rychlá (škálování) |
| Počáteční náklady | Vysoké (CAPEX) | Střední | Nízké (OPEX) |
Důležitá poznámka: Cloud není záloha. I v cloudu musíte zálohovat. Cloud řeší dostupnost infrastruktury, ne ochranu před smazáním dat.
Nezapomínejte na síťovou infrastrukturu
Do zálohování kritické infrastruktury patří i síťové prvky. Při výpadku routeru většinou nejde o DHCP nebo DNS – ty běží na serveru a existující zařízení fungují dál. Hlavní problém je chybějící brána do sítě – firma nemá internet, nefunguje spojení mezi pobočkami.
Pro kritický provoz je proto důležité mít záložní připojení k internetu od druhého poskytovatele. Jedna linka od jednoho poskytovatele je jediný bod selhání – a když vypadne, nepomůže vám ani ten nejlepší router. Zdvojení routeru je další krok, ale až v druhé řadě.
Konfigurace síťových prvků – routerů, switchů, firewallů – musí být pravidelně zálohována. Společně s mapou sítě patří do trezoru jako součást DR dokumentace.
Závěr
Zálohování stojí peníze, zabírá kapacitu, vyžaduje údržbu a testování. Ale alternativa – žádné zálohy, žádný plán, žádná redundance – stojí nesrovnatelně víc.
Položte si jednu otázku: Za jak dlouho musíte být zpátky v provozu, aby firma nepřišla o peníze a klienty? (RTO) A máte k tomu reálný plán?
Existují jen dva druhy firem. Ty, které zálohují. A ty, které ještě nezálohují.
Těm druhým přeji hodně štěstí.
P.S. Tento článek se věnuje pouze zálohování. Kompletní ochrana firmy zahrnuje i zabezpečení sítě, firewall, aktualizace, správu přístupů a další oblasti – to je téma na samostatný článek.
Slovníček pojmů
| CAPEX | Jednorázové investiční náklady (nákup serveru, infrastruktury) |
| Cluster | Dva nebo více serverů, které se vzájemně zastupují – když jeden vypadne, druhý převezme provoz |
| DHCP | Služba, která automaticky přiděluje IP adresy zařízením v síti |
| DNS | Služba, která překládá názvy (např. google.com) na IP adresy |
| DR plán | Disaster Recovery – dokumentovaný postup obnovy po havárii |
| Immutable | Nezměnitelná záloha – po nastavenou dobu ji nikdo nemůže smazat ani přepsat |
| NAS | Síťové úložiště – zařízení připojené do sítě pro ukládání a sdílení dat |
| OPEX | Průběžné provozní náklady (měsíční předplatné, pronájem) |
| RAID | Způsob propojení více disků pro ochranu před selháním – ale není to záloha |
| RPO | O kolik dat si můžete dovolit přijít (např. RPO 24h = ztráta jednoho dne práce) |
| RTO | Za jak dlouho musíte být zpátky v provozu po havárii |
| SLA | Smlouva o úrovni služeb – garantovaná dostupnost od poskytovatele |
| UPS | Záložní zdroj napájení – baterie, která udrží servery v chodu při výpadku proudu |