DATOVÁ ÚLOŽIŠTĚ

Printer-friendly versionSend by email

Datové úložiště je zařízení určené pro individuální uživatele nebo pro skupiny uživatelů umožňující vzdálené ukládání a skladování dat. Vlastní data (v nejrůznější digitální podobě – soubory, kontakty, odkazy, kalendáře, chat, konverzace apod.) je možné mezi uživateli (nebo skupinami uživatelů) sdílet. Vlastní přístup k úložišti je uskutečňován jednak prostřednictvím www prohlížeče, jednak prostřednictvím tzv. „synchronizačních“ klientů, které dokáží automaticky synchronizovat data mezi různými počítači a mobilními zařízeními uživatele. Požadavkem doby je fakt, aby vlastní řešení bylo tzv. „platform independent“ a dále musí být umožněna propojitelnost mezi různými architekturami, řešeními, platformami. Výhodou je nezávislost na konkrétním prodejci či výrobci. Vhodné je rovněž řešení bez závislosti na komerční licenci produktu. Dostupnost zdrojových kódů programového vybavení je rovněž velmi významným faktorem a to z hlediska bezpečnosti, dostupnosti a transparentnosti celého řešení.

Důležitým faktorem je rovněž požadavek na umístění fyzických zařízení (včetně datových médií) vlastního datového úložiště.

Veškeré spojení typu klient - server je samozřejmě šifrované. Doporučujeme vytvořit si vlastní serverový certifikát, který si necháte podepsat důvěryhodnou certifikační autoritou (to aby uživatelé, přistupující skrze www prohlížeče, nemuseli číst hlášení o tom, že váš server je nedůvěryhodný, neboť si svůj certifikát i sám podepsal).

Samozřejmě, neméně důležitá je konfigurace SSL na straně serveru. Při konfiguraci SSL na straně serveru nezapomeňte zakázat protokoly SSL V2, V3 a TLS v1.0. Jinak budou uživatelská jména a hesla přenášena ve formátu prostého textu. TLS 1.1 pro změnu využívá SHA-1 a to rovněž není dobrá volba. Raději povolte pouze TLS verzi 1.2. Totéž platí i pro připojení k adresářové službě. Doporučení pro použití TLS jsou v dokumentu BSI Technical Guideline TR-02102-2.
 

Programové vybavení datového úložiště

Jak již bylo řečeno výše, velmi důležitým faktorem je dostupnost zdrojového kódu vlastního programového vybavení, dalším faktorem pak je vývojový cyklus kódu a samozřejmě podpora z řad sponzorů.

 

Řešení Nextcloud

Níže si dovolíme představit řešení, které má podporu národních bezpečnostních autorit členských zemí EU, v našem případě se jedná o BSI (Německá národní bezpečnostní autorita, Bundesamt für Sicherheit in der Informationstechnik) viz. přiložené dokumenty.
Podrobné implementační scénáře od BSI pak můžete nalézt zde.

Jedná se o programové vybavení na bázi klient-server pro vytváření a hostování datových úložišť na bázi „file-hosting service“.

https://en.wikipedia.org/wiki/Nextcloud
https://nextcloud.com/about/

Ověřování uživatelů (klientů) vůči serveru se může dít na bázi adresářové struktury (zde LDAP) nebo na bázi samostatné databáze (součástí owncloud instalace), kde jsou uložena přihlašovací data (uživatelské jméno, hash hesla uživatele apod.).

Vlastní projekt owncloud je open source (konkrétně pod AGPLv3 licencí), je však možné dokoupit komerční podporu nebo se zapojit do owncloud komunity. Projekt je „platform-independent“, v současné době může klient běžet na řadě operačních systémů. Vlastní server pak běží na platformě Linux.

Proti svým komerčním rivalům má balík Nextcloud nepřehlédnutelné výhody, které lze rozepsat následovně:

  • Jednoduchá instalace
  • Možnost využití verze s nekomerční licencí
  • Podpora aplikací třetích stran
  • Textový editor
  • Správce souborů
  • Verzování
  • Galerie
  • Kontakty
  • Kalendář
  • Podpora více uživatelů
  • Synchronizační klient pro Linux/Windows/Mac OS X
  • Umístění dat dle vlastní vůle
  • Aktivní vývoj
  • Otevřený zdrojový kód (je myšlena větev kódu pod AGPLv3 licencí)

Velmi sympatické jsou zvolené technologie. Pro přístup k datům se používá WebDAV (mimochodem, owncloud používá implementaci zvanou SabreDAV), ke kontaktům CardDAV, pro kalendář CalDAV. Pro přístup skrze www prohlížeč budete využívat protokol HTTPS. Vlastní jádro programového vybavení je napsané v široce podporovaném jazyce PHP.

Serverovou část datového úložiště můžete nainstalovat na stroj (nebo stroje) dle vlastního výběru a ve vámi zvolené lokalitě.

Serverovou část lze provozovat pouze na strojích s OS Linux.

Popis funkce



Na každém pracovišti, ať už interním či vzdáleném, má uživatel lokální úložiště, které je spravováno synchronizačním klientem. Pokud se v úložišti změní, vytvoří či smaže nějaký soubor, synchronizační klient se spojí s hlavním serverem Nextcloud úložiště, ve kterém jsou provedeny změny na souborech, nebo jejich odstranění, a dále je proveden upload nových souborů. Pokud se v datech hlavního serveru, na které je lokální úložiště vázáno, stane změna, je pomocí klienta provedena i v lokálním úložišti uživatele. Klient pracuje na základě správy obsahu nastavených složek a podsložek. Uživatel si nastaví, které složky chce synchronizovat. S veškerými soubory a daty, ke kterým má uživatel přistup, lze samozřejmě manipulovat i s pomocí webového prohlížeče. Klient sám je dostupný pro Windows, Linux, OS X, FreeBSD, iOS i Android.

Varianta Nextcloud

Nextcloud je vlastně mladším bratříčkem původního řešení owncloud. Tato vývojová větev je nyní zcela samostatná a konkuruje původní větvi owncloud. Otevřená větev kódu má opět licenci AGPL3.

Přílohy

ZKB-storage-cloud-leden-2016.pdf (562.73 KB)
Cloud_Computing_ownCloud.pdf (588.38 KB)
BSI-TR-02102-2.pdf (661.76 KB)

Objednávka Security Labu "DATOVÁ ÚLOŽIŠTĚ"

+420