Cloud vs. NAS

Posted on by Ján Gašparík
Cloud vs. NAS

Cloud vs. vlastný NAS: čo vlastne porovnávame

Diskusiu „Cloud alebo NAS?“ nemožno zredukovať na cenu či počet terabajtov. Porovnávame model služby (outsourcované úložisko a správa) verzus model vlastníctva (vaša infraštruktúra). Z pohľadu súkromia a komfortu ide o zásadné voľby: kto má prístup k dátam, kto nesie riziká, kto riadi kryptografické kľúče a kto zabezpečuje dostupnosť, aktualizácie a škálovanie.

Definície a archetypy použitia

  • Cloud – komerčné služby (napr. objektové úložiská, „drive“ platformy, tímové disky) s webovým rozhraním, mobilnými appkami, API a SLA. Často ponúkajú kolaboráciu v reálnom čase a integračný ekosystém.
  • Vlastný NAS – zariadenie u vás (doma/kancelária) s diskovým poľom a systémom (Synology/QNAP/TrueNAS). Poskytuje sieťové protokoly (SMB/NFS/WebDAV/S3-kompatibilné API), často aj kontajnery, zálohovanie a multimediálne služby.
  • Hybrid – NAS ako „primár“, cloud ako off-site záloha, alebo naopak (cloud primár, NAS cache/gateway).

Súkromie: kto vidí vaše dáta a metadáta

  • Cloud: aj pri šifrovaní „at-rest“ má poskytovateľ typicky kontrolu nad kľúčmi (okrem „zero-knowledge“/E2EE riešení). Ďalej spracúva metadáta (prístupové logy, veľkosti súborov, názvy, IP, geografia). Vzťah býva „spracovateľ údajov“ s DPA, ale v niektorých prípadoch môže byť aj „prevádzkovateľ“ (napr. ak dáta profiluje pre vlastné účely).
  • NAS: dáta aj metadáta ostávajú u vás. Privátnosť však závisí od konfigurácie – ak NAS vystavíte na internet bez VPN/reverzného proxy a bez správnych politík, riskujete vyšší vektor útoku než pri renomovanom cloude.
  • Metadátové úniky: aj bez čítania obsahu odhaľujú vzorce použitia. V cloude s tým počítajte; pri NAS minimalizujte logovanie smerom von, použite vlastnú DNS a šifrovaný tunel.

Kontrola kľúčov a kryptografia

  • Cloud: ideál je client-side šifrovanie (E2EE/zero-knowledge). Bez toho sa spoliehate na KMS poskytovateľa a jeho prístupové politiky. Výhoda: menej starostí s rotáciou kľúčov, nevýhoda: dôvera v tretiu stranu a zložitejšie splnenie niektorých „need-to-know“ požiadaviek.
  • NAS: úplná kontrola nad kľúčmi (LUKS/ZFS/Btrfs šifrovanie, FDE, šifrované zdieľania). Nutné riešiť zálohovanie kľúčov, rotáciu, politiky pre „break-glass“ prístup a zabezpečenie boot procesu (TPM, kľúče mimo zariadenia).

Bezpečnosť: povrch útoku a aktualizácie

  • Cloud: poskytovateľ zabezpečuje fyzickú bezpečnosť, patch manažment, DDoS ochranu a segmentáciu. Vaša zodpovednosť je identity & access (MFA, IAM, least privilege), konfigurácia bucketov a zdieľaní. Najčastejšie zlyhá „misconfiguration“ (verejný bucket, slabé linky).
  • NAS: zodpovedáte za celý stack – od port forwardingu cez certifikáty po patchovanie služieb (photos, cloud-sync, indexer, kontajnery). Odporúčané: VPN (WireGuard), reverzný proxy s TLS (napr. Traefik/Caddy), zákaz priamych administrátorských portov do internetu, oddelené VLANy a princip least privilege aj pre lokálne kontá.
  • Ransomvér: pri cloude ochráni object lock/immutability a verzovanie. Pri NAS chráni snapshots (ZFS/Btrfs) s nemennými politikami a offline/off-site záloha.

Dostupnosť a obnova po havárii

  • Cloud: SLA, geografická redundancia, verzovanie a „lifecycle“ triedy (hot, cool, cold). Rýchle škálovanie kapacity a šírky pásma. Závislosť od internetu – bez connectivity je komfort výrazne obmedzený.
  • NAS: lokálny prístup (LAN) aj pri výpadku internetu. O dostupnosti rozhoduje RAID (nie záloha!), UPS, ECC RAM, scrubbing, náhradné disky a test obnova. Off-site replika (druhý NAS/cloud) je kľúčová pre DR.

Kompromisy komfortu: kolaborácia, zdieľanie, mobilné appky

  • Cloud: okamžitá kolaborácia (co-editing), prehliadače dokumentov, linky so spätnou väzbou, granularita práv, integrácia s kancelárskymi balíkmi, fulltext nad dokumentmi.
  • NAS: komfort závisí od ekosystému výrobcu a doplnkov (webové editory, náhľady, mobilné appky). Zdieľanie smerom von je možné, ale vyžaduje správu certifikátov, linkov a bezpečnostných pravidiel.

Náklady a TCO (Total Cost of Ownership)

Položka Cloud NAS
Počiatočné náklady nízke (pay-as-you-go) stredné–vysoké (šasi, disky, UPS, sieť)
Prevádzka mesačné poplatky, egress môže byť drahý elektrina, výmena diskov, údržba
Škálovanie okamžité nákup diskov/expanzie
Ľudský čas nižší (správa delegovaná) vyšší (patching, monitoring, zálohy)

Právne a regulačné aspekty (EÚ pohľad)

  • Miesto spracúvania: požiadavky na umiestnenie dát (EU-only), prenosy do tretích krajín, zmluvné doložky a dopadové posúdenia.
  • Rola a zodpovednosť: v cloude spravidla vzťah prevádzkovateľ–sprostredkovateľ s DPA; pri NAS ste de facto „všetko v jednom“ – procesy, bezpečnosť, práva dotknutých osôb.
  • Logging a audit: cloud ponúka auditné logy a retenčné politiky; pri NAS ich treba nastaviť (SIEM/centralizované logy) a chrániť pred manipuláciou.

Výkon, latencia a priepustnosť

  • Cloud: vysoká dostupná šírka pásma v dátových centrách; pre užívateľa limitom býva jeho last-mile a egress politika.
  • NAS: v LAN bežne 1–10 GbE; pre vzdialený prístup limituje upload linka a šifrovací overhead (VPN/TLS). Cache a CDN v cloude zvyknú zdieľanie urýchliť.

Správa verzií, immutability a 3–2–1 pravidlo

  • Verzie: cloud – nativne; NAS – cez snapshots a verziovanie na aplikačnej úrovni.
  • Immutability: cloud – object lock/WORM; NAS – „immutable snapshots“, write-once exporty, offline kópie.
  • 3–2–1: 3 kópie, 2 rôzne médiá, 1 off-site. Hybridný model to uľahčuje (NAS + cloud objektové úložisko).

Scenáre: čo sa hodí komu

  • Individuálny používateľ: ak chcete nulovú správu a top mobilný komfort, kvalitný cloud s E2EE klientom je rozumná voľba. NAS dáva zmysel pre médiá, veľké archívy a lokálny prístup bez internetu.
  • Malá firma: hybrid – NAS ako rýchle pracovné úložisko a interný „server“, cloud na zdieľanie s klientmi, off-site zálohu a kolaboráciu.
  • Citlivé dáta (zdravie, právo, R&D): NAS/E2EE-first, cloud ako šifrovaný off-site cieľ (client-side šifrovanie, vlastné kľúče, prísne IAM). Minimalizovať metadátový odtlačok.

Bezpečnostný „stack“ pre NAS (praktické minimum)

  1. Neexponujte NAS priamo: žiadny port-forward admin rozhraní; použite VPN (WireGuard), prípadne reverzný proxy s mTLS/TLS a IDS/IPS pred perimetrom.
  2. Identity: MFA, jednotné adresáre (LDAP/AD), oddelené roly, najmenej potrebné oprávnenia.
  3. Súborový systém: ZFS/Btrfs, snapshots, pravidelný scrubbing, SMART monitoring, ECC RAM.
  4. Immutability: snapshoty s ochranou, offline „air-gap“ kópie, periodická obnova testom.
  5. Zálohy: 3–2–1, off-site replika (cloud S3-kompatibilný cez rclone/restic/borg), plán retencie, šifrovanie kľúčmi mimo NAS.
  6. Hardvér: UPS, teplotné limity, náhradný disk, dokumentovaný postup výmeny a rebuild.

Bezpečnostný „stack“ pre cloud (praktické minimum)

  1. E2EE/Client-side šifrovanie pre citlivé dáta; tam, kde to nejde, aspoň vlastný KMS/keystore.
  2. IAM disciplína: identity používateľov aj služieb, krátkodobé tokeny, presné scope, povinné MFA/FIDO2.
  3. Politiky: verzovanie, object lock, lifecycle (archivácia, cold storage), geo-redundancia.
  4. Audit: logovanie prístupov, upozornenia na zmeny politiky, pravidelné „misconfiguration“ skeny.
  5. Právny rámec: DPA, miesto spracúvania, subprocesori, oznamovacie povinnosti pri incidente.

Rozhodovací diagram (stručne)

  • Potrebujem co-editing, zdieľanie s klientmi, minimálnu správu → Cloud (s E2EE).
  • Potrebujem veľké lokálne kapacity, offline prístup a nízku latenciu → NAS.
  • Citlivé dáta + kolaborácia → Hybrid (NAS primár + cloud šifrovaná replika/co-edit len na necitlivé časti).

Checklist implementácie NAS (krok za krokom)

  1. Vyberte platformu (Synology/QNAP/TrueNAS) a RAID podľa RPO/RTO; zohľadnite ECC, UPS.
  2. Zapnite šifrovanie zväzkov/zdieľaní; kľúče držte mimo zariadenia (password manager, HSM).
  3. Nastavte VPN a reverzný proxy; vypnite admin prístup z WAN, obmedzte IP/Geo, aktivujte WAF/Rate limiting.
  4. Vytvorte IAM: skupiny, roly, „deny by default“, audit logy na externé WORM úložisko.
  5. Snapshots + replikácia do cloudu (rclone/restic) so šifrovaním na klientovi.
  6. Test obnova (tabletop + reálna obnova), dokumentácia, pravidelný patching a monitoring.

Checklist implementácie cloudu (krok za krokom)

  1. Zapnite E2EE alebo uistite sa o vlastných kľúčoch/KMS; nastavte rotáciu a zálohu kľúčov.
  2. Nastavte IAM (MFA/FIDO2, least privilege), tagujte zdroje, použite šablóny politík.
  3. Aktivujte verzovanie a object lock; definujte lifecycle a triedy úložiska podľa nákladov.
  4. Monitorujte prístupové logy a anomálie; nastavte alerting.
  5. Overte zmluvy (DPA, subprocesori, miesto spracúvania), urobte DPIA pre citlivé dáta.

Migračné stratégie a vendor lock-in

  • Formáty: preferujte otvorené (tar/zip, zfs send/receive, rclone), vyhnite sa proprietárnym uzamknutým kontajnerom.
  • API kompatibilita: S3-štýl uľahčuje presun medzi poskytovateľmi a NAS (minio/trueNAS S3 gateway).
  • Fázovaná migrácia: najprv necitlivé dáta a cache, potom citlivé po validácii E2EE a IAM.

Typické omyly a anti-patterny

  • RAID = záloha (nie je; chráni pred zlyhaním disku, nie pred chybou používateľa alebo ransomvérom).
  • Verejný NAS s default portmi (ľahký cieľ; použite VPN/reverzný proxy).
  • Cloud bez verzovania/object locku (náchylné na masové vymazanie/zakódovanie synchronizáciou).
  • Nešifrovaná replika off-site (citlivé pri úniku linku alebo poskytovateľa).

Zhrnutie: rovnováha medzi súkromím a komfortom

Cloud vyhráva v komforte, integráciách a škálovaní; súkromie závisí od E2EE a politik poskytovateľa. NAS vyhráva v kontrole a on-prem súkromí; komfort závisí od vašej správy a bezpečnej konektivity. Najpraktickejšia odpoveď je často hybrid: NAS pre citlivé a veľké dáta s lokálnym výkonom, cloud pre kolaboráciu, off-site imunitu a dlhodobú retenčnú politiku. Kľúčom je disciplína v kryptografii, IAM a zálohách – a pravidelné testovanie obnovy.

Related Posts

čistá zmena mrp

Čistá zmena MRP a jej význam v riadení zásob Prístup, cez ktorý sa plán materiálových požiadaviek postupne ukladá v počítači. Ak nastane ľubovoľná zmena v […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *