Domů / Typy záloh / Cloud zálohy

Cloud zálohy: Kompletní průvodce zálohováním do cloudu

Vše, co potřebujete vědět o zálohování dat do cloudu -- od výběru poskytovatele přes šifrování až po optimalizaci nákladů a hybridní strategie.

Co je cloud záloha?

Cloud záloha (cloud backup) je proces kopírování dat na vzdálený server provozovaný třetí stranou prostřednictvím internetového připojení. Na rozdíl od lokálních záloh na externí disky nebo NAS jsou vaše data uložena v datových centrech poskytovatele, která jsou geograficky oddělená od vašeho primárního úložiště.

Cloudové zálohování se stalo jedním z pilířů moderní strategie ochrany dat. Podle strategie 3-2-1 by alespoň jedna kopie vašich dat měla být uložena mimo vaši lokalitu (offsite) -- a právě cloud je nejjednodušší způsob, jak toho dosáhnout bez nutnosti fyzicky přenášet média na jiné místo.

Tip: Cloud backup vs. cloud sync Nezaměňujte cloudovou zálohu s cloudovou synchronizací (Dropbox, OneDrive, Google Drive). Synchronizační služby replikují změny v reálném čase -- pokud omylem smažete soubor nebo ho zašifruje ransomware, změna se propaguje do cloudu. Zálohovací řešení uchovávají historické verze a umožňují obnovu k určitému bodu v čase.

Výhody a nevýhody cloud záloh

    Výhody

  • Offsite ochrana -- data jsou fyzicky oddělena od zdroje
  • Automatizace -- zálohy běží na pozadí bez zásahu uživatele
  • Škálovatelnost -- úložiště roste dle potřeby bez nákupu hardwaru
  • Přístupnost -- obnova dat odkudkoli s internetem
  • Redundance -- poskytovatelé replikují data napříč datovými centry
  • Žádná údržba hardwaru -- o infrastrukturu se stará poskytovatel
  • Verzování -- většina služeb uchovává historii změn

    Nevýhody

  • Závislost na internetovém připojení a jeho rychlosti
  • Průběžné měsíční náklady (OPEX místo CAPEX)
  • Pomalá počáteční záloha velkých objemů dat (seeding)
  • Egress poplatky při stahování dat u některých poskytovatelů
  • Obavy o soukromí -- data jsou na cizích serverech
  • Vendor lock-in -- migrace mezi poskytovateli může být nákladná
  • Latence -- pomalejší obnova ve srovnání s lokálním diskem

Hlavní cloudoví poskytovatelé pro zálohy

Na trhu existuje řada poskytovatelů cloudového úložiště vhodného pro zálohování. Každý má jiný cenový model, geografické pokrytí a specifické funkce. Zde je přehled nejpoužívanějších:

Amazon Web Services (AWS S3)

AWS S3 je de facto standard pro cloudové úložiště. Nabízí několik tříd úložiště s různou cenou a dostupností:

  • S3 Standard -- pro často přistupovaná data, 99,999999999% (11 devítek) trvanlivost
  • S3 Standard-IA (Infrequent Access) -- levnější úložiště, vyšší poplatek za přístup
  • S3 Glacier Instant Retrieval -- pro archivní data s občasným rychlým přístupem
  • S3 Glacier Flexible Retrieval -- archivní úložiště, obnova v řádu hodin
  • S3 Glacier Deep Archive -- nejlevnější varianta, obnova trvá 12-48 hodin

Cena za uložení začíná na přibližně 0,023 USD/GB/měsíc pro S3 Standard a klesá až na 0,00099 USD/GB/měsíc pro Deep Archive (region us-east-1). Hlavní nevýhodou jsou egress poplatky: stažení dat z AWS stojí přibližně 0,09 USD/GB.

Pozor na egress poplatky! Při plánování obnovy z AWS S3 kalkulujte s egress poplatky. Obnova 1 TB dat z S3 Standard vás může stát přes 90 USD jen za přenos dat. U Glacier navíc platíte poplatek za retrieval.

Microsoft Azure Blob Storage

Azure Blob Storage je přímý konkurent AWS S3. Nabízí podobnou strukturu tříd úložiště:

  • Hot -- pro aktivní data (ekvivalent S3 Standard)
  • Cool -- pro méně přistupovaná data (minimální doba uložení 30 dní)
  • Cold -- pro zřídka přistupovaná data (minimální doba uložení 90 dní)
  • Archive -- nejlevnější úložiště, rehydratace trvá hodiny

Azure má výhodu v integraci s ekosystémem Microsoftu. Pokud používáte Microsoft 365, Azure AD nebo Windows Server, zálohy do Azure Blob jsou často nejpřirozenější volbou. Cenově je Azure srovnatelný s AWS.

Google Cloud Storage

Google Cloud Storage nabízí čtyři třídy: Standard, Nearline (30 dní minimum), Coldline (90 dní) a Archive (365 dní). Cenově je konkurenceschopný s AWS a Azure. Silnou stránkou je integrace s Google Workspace a pokročilé analytické nástroje.

Backblaze B2

Backblaze B2 je oblíbenou volbou pro zálohy díky výrazně jednodušší a průhlednější cenové politice. Cena za úložiště je 0,006 USD/GB/měsíc (přibližně čtvrtina ceny S3 Standard). Hlavní výhody:

  • Jednoduché ceníky bez skrytých poplatků
  • Denně prvních 1 GB egress zdarma
  • Bezplatný egress přes Cloudflare (Bandwidth Alliance)
  • Kompatibilita s S3 API
  • Podpora Object Lock pro immutable zálohy

Backblaze B2 je ideální pro menší firmy a jednotlivce, kteří hledají cenově dostupné cloudové úložiště bez komplexity velkých hyperscalerů.

Wasabi

Wasabi se pozicionuje jako „horké cloudové úložiště" s jednoduchým cenovým modelem: 0,0069 USD/GB/měsíc bez egress poplatků a bez poplatků za API volání. To z něj dělá atraktivní volbu pro scénáře s častým přístupem k zálohám.

Wasabi má ale minimální dobu uložení 90 dní -- pokud soubor smažete dříve, zaplatíte za celých 90 dní. Také vyžaduje, aby poměr stažených dat k uloženým nepřesáhl 1:1 za měsíc, jinak si účtuje příplatek.

Cenové srovnání poskytovatelů

Poskytovatel Cena za GB/měsíc Egress za GB Minimální doba API kompatibilita
AWS S3 Standard $0,023 $0,09 Žádná S3 (nativní)
AWS S3 Glacier Deep Archive $0,00099 $0,09 + retrieval 180 dní S3 (nativní)
Azure Blob Hot $0,018 $0,087 Žádná Azure API
Google Cloud Standard $0,020 $0,12 Žádná Google API, S3-compat
Backblaze B2 $0,006 $0,01 Žádná S3-kompatibilní
Wasabi $0,0069 Zdarma* 90 dní S3-kompatibilní

* Wasabi neúčtuje egress poplatky za předpokladu, že měsíční objem stažených dat nepřesáhne objem uložených dat.

Šířka pásma a rychlost přenosu

Jedním z největších omezení cloudových záloh je rychlost internetového připojení. Než se rozhodnete pro cloudovou zálohu, spočítejte si, jak dlouho bude trvat počáteční záloha (seed) a jak rychle budete schopni obnovit data v případě havárie.

Objem dat 100 Mbps 500 Mbps 1 Gbps 10 Gbps
100 GB 2,5 hodiny 30 minut 15 minut 1,5 minuty
1 TB 25 hodin 5 hodin 2,5 hodiny 15 minut
10 TB 10,4 dne 2 dny 1 den 2,5 hodiny
100 TB 104 dní 21 dní 10,4 dne 1 den

Pro počáteční zálohu velkých objemů dat nabízejí někteří poskytovatelé fyzickou přepravu disků:

  • AWS Snowball -- zařízení s kapacitou 50-80 TB pro fyzický import dat
  • Azure Data Box -- podobné řešení od Microsoftu (až 100 TB)
  • Google Transfer Appliance -- pro velké objemy dat do Google Cloud
  • Backblaze Fireball -- bezplatný fyzický import do B2

Šifrování dat v cloudu

Šifrování je absolutní nezbytností při zálohování do cloudu. Rozlišujeme dva typy:

Šifrování při přenosu (in transit)

Data jsou šifrována během přenosu z vašeho zařízení do cloudu. Všichni seriózní poskytovatelé používají TLS 1.2 nebo 1.3. Toto šifrování je standardně zapnuté a není třeba ho řešit.

Šifrování v klidu (at rest)

Data jsou šifrována na discích poskytovatele. Existují tři úrovně:

  • SSE (Server-Side Encryption) -- poskytovatel šifruje data svým klíčem. Chrání před fyzickou krádeží disků, ale poskytovatel má přístup k datům.
  • SSE s vlastním klíčem (SSE-C / BYOK) -- vy dodáte šifrovací klíč, poskytovatel ho použije pro šifrování. Klíč není uložen na straně poskytovatele.
  • Client-side encryption -- data šifrujete na své straně před odesláním do cloudu. Poskytovatel nikdy nevidí nešifrovaná data. Toto je doporučený přístup.
Doporučení: Vždy šifrujte na straně klienta Používejte zálohovací software s podporou client-side šifrování (např. Restic, BorgBackup, Duplicati, Veeam). Tím zajistíte, že vaše data jsou chráněna i v případě kompromitace poskytovatele nebo soudního příkazu.

Hot storage vs. Cold storage

Cloudoví poskytovatelé nabízejí různé třídy úložiště, které se liší cenou za uložení a cenou/rychlostí přístupu:

Hot storage (horké úložiště)

Data jsou okamžitě dostupná. Vyšší cena za GB, nižší nebo žádné poplatky za přístup. Vhodné pro zálohy, ke kterým potřebujete rychlý přístup -- například zálohy za posledních 30 dní nebo zálohy kritických systémů s požadavkem na rychlou obnovu (nízké RTO).

Cold storage (studené úložiště)

Data jsou uložena na levnějších médiích s pomalejším přístupem. Nižší cena za GB, ale vyšší poplatky za přístup a často minimální doba uložení. Vhodné pro dlouhodobé archivace, zálohy starší než 90 dní nebo data, která potřebujete uchovat z regulatorních důvodů.

Automatický lifecycle management

Většina poskytovatelů umožňuje nastavit automatické přesuny dat mezi třídami úložiště na základě stáří. Například:

# Příklad AWS S3 Lifecycle Policy (JSON)
{
  "Rules": [
    {
      "ID": "BackupLifecycle",
      "Status": "Enabled",
      "Transitions": [
        {
          "Days": 30,
          "StorageClass": "STANDARD_IA"
        },
        {
          "Days": 90,
          "StorageClass": "GLACIER"
        },
        {
          "Days": 365,
          "StorageClass": "DEEP_ARCHIVE"
        }
      ],
      "Expiration": {
        "Days": 2555
      }
    }
  ]
}

Tato politika automaticky přesune zálohy starší 30 dní do levnější třídy, po 90 dnech do Glacier a po roce do Deep Archive. Po 7 letech se data automaticky smažou.

Hybridní cloud přístup

Hybridní zálohovací strategie kombinuje lokální a cloudové zálohy. Je to nejlepší přístup pro většinu organizací:

  • Lokální záloha zajišťuje rychlou obnovu (nízké RTO) -- obnova z lokálního disku trvá minuty, ne hodiny
  • Cloud záloha zajišťuje ochranu proti katastrofám (požár, povodeň, krádež) -- data jsou geograficky oddělena

Typický hybridní scénář:

  1. Inkrementální záloha na lokální NAS každou hodinu
  2. Replikace lokálních záloh do cloudu každou noc
  3. Automatický lifecycle -- starší zálohy se přesunou do cold storage
  4. Týdenní full backup v neděli s uchováním v cloudu po dobu 1 roku
Příklad konfigurace Restic s Backblaze B2 Restic je populární open-source zálohovací nástroj s nativní podporou mnoha cloudových poskytovatelů. 
# Inicializace repozitáře na Backblaze B2
export B2_ACCOUNT_ID="váš_account_id"
export B2_ACCOUNT_KEY="váš_account_key"
restic -r b2:muj-bucket-zalohy init

# Vytvoření zálohy
restic -r b2:muj-bucket-zalohy backup /home /etc /var/www

# Nastavení retention politiky
restic -r b2:muj-bucket-zalohy forget \
  --keep-hourly 24 \
  --keep-daily 30 \
  --keep-weekly 12 \
  --keep-monthly 24 \
  --keep-yearly 5 \
  --prune

# Ověření integrity záloh
restic -r b2:muj-bucket-zalohy check

Egress poplatky: Skrytá cena cloudu

Egress poplatky jsou jednou z nejčastějších pastí cloudového zálohování. Zatímco nahrání dat do cloudu je obvykle zdarma, stahování (egress) může být velmi nákladné. To se projeví zejména ve dvou scénářích:

  1. Disaster recovery -- potřebujete obnovit velký objem dat najednou
  2. Migrace -- chcete přejít k jinému poskytovateli a potřebujete stáhnout všechna data

Kalkulace pro obnovu 10 TB dat:

  • AWS S3: 10 240 GB x $0,09 = $921,60
  • Google Cloud: 10 240 GB x $0,12 = $1 228,80
  • Azure: 10 240 GB x $0,087 = $890,88
  • Backblaze B2: 10 240 GB x $0,01 = $102,40
  • Wasabi: $0 (bez egress poplatků při dodržení FUP)

Při výběru poskytovatele proto vždy kalkulujte nejen s cenou za uložení, ale i s potenciálními náklady na obnovu.

Doporučené postupy pro cloud zálohy

  1. Šifrujte data na straně klienta pomocí AES-256 před odesláním do cloudu
  2. Testujte obnovu pravidelně -- záloha, ze které se nedá obnovit, je bezcenná
  3. Používejte verzování a Object Lock pro ochranu proti ransomware
  4. Nastavte lifecycle politiky pro automatický přesun dat do levnějších tříd
  5. Monitorujte náklady -- nastavte si alerty na neočekávané nárůsty spotřeby
  6. Omezte přístup -- použijte dedikované účty s minimálními právy pro zálohovací software
  7. Kombinujte s lokální zálohou pro zajištění rychlé obnovy
  8. Dokumentujte postup obnovy a udržujte runbook aktuální
  9. Zvažte multi-cloud strategii pro eliminaci single point of failure
  10. Sledujte compliance požadavky -- některá data nesmí opustit EU (viz GDPR)
Důležité: Zálohovací klíče Pokud používáte client-side šifrování, bezpečně uložte šifrovací klíče nebo hesla na samostatném místě. Ztráta klíče znamená trvalou ztrátu přístupu k zálohám. Doporučujeme uložit klíč do správce hesel a vytisknout záložní kopii do trezoru.

Závěr

Cloud zálohy jsou nepostradatelnou součástí moderní zálohovací strategie. Nabízejí geografickou redundanci, automatizaci a škálovatelnost, kterou lokální řešení nemohou poskytnout. Klíčem k úspěchu je vybrat správného poskytovatele na základě vašich požadavků na kapacitu, rychlost obnovy a rozpočet.

Pro většinu uživatelů doporučujeme hybridní přístup: rychlé lokální zálohy doplněné cloudovou replikací. Z poskytovatelů je Backblaze B2 výbornou volbou pro cenově citlivé nasazení, zatímco AWS S3 nebo Azure nabízejí nejširší ekosystém pro enterprise prostředí.