Explicación de los backups inmutables: Todo lo que necesita saber para proteger sus datos
La mayoría de las empresas de todo el mundo utilizan backups como su arma más importante en la lucha contra el ransomware y las actividades maliciosas. Los backups pueden ayudar a las empresas a mantenerse operativas y seguir prestando servicio a los clientes durante y poco después de un incidente de ransomware. También pueden ayudarles a evitar el pago de rescates para recuperar el acceso a sus datos. Por ejemplo, consideremos el ataque de ransomware a Fujifilm en 2021 y la recuperación del servidor de la empresa a partir de backups mientras se negaba a ceder y cumplir las exigencias de los piratas informáticos.
Aun así, los backups pueden ser tan vulnerables al malware como cualquier otro dato de una organización. Además, muchas organizaciones también se están dando cuenta de que los datos de backups también son susceptibles de sufrir amenazas más comunes, como modificaciones accidentales, sobrescrituras y corrupción. Los backups inmutables se han convertido en una de las funciones más utilizadas para evitar la pérdida total de datos valiosos.
En esta entrada del blog se explica qué son los backups inmutables, las ventajas de la inmutabilidad, los distintos tipos de repositorios inmutables y los diferentes enfoques que debe aplicar para maximizar su estrategia de backups y recuperación.
¿Qué es un backup inmutable?
En pocas palabras, los backups inmutables son archivos de backup que no se pueden modificar ni borrar por ningún motivo. En otras palabras, este tipo de backups está a salvo de nuevas infecciones de ransomware que ataquen sus sistemas después de haber creado el backup. También están a salvo de amenazas no maliciosas de pérdida de datos como borrados accidentales de archivos y sobrescritura de archivos de backups.
Estos backups inmutables se almacenan utilizando el modelo de escritura única, lectura múltiple (WORM). WORM es una tecnología que se utiliza desde hace unos 50 años en diferentes dispositivos de almacenamiento para garantizar el almacenamiento a largo plazo y la autenticidad de los datos. La idea principal de este mecanismo es que los datos sólo pueden escribirse una vez en un dispositivo de almacenamiento inmutable, lo que significa que no pueden borrarse ni sobrescribirse.
Ventajas de los backups inmutables
La principal ventaja de hacer backups inmutables es que se pueden tener versiones de datos críticos que no pueden ser objetivo de actores maliciosos y ransomware, que son resistentes a la manipulación y que no se pueden cambiar involuntariamente.
Dicho esto, he aquí las principales ventajas de la inmutabilidad:
- Protección contra el ransomware: Aunque varias prácticas ofrecen protección contra el ransomware, los backups inmutables encabezan la lista, ya que no pueden verse afectados por el cifrado malicioso.
- Prevención de amenazas: Tanto si un antiguo empleado descontento como un intruso quieren perjudicar a su empresa, la inmutabilidad protege sus datos de amenazas internas y externas.
- Cumplimiento de la normativa: Mantener una versión inalterada de los datos permite a las empresas cumplir los estrictos requisitos de conformidad. Algunos sectores específicos, como las instituciones gubernamentales o las organizaciones sanitarias, tienen que cumplir requisitos de conservación a largo plazo y garantizar que los datos y los backups se mantienen inalterados y son auténticos.
Diferentes tipos de almacenamiento inmutable
A la hora de hacer backups, la regla principal que hay que aplicar es la estrategia 3-2-1. Es una estrategia de backup muy utilizada que le deja con tres (3) copias de los datos (1 de producción + 2 backups) almacenadas en dos (2) soportes de almacenamiento diferentes, con una (1) copia almacenada de forma externa. Este proceso de diversificación de los destinos de almacenamiento elimina un único punto de fallo y, al mismo tiempo, añade una nueva capa de seguridad a sus backups.
En los últimos años, esta estrategia se ha ampliado para adoptar un enfoque más prudente que incluye backups inmutables y aislados de la red, y se ha reestilizado en la regla 3-2-1-1. La del final significa ahora una (1) copia de backup inmutable o aislada de la red.
Las soluciones modernas de backup para infraestructuras virtuales y físicas ofrecen ahora varios tipos de destinos de almacenamiento de backups inmutables. Puede elegir almacenar sus datos de misión crítica en algunos de los siguientes almacenamientos inmutables: nubes públicas, máquinas basadas en el sistema operativo Linux y cintas. Veamos cada una de ellas.
Nubes públicas
Los backups se pueden almacenar en una nube pública, ya que le ofrece la posibilidad de hacer backups inmutables. Por ejemplo, el almacenamiento de Amazon S3 y Azure Blob puede convertirse en inmutable, impidiendo que nadie, ni siquiera los usuarios con derechos de acceso de administrador, modifique, elimine o cifre los datos.
Las soluciones de backup dedicadas ofrecen ahora integraciones con este tipo de plataformas en la nube para que puedas crear backups inmutables en la nube. Puede hacer que sus backups sean inmutables directamente en estas soluciones durante todo el tiempo que necesite y cumplir las normas de conformidad de su sector.
Inmutabilidad en Linux
En los sistemas Linux, el comando chattr permite almacenar datos inmutables. El comando se utiliza para hacer que los archivos sean inmutables en varios escenarios, incluyendo la protección de archivos en una máquina a la que acceden varios usuarios o asegurarse de que los archivos críticos requieren un paso extra antes de ser eliminados.
Con chattr, puede cambiar los atributos de los archivos y la forma en que el sistema de archivos accede a ellos. Para hacer que un archivo sea inmutable, se le añade el atributo i, impidiendo así cualquier cambio en el archivo, escritura adicional en él o cambios en sus metadatos.
Los proveedores de soluciones de backup utilizan esta función de los sistemas Linux para permitir a los usuarios hacer backups inmutables. Las soluciones de backup modernas permiten establecer la bandera inmutable en los puntos de recuperación almacenados en los repositorios de backups basados en Linux. Estas funciones integradas de inmutabilidad de backups han simplificado la retención y la integridad de los backups.
Cinta
Otra opción de almacenamiento de backups que admite la inmutabilidad es la cinta. La cinta es un medio de almacenamiento excelente para la conservación y el archivo de la conformidad. La cinta LTO tiene funciones WORM que le permiten hacer backups inmutables escribiendo en la cinta sólo una vez. En el mercado existen soluciones de protección de datos que permiten hacer backups de cinta.
Inmutabilidad frente a backups aislados de la red
Existen otros métodos para hacer backups de datos y protegerlos de la amenaza omnipresente del ransomware. El almacenamiento aislado de la red ha sido una práctica habitual incluso antes de la era de la nube. En esencia, el aislamiento de la red consiste en desconectar completamente cualquier medio de la red. Al estar desconectados, estos dispositivos de almacenamiento son inmunes a la propagación de ransomware si sus sistemas sufren un ataque.
El aislado de la red permite hacer backups inmutables si los dispositivos se guardan en un lugar seguro, ya que los datos que se escriben en ellos no se pueden manipular. Por ejemplo, puedes almacenar backups en cinta, NAS, discos ópticos o SSD. Si su centro de producción está inactivo o ha sufrido un ataque de ransomware, los backups aislados de la red no se verán afectados.
Funciones adicionales de protección de datos
Combinar la inmutabilidad con otras funciones en las soluciones de backup puede minimizar el impacto de las amenazas a los datos críticos y mejorar la seguridad. Las siguientes funciones complementan a la perfección los backups inmutables, así que asegúrese de tenerlas en cuenta a la hora de elegir la solución de protección de datos adecuada para su organización:
Cifrado de backups
Haciendo backups de cifrado, puedes transformar la información de origen en un texto cifrado no legible, haciendo que los datos sean ininteligibles para lectores no autorizados. El cifrado también puede proteger los datos de filtraciones, incluso si caen en malas manos. El cifrado AES 256 es el estándar mundial para el cifrado de datos utilizado por instituciones financieras y organismos gubernamentales de todo el mundo.
Verificación de backups
El peor momento para enterarse de que no puede recuperar sus datos es después de un incidente de ransomware porque, por ejemplo, la copia de seguridad está dañada. Tanto si tiene backups inmutables como si los tiene almacenados en otros soportes, asegúrese de probar sus backups y verificar su recuperabilidad. La mayoría de las soluciones de backup modernas ofrecen verificación automática de backups.
control de accesos basado en roles
Restringir el acceso no autorizado a los backups inmutables y asignar permisos específicos a cada usuario puede ayudarle a evitar eliminaciones y modificaciones accidentales o malintencionadas de los datos de backup. Los administradores pueden utilizar el control de accesos basado en roles para personalizar roles únicos y hacer a los usuarios responsables de operaciones específicas como backups, recuperaciones, configuraciones de job, etc.
Conclusión
El ransomware y los ciberataques son cada día más sofisticados, y cada vez es más necesario que las empresas encuentren medidas avanzadas e ingeniosas para salvaguardar sus datos.
Almacenar backups externos y en un estado inmutable maximiza las posibilidades de éxito de la recuperación en caso de incidente de pérdida de datos. Puede elegir entre enviar las copias de backups a un almacenamiento en la nube inmutable o a una cinta, o conservarlas de forma inmutable in situ. Ambas opciones impiden que los usuarios modifiquen o eliminen estos backups.
NAKIVO Backup & Replication le ofrece todas las herramientas y funciones que necesita para proteger sus cargas de trabajo. Almacene backups inmutables que no puedan ser editados, borrados o cifrados por ransomware.
