Kompletní přehled terminologie z oblasti zálohování dat, disaster recovery a ochrany dat. Vysvětlujeme odborné pojmy srozumitelně a v kontextu.
Air Gap (Air-Gapped záloha)
Bezpečnostní opatření, při kterém je zálohovací médium fyzicky odpojeno od sítě a počítačů. Air-gapped záloha nemůže být napadena ransomwarem ani jiným malwarem, protože k ní neexistuje žádné síťové nebo datové spojení. Příkladem je USB disk uložený v trezoru nebo LTO páska vyjmutá z mechaniky. Air gap je jednou z nejúčinnějších ochran proti kybernetickým hrozbám.
Bare-Metal obnova (Bare-Metal Recovery)
Proces obnovy celého systému — operačního systému, aplikací, nastavení a dat — na prázdný (holý) hardware bez jakéhokoli předinstalovaného software. Bare-metal záloha obsahuje kompletní obraz disku včetně boot sektoru, tabulky oddílů a všech souborů. Umožňuje obnovit systém i po kompletním selhání disku nebo výměně hardware. Nástroje: Acronis True Image, Veeam Agent, Clonezilla, Macrium Reflect.
Bit Rot (bitová hniloba)
Postupná degradace dat na úložném médiu způsobená fyzikálními procesy — kosmickým zářením, magnetickým rozpadem, opotřebením flash buněk. Bit rot je zákeřný, protože probíhá tiše a může poškodit data v záloze, aniž by to bylo patrné, dokud se zálohu nepokusíte obnovit. Ochranou je pravidelná verifikace integrity (kontrolní součty) a kopírování dat na nová média.
CDP (Continuous Data Protection)
Technologie průběžné ochrany dat, která zaznamenává každou změnu v reálném čase nebo v intervalech několika sekund. Na rozdíl od pravidelných záloh CDP zachycuje kompletní historii změn, což umožňuje obnovit data k jakémukoli časovému bodu (point-in-time recovery) s minimální ztrátou. CDP dosahuje RPO blížícího se nule. Nabízejí jej Veeam (CDP pro VMware), Zerto a další enterprise řešení.
Cloud záloha (Cloud Backup)
Záloha dat do vzdáleného cloudového úložiště přes internet. Data jsou typicky šifrována před odesláním (client-side encryption) a uložena v datových centrech poskytovatele s vlastní redundancí. Cloudová záloha poskytuje offsite ochranu bez nutnosti fyzického přenášení médií. Populární služby: Backblaze B2, Amazon S3, Wasabi, Google Cloud Storage, Azure Blob Storage.
Deduplikace (Deduplication)
Technologie eliminace duplicitních dat v záloze. Data jsou rozdělena na bloky (chunks) a každý unikátní blok je uložen pouze jednou, bez ohledu na to, kolikrát se v záloze vyskytuje. Deduplikace dramaticky snižuje objem úložiště — typicky o 50–90 % v závislosti na typu dat. Existuje inline deduplikace (během zálohy) a post-process deduplikace (po dokončení zálohy). Nástroje s deduplikací: Restic, BorgBackup, Kopia, Veeam, Duplicati.
Diferenciální záloha (Differential Backup)
Typ zálohy, který ukládá všechna data změněná od poslední plné zálohy. Na rozdíl od inkrementální zálohy se neváže na předchozí diferenciální zálohu — vždy kopíruje vše, co se změnilo od posledního fullu. Výhodou je jednodušší obnova (stačí full + poslední diferenciální), nevýhodou rostoucí velikost s časem. Kompromis mezi plnou a inkrementální zálohou.
Disaster Recovery (DR)
Soubor politik, nástrojů a postupů pro obnovu IT infrastruktury a dat po závažné havárii — přírodní katastrofě, kybernetickém útoku, technickém selhání nebo lidské chybě. DR plán definuje priority obnovy, postupy, odpovědné osoby a technické prostředky. Součástí jsou metriky RPO a RTO pro každý kritický systém. Viz naši stránku Disaster Recovery.
Failover
Automatické přepnutí provozu ze selhavšího primárního systému na záložní (sekundární) systém. Failover může být automatický (systém sám detekuje selhání a přepne) nebo manuální (vyžaduje zásah administrátora). V kontextu zálohování se failover používá při disaster recovery — přepnutí na DR lokalitu, VM repliku nebo cloud instanci. Opačný proces — návrat na původní systém — se nazývá failback.
GFS (Grandfather-Father-Son)
Rotační schéma záloh, které definuje tři úrovně retence: denní zálohy (Son), týdenní zálohy (Father) a měsíční zálohy (Grandfather). Typická konfigurace: uchovávat denní zálohy za posledních 7 dní, týdenní za poslední 4 týdny a měsíční za posledních 12 měsíců. GFS poskytuje rovnováhu mezi granularitou obnovy a úložným prostorem.
Granulární obnova (Granular Recovery)
Schopnost obnovit ze zálohy jednotlivé objekty — soubory, e-maily, databázové záznamy, položky SharePointu — bez nutnosti obnovovat celý systém. Granulární obnova šetří čas a minimalizuje dopad na provoz. Například obnovení jednoho e-mailu z Exchange zálohy nebo jedné tabulky z databázové zálohy. Veeam Explorer je příkladem nástroje pro granulární obnovu.
Image záloha (Disk Image Backup)
Záloha, která vytváří přesnou bitovou kopii (obraz) celého disku nebo oddílu, včetně operačního systému, aplikací, nastavení a dat. Image záloha umožňuje kompletní obnovu systému (bare-metal recovery) i na jiný hardware. Formáty: VMDK, VHD/VHDX, RAW, VBK (Veeam), TIB (Acronis). Nástroje: Clonezilla, Acronis True Image, Macrium Reflect, Veeam Agent.
Immutable záloha (Neměnná záloha)
Záloha uložená na úložišti, které neumožňuje změnu ani smazání dat po stanovenou dobu — a to ani administrátorovi. Immutable storage je klíčovou ochranou proti ransomwaru a insider threats. Implementace: S3 Object Lock (Compliance mode), Wasabi Object Lock, Veeam Hardened Repository na Linuxu, Azure Immutable Blob Storage. Součást moderní strategie 3-2-1-1-0.
Inkrementální záloha (Incremental Backup)
Typ zálohy, který ukládá pouze data změněná od poslední zálohy (ať už plné nebo inkrementální). Výhodou je minimální objem přenášených dat a rychlost zálohy. Nevýhodou klasické inkrementální zálohy je závislost na řetězci — pro obnovu je třeba plná záloha plus všechny následující inkrementy. Moderní nástroje (Restic, Borg) používají deduplikaci, která tuto nevýhodu eliminuje.
Komprese dat (Data Compression)
Technika zmenšení objemu zálohovaných dat pomocí kompresních algoritmů. Běžné algoritmy v zálohovacích nástrojích: LZ4 (rychlý, nižší kompresní poměr), zstd (dobrý kompromis rychlosti a komprese), LZMA/LZMA2 (nejlepší komprese, pomalý). Typická úspora: 30–70 % v závislosti na typu dat. Textové soubory se komprimují výborně, mediální soubory (JPEG, MP4) minimálně, protože jsou již komprimované.
LTO (Linear Tape-Open)
Standard pro magnetické pásky používané k zálohování a archivaci dat. Aktuální generace LTO-9 nabízí nativní kapacitu 18 TB (45 TB s kompresí) na jednu kazetu. LTO pásky vynikají nízkou cenou za GB, dlouhou životností (30+ let), offline povahou (ochrana proti ransomwaru) a energetickou efektivitou (nepotřebují elektřinu, když se nepoužívají). Nevýhodou je sekvenční přístup a vysoká pořizovací cena páskové mechaniky.
NAS (Network Attached Storage)
Síťové úložiště — specializované zařízení připojené k lokální síti, které poskytuje sdílený úložný prostor pro více uživatelů a zařízení. NAS typicky obsahuje jeden nebo více pevných disků, vlastní operační systém a správcovské rozhraní. Pro zálohování se NAS používá jako centrální cíl záloh z více zařízení. Populární výrobci: Synology, QNAP, Asustor, TerraMaster. NAS často podporuje RAID pro redundanci dat.
Offsite záloha
Záloha uložená na fyzicky odděleném místě od primárních dat — v jiné budově, městě nebo v cloudovém datacentru. Offsite záloha chrání před katastrofami, které zasáhnou celou lokalitu (požár, povodeň, vloupání). Je povinnou součástí strategie 3-2-1. Realizace: cloud záloha, replikace na vzdálený server, rotace fyzických médií do trezoru v jiné lokaci.
Plná záloha (Full Backup)
Kompletní záloha všech vybraných dat bez ohledu na předchozí zálohy. Plná záloha je výchozím bodem pro inkrementální a diferenciální zálohy. Výhodou je jednoduchost obnovy (vše je v jednom zálohovacím souboru), nevýhodou je časová a prostorová náročnost. V praxi se plná záloha provádí periodicky (týdně, měsíčně) a doplňuje inkrementálními zálohami.
Point-in-Time Recovery (PITR)
Schopnost obnovit data k přesnému časovému okamžiku, nikoli jen ke stavu poslední zálohy. PITR je klíčová pro databáze — umožňuje například obnovit databázi ke stavu „5 minut před chybným DELETE příkazem". Technicky se realizuje kombinací plné zálohy a průběžné archivace transakčních logů (WAL u PostgreSQL, binary log u MySQL, transaction log u SQL Server).
RAID (Redundant Array of Independent Disks)
Technologie kombinující více fyzických disků do logického celku pro zvýšení výkonu, kapacity nebo redundance. Nejběžnější úrovně: RAID 0 (striping — výkon, bez redundance), RAID 1 (zrcadlení — plná redundance, 50% ztráta kapacity), RAID 5 (parita — tolerance selhání jednoho disku), RAID 6 (dvojitá parita — tolerance dvou disků), RAID 10 (kombinace stripping + zrcadlení). Pozor: RAID není záloha! Chrání proti selhání disku, ale ne proti smazání, ransomwaru nebo katastrofě.
Ransomware
Typ malwaru, který zašifruje data oběti a požaduje výkupné za dešifrovací klíč. Moderní ransomware cíleně vyhledává a ničí zálohy, aby oběť neměla jinou možnost než zaplatit. Ochrana: immutable zálohy, air-gapped kopie, segmentace sítě, vícefaktorová autentizace, aktualizace software a vzdělávání uživatelů. Viz Ransomware ochrana.
Retenční politika (Retention Policy)
Pravidla určující, jak dlouho se zálohy uchovávají před automatickým smazáním. Retenční politika vyvažuje potřebu historických dat s náklady na úložný prostor. Faktory ovlivňující retenci: regulační požadavky (GDPR — minimálně po dobu zpracování, zákon o účetnictví — 5–10 let), provozní potřeby, kapacita úložiště. Běžné schéma: GFS (denní/týdenní/měsíční/roční).
RPO (Recovery Point Objective)
Maximální přijatelná doba, za kterou mohou být data ztracena při havárii. RPO určuje požadovanou frekvenci zálohování. RPO 4 hodiny znamená, že zálohy musí probíhat minimálně každé 4 hodiny, a v nejhorším případě ztratíte data za 4 hodiny. RPO = 0 znamená nulovou ztrátu dat, což vyžaduje synchronní replikaci nebo CDP. Viz Disaster Recovery.
RTO (Recovery Time Objective)
Maximální přijatelná doba od havárie do plného obnovení provozu systému. RTO zahrnuje čas potřebný k detekci problému, rozhodnutí o aktivaci DR plánu, samotné obnově dat a systémů, testování a předání do provozu. RTO = 0 vyžaduje hot standby s automatickým failoverem. RTO 4 hodiny je typické pro důležité, ale ne kritické systémy. Viz Disaster Recovery.
Snapshot (snímek)
Okamžitá kopie stavu systému, disku nebo souborového systému v daném časovém okamžiku. Snapshot nezabírá tolik místa jako plná kopie — využívá techniku Copy-on-Write (CoW), kdy se ukládají pouze bloky, které se od vytvoření snapshotu změnily. Snapshoty nabízejí ZFS, Btrfs, LVM, VMware, Hyper-V, cloud služby (AWS EBS snapshots). Pozor: snapshot na stejném disku není záloha — při selhání disku přijdete o data i snapshoty.
Syntetická plná záloha (Synthetic Full Backup)
Plná záloha vytvořená sloučením existující plné zálohy s následnými inkrementálními zálohami přímo na zálohovacím úložišti — bez nutnosti číst data ze zdrojového systému. Šetří šířku pásma sítě a snižuje zatížení produkčních serverů. Výsledek je identický s běžnou plnou zálohou, ale proces je efektivnější. Podporují: Veeam, Acronis, Commvault.
Šifrování záloh (Backup Encryption)
Kryptografická ochrana zálohovacích dat, která zajišťuje, že bez správného klíče nebo hesla jsou data nečitelná. Standardem je AES-256 (symetrické šifrování). Rozlišujeme client-side encryption (data se šifrují před odesláním — bezpečnější) a server-side encryption (šifruje úložiště). Pro maximální bezpečnost vždy používejte client-side encryption, zejména u cloud záloh. Viz Šifrování záloh.
Verzování (Versioning)
Uchovávání více historických verzí souborů v záloze. Při každé změně souboru se uloží nová verze, zatímco předchozí verze zůstávají dostupné. Verzování chrání proti náhodnému přepsání, poškození souborů a postupnému šifrování ransomwarem. Cloudové služby (S3 Versioning, Google Drive) i zálohovací nástroje (Restic, BorgBackup) podporují verzování. Počet uchovávaných verzí je řízen retenční politikou.
Vzdálená replikace (Remote Replication)
Automatické kopírování dat nebo celých virtuálních strojů na vzdálený server v jiné lokalitě. Replikace může být synchronní (data se zapisují současně na obou stranách — RPO = 0, ale vyšší latence) nebo asynchronní (změny se přenášejí s mírným zpožděním — nižší nároky na síť, RPO v řádu minut). Replikace je základ pro DR strategie s nízkým RTO. Nástroje: Veeam Replication, Zerto, VMware SRM.
WORM (Write Once Read Many)
Úložná technologie, na kterou lze data zapsat pouze jednou a následně je nelze měnit ani mazat. WORM médium poskytuje nejvyšší úroveň ochrany integrity dat a je často vyžadováno regulacemi (finanční sektor, zdravotnictví). Moderní implementace zahrnují S3 Object Lock v Compliance režimu, specializované appliance a LTO pásky v WORM režimu. Klíčová součást ochrany proti ransomwaru a regulačního compliance.