Přeskočit na obsah
OwlGuardScore

Zálohovací strategie — pravidlo 3-2-1

Tři kopie, dva nosiče, jedna mimo lokalitu. Pravidlo, které přežije i požár bytu.

Co to je

Klasické pravidlo: 3 kopie dat (originál + 2 zálohy), na 2 různých typech nosičů (např. interní disk + cloud), s 1 kopií fyzicky mimo lokalitu (cloud, externí disk u rodičů, šifrovaný disk v bance). Tahle struktura tě ochrání i při požáru bytu, krádeži všech zařízení nebo ransomware útoku — všechny tři eventuality by ti musely zničit zálohy najednou.

Proč to záleží

Záloha, kterou jsi nikdy nezkusil obnovit, je hypotéza, ne pojistka. Jednou za půl roku zkus opravdu obnovit konkrétní soubor (fotku z dovolené, daňové přiznání) z každé své zálohy — cloud, externí disk, NAS. Když to selhalo, máš čas to opravit; když to zjistíš až při katastrofě, je pozdě. Pro citlivá data (fotky, doklady, krypto seed) preferuj šifrované zálohy — cloud sám má kompromitovatelné účty.

Jak útok funguje

Zálohy chrání před 5 typy ztrát:

1. Hardware selhání

  • Disk selže (SSD průměr ~5-7 let, HDD ~3-5 let). Bez záloha = ztráta všeho na zařízení.
  • Telefon spadne, baterie nafoukne, vodě → bez cloud sync / lokální zálohy fotky pryč.

2. Krádež zařízení

  • Notebook ukradenu v autě / kavárně. Útočník data nejen ztratí pro tebe, ale taky získá (pokud nebyly šifrovány).
  • Bez zálohy = nemůžeš pokračovat v práci, ztratíš poslední týdny / měsíce práce.

3. Ransomware

  • Viz ransomware. Útočník zašifruje všechna data na zařízení i připojených síťových discích / mapovaných cloud složkách.
  • Klíčový detail: záloha musí být immutable (útočník nemůže ji přepsat ani smazat z primárního zařízení). Mapovaný NAS, který tě ransomware vidí přes Windows Explorer → zašifruje se taky.

4. Lidská chyba

  • Omylem smažeš složku, omylem přepíšeš důležitý soubor, omylem zformátuješ disk.
  • Bez versioning v záloze nemáš jak vrátit "verzi z minulého týdne". Standardní cloud sync (Dropbox, Google Drive, OneDrive) má omezené versioning (30-180 dní). Lepší specialisované zálohovací služby.

5. Katastrofa fyzické lokace

  • Požár, povodeň, vykradení. Cokoli, co je u tebe doma, je ztracené najednou.
  • Pravidlo 3-2-1 požaduje 1 kopii offsite — fyzicky mimo lokalitu.

Útok na zálohy:

  • Ransomware iterating — moderní ransomware nejen šifruje data, ale aktivně hledá a maže zálohy (Volume Shadow Copies ve Windows, Time Machine na Macu, mapované NAS). Toto je důvod pro immutable storage — záloha, kterou útočník nemůže smazat.
  • Cloud account takeover — útočník získá tvůj Google / iCloud / Dropbox login → maže fotky, dokumenty z cloudu. Bez offline kopie ztracené.
  • Hardware failure během obnovy — vzácné, ale stalo se: po incidentu zkoušíš obnovu z external disk, ale disk se mezitím rozbil. Pravidelný test obnovy chrání.

Co lidé typicky nezálohují:

  • Fotky — pokud máš jen v telefonu + iCloud, jsi v cloud lock-in. Ztráta iCloud accountu = ztráta všeho.
  • Password manager export — pokud manager má outage nebo ti zablokují účet, export ti zachrání hesla.
  • Smlouvy a doklady — typicky pasivně v Documents složce, bez vědomé strategie.
  • Krypto seed phrases — pokud máš krypto, seed phrases jsou klíč ke všemu. Ztráta = ztráta peněz navždy.
  • 2FA recovery codes — pokud ztratíš telefon a nemáš recovery codes vytištěné, ztratíš přístup ke všem 2FA-chráněným službám.

Jak se chránit

Pravidlo 3-2-1:

  • 3 kopie dat: originál + 2 zálohy
  • 2 typy úložiště: např. interní disk + cloud, NAS + externí SSD
  • 1 kopie offsite (fyzicky mimo lokalitu)

Příklady kombinací:

Pro jednotlivce (rozumné minimum):

  • Originál: laptop / telefon
  • Záloha 1: cloud (iCloud / Google One / Dropbox / Mega)
  • Záloha 2: externí SSD u rodičů / v práci / v bance

Pro jednotlivce s vyšší citlivostí (fotograf, programátor, podnikatel):

  • Originál: pracovní zařízení
  • Záloha 1: NAS (Synology / QNAP) s RAID
  • Záloha 2: Backblaze B2 / AWS S3 s Object Lock (immutable)
  • Záloha 3: External SSD šifrovaný offsite (1× měsíčně rotace)

Pro firmu:

  • Primární: file server / cloud
  • Záloha 1: Druhý cloud provider (multi-cloud strategie)
  • Záloha 2: Immutable storage (S3 Object Lock / Veeam Immutable)
  • Záloha 3: Tape / cold storage měsíční snapshot offsite

Verzování (důležité, často chybí):

  • Standardní cloud sync (Dropbox/Drive/OneDrive) — versioning 30-180 dní. Pokud problém objevíš později, je pozdě.
  • Backup s versioning — Backblaze B2, AWS S3 versioning, Restic, Borg, Time Machine — drží historii. Můžeš obnovit "soubor jak vypadal před 6 měsíci".

Šifrování zálohy:

  • Cloud zálohy — vždy šifrovat client-side (před uploadem). Cryptomator, Boxcryptor, native iCloud Advanced Data Protection.
  • External disk — BitLocker (Windows) / FileVault (macOS) / LUKS (Linux).
  • NAS — vlastní šifrování + ne-default heslo.

Doporučená SW pro zálohy:

ToolUse case
Time MachinemacOS → externí disk / NAS. Built-in, jednoduché.
Windows Backup / File HistoryWindows → externí disk. Built-in.
Backblaze PersonalCloud backup pro celý počítač. $99/rok. Set-and-forget.
Backblaze B2 + Restic/BorgPokročilejší, levnější, immutable storage.
iCloud / Google One / OneDriveFotky a dokumenty syncing. Plain backup ne.
Veeam / AcronisFiremní enterprise backup.

Test obnovy (kritické!):

1× za 3 měsíce zkus opravdu obnovit:

  • Náhodný soubor z každé zálohy (cloud, external disk, NAS).
  • Fotku z poslední dovolené.
  • Daňový dokument starší 1 rok.
  • Pokud test selže — okamžitě fix.

Speciální data:

  • Password manager export — 1× ročně export, vytištěný (šifrované PDF) v sejfu / u rodičů.
  • 2FA recovery codes — vytištěné, NIKDY v stejném telefonu.
  • Krypto seed phrases — kovová karta (Trezor, Cryptosteel) v sejfu. Žádný digital storage.
  • Důležité smlouvy / doklady — naskenovat, zálohovat ve dvou cloudu + papírové originály v sejfu.

3-2-1-1-0 (pokročilá varianta):

  • 3 kopie
  • 2 typy media
  • 1 offsite
  • 1 immutable / air-gapped
  • 0 chyb při test obnově

Tento standard je pro firemní backup. Pro jednotlivce 3-2-1 stačí.

Bod konce:

  • Ransomware obrana: alespoň 1 záloha immutable nebo air-gapped (fyzicky odpojený disk, S3 Object Lock).
  • Krádež obrana: všechny zálohy šifrované.
  • Lidská chyba obrana: versioning v alespoň 1 záloze.
  • Hardware failure obrana: ne dvě kopie na stejném zařízení.
  • Katastrofa obrana: 1 kopie offsite.

Časté mýty

  • Mýtus"iCloud / Google One stačí, jsou to backupy."

    RealitaiCloud / Google One jsou **sync služby**, ne plné backup. Pokud omylem smažeš složku, mizí ze všech zařízení. Pokud ti zruší účet (Apple/Google to dělá pro porušení podmínek), přijdeš o vše. Pokud ransomware kompromituje tvé zařízení, syncne se i do cloudu. **Dedikovaný backup** (Backblaze, Time Machine na externí disk) je separátní vrstva — řeší tyhle slabiny.

  • Mýtus"Mám RAID na NASu, to je dostatečná záloha."

    RealitaRAID chrání před **selháním 1 disku** (RAID 1/5/6). Nechrání před: ransomwarem (zašifruje celý array), náhodným smazáním (vymaže všechna mirroring), krádeží NASu, požárem. RAID je **dostupnost**, ne **backup**. Pro plnou ochranu potřebuješ separate backup s versioning + offsite kopie.

  • Mýtus"Externí disk v zásuvce u stolu je dostatečný offsite."

    RealitaNení. Pokud byt vyhoří / vykradou / povodeň, externí disk v zásuvce jde s tím. "Offsite" znamená **fyzicky jiná lokace** — cloud, šifrovaný disk u rodičů, v sejfu v bance, v kanceláři práce. Vzdálenost závisí na typu rizika — pokud bydlíš v záplavové oblasti, "offsite" je rozumně daleko od záplavy.

Quick checklist

Setup (jednou):

  • 3-2-1 strategie: vědět, kde jsou tvé 3 kopie.
  • Time Machine / Windows Backup na externí disk pro celý počítač.
  • Cloud backup (Backblaze Personal / iCloud / Google One pro fotky).
  • Offsite kopie (externí SSD u rodičů, v práci, nebo cloud immutable storage).
  • Všechno šifrované (BitLocker / FileVault / Cryptomator).

Speciální data:

  • 2FA recovery codes vytištěné v sejfu / u rodičů.
  • Password manager export 1× ročně, šifrované PDF v sejfu.
  • Krypto seed phrases kovová karta v sejfu.
  • Důležité doklady naskenované, 2× cloud, originál v sejfu.

Test obnovy (1× za 3 měsíce):

  • Zkus obnovit random soubor z každé zálohy.
  • Fotka, dokument, e-mail.
  • Pokud selhalo → fix okamžitě.

Pro firmu:

  • Immutable storage (S3 Object Lock / Veeam Immutable) pro ransomware ochranu.
  • Versioning na všech klíčových složkách.
  • Disaster recovery plán — kdo, co, kdy, v jakém pořadí.
  • Test obnovy 1× za 3 měsíce, plně dokumentovaný.
  • Multi-cloud strategie pro kritická data.

Při incidentu:

  • Hardware selhání → nový disk + obnova z Time Machine / Windows Backup.
  • Krádež → nové zařízení + obnova z cloud + remote wipe ukradeného.
  • Ransomware → odpojit zařízení + obnova z immutable storage. NEPLATIT.
  • Lidská chyba → versioned backup, vrátit verzi.
  • Katastrofa → offsite kopie zachrání.

Podobná témata

Souvisí s kategoriemi v testu: Zálohovací strategie, Ransomware útok — reakce

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.