Cloudové vs. lokální zálohy

Posted on by L. Horváthová
Cloudové vs. lokální zálohy

Účel a kontext: proč řešit cloudové a lokální zálohovací systémy

Rostoucí objem dat, regulace a hrozby (zejména ransomware) nutí organizace navrhovat robustní strategie zálohování a obnovy. Volba mezi cloudovým, lokálním (on-premises) a hybridním řešením přímo ovlivňuje dostupnost, náklady, bezpečnost i provozní flexibilitu. Tento článek systematicky porovnává přístupy, vysvětluje klíčové technologie a nabízí ověřené postupy pro tvorbu strategického plánu zálohování.

Základní pojmy a cíle (RPO, RTO, SLA)

  • RPO (Recovery Point Objective): maximální přípustná ztráta dat v čase (např. 15 minut). Určuje frekvenci záloh a granularitu bodů obnovy.
  • RTO (Recovery Time Objective): požadovaná doba obnovy služby/dat (např. 1 hodina). Ovlivňuje volbu média, topologii a automatizaci.
  • SLA: smluvní závazky dostupnosti a výkonu obnovy – musí být podpořeny testy a metrikami.

Strategie 3-2-1-1-0 a principy odolnosti

  • 3 kopie dat (produkční + 2 záložní).
  • 2 různá média/úložiště (např. disk a objektové úložiště nebo pásky).
  • 1 kopie off-site (jiná lokalita, region, cloud).
  • 1 immutable (neměnná) kopie nebo air-gapped médium (páska/offline).
  • 0 chyb po verifikaci (automatizované testy obnovy a kontrola integrity).

Typy záloh a plánování

  • Plná (Full): kompletní obraz dat; základ obnovy, vyšší nároky na čas a kapacitu.
  • Diferenciální: změny od poslední plné zálohy; rychlejší obnova než inkrementální, větší objem.
  • Inkrementální: jen změny od poslední jakékoliv zálohy; nejúspornější přenos a kapacita, složitější řetězec pro obnovu.
  • Forever-incremental & Synthetic Full: průběžné inkrementy a periodická syntetická plná na cíli bez dopadu na zdroj.
  • CDP (Continuous Data Protection): téměř nulové RPO pomocí journalování blokových změn.

Plánování zohledňuje backup window, saturaci sítě, dopad na produkční systémy a priority dle kritičnosti aplikací.

Cloudové zálohovací systémy: charakteristika a přínosy

  • Elastická kapacita: prakticky neomezené škálování bez investic do hardware.
  • Regionální redundance: volba multi-AZ/region a geo-replikace pro vyšší odolnost.
  • Servisní modely: BaaS/DRaaS (Backup/Disaster Recovery as a Service) s provozní podporou.
  • Bezpečnostní funkce: objektový lock/immutability, verzování, řízené přístupy a auditní logy.

Výzvy: náklady na odchozí data (egress), latence při masivní obnově, závislost na poskytovateli, požadavky na šifrování a jurisdikci dat.

Lokální (on-premises) zálohovací systémy: charakteristika a přínosy

  • Kontrola a suverenita: plné řízení nad daty, médii a provozním prostředím.
  • Rychlá lokální obnova: nízká latence a vysoká propustnost z diskových knihoven, VTL nebo NAS.
  • Páskové knihovny: velmi nízké náklady na TB při dlouhodobé archivaci, fyzický air-gap.

Výzvy: kapitálové náklady (CAPEX), kapacitní plánování, údržba, delší implementační cykly a nutnost externí lokality pro off-site kopii.

Hybridní model: nejlepší z obou světů

Hybridní model kombinuje lokální rychlou obnovu a cloudové “třetí” místo pro neměnnou nebo dlouhodobou kopii. Typicky: lokální diskové úložiště pro krátkodobé RPO/RTO, měsíční syntetická plná do objektového cloudu s zapnutou neměnností a verzováním.

Architektura a komponenty zálohovacího řešení

  • Backup server/konzole: plánování, orchestrace, policy-based řízení.
  • Repository/target: diskové pole, objektové úložiště (S3-kompatibilní), VTL, pásky.
  • Proxy/transport: offload přenosu a deduplikace, akcelerace (CBT/Change Block Tracking).
  • Agent/agentless: aplikačně uvědomělé zálohy (VSS, RMAN, log shipping).
  • Katalog a index: metadata pro rychlé vyhledání a granulární obnovu (soubor, VM, DB tabulka, e-mail).

Deduplikace, komprese a optimalizace přenosů

  • Source-side deduplikace: snižuje šířku pásma, vhodné pro pobočky a cloud.
  • Target-side deduplikace: redukuje spotřebu úložiště, efektivní pro dlouhé retence.
  • Komprese a WAN akcelerace: snížení datového toku; pozor na CPU a latenci.
  • CBT a syntetické plné: minimalizace dopadu na produkci i infrastrukturu záloh.

Šifrování, identita a neměnnost

  • Šifrování v klidu i za provozu: AES-256 na úložišti, TLS 1.2/1.3 při přenosu, řízení klíčů (KMS, HSM).
  • Zero-trust přístup: oddělené identity a účty, MFA pro správu, role-based oprávnění.
  • Immutability/WORM: časově uzamčené objekty; chrání před mazáním či přepisem při kompromitaci účtu.

Replikace, geo-redundance a DRaaS

  • Asynchronní replikace: mezi on-prem a cloudem nebo mezi regiony.
  • Hot/Warm/Cold DR: rychlost obnovy vs. náklady; automatizované runbooky a síťová orchetrace.
  • Testy DR: pravidelné neinvazivní ověřování obnovy (sandbox, izolované sítě, zátěž).

Zálohování aplikací a databází

  • App-aware zálohy: konzistentní snímky (VSS), transakční logy, quiesce mechanismy.
  • Databáze: nativní nástroje (např. RMAN), integrace s katalogem a retenčními politikami.
  • E-mail/SaaS: zálohování cloudových služeb (M365, Google Workspace) nezaměňovat se SLA poskytovatele.

Virtualizace a kontejnery

  • VM: image-based zálohy s CBT, granularita file-level restore z obrazů.
  • Kubernetes: zálohy manifestů, persistentních svazků a etcd; obnova na úrovni jmenných prostorů nebo celého clusteru.

Zálohování koncových stanic a mobilních zařízení

  • MDM/EPP integrace: automatická konfigurace klientů, šifrování a politiky retence.
  • Self-service obnova: uživatelská obnova souborů z portálu s auditní stopou.

Monitoring, audit a řízení rizik

  • Metriky: úspěšnost jobů, využití repository, deduplikace, doba obnovy, měkké a tvrdé chyby.
  • Bezpečnost: detekce anomálních změn (spike modifikací/ransomware), alerting, integrace do SIEM.
  • Audit: neměnné logy, schvalování mazání/retencí, separace povinností (SoD).

Právo, compliance a správa dat (GDPR, retenční politiky)

  • Klasifikace dat: mapování na retenční doby a míru ochrany.
  • GDPR: právo na výmaz vs. povinnost uchování – dokumentujte výjimky, pseudonymizace, šifrování.
  • Umístění dat: regionální a smluvní omezení, přenosy mimo EHP.

Náklady a TCO: modelování rozpočtu

  • CAPEX vs. OPEX: lokální infrastruktura vs. služba.
  • Skryté položky: egress poplatky, dlouhodobé retence, cross-region replikace, správa pásek.
  • Optimalizace: tiering (hot/warm/cold), deduplikace, syntetické plné, inteligentní retence.

Srovnávací tabulka: cloud vs. lokální

Kritérium Cloudové zálohy Lokální zálohy
Škálování Velmi flexibilní Limitováno hardwarem
Rychlost obnovy Závisí na síti; vhodná pro menší objemy Velmi rychlá z lokálního úložiště
Odolnost/geo Multi-region, jednoduché Nutno budovat druhé DC/off-site
Bezpečnost Immutability, role, KMS Plná kontrola, air-gap pásky
Náklady OPEX + egress CAPEX + provoz
Závislost Na poskytovateli Na interních kapacitách

Návrhový postup (reference architektura)

  1. Definujte RPO/RTO pro každou službu a určete priority obnovy.
  2. Inventarizujte data, klasifikujte je a přidělte retenční politiky.
  3. Volte model: lokální pro rychlou obnovu + cloud pro off-site neměnnou kopii (hybrid).
  4. Navrhněte úložiště: disk pro krátké retence, objektové úložiště/pásky pro dlouhé.
  5. Zabezpečte: šifrování, správa klíčů, MFA, RBAC, síťová segmentace a privátní konektivita do cloudu.
  6. Optimalizujte přenos: source-side deduplikace, komprese, plánování oken, syntetické plné.
  7. Automatizujte testy obnovy: pravidelné sandboxové obnovy, ověření konzistence aplikací.
  8. Monitorujte a reportujte: metriky SLA, kapacitu, anomálie, auditní stopy.

Specifika pro velké objemy a kritické systémy

  • Scale-out repository: horizontální škálování cílového úložiště.
  • Paralelizace: více transportních kanálů, vícejádrové proxy.
  • Segmentovaná obnova: priorita pro klíčové služby, postupné dočítání méně kritických dat.
  • DR runbooky: automatická obnova aplikací v pořadí závislostí (DB → middleware → aplikační vrstvy).

Bezpečnostní hrozby a obrana

  • Ransomware: immutable úložiště, offline kopie, oddělené identity a zálohovací sítě.
  • Insider threat: schvalování mazání, četnost kontrol, princip nejmenších oprávnění.
  • Dodavatelský řetězec: hardening zálohovacího softwaru, záplatování, omezení přístupu z CI/CD.

Provozní best practices

  • Dodržujte 3-2-1-1-0 a dokumentujte výjimky.
  • Minimalizujte backup window pomocí CBT a deduplikace u zdroje.
  • Implementujte MFA pro všechny privilegované účty a rotujte klíče.
  • Oddělte produkční a zálohovací síť, používejte privátní peering do cloudu.
  • Provádějte pravidelné testy obnovy a kontroly integrity (checksum, hash, verifikace katalogu).

Časté chyby

  • Spoléhání na poskytovatele SaaS bez vlastní zálohy tenantních dat.
  • Chybějící neměnná/offline kopie a slabé řízení přístupu v konzoli zálohování.
  • Nerealistická RTO/RPO vůči kapacitě sítě a médií.
  • Nedostatečné logování a absence pravidelného testu obnovy.

Příklad hybridní architektury

  • Lokální diskové repository pro 14–30 dní (rychlá obnova VM a souborů).
  • Měsíční syntetická plná do objektového cloudu s 90–365 dny retence a zapnutou neměnností.
  • Roční archiv na pásce s air-gap a off-site uložením.
  • Automatizované čtvrtletní DR testy do sekundárního regionu.

Závěr

Cloudové a lokální zálohovací systémy se nevylučují – naopak se doplňují. Lokální úložiště zajišťuje rychlou obnovu a nízkou latenci, cloud poskytuje elasticitu, geografickou odolnost a pohodlnou neměnnost. Úspěch závisí na realistických RPO/RTO, důsledné bezpečnosti (šifrování, identita, immutability), automatizaci testů obnovy a kontinuálním monitoringu. Hybridní strategie postavená na principech 3-2-1-1-0 je dnes nejpraktičtější cestou k odolnosti vůči incidentům a regulatorním požadavkům.

Related Posts

Čistá mzda

Čistá Mzda: Význam a Výpočet v Investovaní Čistá mzda (netto) predstavuje časť príjmu jednotlivca, ktorá mu zostáva po odpočítaní poistných na zdravotné a sociálne poistenie, […]

Co jsou mikroservisy

Co jsou mikroservisy

Co jsou mikroservisy a proč nahradily monolity: menší nezávislé služby zrychlují vývoj, nasazení i škálování a snižují rizika změn.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *