DATOVÁ ÚLOŽIŠTĚ

Datové úložiště je zařízení určené pro individuální uživatele nebo pro skupiny uživatelů umožňující vzdálené ukládání a skladování dat. Vlastní data (v nejrůznější digitální podobě – soubory, kontakty, odkazy, kalendáře, chat, konverzace apod.) je možné mezi uživateli (nebo skupinami uživatelů) sdílet. Vlastní přístup k úložišti je uskutečňován jednak prostřednictvím www prohlížeče, jednak prostřednictvím tzv. „synchronizačních“ klientů, které dokáží automaticky synchronizovat data mezi různými počítači a mobilními zařízeními uživatele. Požadavkem doby je fakt, aby vlastní řešení bylo tzv. „platform independent“ a dále musí být umožněna propojitelnost mezi různými architekturami, řešeními, platformami. Výhodou je nezávislost na konkrétním prodejci či výrobci. Vhodné je rovněž řešení bez závislosti na komerční licenci produktu. Dostupnost zdrojových kódů programového vybavení je rovněž velmi významným faktorem a to z hlediska bezpečnosti, dostupnosti a transparentnosti celého řešení.

Důležitým faktorem je rovněž požadavek na umístění fyzických zařízení (včetně datových médií) vlastního datového úložiště.

Veškeré spojení typu klient - server je samozřejmě šifrované. Doporučujeme vytvořit si vlastní serverový certifikát, který si necháte podepsat důvěryhodnou certifikační autoritou (to aby uživatelé, přistupující skrze www prohlížeče, nemuseli číst hlášení o tom, že váš server je nedůvěryhodný, neboť si svůj certifikát i sám podepsal).

Samozřejmě, neméně důležitá je konfigurace SSL na straně serveru. Při konfiguraci SSL na straně serveru nezapomeňte zakázat protokoly SSL V2, V3 a TLS v1.0. Jinak budou uživatelská jména a hesla přenášena ve formátu prostého textu. TLS 1.1 pro změnu využívá SHA-1 a to rovněž není dobrá volba. Raději povolte pouze TLS verzi 1.2. Totéž platí i pro připojení k adresářové službě. Doporučení pro použití TLS jsou v dokumentu BSI Technical Guideline TR-02102-2.
 

Programové vybavení datového úložiště

Jak již bylo řečeno výše, velmi důležitým faktorem je dostupnost zdrojového kódu vlastního programového vybavení, dalším faktorem pak je vývojový cyklus kódu a samozřejmě podpora z řad sponzorů.

 

Řešení ownCloud

Níže si dovolíme představit řešení, které má podporu národních bezpečnostních autorit členských zemí EU, v našem případě se jedná o BSI (Německá národní bezpečnostní autorita, Bundesamt für Sicherheit in der Informationstechnik) viz. přiložené dokumenty.
Podrobné implementační scénáře od BSI pak můžete nalézt zde.

Jedná se o programové vybavení na bázi klient-server pro vytváření a hostování datových úložišť na bázi „file-hosting service“.

https://en.wikipedia.org/wiki/OwnCloud
https://owncloud.org/

Ověřování uživatelů (klientů) vůči serveru se může dít na bázi adresářové struktury (zde LDAP) nebo na bázi samostatné databáze (součástí owncloud instalace), kde jsou uložena přihlašovací data (uživatelské jméno, hash hesla uživatele apod.).

Vlastní projekt owncloud je open source (konkrétně pod AGPLv3 licencí), je však možné dokoupit komerční podporu nebo se zapojit do owncloud komunity. Projekt je „platform-independent“, v současné době může jak klient, tak server běžet na řadě operačních systémů (viz. https://owncloud.org/install/).

Proti svým komerčním rivalům má balík ownCloud nepřehlédnutelné výhody, které lze rozepsat následovně:

  • Jednoduchá instalace
  • Možnost využití verze s nekomerční licencí
  • Podpora aplikací třetích stran
  • Textový editor
  • Správce souborů
  • Verzování
  • Galerie
  • Kontakty
  • Kalendář
  • Podpora více uživatelů
  • Synchronizační klient pro Linux/Windows/Mac OS X
  • Umístění dat dle vlastní vůle
  • Aktivní vývoj
  • Otevřený zdrojový kód (je myšlena větev kódu pod AGPLv3 licencí)

Velmi sympatické jsou zvolené technologie. Pro přístup k datům se používá WebDAV (mimochodem, owncloud používá implementaci zvanou SabreDAV), ke kontaktům CardDAV, pro kalendář CalDAV. Pro přístup skrze www prohlížeč budete využívat protokol HTTPS. Vlastní jádro programového vybavení je napsané v široce podporovaném jazyce PHP.

Serverovou část datového úložiště můžete nainstalovat na stroj (nebo stroje) dle vlastního výběru a ve vámi zvolené lokalitě.

Serverovou část lze provozovat pouze na strojích s OS Linux, přesný výčet požadavků na server je uveden níže.

Požadavky na owncloud server 10.0.5

Požadavky na owncloud server 9.0

Požadavky na owncloud server 8.2

 

Podporované platformy

Server:
Ubuntu 16.04, Debian 7 and 8, SUSE Linux Enterprise Server 12 and 12 SP1, Red Hat Enterprise Linux/Centos 6.5 and 7

Webserver:
Apache 2.4 with prefork Multi-Processing Module (MPM) and mod_php

Databases:
MySQL or MariaDB 5.5+, Oracle 11g, PostgreSQL, & SQLite

PHP (5.6+, 7.0, & 7.1)

Hypervisors:
Hyper-V, VMware ESX, Xen, KVM

Desktop:
Windows XP SP3 (EoL Q2 2015), Windows 7+, Mac OS X 10.7+ (64-bit only), Linux (CentOS 6.5, 7 (7 is 64-bit only), Ubuntu 12.04 LTS, 14.04 LTS, 14.10, Fedora 20, 21, openSUSE 12.3, 13, Debian 7 & 8)

Mobile apps:
iOS 9.0+
Android 4.0+

Web browser:
Edge (current version on Windows 10)
IE11+ (except Compatibility Mode)
Firefox 55+ or 52 ESR
Chrome 61+
Safari 10+

Pro přístup k serverovému úložišti je možné volit buď www prohlížeč (který respektuje příslušné standardy) nebo samostatného klienta. Aplikace pro owncloud jsou psány převážně v jazyce PHP (Kontakty, Kalendář, Sdílení souborů, Konverzace, Řízení projektů) a jsou rovněž vyvíjeny pod otevřenými licencemi
viz.
https://apps.owncloud.com/ a
https://github.com/owncloud/core/wiki/Apps

Vlastní stránky projektu owncloud pak obsahují velmi podrobné návody týkající se konfigurace serveru a jednotlivých serverových komponent (apache, php, ssh, ssl, memcache, apc a řady dalších).
 

Popis funkce



Na každém pracovišti, ať už interním či vzdáleném, má uživatel lokální úložiště, které je spravováno synchronizačním klientem. Pokud se v úložišti změní, vytvoří či smaže nějaký soubor, synchronizační klient se spojí s hlavním serverem ownCloud úložiště, ve kterém jsou provedeny změny na souborech, nebo jejich odstranění, a dále je proveden upload nových souborů. Pokud se v datech hlavního serveru, na které je lokální úložiště vázáno, stane změna, je pomocí klienta provedena i v lokálním úložišti uživatele. Klient pracuje na základě správy obsahu nastavených složek a podsložek. Uživatel si nastaví, které složky chce synchronizovat. S veškerými soubory a daty, ke kterým má uživatel přistup, lze samozřejmě manipulovat i s pomocí webového prohlížeče. Klient sám je dostupný pro Windows, Linux, OS X, FreeBSD, iOS i Android.

Varianta Nextcloud

Nextcloud je vlastně mladším bratříčkem původního řešení owncloud. Tato vývojová větev je nyní zcela samostatná a konkuruje původní větvi owncloud. Otevřená větev kódu má opět licenci AGPL3.

Přílohy

ZKB-storage-cloud-leden-2016.pdf (562.73 KB)
Cloud_Computing_ownCloud.pdf (588.38 KB)
BSI-TR-02102-2.pdf (661.76 KB)

Objednávka Security Labu "DATOVÁ ÚLOŽIŠTĚ"

+420