Oblak – ne več samo za pogumne
Še pred petimi leti smo na tehnoloških konferencah poslušali le zmerno optimistične napovedi, da se bo zaupanje v oblačne storitve le počasi večalo in da bo minilo še kakšnih 15 let, da bo oblak postal del našega vsakdana. Kljub temu danes zelo veliko podjetij že shranjuje podatke v oblak ali pa se aktivno spogleduje s to zamislijo.
Če odmislimo tiste, ki zagovarjajo zmeren pristop k shranjevanju podatkov podjetja v oblaku, v podjetjih najdemo dve skrajnosti. Na eni strani imamo odločevalce, ki bi se radi čim bolj ali pa povsem znebili infrastrukture IT na lokaciji podjetja in vse preselili v oblak. Na drugi strani pa so tisti, ki so prepričani, da jim bodo ameriške obveščevalne službe dostopale do podatkov, zato so podatki varnejši v samem podjetju.
Prvi morda ne pomislijo na to, da bo z nekaj terabajti podatkov in povezavo ADSL povsem nemogoče delati, drugi pa se najbrž še nikoli niso vprašali, kako je v resnici poskrbljeno za varnost v njihovem podjetju.
Hitrost povezave v internet je pomembna
Ob hitrem razmisleku ugotovimo, da je najpomembnejši pogoj za uspešno hrambo podatkov v oblaku prav hitrost povezave v internet, za katero je idealno, da je simetrična in vsaj 100 Mbit/s. Najosnovnejši paket, ki ga najdemo v malih podjetjih, ima danes hitrost 100/10. Če bi hotelo podjetje ob taki povezavi pretočiti v oblak 1 TB podatkov, bi za to potrebovalo kar dobrih 9 dni. Res pa je, da je prva varnostna kopija (backup) vedno zajetna in da se nato prenašajo samo spremenjeni podatki, to pa precej skrajša čas, potreben za dnevno varnostno kopijo. Na 100 Mbit/s simetrični povezavi bi za tako količino podatkov potrebovali že precej bolj sprejemljivih 22 ur.
»Spletna varnostna kopija« ni isto kot shramba v oblaku
Shramba v oblaku (Goole Drive, OneDrive, Dropox) je primarno namenjena deljenju datotek med različnimi uporabniki v delovnih skupinah oziroma za deljenje z zunanjim svetom. Rešitve spletnega varnostnega kopiranja pa tega ne omogočajo in prav je tako.
Če pretirano poenostavimo: spletna varnostna kopija je primeren za zapisovanje velikih količin podatkov v smeri od uporabnika v oblak, pri tem pa upamo, da nikoli ne bo treba izvajati nasprotne funkcije (obnove podatkov). Marsikatera programska rešitev za varnostno kopiranje (Cloudberry, razširitve za sisteme NAS) zna odlično sodelovati s storitvami, kot so Amazon S3 ali Microsoft Azure, ne omogočajo pa zapisovanja rezervnih kopij podatkov v OneDrive ali Dropbox.
Slednje storitve so torej namenjene temu, da lahko udobno delamo od koderkoli, da lahko enostavno delimo datoteke s sodelavci, torej za sprotno uporabo, za integracijo z backup rešitvami pa so primerne namenske storitve, kot sta, denimo, Microsoft Azure ali Amazon S3 in Amazon Glacier in druge. Seveda pa nekatere backup programske rešitve znajo zapisovati tudi v Dropbox, Google Drive in druge podobne storitve.
Spletna varnostna kopija v oblaku ne sme biti edina varnostna kopija
Si predstavljate, da vaš edini backup, ki je lociran v oblaku, »tehta« nekaj terabajtov? Tja ste spravljali na varno praktično vse podatke, tudi slike strežnikov, kar vam omogoča, da v primeru popolne odpovedi strojne opreme opravite tako imenovani »bare-metal restore«, oziroma lahko restavrirate strežnik na povsem novo strojno opremo. Ko pride do nenadejanega dogodka, sprožite restavriranje in ... čakate nekaj dni, da se vsi podatki pretočijo nazaj k vam, vsi v podjetju pa medtem gledajo v zrak, ker jim kaj drugega tudi ne preostane.
Spletna varnostna kopija je primeren način zapisovanja v oblak, pri tem pa upamo, da nikoli ne bo treba izvajati nasprotne funkcije (obnove podatkov).
Dobra praksa je torej shranjevanje podatkov v vsaj treh različnih kopijah, na različnih lokacijah in nosilcih. Prva kopija je na hitro dostopnem diskovnem sistemu (na primer NAS), ki ga imamo v samem podjetju. V prej opisanem primeru bi bilo restavriranje podatkov s takega sistema NAS vprašanje ur in ne več dni. Druga kopija podatkov je lahko na traku in eno kaseto v setu imamo shranjeno na varnem v bančnem sefu. Če so podatki na najhitreje dostopni varnostni kopiji nedosegljivi, je skok do banke še vedno le vprašanje ur. Tretja lokacija za varnostno shranjevanje pa naj bo oblak, ki je namenjen za izhod v sili. V primeru izjemnih dogodkov, denimo poplav, potresov, vojn, so ti podatki podjetju še vedno dosegljivi in so morda spravljeni celo na drugi celini.
V okvirčku predstavljamo rešitev, ki zadosti tem dobrim praksam in je uporabna v manjših podjetjih.
Kaj pa cena?
Se sliši 4,5 evra na mesec za varovanje terabajta podatkov veliko? Takšna je cena v storitvi Amazon Glacier. Kaj pa 11 evrov v Microsoft Azure? V zadnjih letih je velika konkurenca na tem področju naredila svoje. Cene shranjevanja v oblak so se v zadnjih letih močno znižale in pričakovati je, da se bo to nadaljevalo tudi v prihodnosti.
Dali smo sicer dva primera res izjemno nizkih cen. Zavedati pa se moramo, da smo s tem kupili le gigabajte. Nekateri ponudniki posebej zaračunavajo količine, prenesene v shrambo in iz nje. Amazon in Microsoft tudi ne ponujata posebne programske opreme (odjemalca), s katero bi podatke lahko prenašali v storitev in iz nje. Poseči je treba po programski opremi drugih izdelovalcev.
Ko smo ravno pri cenah, omenimo, da imajo veliki ponudniki v spletu objavljene tudi posebne kalkulatorje, s katerimi si lahko zelo na približno izračunamo mesečni strošek. Žal je realnost taka, da je zelo težko oceniti dejanske potrebe posameznega podjetja. Šele nekajmesečna uporaba lahko pokaže vsaj približno sliko. Številke, ki jih dobimo iz kalkulatorjev, so torej le približek. Preveč je namreč spremenljivk, ki vplivajo na končno ceno za uporabnika. Koliko gigabajtov bo dejansko porabljenih, koliko podatkov bo prenesenih v oblak, koliko iz njega? In potem naletimo še na malce bolj nejasne količine, kot so put, list in create container operacije, ki jih, denimo, Microsoft zaračuna po 0,084 evra za deset tisoč teh operacij. Lahko ocenite, koliko milijonov jih boste res potrebovali? Težko.
Cloudberry Backup
V Microsoft Azure ali Amazon S3 ob najemu prostora v strežniku ne dobimo posebne programske opreme, ki bi se znala sama priključiti v te shrambe in shranjevati podatke vanje. Lahko si seveda rešitev sprogramiramo sami, najbolj smiselna pa bo uporaba namenskih programov, ki so že na trgu in odlično opravljajo to nalogo. Eden izmed izdelovalcev je tudi Cloudberry Lab, ki je v zadnjih nekaj letih nanizal že celo vrsto izdelkov, ki se odlično povezujejo v shrambe v oblaku (Amazon S3 in Glacier, Microsoft Azure, Google Cloud, Rackspace in IBM Softlayer). Poleg povsem običajnega povezovanja v te storitve pa zna podatke tudi kriptirati, preden gredo »iz hiše«. Še več. Tudi imena datotek znajo nepovabljenemu gostu razkriti kar precej o sami vsebini datotek, zato Cloudberry poskrbi tudi za to – če želimo, lahko šifiramo tudi sama imena datotek.
Najbolj pogosti pomisleki
Oblak ni zanesljiv. Kaj pa, če se pri ponudniku storitve kaj zgodi in se moji podatki izgubijo? Podatkovni centri ponudnikov javnih oblakov so zelo kompleksni, pa vendar je poskrbljeno, da so vsi kritični sistemi več kot podvojeni. V rabi je več ponudnikov interneta, poskrbljeno je za redundančno oskrbo z elektriko in za vsak primer imajo še svoje agregate (lahko je tudi nasprotno – imajo lastno proizvodnjo elektrike in je javno omrežje namenjeno zasilnemu preklopu) in vsak podatek je zapisan na več mestih znotraj enega podatkovnega centra, lahko pa tudi na drugi celini. Kje je torej večja verjetnost za izgubo podatkov? V malem slovenskem podjetju ali v Amazonovem, Googlovem, Microsoftovem oblaku? Po drugi strani pa seveda ni niti približno dovolj, da se za primer rezervnega kopiranja podatkov zanašamo samo na oblak. Od viška ne boli glava.
Oblak je velika tarča za napade. Drži. Je pa s stališča potrebnih virov za izvedbo napada precej bolj verjetno, da bo uspešen napad (denimo napad DDoS) na infrastukturo v podjetju, ne pa na celotno infrastrukturo ponudnika storitev v oblaku. Poleg tega ponudniki namenjajo ne prav majhne vsote denarja za krepitev varnosti in zagotavljanje redundance in za sisteme, ki aktivno odbijajo poskuse vdorov in onemogočanja storitev. Drži kot pribito, da za slabe varnostne prakse strank ne morejo biti krivi ponudniki.
Obveščevalne službe (predvsem ameriške) bodo imele dostop do mojih podatkov. Res je, da so Snowdnova razkritja šokirala predvsem zato, ker so bili celo znanstvenofantastični filmi premalo drzni v prikazovanju tega, kaj je sploh mogoče. Obveščevalnim agencijam je seveda v interesu, da imajo dostop do vsega, kar je v podatkovnih centrih, podjetjem, ponudnikom storitev v oblaku, pa je v interesu, da so njihove stranke čim bolj varne in da z njimi čim bolj transparentno poslujejo. Microsoft je, denimo, že leta sprožil tožbo proti državi, ker je ta od njega zahtevala, da preda podatke, ki so v njihovih strežnikih zunaj ZDA. Sredi lanskega leta je bilo odločeno, da Microsoft ni dolžan posredovati teh podatkov. Ker zgodba še ni povsem končana, lahko zaenkrat rečemo le to, da je treba poskrbeti za ustrezno (močno) šifriranje podatkov in uporabiti podatkovne centre, ki so zunaj ZDA.
Na strani namiznih operacijskih sistemov so podprti tako Windows kot tudi macOS in Linux. Na strežniški strani pa sodeluje z Microsoftovimi strežniki, s SQL in Exchange vred (omogoča tudi podrobno obnovo posameznih objektov iz poštnih predalov), ter seveda z linuxnimi strežniki. Osnovna različica zna delati samo z datotekami in je vredna malo manj kot 120 dolarjev. S podporo SQL in Exchange se cena zvišuje, dokler ne pristane pri 300 dolarjih za različico Ultimate, ki ima podporo za vse omenjene izdelke. Omenimo še to, da imajo lahko podprti strežniški izdelki tudi starejše letnice, vse tja do 2003, kar pride prav v okoljih, kjer je zaradi obstoječih rešitev še vedno treba vzdrževati tudi te.
Microsoft Azure
Cenovno najugodnejšo rezervno shranjevanje podatkov v Microsoftovi storitvi Azure je z najemom tako imenovanega Blob Storagea, ki omogoča shranjevanje velikih količin nestrukturiranih podatkov ali, povedano po domače, datotek. Za shranjevanje v ta blob lahko uporabimo prej omenjene izdelke CloudBerry.
Ko skušamo oceniti, kakšen bo mesečni strošek, trčimo ob kar nekaj spremenljivk, ki lahko vplivajo na ceno. Že pri vzpostavljanju primernega računa hrambe (znotraj Azurovega najemniškega računa) naletimo na postavke, iz katerih ni povsem jasno, kako bo njihova izbira vplivala na ceno gigabajta. Iz opisov pa je moč razbrati, da bodo podatki na standardnem paketu zapisani na tračne enote. Pomemben cenovni dejavnik je tudi način repliciranja (znotraj samega podatkovnega centra, v centru znotraj posamezne Azure regije ali, denimo, v drugi Azure regiji, ki je na drugi celini).
Navedimo konkreten zgled. Shraniti bi želeli maksimalno 1 TB podatkov v podatkovnem centru Severna Evropa (Amsterdam), v računu tipa Block Blob, v standardnem paketu, z mrzlim načinom dostopa in krajevno redundanco (kar pomeni, da bodo podatki shranjeni v najmanj treh kopijah znotraj istega podatkovnega centra). Predvidevamo, da bomo iz oblaka prenesli k sebi na mesec npr. 10 GB podatkov, zapisali pa, denimo, 1 TB. V tem primeru bi na mesec plačali 10,92 evra. Ne pozabimo pa, da navadno delamo ocene stroškov na maksimalnih količinah, v Azure pa plačamo le dejansko porabo. V prvem mesecu bomo morda v shrambo odložili le 500 GB podatkov in ne bomo opravili nobenega restavriranja, kar nam bo stroške prepolovilo. Dobro je, da imamo vedno v mislih tudi to, da se posebej obračunava prenos podatkov (v obe smeri ločeno).
Amazon S3 in Amazon Glacier
Amazon Web Services je del konglomerata Amazon in po podatkih iz leta 2016 je z več kot 30 odstotki največji ponudnik storitev v oblaku. V Evropi je navzoč s podatkovnimi centri v Dublinu, Londonu in Frankfurtu. Za potrebe rezervnega kopiranja podatkov iz podjetja v oblak pa sta primerni dve storitvi.
Amazon S3 je storitev, ki bi jo lahko primerjali z Microsoftovo shrambo Azure Blob. Za shrambo 1 TB podatkov bomo na mesec plačevali okrog 14 dolarjev. V to niso všteti podatki, ki jih bomo prenesli v oblak in iz njega. Za ponazoritev naj navedemo, da bo sama shramba z vključenim prenosom 1 TB podatkov stala približno 33 dolarjev. Če pa malce razmislimo, pridemo do sklepa, da bo največji strošek tako ali tako le v prvem mesecu, saj bo izveden prvi prenos podatkov, nato pa bomo shranjevali le spremembe, ki so nastale na dnevni bazi. Iz oblaka v podjetje pa bomo podatke sploh zelo redko prenašali, saj imamo backup za potrebe hitrega restavriranja vedno dosegljiv na lokaciji podjetja.
Amazon Glacier je druga storitev. Namenjena je poceni množičnemu shranjevanju podatkov v oblak. Je že kar smešno cenovno ugodna in pride v poštev predvsem takrat, ko smo prepričani, da smo za varnostno kopijo podatkov v podjetju ustrezno poskrbeli in želimo imeti podatke v oblaku zapisane le za primer katastrofe (denimo požar, poplave, potres ...). Za 1 TB podatkov, ki jih bomo imele shranjene v storitvi Glacier, bomo plačali dobre 4,6 dolarje na mesec. V to oceno niso vštete prenesene količine, vse, kar prenašamo iz podjetja v Glacier, pa je brezplačno, plačamo le prenos iz storitve k sebi. Tudi če bi želeli prenesti k sebi cel terabajt, ki smo ga prej zapisali, bomo še vedno plačali razmeroma malo, manj kot 100 dolarjev. Seveda ima nizek mesečni strošek tudi svojo ceno. Posamezni arhivi znotraj Glacierja so lahko veliki največ 40 terabajtov. Podatki, ki jih shranjujemo, pa morajo biti shranjeni najmanj 90 dni, drugače smo »kaznovani«. Zato moramo biti zelo pozorni, da pri nastavitvah rezervnega kopiranja nastavimo dovolj dolgo dobo za zadrževanje podatkov (retention), torej vsaj 90 dni.
Carbonite
Carbonite je med storitvami, ki so namenjene rezervnemu kopiranju v oblak, med najbolj znanimi. Za razliko od prej opisanih pa pri Carbonite poskrbijo tudi za primerno programsko opremo, s katero bomo podatke prenašali do tja in, upajmo čim manjkrat, tudi nazaj. Kot sami povedo, so najprimernejši za posameznike in manjša podjetja. Cena storitve za podjetja se začne pri 269 dolarjih na leto in omogoča rezervno kopiranje neomejenemu številu računalnikov v podjetju, na voljo pa je maksimalno 250 GB prostora. Za vsakih nadaljnjih 100 GB bomo doplačali 99 dolarjev. Če želimo v varnostno kopijo vključiti tudi strežnik, bo treba kupiti paket Power, ki pride 599 dolarjev na leto, a je še vedno na voljo le 250 GB prostora v oblaku in le en strežnik. Za neomejeno število računalnikov in strežnikov pa je na voljo paket Ultimate z 999 dolarji na leto in 500 GB veliko shrambo.
iDrive
Še eden izmed bolj znanih programov. iDrive je namenjen predvsem posameznikom in manjšim podjetjem in je manj zmogljivi brat storitve iBackup, ki je v rabi v večjih poslovnih sistemih.
Prvih 5 GB je brezplačnih in ob pomoči brezplačnega paketa lahko dobro preskusimo delovanje. Kot pri Carbonite tudi pri iDrive dobimo posebnega odjemalca, v katerem nastavimo vse potrebne parametre varnostnega kopiranja. Posebej omembe vredna je tudi zmožnost programa, da se poveže na nekatere strežniške izdelke, kot so na primer strežnik MS SQL, strežnik Exchange (tudi restavriranje posameznih elementov iz poštnih predalov), strežnik Sharepoint, Oracle ter hipervizorja Hyper-V in VMware.
Cene se za poslovne pakete začnejo pri dobrih 74 dolarjih v prvem letu za 250 GB veliko shrambo, a pri tem lahko v shrambo shranjujemo podatke iz različnih naprav. Paket z 1,25 TB stane v prvem letu 374 dolarjev (v naslednjem pa 500).
Rešitev za mala podjetja
• Synology 216+II (377 EUR)
• 2×4 TB WD Red (358 EUR)
• WD MyPassport 4 TB (164 EUR)
Synology 216+II je srednje zmogljiv omrežni disk, ki ponuja že nekaj računske moči in dva omrežna vmesnika. Skupaj z diski serije WD Red, ki so namenjeni prav vgradnji v pogone NAS, sestavlja odličen sistem za izvajanje varnostnega kopiranja. Za doseganje še večje redundance lahko nanj priklopimo še zunanji disk USB.
Strežnik Windows v podjetju bomo z omrežnim diskom povezali prek povezave iSCSI, kar bo omogočilo strežniku, da bo prostor iz pogona NAS videl tako, kot bi vanj priklopili nov disk. Poljubna programska oprema za varnostno kopiranje (lahko tudi že strežniku priloženi Windows Backup) bo rezervne kopije shranjevala na ta disk. Za rezervno kopiranje podatkov iz osebnih računalnikov pa bomo na napravi Synology vzpostavili deljeno mapo, v katero bo smel zapisovati le poseben uporabnik, ki smo ga prej ustvarili v uporabniškem vmesniku na NASu.
Za dnevno varovanje podatkov iz računalnikov bomo uporabili brezplačno rešitev Veeam Endpoint Backup, ki omogoča tudi varnostno kopiranje celotnih računalnikov, s sistemom vred (ustvari se slika diska). Ločevanje pravic zapisovanja je pomemben korak, ki reši zaplete ob morebitni okužbi z izsiljevalskimi virusi. Ti so znani po tem, da šifrirajo podatke, do katerih imajo neposreden dostop. V našem primeru pa ima pravico za pisanje na varnostno mapo ločen uporabnik, ki dostopa do deljene mape le prek aplikacije Veeam Endpoint Backup. Taka rešitev se je v praksi že izkazala za učinkovito in restavriranje podatkov je bilo po okužbi uspešno opravljeno.
Zaenkrat smo torej poskrbeli, da so podatki iz strežnika in računalnikov vsak dan varnostno kopirani na omrežni disk. Za nekaj več redundance bomo poskrbeli, ko bomo na NAS priključili še zunanji disk. Na najnovejšem Synologyjevem DSM 6 je za te potrebe treba namestiti posebno aplikacijo z nazivom Hyper Backup. Z njo bomo podatke varnostno kopirali še na zunanji disk.
Isto aplikacijo bomo uporabili tudi za dodatno kopiranje podatkov v oblačne storitve. Poleg Amazonovega S3 in Microsoft Azure zna Hyper Backup opravljati rezervno kopiranje tudi v manj znane oblačne shrambe, kot so OpenStack, IBM Softlayer, Rackspace in, da, tudi v Amazon Drive, Google Drive in Dropbox, čeprav so slednje tri storitve primernejše za deljenje datotek kot za resno varnostno kopiranje.