To jest trzeci odcinek cyklu poświęconego bezpieczeństwu danych w domu i małej firmie. W części pierwszej sporządziliśmy kopię małych plików i wysłaliśmy ją na własną skrzynkę poczty elektronicznej. W części drugiej zainwestowaliśmy w przenośny dysk twardy i przygotowaliśmy harmonogram tworzenia kopii zapasowych.
Dzisiaj domykamy cykl tematem kopii wysyłanej do internetu. Często mówi się przy takiej okazji o tzw. chmurze obliczeniowej. Pamiętajcie! Mówimy „chmura”, myślimy „cudze komputery”. Przy wysyłaniu kopii danych w świat mamy wybór między trzema głównymi opcjami: rozwiązanie typu „zainstaluj i zapomnij” (np. Backblaze), samodzielne wysyłanie plików (np. Amazon S3 Glacier) albo dyski sieciowe czyli usługi do składowania i synchronizacji plików między komputerami (Dropbox, iCloud, OneDrive, Google Drive). Przyjrzymy się im po kolei.
Najpierw jednak ustalmy ważny fakt – dostawcy zewnętrzni mogą zawieść. Jeśli usługodawca utraci twoje dane, zapewne dostaniesz z powrotem zapłacone pieniądze. Niekiedy – umowne odszkodowanie, np. 20 dolarów amerykańskich. A zresztą – jak wycenić w pieniądzu wartość sentymentalną zdjęć z osobami, których już z nami nie ma? Pytanie retoryczne, odpowiedź nie ma znaczenia. Nikt nigdy nie zadeklaruje, że w razie utraty danych przez usługodawcę dostaniesz rekompensatę pokrywającą realne straty. Zdalna kopia nie może być więc jedyną, jaką posiadasz.
Poprawiona zasada 3-2-1
Przypomnijmy wytyczne dotyczące kopii bezpieczeństwa, które zinterpretowaliśmy na nowo w poprzednim odcinku:
- 3 – przechowuj swoje dane w trzech kopiach, oprócz danych w komputerze mają to być co najmniej dwa dodatkowe egzemplarze
- 2 – druga kopia danych ma być odporna na ransomware, a więc nie dać się bezpowrotnie zaszyfrować (nośnik odłączany od komputera albo jednokrotnego zapisu)
- 1 – trzymaj jedną kopię w innym miejscu niż pozostałe, może być na cudzych komputerach
Zainstaluj i zapomnij (Backblaze)
Zanim zainwestujesz w backup online, zadaj sobie pytanie – ile pieniędzy jesteś gotów/gotowa wydać za odzyskanie swoich danych, gdyby w tej sekundzie znikły? Zdaję sobie sprawę, że niektórzy czytelnicy odpowiedzą „okrągłe zero złotych”, bo na domowym pececie wyłącznie grają a wszystkie zapisane stany gry i tak trzyma Steam albo GOG.
Gdy twoja odpowiedź brzmi „setki lub tysiące złotych”, zastanów się nad użyciem usługi backupu chmurowego. Jego główna zaleta – kopia zapasowa robi się sama. Może to być szczególnie ważna cecha, gdy zdarza ci się zawalać harmonogram ręcznych backupów zrzucanych na zewnętrzny nośnik. Dodatkowo – chroniona jest cała zawartość komputera, nie tylko pliki w wybranych katalogach.
W tej kategorii usług mogę śmiało polecić Backblaze, którego używam od wielu lat. Usługa kosztuje 60 USD rocznie, w tej cenie mamy nieograniczony rozmiarem backup danych z jednego komputera. Aplikacja dla systemu Windows działa sprawnie, zużywa nieznaczne ilości pamięci oraz mocy obliczeniowej. Backup może być szyfrowany przed wysłaniem zaś strona WWW obsługuje uwierzytelnianie dwuskładnikowe. Stan backupu możemy „odziedziczyć” przy przesiadce z jednego komputera na drugi, dzięki czemu pliki już obecne w serwerowniach Backblaze nie będą transferowane po raz drugi.
Co zrobić, gdy mamy dwa komputery ale nie chcemy płacić podwójnej ceny? Zawsze można robić backup drugiego komputera na pierwszy komputer i tylko dane z pierwszego zabezpieczać kopią bezpieczeństwa wysyłaną do chmury.
Choć korzystam z Backblaze od lat, nigdy nie musiałem odzyskiwać kompletu danych; jedynie okazjonalnie sprawdzałem proces pobierania kilku losowych plików pochodzących z różnych okresów. Firma oferuje dwie główne metody odtworzenia danych – pobranie ich przez sieć albo przesłanie danych kurierem z USA na pendrive albo dysku twardym (zależnie od nośnika – do 256 GB / 8 TB). Jest to usługa płatna. Gdyby ktoś zechciał przetestować ją moimi rękoma, proszę o kontakt – uzgodnimy szczegóły takiego eksperymentu.
Przy okazji – Backblaze to ta firma, która co kwartał publikuje statystyki awaryjności ponad 150 tysięcy dysków twardych używanych we własnych serwerowniach – wyniki cytowałem na blogu już kilkukrotnie.
Ręczne użycie tanich usług chmurowych
Gdy tworzymy kopię bezpieczeństwa ważnego systemu, musimy mieć do niej dostęp w każdej chwili, by w razie awarii od razu przystąpić do pracy. Często zdarza się jednak, że obszerne archiwa niekrytycznych danych przechowujemy „na wszelki wypadek” i nigdy nie zajdzie potrzeba ich odczytu.
Dostawcy usług chmurowych proponują w takiej sytuacji składowanie danych na napędach taśmowych. Zaletą jest niższy koszt, niż przy użyciu dysków twardych. Wadą – brak natychmiastowego dostępu do danych oraz dodatkowe opłaty za ich odczytanie.
Przykładową usługą tego typu jest AWS S3 Glacier (glacier to po angielsku lodowiec). Gdy piszę te słowa, przechowanie danych kosztuje tam 0.004 dolara za gigabajt miesięcznie, gdy zaś zaakceptujemy wydłużony czas dostępu do danych, możemy ściąć tę cenę do mniej niż 0.001 dolara za gigabajt. Oznacza to, że zawartość typowego dysku twardego (500 GB) przechowamy w sieci już za pół dolara miesięcznie. Wydamy więc tyle, ile kosztowałby najtańszy dysk przenośny (50 USD) wymieniany co cztery lata – przy bez porównania mniejszym ryzyku awarii i utraty danych (AWS przechowuje dane w kilku kopiach i zapewnia o iście kosmicznej niezawodności usługi wynoszącej 99.999999999%).
Pamiętajmy jednak, że dostęp do danych jest płatny dodatkowo. W podstawowej opcji (do kilku godzin oczekiwania) pobranie wspomnianych 500 GB będzie kosztować 45 dolarów. Tryb przyspieszony (kilka minut oczekiwania) to już 60 dolarów. Widać więc, że taka kopia danych będzie tania tylko wtedy, gdy… nigdy nie zajdzie potrzeba jej użycia. Dla wielu osób kluczowe znaczenie będzie miała jednak odporność na kradzież lub pożar. Wówczas nawet drogi backup jest lepszy niż brak backupu.
Jeśli chcesz sprawdzić backup w chmurze Amazona (nowi klienci otrzymują 5 GB darmowej przestrzeni AWS S3 na rok), możesz przy okazji wypróbować program FastGlacier ułatwiający pracę z S3 Glacier. Jego główna zaleta to możliwość wielowątkowego transferu danych i wznawianie wysyłki w razie problemów z połączeniem.
Czy backup do sieci jest dla każdego?
Czas przyjrzeć się najistotniejszym wyzwaniom związanym ze zdalnymi kopiami bezpieczeństwa.
Jeśli obowiązują cię limity transferu (np. przy dostępie przez sieć komórkową), backup typu „zainstaluj i zapomnij” raczej nie wchodzi w grę. Paczka danych do wykorzystania w typowych abonamentach to kilkanaście lub kilkadziesiąt gigabajtów. Ja z tegorocznych wakacji przywiozłem kilkaset giga nagrań wideo, przy moich limitach backup tylko tych zasobów zająłby prawie rok.
Problem nie ogranicza się jedynie do użytkowników korzystających z limitowanych łączy. Jeśli na co dzień zajmujesz się obróbką wideo (albo innymi zastosowaniami, w których na komputerze będą pojawiać i znikać terabajty danych), backup wysyłany do internetu będzie zbyt wolny i zbyt drogi.
Tu może pojawić się wątpliwość – czemu internet miałby być za wolny, skoro w domach mamy łącza o przepustowości sięgającej tysiąca megabitów na sekundę? Otóż reklamowana prędkość to parametr opisujący wydajność pobierania danych. Wysyłanie jest z reguły kilka-kilkadziesiąt razy wolniejsze. Ma to sens, bo typowy użytkownik raczej ściąga niż wysyła duże pliki i częściej ogląda materiały audio-wideo niż je transmituje.
Spójrzmy na oferty dużych dostawców internetu stacjonarnego:
Widzimy, że w popularnych ofertach łącze „w górę” ma często raptem 5-10% przepustowości łącza „w dół”.
Ile potrwa backup do chmury?
Jeśli chcesz odświeżyć sobie terminologię i jednostki opisujące rozmiary plików i dysków, zajrzyj do tego artykułu.
Powyższa tabelka prezentuje dość optymistyczne czasy transferu przykładowych danych przez łącze internetowe – w sieciach TCP/IP można spodziewać się około 3/4 deklarowanej wydajności urządzeń. Przepustowość sprzedawana przez dostawców internetu dotyczy odcinka od użytkownika do urządzenia sieciowego dostawcy. Osiągana prędkość będzie zależała przede wszystkim od tego, co dzieje się dalej, czyli od obciążenia łączy międzyoperatorskich i docelowego serwera, z którym wymieniamy dane.
Mój backup w Backblaze zajmuje 2.5 TB i trwał około 3 tygodni na łączu internetowym 100/50 Mbit/s. Komputer był włączony przez większość tego czasu, natomiast aplikacja Backblaze na komputerze automatycznie dostosowywała prędkość wysyłania danych tak, aby nie zatykać łącza samym tylko backupem. 315 GB filmów z wakacji to jakiś tydzień uploadu, tym razem z wyłączaniem komputera na noc.
Chyba każdy dostawca usługi zdalnego backupu pozwala wypróbować ją za darmo. Warto skorzystać z takiej możliwości by upewnić się, że serwery usługodawcy będą w stanie przyjmować dane z taką prędkością, jaką oferuje nasze łącze.
Kilkukrotnie zdarzyło mi się ręcznie pauzować backup – np. wtedy, gdy przetwarzałem na komputerze milion małych plików, by na końcu spakować je wszystkie do jednego archiwum. Nie było sensu pozwalać aplikacji Backblaze na ich indeksowanie, skoro na dysku pojawiały się jedynie na chwilę.
Wariant hybrydowy: NAS + chmura
W poprzednim odcinku wspominaliśmy o urządzeniach NAS, dających dostęp do dysków twardych (połączonych w macierz) przez lokalną sieć komputerową. Co ważne w kontekście kopii „chmurowej”, urządzenia tego typu często oferują możliwość automatycznego backupowania danych na zewnątrz.
Oprócz integracji NAS-ów z usługami wymienionymi wyżej, warto wspomnieć m.in. o Nextcloud Files czyli darmowym oprogramowaniu do składowania i wymiany danych, swego rodzaju prywatnej chmurce (kłaczku?). Jest to opcja dla „majsterkowiczów” którzy wiedzą co robią. Na pewno zyskują oni dużo większą swobodę w doborze komponentów sprzętu, lokalizacji serwerowni i parametrów łącza, co może korzystnie wpłynąć na koszty eksploatacji. Po stronie minusów mamy oczywiście konieczność zadbania o aktualizacje oprogramowania i niezawodność usługi (m.in. monitorowanie zajętości i stanu dysków nie tylko w NAS, ale i po drugiej stronie łącza).
A może Dropbox / iCloud / OneDrive / Google Drive?
Podstawową rolą wymienionych serwisów jest synchronizowanie plików między komputerami. Ich użycie oznacza zatem ryzyko rozpowszechniania złośliwego oprogramowania, bo przecież do synchronizowanego katalogu mogą trafić zainfekowane pliki wykonywalne albo dokumenty pakietu Office. Jeśli na jednym komputerze ransomware zaszyfruje nam dane, wskutek synchronizacji ich zawartość przepadnie także na pozostałych maszynach.
Owszem, każdy z tych tzw. „dysków sieciowych” oferuje jakąś formę odzyskania poprzednich wersji plików, jednak nie kontrolujemy interwału ich sporządzania. Dodatkowo – okres przechowywania takich danych zależy od wybranego planu abonamentowego, o czym wiele osób dowie się, gdy będzie za późno.
Dropbox i spółka działają w obrębie jednego lub kilku katalogów. Jeśli zapiszemy dane gdzie indziej, „dysk sieciowy” całkowicie je zignoruje. Sztuczki i kruczki pozwalające na backup całych napędów mogą po cichu przestać działać, o czym przekonasz się próbując odzyskać dane z pustego repozytorium.
Nie traktujcie Dropboxa jako kopii bezpieczeństwa. To dobra usługa i sam z niej korzystam, ale nie spełnia wymogów stawianych backupom.
Podsumowanie
Tym odcinkiem kończymy trzyczęściowy cykl o tworzeniu kopii bezpieczeństwa. Mam nadzieję, że od dawna zabezpieczasz swoje dane. Jeśli nie – wróć do odcinka pierwszego i zrób backup najważniejszych plików już dziś. Potem przejdź do odcinka drugiego, zdobądź pendrive albo przenośny dysk twardy i zrób kopię wszystkich plików.
Nie wspomniałem o wielu obszernych i ważnych zagadnieniach, m.in. o tym, jakie dodatkowe wymogi dotyczące sporządzania i przechowywania backupów stawia firmom RODO – ale to już wiedza wykraczająca poza ramy niniejszego cyklu. Póki co zadbaj, by nie utracić zdjęć i innych ważnych dokumentów. Jeśli masz firmę – przypilnuj, by zabezpieczyć ciągłość jej działania w razie kradzieży lub pożaru.
Zasada 3-2-1
- 3 – przechowuj swoje dane w trzech kopiach, oprócz danych w komputerze mają to być co najmniej dwa dodatkowe egzemplarze
- 2 – druga kopia danych ma być odporna na ransomware, a więc nie dać się bezpowrotnie zaszyfrować (nośnik odłączany od komputera albo jednokrotnego zapisu)
- 1 – trzymaj jedną kopię w innym miejscu niż pozostałe, może być na cudzych komputerach
W tym tekście znajdują się linki afiliacyjne. Jeśli z nich skorzystasz, dostanę niewielką prowizję od Twoich zakupów. W zamian będę cyklicznie publikował informacje o finansowej stronie bloga – z uwzględnieniem takich właśnie przychodów.
O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.
13 odpowiedzi na “Kopie bezpieczeństwa w domu i małej firmie – część 3”
Dodajmy jeszcze jedno pytanie. Czy twoje dane są na tyle bezwartościowe dla ciebie, że możesz ujawnić je osobom trzecim? Tak, operatorzy składowania w chmurze to osoby trzecie. Dlatego backup powinien być szyfrowany, każdy. U mnie robi to automatycznie LUKS, więc muszę pamiętać o kopiach również kluczy szyfrujacych – w zabezpieczonym archiwum. Ostatnie hasło (do archiwum kluczy) jest w głowie 🙂
Warto wspomnieć o takiej opcji jak https://www.arqbackup.com/ – czy to jako usługa, czy też “tylko” jako aplikacja do backupowania w niemal dowolnej “chmurze”. Działa z backblaze B2, tańszym Wasabi czy też Google Cloud Storage (część GCP, nie mylić z Google Drive) – które jest jeszcze tańsze ale tylko używając klasy Archive w odpowiednim regionie.
Czyli chyba najlepiej mieć NASaa (FreeNAS/NextCloud) i go potem kopiować do Backblaze.
Ja już w tej chwili muszę sobie złożyć NASa na 30-40TB – szukam jakieś sensownej obudowy.
A może jednak Google Drive?
Dlaczego nie można liczyć tej usługi jako jednej kopii? Do tego NAS robiący backup GDrive/dropboxa na dysk lokalny (tak, w drugą stronę) i trzecia kopia na dysk offline raz na jakiś czas. Ciekawe było by też kopiowanie wspomnianego GDrive do Amazon S3 Glacier (czy liczyłoby się to jako 2 kopie?).
Rzeczywiście używam stacjonarki z Windowsem już tylko do Steama, a dysk laptopa traktuję jako trochę bezpieczniejszy RAM-dysk, na którym zdjęcia leżą co najwyżej kilka tygodni przed wrzuceniem do chmury. I nie, nie boję się że Google wykradnie i sprzeda moje zdjęcia z wakacji. Ważne tylko żeby odpowiednio zabezpieczyć sobie takie konto (np. kluczem FIDO, albo po prostu 2FA). Zasadniczo, GSuite traktuję jako mój „komputer” na którym trzymam i przeglądam pliki (jest to bardzo wygodne), a komputery i telefony jako terminale dostępowe.
„GSuite traktuję jako mój „komputer” na którym trzymam i przeglądam pliki”
Nie minął jeszcze tydzień od ogólnoświatowego padu usług Google. Póki co leżały ok. pół godziny. Jaki masz plan na sytuację, w której GSuite padnie i nie będzie wiadomo, kiedy wstanie? Na przykład po tygodniu, jak Eurobank, albo nigdy, jak mniej znane usługi?
Dlaczego traktujesz awarię usług Google gorzej niż awarię jednej kopii danych? Przecież jest jeszcze wspomniana kopia na NAS, do której jest dostęp niewiele trudniejszy.
Jeden haczyk to synchronizacja dokumentów gdoc. Osobiście swoje wszystkie 5 dokumentów trzymam w kopii offline na telefonie i komputerze. Jeżeli bym wykorzystywał gdoc intensywniej, zgłębił bym temat automatycznej konwersji przy synchronizacji na format MS Word albo podobny.
„I nie, nie boję się że Google wykradnie i sprzeda moje zdjęcia z wakacji. ” Ja powiem lepiej, miałem wykupione 100GB do sprawniejszego backupu fotek z smartfona. Zalecam zaznajomić się jak google dało ciała pod hasłem – google zdjęcia błąd takeout – Tak się zastanawiam od kiedy ten proceder występował bo kilkukrotnie(w różnych długich odstępach w pobieraniu archiwizacji z takeout) znalazłem nie swoje filmy. Takich cyrków jak gogle ma to na dyskach microsoft i appla nie widziałem i nie czytałem. Google wiele razy miało podobne wtopy więc uwazajcie jakie to filmy,zdjecia robicie. Bo ja nie miałem tam wakacji :/
„Ludzie dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili” 😉
Dzięki za wpis i wszystkiego dobrego w 2021 dla wszystkich czytelników bloga!
i na tych którzy sprawdzają czy backup działa 🙂
Ja należałem do grupy osób, która nie robi kopii zapasowych. Do momentu, kiedy mój dysk padł. Diagnostyka wskazała bodajże 13000 bad sectorów. Najważniejsze dane udało się uratować. Teraz korzystam z OneDrive do zapisywania „pracowych” rzeczy.
Backblaze wspiera tylko Windowsa na PC 🙁
Bez żadnego trollingu, w domu 3 na 4 PC to linuksy, jedna winda i MacOS do tego (ale ten jest wspierany). Oczywiście dysk na windowsowym komputerze zdecydowanie za mały by pomieścić resztę. Ale AWS s3/glacier działa
Przy czterech komputerach stawiałbym NAS-a i z niego robił backup do chmury.
Backblaze Personal na pierwszy rzut oka jest super rozwiązaniem, ALE gdy przyjrzymy się bliżej, niestety dość szybko można znaleźć jego spore wady. Ogólnie trzeba mieć świadomość, że BB Personal to bardziej mirror niż backup (https://help.backblaze.com/hc/en-us/articles/360035247494-Version-History-FAQ)
Główne wady dla mnie:
1. Obsługa dużych plików może być problematyczna, np. wersjonowanie co 48h (https://help.backblaze.com/hc/en-us/articles/217666728-How-does-Backblaze-handle-large-files-). Czyli np stan mojego WSL2 nie będzie nigdy aktualny w chmurze.
2. Absurdalny sposób budowania wykluczeń – nie możesz wykluczyć katalogu z konkretnego dysku, ponieważ na nazwę dysku nałożony jest wildcard (https://help.backblaze.com/hc/en-us/articles/217664948-How-do-I-exclude-folders-file-types-or-file-sizes-). Ogólnie słabo, że istnieje tylko opcja Exclude, ale nie ma Include
3. Sformułowanie na ich stronie „Backblaze also doesn’t backup backups…”, również budzi mój niepokój w temacie czy np. moja manualna kopia z EaseUS zostanie skopiowana do chmury
Wydaje się, że Backblaze B2 to jest dopiero coś, co można potraktować jak prawdziwy backup w chmurze. Rclone sprawnie szyfruje i przesyła dane, a przede wszystkim w 100% to Ty decydujesz co kopiujesz i kiedy.
Nie mniej, Backblaze Personal w dalszym ciągu będzie dobrym narzędziem, które można zainstalować osobom nietechnicznym i uchronić ich przed utratą całkowicie wszystkiego
Pozdrawiam,
Fan bloga