Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Dosje
Objavljeno: 26.6.2024 | Avtor: Jure Forstnerič | Monitor Julij-avgust 2024 

Zavarovani poslovni oblak

Računalništvo v oblaku je prepričalo mnoga podjetja, sploh manjša, ki s tem dobijo odlične storitve po sprejemljivih cenah. A tudi pri poslovnem oblaku moramo za marsikaj poskrbeti sami.

Na prejšnjih straneh smo zapisali, da imamo kot uporabniki storitev oblaka še vedno odgovornost do podatkov, ki jih nalagamo vanj – odgovorni smo tako za prijavne podatke in njihovo varnost kot za varnostno kopijo. Nič drugače ni v poslovnem svetu, v resnici so tovrstna vprašanja še pomembnejša.

Ne gre namreč več le za naše osebne podatke, temveč za podatke, na katerih temelji naše poslovanje – za podatke naših strank, kjer smo že zakonsko zavezani k odgovornosti. Skratka, pri morebitni izgubi gre za nevarnost, ki lahko za podjetje pomeni konec poslovanja.

Ne gre več le za naše osebne podatke, temveč za podatke, na katerih temelji naše poslovanje.

'Ajtijevci' smo se pred desetletjem ali več trudili vodstvo podjetja prepričati, da je za kakšno storitev vseeno bolje, da se jo prepusti tistim, ki jo res obvladajo, četudi to stane nekaj več oziroma pomeni sklenitev naročnine. Zdaj je ravno obratno – od vodilnih slišimo idejo, da »saj je v oblaku, torej je že varno«. Tiste, ki smo jih prepričali o smotrnosti 'oblačne' varnostne kopije, moramo zdaj prepričevati, da bi bilo smiselno urediti pretok podatkov tudi v drugo smer – torej lokalno, imeti on-premise backup oziroma varnostno kopijo tega, kar je v oblaku.

Pogodbe, pogodbe …

Pri ponudnikih storitev v oblaku poznamo formalizirani model deljene odgovornosti – Shared Responsibility Model. Ta natančno pove, kje se konča odgovornost stranke (torej podjetja, ki najema računalniške in informacijske kapacitete) in kje začne odgovornost ponudnika.

Najosnovnejša stopnja najema oblačnih zmogljivosti je t. i. Infrastructure as a Service (IaaS). Tu odgovornost za fizično opremo (strežnike in njihove komponente), omrežno opremo in za dejanski prostor (torej podatkovni center, vključno z dostopi do njega, napajanjem, s hlajenjem itd.) predamo ponudniku storitev. Največji tovrstni ponudniki so seveda Amazon, Microsoft in Google, v tem vrstnem redu, obstaja pa še veliko manjših, od domačih ponudnikov do večjih, kot so Hetzner, Linode in podobni. Vse, kar je 'nad' to opremo, torej operacijski sistem (Linux, Windows Server), njegove nadgradnje, aplikacije in seveda tudi podatki ter dostopi do vsega skupaj so v domeni najemnika.

Naslednja stopnja storitev, Platform as a Service (PaaS), le spremeni mejo – ponudniku prepustimo tudi operacijski sistem, včasih tudi omrežne dostope in celo aplikacije, denimo pri oblačnih podatkovnih zbirkah SQL, spet pa je uporabnik sam odgovoren za podatke in upravljanje.

Vrh piramide predstavljajo zaključene rešitve, torej Software as a Service (SaaS). Najenostavnejši primer je elektronska pošta (Gmail, Microsoft 365), kjer pa smo še vedno sami odgovorni za podatke in upravljanje. Kar vključuje tudi administratorske dostope.

… in odgovornost!

Z odgovornostjo za podatke in upravljanje seveda pride tudi odgovornost za izdelavo varnostnih kopij. Primerov, kjer je podjetje izgubilo vse, kar je bilo v oblaku, je presenetljivo veliko. Razlogov oziroma nevarnosti je veliko. Zgodilo se je že, da je podatkovni center enostavno zgorel ali da ga je resna nevihta vsaj začasno odrezala od svetovnega spleta. To so sicer redkosti, a se lahko zgodijo. Največja nevarnost je seveda človeški dejavnik – napaka nekoga pri ponudniku ali napaka na naši strani, pri našem administratorju. Ali nas samih kot končnem uporabniku nekih storitev.

Spomnimo na zanimiv primer, ko je Google enostavno izbrisal račun avstralskega pokojninskega sklada UniSuper. Sklad, ki bdi nad 135 milijardami dolarjev, je imel podatke v Google Cloudu v dveh geografskih regijah, a je izbris naročnine na Google Cloud povzročil izbris podatkov v obeh regijah. Napaka se je zgodila pri Googlu, pri osnovni konfiguraciji računa, kjer so pozabili odkljukati potrebno polje, zaradi česar ni bilo nastavljeno samodejno podaljšanje računa, ampak se je račun po določenem obdobju samodejno – ugasnil. Ker je imel sklad še dodatne varnostne kopije pri drugem oblačnem ponudniku, jim je uspelo povrniti originalno stanje. A lekcija je poučna.

Včasih podatkovni center tudi enostavno zgori.

Poleg takih, sicer redkih primerov, ko so težave na strani ponudnika, je mnogo več primerov, kjer podjetje v težave zabrede samo. Brali smo že o administratorjih, ki so prejeli odpoved, in v jezi začeli brisati vse, kar so lahko. Taki primeri se pogosto sicer končajo na sodiščih in celo v zaporih, a vprašanje je, ali to odtehta izgubo podatkov in poslovno škodo v podjetju.

Slišali smo tudi že za primere, ko se je v podjetju enostavno pozabilo ali izgubilo administratorske poverilnice za sistem. Saj vemo, kako to gre – nekdo vzpostavi spletno stran nekje v oblaku in zadeva bolj ali manj teče, samodejno. Čez nekaj let, ko moramo kaj urediti, nihče več ne ve, kako se je vse skupaj uredilo. Originalnega vzpostavitelja pa v podjetju morda celo že dolgo ni več. Slišali smo celo za sisteme, ki jih je »nekdo nekoč postavil, pa ne vemo, kako, zato se tega ne upamo dotakniti«.

Včasih podatkovni center tudi enostavno zgori.

In seveda obstaja še 'dejavnik avtobus' – ocena tveganja, ki ga predstavlja znanje, koncentrirano v eni osebi, glavnem administratorju. Kako se bo podjetje odzvalo, če njihovega glavnega administratorja povozi avtobus? So postopki in dostopi kje dokumentirani, ima še kdo drug dostop do oblačnih storitev? Podjetja, ki ponujajo te storitve, se sicer zavedajo tovrstnih nevarnosti in pogosto ponujajo načine, da se dokopljemo do storitev (denimo z dokazovanjem, da predstavljamo podjetje, ki plačuje račune), a lahko to traja tudi več dni ali celo tednov. Vmes pa je seveda koristno imeti podatke še kje na voljo.

Kaj je na voljo?

Rešitev za izdelavo varnostnih kopij oblačnih storitev je v poslovnem svetu bistveno več kot pri zasebnih, domačih uporabnikih, tudi nabor teh storitev in njihove funkcionalnosti so drugačni. Predvsem je pri večini tudi programski dostop prek vtičnikov API, kar pomeni, da ima razvoj dopolnilnih programov (kamor lahko štejemo tudi programe za izdelavo varnostnih kopij) smisel.

Veliko teh storitev tudi že samih ponuja možnosti izdelave varnostnih kopij. Od tega, da redno izdelujemo kopijo virtualne naprave in jo shranjujemo v drugo geografsko regijo, do hrambe izbrisanih podatkov in starejših različic datotek za določeno časovno obdobje (retention). Te vgrajene možnosti se seveda dodatno zaračunavajo, so pa dobro integrirane v osnovne zmogljivosti ponudnika. Seveda pa smo s tem še vedno vezani na enega in edinega ponudnika. Spomnimo na zgoraj omenjeni primer avstralskega pokojninskega sklada – varnostna kopija v drugi Googlovi regiji popolnoma nič ne pomaga, če pride do izbrisa celega poslovnega računa oziroma okolja. Hkrati je omejitev take varnostne kopije delujoča spletna povezava – če pride do (hipotetično, seveda) resnejših poplav in je naše področje več dni brez dostopa so spleta, nam oblačna varnostna kopija pride 'manj' prav, kot če bi imeli kopijo na fizično dostopni lokaciji (lastnem strežniku).

Okolje rešitev tretjih ponudnikov je zato široko, na voljo so programi različnih izdelovalcev z različnimi zmogljivostmi in cenovnimi pristopi. Večina jih omogoča izdelavo varnostne kopije lokalno, na lastnih strežnikih. Nekateri pa omogočajo tudi prenos v druge oblake – naredimo lahko varnostno kopijo okolja Microsoft 365 v drugo oblačno hrambo, kot je Wasabi, Backblaze ali pa seveda AWS ter Google.

Google je pred kratkim iz svojega oblaka enostavno izbrisal račun avstralskega pokojninskega sklada.

Med največjimi igralci na tem področju sta nemški Veeam in Acronis, majhnim podjetjem pa bi priporočili tudi rešitve, ki so vgrajene v strežnike NAS nekaterih proizvajalcev – tu prednjačita Synology in Qnap. Oba namreč ponujata programske pakete za izdelavo varnostnih kopij oblačnih storitev, kot sta Microsoft 365 in Google Workspace.

Kot podjetje se moramo strategije upravljanja podatkov lotiti celovito in strukturirano. Tudi če smo le samostojni podjetnik, se moramo v vsakem trenutku zavedati, kaj so naši ključni podatki. Je to elektronska pošta? Oblačne hrambe datotek (Google Drive, OneDrive)? Koledarji, pogovori v poslovnih aplikacijah tipa Slack in Teams? Poslovne aplikacije, ki po možnosti tečejo v kakšni spletni virtualki ali pri nekem ponudniku te aplikacije?

Poleg vprašanja, kje se ti podatki nahajajo, se moramo zavedati tudi, kako do njih dostopamo. Nedvomno velja vklopiti večfaktorsko avtorizacijo, torej MFA, spet pa moramo poskrbeti za primer, ko način za to avtorizacijo izgubimo (denimo telefon z ustrezno aplikacijo). Šele ko vemo, s katerimi podatki razpolagamo, kje se nahajajo in kdo ima do njih dostop (ter kako), se lahko lotimo vprašanja, kako urediti varnostne kopije.

Najenostavnejši način je nakup zmogljivejšega strežnika NAS in uporaba v njem vgrajenih programov za ustvarjanje varnostnih kopij iz oblaka v lokalno omrežje. Naprednejša možnost je uporaba namenskega programa (denimo Veeam ali Acronis), ki ga namestimo na strežnik, z njim pa delamo kopije v različnih smereh – iz lokalnega okolja v oblak, iz oblaka na podatkovni strežnik, od tam pa po možnosti še v drug oblak.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov