Strategie zálohování 3-2-1

Proč je soukromá záloha klíčová

Záloha bez soukromí je jen další kopií vašich problémů. Únik, kompromitace cloudu nebo ztráta zařízení zasáhne tím více, čím více necitlivých kopií existuje. Pokud však zkombinujeme robustní strategii 3-2-1 s konečným šifrováním, získáme odolnost proti poruchám, ransomwaru i zvědavým očím – a přitom zůstáváme schopni data rychle obnovit.

Princip 3-2-1: co přesně znamená

• 3 kopie dat: originál + dvě nezávislé zálohy (minimálně). Zvyšuje se pravděpodobnost, že alespoň jedna kopie přežije.
• 2 různá média: např. interní disk + externí HDD/NAS nebo cloudové objektové úložiště. Různé rizikové profily (mechanické selhání vs. účet v cloudu).
• 1 kopie mimo pracoviště (off-site): chrání před požárem, krádeží či lokální havárií. Ideálně geograficky jinde a odpojená od běžného provozu.

Moderní variace doplňují 1 kopii offline/immutable (nelze ji měnit) a pravidelné testy obnovy.

Model hrozeb pro zálohy

• Ransomware a hromadné mazání: útočník šifruje/maže primární data i připojené zálohy.
• Úniky v cloudu: nesprávně nastavené zásady, slabé účty, státní požadavky na data.
• Fyzická rizika: oheň, voda, krádež, selhání médií, bit rot.
• Organizační chyby: ztracené klíče, zapomenutá hesla, špatná dokumentace a nulové testy obnovy.

Šifrování: základní principy

• Konečné (client-side) šifrování: šifrujete ještě před odesláním na úložiště. Poskytovatel nevidí obsah (zero-knowledge).
• Ověřená primitiva: AES-256-GCM nebo XChaCha20-Poly1305 pro soukromí i integritu; pro odvození klíčů Argon2id s odpovídajícími parametry.
• Správa klíčů: dlouhá přístupová fráze (diceware), verze klíčů (rotace), bezpečné offline uložení master key.
• Šifrování metadat: ideálem je šifrovat i názvy souborů, adresáře a velikosti (format-preserving leaky metadata minimalizujte balením do kontejneru).

Výběr úložišť: lokální, síťová a cloudová

• Lokální disky (HDD/SSD): rychlé a levné, vhodné pro denní inkrementální zálohu. SSD pro frekventované sady, HDD pro kapacitu; počítejte s pravidelnou výměnou disků a SMART monitoringem.
• NAS (Network Attached Storage): pohodlné verzování a sdílení, ale ne tak bezpečné, pokud je permanentně připojené. Bezpečnost zvyšuje snapshotting (copy-on-write), WORM/immutable sdílení a off-site replika.
• Cloud (objektová úložiště kompatibilní se S3, archivace typu „glacier“): vysoká trvanlivost (11×9), geografická redundance. Používejte client-side šifrování a oddělené přihlašovací identity s minimálními právy.
• Odpojitelné média (USB klíče, šifrované externí disky, LTO pásky): výborné pro offline kopii. Pásky (LTO) jsou vhodné pro dlouhodobou archivaci a velké objemy.

Imutabilita a air-gap

Ransomware útočí na připojené zálohy. Proto:

• Air-gap: uchovávejte jednu kopii fyzicky odpojenou (v trezoru, v jiné lokalitě). Připojujte pouze během zálohovacího/obnovovacího okna.
• Imutabilní úložiště: režimy WORM (Write Once Read Many), časové zámky objektů a systémové snapshoty bez možnosti zpětné změny.

Retence, verzování a deduplikace

• Politika retence: kombinujte krátké husté verze (hodiny/dny) a dlouhé řídké body (týdny/měsíce/roky). Například 30 dní denních, 12 měsíců měsíčních, 7 let ročních pro klíčové dokumenty.
• Verzování: chrání proti tiché korupci a postupné změně souborů.
• Deduplikace a komprese: snižují náklady; bloková deduplikace pomáhá u VM/DB dumpů a fotokolekcí.

Praktické nástroje a přístupy

• „Repozitářové“ zálohy: nástroje typu borg/restic/duplicity s konečným šifrováním, deduplikací a přenosem na S3, SFTP či lokální disky.
• Synchronizátory s šifrovaným remote: např. rclone s šifrovaným „remote“, který skrývá obsah i názvy souborů.
• Snapshot-based zálohy: ZFS/Btrfs snapshoty s replikací (send/receive) a retenčními politikami.
• Obrazové zálohy (bare-metal): pro rychlý návrat do stavu před incidentem. Kombinujte s file-level zálohami pro flexibilitu.

Řízení přístupů a identity

• Oddělené účty a klíče: zálohovací účty bez přístupu na produkci a naopak. Pro cloud IAM s least privilege a krátkodobými tokeny.
• Vícefaktorové ověření: pro přístup k trezorům a účtům úložišť. Hardwarové klíče/Passkeys jsou ideál.
• Audit a alerty: notifikace při změně zásad, vypnutí verzování nebo hromadných operacích.

Správa klíčů a obnovy

• Hlavní šifrovací klíč: generujte offline, uložte do fyzického trezoru. Použijte print-out/shamir (2-z-3) pro rozdělení rizika.
• KDF parametry: zvolte dostatečně náročné (Argon2id, vyvážené podle výkonu cílového zařízení), dokumentujte.
• Recovery materiál: udržujte recovery codes, hesla k archivům a postupy obnovy v odděleném, fyzicky zabezpečeném balíku.

Testy obnovy (DR): RPO a RTO

Bez testu je záloha hypotéza. Zaveďte:

• RPO (Recovery Point Objective): maximální tolerovaná ztráta dat (např. 24 h). Určuje frekvenci záloh.
• RTO (Recovery Time Objective): požadovaný čas obnovy (např. 4 h). Určuje typ média a automatizace.
• Drilly: kvartální zkoušky obnovy náhodně vybraných souborů i celého systému (včetně bootu).

Specifika pro fotografie, dokumenty a databáze

• Fotografie a videa: velké objemy – využít deduplikaci a „cold storage“. Zvážit kontrolní součty a periodické scrubování (detekce bit rot).
• Dokumenty a projekty: verzování a rychlá obnova z lokálního disku + šifrovaná replika do cloudu.
• Databáze: používat konzistentní dumpy/snapshoty (hot backup), testovat point-in-time recovery a uchovávat binární logy odděleně.

Právní a compliance aspekty

• Minimalizace dat: nezálohujte nepotřebné osobní údaje; usnadníte tak GDPR povinnosti.
• Šifrování jako technicko-organizační opatření: u externích providerů je konečné šifrování klíčové pro snížení rizika.
• Retenční lhůty: slaďte s právními požadavky (účetnictví, pracovněprávní spisy) a technicky je vynucujte.

Typické chyby a jak se jim vyhnout

• Trvalé připojení zálohy: ransomware ji zašifruje spolu s daty. Používejte air-gap a imutabilitu.
• Nešifrované cloudové koše: při kompromitaci účtu přijdete i o soukromí. Vždy šifrujte u sebe.
• Nedostatečná dokumentace: bez návodu a klíčů je záloha k ničemu. Mějte runbook obnovy a aktuální inventář.
• Chybějící testy: záloha se „tváří“, že existuje, dokud ji netestujete.

Osvedčený postup: referenční architektura pro jednotlivce

1. Lokální průběžná záloha: denně inkrementální na externí šifrovaný HDD (LUKS/FileVault/BitLocker) s verzováním.
2. Off-site šifrovaná replika: týdně do S3-kompatibilního cloudu přes nástroj s konečným šifrováním a deduplikací.
3. Offline měsíční obraz systému: bootovatelný image na odpojitelném médiu, uložený mimo domov.
4. Politika retence: 30 denních, 12 měsíčních, 2 roční. Každý kvartál test obnovy.
5. Správa klíčů: master key na papíře v trezoru (případně 2-z-3 rozdělení), kontrolní restore jednou za čtvrtrok.

Osvedčený postup: referenční architektura pro malý tým/SMB

1. Primární NAS se snapshoty: hodinové/denní snapshoty, 14–30 dní retence.
2. Replikace do druhé lokality: šifrovaný tunel + replikované snapshoty s WORM politikou.
3. Cloudová archivní vrstva: měsíční plná + kontinuální inkrementy s klientským šifrováním, oddělené účty a IAM.
4. DR plán: zdokumentovaná sekvence obnovy včetně kritických služeb (email, ERP, git), cvičení 2× ročně.
5. Monitoring a alerting: upozornění na neúspěšné zálohy, degradované disky, vypnuté verzování.

Kontrolní seznam: minimum pro soukromí a odolnost

• ✔ 3-2-1 splněno: 3 kopie, 2 média, 1 off-site.
• ✔ Vše, co opouští vaše zařízení, je konečně šifrované.
• ✔ Alespoň jedna kopie je offline/immutable.
• ✔ Retenční politiky a verzování nastavené a vynucené.
• ✔ Master key + recovery materiál uložené mimo síť, zdokumentované.
• ✔ Čtvrtletní test obnovy (náhodné soubory + plný scénář).

FAQ: časté otázky

• Stačí mi synchronizační služba? Ne. Sync ≠ záloha. Potřebujete verze, retenci a offline/immutable kopii.
• Je šifrování v cloudu poskytovatele dost? Pouze pokud spravujete klíče vy (client-side). Jinak poskytovatel (nebo útočník) může data číst.
• Co když ztratím klíč? Bez klíče jsou data trvale ztracena. Proto recovery zásobník (shamir 2-z-3, papír v trezoru) a disciplína.
• Jakou frekvenci zvolit? Odvoďte od RPO. Pokud tolerujete ztrátu jednoho dne práce, plánujte minimálně denní inkrementy.

Shrnutí

Dobře navržené zálohy spojují 3-2-1 strategii, konečné šifrování, imutabilitu/off-site a pravidelné testy obnovy. Takto chráníte nejen integritu a dostupnost dat, ale i své soukromí – i v případě nejhoršího scénáře.