¿Backup en la nube o de cinta? Por qué ambos deben ser parte de su plan de ciberseguridadPor David Strom

El antiguo modo de espera de la protección de datos, los backups de cinta, sigue vigente en muchos negocios de TI. Es irónico que resurja debido al ransomware y otros ataques de malware. “En la era moderna, consuela tener algo fuera de línea, como una cinta, y todo el mundo tiene una historia sobre cómo un backup de cinta salvó sus operaciones”, dijo Rick Vanover, el director de estrategia de producto de Veeam Software. “No sabemos cómo serán las amenazas el día de mañana, y corremos el riesgo de tener algo en línea que esté conectado a una red con este tipo de amenazas hoy en día”.

La cinta tiene una extensa historia como medio de backup, sin duda alguna, pero el hecho de que se pueda mover con facilidad de un estado en línea a uno fuera de línea resulta muy atractivo hoy en día, cuando una infección de malware se puede propagar como un incendio descontrolado de un servidor a otro a través de la red de una empresa. En algunos casos, tener demasiada conectividad puede ser algo malo, especialmente cuando no se sabe cuántos de los extremos se dañaron por un ataque o cuando se cometen errores en la configuración de la red y en los controles de acceso. Por ese motivo es útil equilibrar las tecnologías asociadas a la nube y la cinta para ayudar a enfrentarse a los atacantes y crear la mejor estrategia de backup en base a las ventajas de ambos métodos.

Artículo

Irónicamente, Veeam no fue compatible con las cintas durante mucho tiempo, hasta que sus clientes no dejaron de hablar al respecto y Veeam decidió ofrecer compatibilidad para los backup de cinta en la versión 7. Ahora, consideran que tener backups basados tanto en cinta como en la nube es beneficioso para mejorar el estado de ciberseguridad. Ambos tienen bajos costos de adquisición, aunque por diferentes razones: El backup de cinta porque su tecnología es reconocida y no es costosa; el backup en la nube porque no se invierte en muchos bienes de capital. Tener ambos ayuda a reducir la pérdida potencial de datos, y ambas tecnologías se pueden complementar considerablemente.

“Con el backup en la nube, puede implementar un sistema de archivos completamente diferente, una API diferente y tener un tipo de almacenamiento diferente. Toda esa diversidad es muy atractiva y ayuda a la protección de datos”, dice Vanover.

De hecho, la diversidad también significa tener una gran variedad de otros elementos. Por ejemplo, existe la administración de cuentas apropiada cuando se trata de los nombres de usuario que emplean los procesos de backup. Muchos negocios de TI conceden derechos de acceso completos a los procesos de backup, lo que significa que, si alguien utilizara esta credencial de inicio de sesión, podría tener autorizaciones universales para la producción de datos y archivos. Esto es más que una teoría: Un ataque reciente por parte de actores rusos contra varios objetivos del sector energético provocó que los hackers ejecutaran scripts que creaban cuentas de administrador local disfrazadas de cuentas de backup legítimas para obtener acceso a la red.

Cuando Vanover comenzó a trabajar en Veeam, sus ingenieros se dieron cuenta de que sus clientes conservaban los nombres de usuario de productos de los proveedores de backup más antiguos cuando los migraron a Veeam. “Conservaron los nombres de usuario porque tenían autorizaciones universales y no querían cambiarlos”.

Esto puede causar un desastre en varios niveles. “Esto se trata de un honeypot a la espera de que lo usen”, dice. “Puede atraer todo tipo de malware, se puede propagar por toda su red y encriptar todos sus sistemas de producción”. Por el contrario, debería considerar la posibilidad de limitar estos derechos de acceso y establecer diferentes mecanismos de autenticación para sus backups, con el fin de hacer más difícil que los hackers y otras personas se muevan por su red. Tampoco debería utilizar un solo nombre de usuario para todos los procesos de backup. Los usuarios de backup no deberían compartir el mismo dominio o el árbol de Active Directory que los usuarios regulares.

Página 2

“Con el backup en la nube, puede

implementar un sistema de archivos

completamente diferente, una API diferente y tener un tipo de almacenamiento diferente. Toda esa diversidad

es muy atractiva y ayuda a la

protección de datos”

Artículo

Otra manera de hacer esto es usar diferentes sistemas de archivos: Realizar backups de un Windows Server en una máquina Linux y viceversa. Además, es muy útil tener los backups en dos lugares físicos diferentes para aumentar la diversidad de sus soluciones de backup.

Esta última sugerencia ha existido al parecer desde el principio de los tiempos, y por lo general se basa en la Regla 3-2-1: Conservar un total de tres copias diferentes de sus datos, dos de las cuales son locales, pero en medios diferentes y al menos una copia remota. “Le sorprendería saber con qué frecuencia encuentro compañías que no implementan esta regla básica”, dice Vanover. “Tenía un administrador de TI que quería hacer copias de backup de sus máquinas virtuales en el mismo dispositivo de almacenamiento en la red en el que se ejecutaban. Ya nada me sorprende”.

Otra parte de la diversidad de datos está en realizar varios y diferentes tipos de puntos de restauración. Esto hace que sea más fácil encontrar un conjunto particular de archivos o una sola aplicación para restaurar. Además, debe considerar la posibilidad de realizar backups solo de archivos, ya que puede que deba omitir el malware que se guardó de forma accidental en un trabajo de backup. “Si un servidor se infecta con ransomware, se podría restaurar con la infección intacta y Windows simplemente volvería a cifrar los archivos. Uno se quiere asegurar de no volver a introducir las fuentes de la infección”, dice Vanover.

Página 3

Artículo

Uno de los atractivos de las cintas es su naturaleza esencial de la “brecha de aire”, que separa los mundos en línea y fuera de línea. Tener una brecha de aire puede hacer que el sistema deje de estar en contacto constante en línea. Pero la clave es cómo se implementa una brecha de aire. Tiene que examinar las aplicaciones y los datos, y cómo implementan los backup. “Por ejemplo, ¿una cinta siempre se coloca en una unidad de cinta? Para que sea una brecha de aire efectiva, tiene que ser un programa de rotación de cintas regular y se tiene que manejar el movimiento de las cintas, porque esto es lo que determina qué tan bien se mantiene la brecha de aire”, dice.

Una forma de implementar brechas de aire es hacer que el sistema de cinta opere la mayor parte del tiempo fuera de línea, y que solo se conecte cuando tenga que realizar un backup. Para una mayor seguridad, puede implementar un medio fuera de línea para ejecutar los backups. De nuevo, el objetivo es ayudar a mantener este medio protegido del acceso no autorizado y libre de infecciones.

Por último, trate sus repositorios de backup con el mismo cuidado con el que trata sus datos de producción. “Muchos Responsables de seguridad no tienen los mismos controles para sus backups, y no piensan en las implicaciones de seguridad”, dice Vanover. “Creen que están haciendo lo suficiente al cifrar sus backups”. Él propone la siguiente situación, en la que un administrador de backup pueda restaurar el buzón de correo electrónico del CEO en una máquina local y tener acceso a todos los mensajes. “Es necesario establecer controles, así como hacer un seguimiento de quién restaura qué datos en qué ubicación, para poder identificar posibles problemas como estos”, dice.

De esta manera se muestra la diferencia entre la replicación y los backups. Los dos tienen diferentes casos de uso y procedimientos, y es necesario mantenerlos separados. Pero también indica que necesita una variedad de métodos de backup. “La cinta y la nube son necesarias hoy en día. Se deberían usar ambas”, dice Vanover.

Página 4

Trate sus repositorios de backup con el

mismo cuidado con el que trata

sus datos de producción.

Copyright © Veeam 2018 | Veeam.comMarzo de 2018