A felhőben is találhatunk jó megoldást archiválásra. Kényelmes, nem telik be a tár, nem kell attól tartani, hogy a média tönkremegy vagy olvashatatlanná válik, és vannak egész olcsó megoldások is. Az alábbiakban otthoni használatra is alkalmas megoldásokról írok, bár ezen eszközök elsősorban céges felhasználásra készültek, igényelnek némi hozzáértést, munkát. Engem a családi fényképek tárolása indított arra, hogy komolyan foglalkozzak archiválással: ez sok gigabyte adatot jelent, amely pótolhatatlan, ha megsemmisül, és nem szeretném, hogy bárki csak úgy hozzáférjen.

A felhő alapú drive-ok (OneDrive, Google Drive, Dropbox) jellemzően drágák, ezek arra szolgálnak, hogy aktívan is dolgozhassunk az ott lévő fájlokkal. Léteznek sokkal kedvezőbb alternatívák is, például a nagy felhő szolgáltatók object storage megoldásai (pl. S3), azon belül is az archív tárolók. Ezeket arra optimalizálják, hogy hosszú távon tároljunk bennük az adatainkat: a tárolás olcsó, viszont pénzbe kerül elérni az ott tárolt adatokat, és gyakran nem azonnali elérésünk van, hanem ha le akarjuk tölteni, akkor csak néhány órán belül kapjuk meg. Ha archiválunk, akkor legtöbbször soha nem akarjuk elérni a biztonsági mentést, ha pedig mégis, akkor sokkal nagyobb bajunk van, mint néhány dollár vagy néhány óra várakozás.

E cikk írásokat a nagyobb szolgáltatóknál kb. havi 0,01 USD -be kerül 1 Gb adat tárolása, a pontos összeg számos paramétertől függ, pl. hogy mely földrészen szeretnénk tárolni az archív adatokat, a szolgáltatók egymást másolják, az áraik között nagyon pici különbség van csak:

• Amazon S3 Glacier Deep Archive --> árak

• Google Archive Storage --> árak

• Microsoft Azure Arhive Storage Blobs --> árak

Először is elő kell keríteni az adatokat, amiket archiválni szeretnénk. Ha az otthoni NAS-unkat mentjük, ez nem gond, ha felhőben vannak az adatok, akkor először ki kell nyerni, amit archiválni szeretnénk (és a software as a service megoldások mentése nem mindig triviális). A Google rendelkezik adatletöltő szolgáltatással, amely a takeout.google.com címen érhető el, ezzel az összes Google szolgáltatásból (Drive, Gmail, Photos, stb) letölthetjük az adatokat nagy zip-ekbe csomagolva. A Microsoftnál nem tudok hasonlóról, ott az egyes szolgáltatások (OneDrive, Outlook) mentéséről találtam csak tippeket.

Lehet értelme titkosítani az adatokat archiválás előtt. Ha zip fájlokat akarunk menteni, azokat akár külön betitkosíthatjuk pl. openssl-lel (vagy bármilyen titkosító alkalmazással). Ekkor fontos, hogy mindenképpen őrizzük meg a titkosítást feloldó kulcsunkat, mert ha azt elveszítjük, akkor mi magunk tesszük tönkre az archívumot. Támaszkodhatunk a szolgáltató titkosítására, de az kérdéses, hogy pontosan mi ellen is véd. Szintén meggondolandó, mennyire éri meg titkosítással foglalkozni, ha a szolgáltató úgyis eléri a nyílt adatokat (pl. ha a OneDrive-ról töltünk át adatokat a Microsoft Azure archívumába, vagy Google Drive-ból Google Storage-ba).

Ezt követően fel kell tölteni az archívumba, az adatokat. Itt volt olyan próbálkozásom, hogy a takeout-ból letöltés nélkül egyből a szolgáltatóhoz küldjem az adatokat, de erre nem találtam igazán jó megoldást. (Érdekes, amikor a felhőszolgáltatásokban egy-egy alapnak tűnő funkció egyszerűen nincs ott, nincs kész.)

Innentől kezdve nincs más dolgunk, mint fizetni a havi számlákat. Saját archívum esetén a költségeket előre fizetjük ki egyben (pl. lemez vásárlásával), itt viszont havonta fizetünk. Ez jelent rugalmasságot is, viszont gondoljunk rá, hogy ha nem fizetjük a számlákat, elveszíthetjük az archív adatokat.

Megjegyzem még, hogy jó ugyan a felhő, de nem baj, ha van saját mentésünk is. Én évente szoktam menteni, és mindig két helyre:

• Felhőbe -- talán ez ma a legolcsóbb, legrugalmasabb mentés és legbiztonságosabb megoldás; itt nem az én dolgom, hogy a média olvasható maradjon, és több földrajzi helyen tárolom az adataimat, így akkor is megússza, ha az egész ház lég...

ÉS emellett...

• USB meghajtóra, amit beteszek a szekrénybe -- főként azért, mert ez más; az USB meghajtó néhány év múlva vagy működik, vagy nem, viszont ez akkor is elérhető, ha kizáródok a felhőből, vagy akár az Internet áll le (tudom, ez paranoid gondolatnak tűnik, de az ember azért archivál, mert tart az ismeretlentől).

A saját mentés kevésbé rugalmas, talán kevésbé megbízható, de más kockázatok ellen jelent védelmet.

A Cyber Safety Review Board jelentése a tavalyi MS Exchange Online incidensről, sok súlyos állítást tartalmaz a Microsofttal kapcsolatban. (Nem megfelelő biztonsági kultúra, sorozatos hibák egymásutánja, nem vették észre, nem követték az iparági legjobb gyakorlatokat.)
Érdekes olvasmány.

A Microsoft nagyon sok helyen ott jelen, bizonyos területeken kizárólagos, nemcsak az operációs rendszerek, hanem néhol még a felhőszolgáltatások területén is (pl. Exchange Online-on ment az amerikai kormányzati levelezés jelentős része). Ha egy operációs rendszerben van biztonsági hiba, az akár enyhíthető lehet, ha pl. az oprendszert elszigeteljük a külvilágtól, vagy letiltjuk a felesleges szolgáltatásokat. Ezzel szemben egy felhőszolgáltatás esetén a szolgáltató teljeskörű megoldást ad a biztonságra (az ügyfél pedig sok esetben nem is tehet többet); ha a szolgáltató hibázik, akkor az ügyfél pórul jár, és esetleg a kínai vagy bármely más titkosszolgálat ki-be jár amerikai kormányzati rendszerekbe. E cikk szerint a Microsoft kifejezetten kockázatot jelent Amerika számára.

Egyre többször tapasztalom, hogy ha két ITs leül beszélgetni, azzal teremtik meg a közös hangot, hogy a Microsoftot szidják. Ez kifejezetten a 90-es éveket idézi... Nagyon retro...

Kevés nagyobb malőr történhet a felhőben, mint amikor valakinek mindenét letörlik. Ez egy olyan eset, amikor a felhőszolgáltató (esetünkben: Google Cloud) "csak úgy" letörölte egy ügyfél fiókját, vele minden adatát, és meg sem tudta magyarázni, hogy miért. Az ügyfél egy ausztrál nyugdíjalap volt, így elég nagy balhé lett a dologból. Ez az eset egyrészt azért különleges, mert itt az ügyfél teljesen vétlen volt, a szolgáltató törölte az adatait.

Minden rendszerben előfordulhat, hogy egy rendszergazda hibás törlési parancsa elszabadul. Mivel felhőben különösen jól menedzselhetőek az adatok, egyetlen hibás parancs akár egy cég összes adatát letörölheti. Ha PaaS/IaaS szolgáltatásokról beszélünk, itt nemcsak adatokról van szó, előfordulhat, hogy a fiók törésekor a cég teljes informatikai rendszere egyszer csak "elmúlt", beleértve a szervereit, alkalmazásait, ezek forráskódját, beállításait, beleértve a felhasználók adatait, jogosultságait stb.

A mentés nagyon sok probléma esetén segít, bár ha ugyanabba a felhő-fiókba mentünk, akkor az ilyen malőrnek a mentés is áldozatul esik. A nyugdíjalap szerencsére más felhőszolgáltatónál is tartott mentést (ami nagyon bölcs lépésnek bizonyult), így szerencsére nem vesztették el mindenüket. A józan ész fontos, a csilli-villi technológiák nem helyettesítik.

A napokban több oprendszert is telepítettem, sokkoló benyomásokat szereztem:

• Windows: Alapból fent a gépen, a telepítő látszólag barátságos ugyan, de kismillió kérdéssel bombáz, hogy követhet-e, figyelhet-e, felmentheti-e minden adatomat a felhőbe, és taníthatja-e az AI megoldását az adataimmal, és folyton el akart adni nekem még valamit (pl. XBox előfizetést), ami úgysem kell. Már a telepítő is folyton ki akar fosztani, de az legalább pöccre működik.

• Debian: Egy natúr ISO image-et tölthetek le, bármi infó nélkül, hogy mit kezdjek vele. Később egy 90-es éveket idéző telepítőben voltam, amely (grafikus ugyan), de olyan kérdéseket tesz, amelyekre mezei felhasználó úgysem tud/akar válaszolni (pl. Grub boot loader, így is, úgy is feltehetem, egyik sem biztos, hogy működni fog, csinálhatja-e?), viszont aki elég bátor, az bármit be tud állítani. Alapból egy olyan grafikus felület települ, amely annyira idegen, hogy elsőre azt sem tudom, hogy nyúljak (pedig a Gnome lehetne barátságos is), felteszek egy Chromium-ot, az alapból el sem indul, és a kriptikus hibaüzenetet is csak terminálból látom. :(

• Ubuntu: A letöltést nehéz megtalálni a honlapjukon, mert folyton a corporate AI megoldásukat tolták az ember arcába. Utána itt is egy ISO image-et kapok, iránymutatás nélkül, hogy mit is csináljak vele. Megdöbbentően barátságos telepítő, csak annyit kérdez, amennyit szükséges, de ha akarok, bármit beállíthatok (pl. full disk encryption). Simán végigkattintgatom, utána dolgozik egy kicsit, majd kiírja, hogy hiba történt, de fogalma sincs, hogy micsoda, ha akarom újraindíthatom, és újrakezdhetem. Ez teljesen konzisztens (azaz újrakezdés után ugyanez).

Ez gáz. ;(

Bruce Schneier cikke a lattice-based poszt-kvantum kriptográfia analízisének jelen állapotáról:

• A kvantumszámítógépek segítségével sok ma ismert kriptográfiai algoritmus várhatóan támadható lesz. (Pl. az RSA Shor algoritmusa szerint.) A ma használt nyilvános kulcsú algoritmusok kvantumszámítógépek ellen már lesznek biztonságosak, míg a ma használt szimmetrikus kulcsú algoritmusok kellően nagy kulcsokkal várhatóan erősek maradnak (pl. az AES-256 várhatóan továbbra is biztonságos lesz).

• A poszt-kvantum kriptográfia olyan algoritmusok fejlesztésével foglalkozik, amelyek várhatóan kvantumszámítógépek mellett is biztonságosak maradnak. A lattice-based cryptography az egyik ígéretes ág, több ilyen algoritmus is szabványosítás alatt van (pl. Kyber vagy Dilithium). (Itt egy összefoglaló a mögötte lévő matematikáról.)

• 2024 áprilisában megjelent egy támadás a lattice-based cryptography ellen, e támadás kvantumszámítógép segítségével hatékonyan törte (volna) a lattice-based megoldásokat. Ez nagy felbolydulást okozott.

• Kiderült, hogy a támadás leíró cikkben volt egy hiba, így a támadás abban a formában mégsem valósítható meg. Így a lattice-based algoritmusok talpon maradtak.

• Kérdés, hogy ez a hiba kiküszöbölhető-e, javítható-e. Lehet, hogy igen, és akkor várhatóan új támadást publikálnak. Lehet, hogy egyáltalán nem, és akkor ez vakvágány marad. (Ez nem olyan, amit csak úgy ki lehetne próbálni, hiszen nem létezik még olyan kvantumszámítógép, amely végrehajthatná a támadást.) Régóta próbáltak fogást találni a lattice-based megoldásokon, ez egy jel rá, hogy talán mégis lehet.

További bejegyzések a blogomban...