Como aplicar a regra de backup 3-2-1 corretamente e proteger melhor os seus dados

8 minutos para ler

A consagrada regra de backup 3-2-1 continua a ser considerada uma metodologia testada e comprovada para fazer uma cópia segura e garantir a integridade dos dados, inclusive para os esforços de recuperação de desastres. Mas, para que esse processo seja realmente bem-sucedido, ele precisa ser planejado e implementado corretamente.

O primeiro princípio da estratégia de backup 3-2-1 é manter pelo menos três cópias de seus dados, incluindo a original e pelo menos dois backups. Afinal, é menos provável perder dados salvos em vários lugares do que se guardá-los em apenas um lugar. Ainda que essa prática seja a mais recomendada, você ficaria surpreso ao saber quantas pequenas empresas não fazem backup de seus dados e quantas mais não sobreviveriam a um desastre de dados. De acordo com a Acronis, 40% dos pequenos negócios não fazem backup de seus dados, e 60% deles não sobreviveriam a um desastre envolvendo essas informações.

Porém, mesmo que você crie três cópias de seus dados importantes, essas informações poderão ser corrompidas facilmente se você colocá-las em um só lugar. Bastaria ter um arquivo danificado por um ciberataque, para que todos fossem danificados. Para evitar que isso aconteça, sugere-se armazenar os backups em pelo menos dois tipos de armazenamentos diferentes, com pelo menos uma cópia externa, fora da infraestrutura da empresa, para o caso de a cópia no local ser comprometida.

Do mesmo modo, para que a regra 3-2-1 seja aplicada de modo segura na nuvem, é importante manter uma cópia em outro lugar – seja em uma conta ou uma zona de disponibilidade diferente, por exemplo.

Neste artigo, vamos explicar como a regra de backup 3-2-1 deve ser implementada e dar dicas para aumentar a segurança de seus dados. 

Como evitar falhas nas implementações de backup 3-2-1

Muitas estratégias que são utilizadas nos sistemas de backup atualmente não passam nem mesmo na interpretação mais liberal da regra 3-2-1. Um exemplo perfeito disso seriam vários serviços baseados em nuvem que armazenam os backups nos mesmos servidores e na mesma instalação de armazenamento que estão protegendo, ignorando o “2” e o “1” do backup 3-2-1.

Por exemplo, é muito comum que clientes de fornecedores de nuvem pública façam backup de seus sistemas criando instantâneos/imagens dos recursos que estão usando. Essas imagens são geralmente armazenadas na mesma conta na qual os sistemas primários são executados. Porém, se os hackers obtiverem acesso privilegiado à rede, eles poderão excluir facilmente as cópias primárias e secundárias dos dados. 

Vamos considerar outro exemplo, vamos supor que você faça backup do seu computador em uma unidade externa, que mantém em seu escritório em casa. Se o seu computador travar, você tem a cópia de backup. No entanto, se ocorrer um incêndio em sua casa, ele destruirá o seu computador e a unidade externa.

A regra 3-2-1 também é ignorada por muitas pessoas que usam serviços SaaS. Considere, por exemplo, o advento do Kubernetes e a realidade de que muitas pessoas armazenam a sua configuração do Kubernetes no GitHub. Backups importantes são armazenados em um sistema no qual você pode ou não fazer backup. Considere ainda outros serviços, como provedores de e-mail ou serviços de compartilhamento de arquivos, onde até mesmo a cópia principal de seus dados é armazenada apenas na plataforma de um fornecedor terceirizado. Em muitos desses serviços, os backups são simplesmente cópias adicionais de dados no mesmo local. Para evitar essas brechas de segurança, certifique-se de perguntar aos seus fornecedores como eles o ajudariam a recuperar se toda a sua conta fosse invadida por um terceiro.

Cuidados necessários com o air gap no backup 3-2-1

Um air gap é uma forma de proteger uma cópia de dados colocando-a em uma máquina em uma rede fisicamente separada dos dados dos quais é feito o backup. Esse termo significa literalmente que há uma lacuna de ar entre os dados primários e o backup. Essa lacuna é um recurso importante na recuperação de desastres e para proteger contra ataques de hackers.

Se todos os backups estiverem acessíveis pelos mesmos computadores que podem ser atacados, é possível que um hacker use um servidor comprometido para atacar o servidor de backup. Ao separar o backup dos dados primário por meio de uma lacuna de ar, você dificulta a ação dos hackers.

Todo mundo quer utilizar o air gap hoje em dia. A questão é como fazer essa proteção adicional sem usar fitas. Na época do backup em fita, era fácil fornecer um air gap – bastava fazer uma cópia de backup de seus dados e colocá-la em um dispositivo em outro local físico. Desse modo, era possível criar instantaneamente uma lacuna de ar entre os seus dados primários e o seu backup, tornando a ação dos hackers quase impossível.

A questão é como garantir que um hacker não possa acessar o backup primário e secundário por meio de um hack eletrônico. A melhor resposta atual é separar essas duas cópias de todas as maneiras possíveis. Considere fazer algumas das seguintes estratégias de backup:

* Armazenamento diferente – Use um tipo de armazenamento diferente do que você usa para o seu armazenamento primário. Um ataque projetado para um desses locais de storage provavelmente não funcionará em outro.

* Ambiente diferente – Use um sistema de backup que não seja acessível diretamente pela sua LAN. Essa é outra maneira de impedir que servidores locais comprometidos ataquem os seus backups.

* Sistema Operacional diferente – Usar um servidor de backup ou serviço executado em um sistema operacional diferente do Windows também pode dificultar a ação dos hackers. A maioria dos ataques de ransomware é feita contra o Windows.

* Conta diferente – Tanto quanto possível, use credenciais completamente diferentes em seus sistemas de backup e recuperação de desastres. Dessa forma, se uma conta for comprometida, as credenciais não funcionarão para atacar os seus backups.

* Armazenamento imutável – Alguns fornecedores de nuvem oferecem armazenamento imutável, onde os backups enviados não podem ser alterados ou excluídos até o momento que você especificar. Mesmo você não será capaz de excluí-los.

Mais do que uma solução, uma estratégia com vários processos

Além do backup 3-2-1, existem outras medidas que os profissionais de TI podem implementar para aumentar a resiliência de infraestrutura e a proteção contra ataques de ransomware:

• Educar os usuários finais sobre os perigos do ransomware e os métodos que os cibercriminosos usam para obter acesso aos seus sistemas;

• Instalar um software de segurança de última geração e mantê-lo atualizado;

• Atualizar os sistemas operacionais com o patch mais recente do fornecedor;

• Configurar os controles de acesso e as permissões apropriadamente;

• Testar os recursos de restauração regularmente;

• Manter cópias de dados de arquivo de longo prazo com lacunas.

Embora essas abordagens proativas ajudem a reduzir as chances de ataques de ransomware, é preciso contar com uma solução de backup eficiente e atualizada, que seja compatível com a flexibilidade da regra 3-2-1. Além disso, essa solução deve contar com recursos de recuperação de desastres (DR) orquestrada e uma camada de proteção adicional, para ajudar a manter o seu negócio funcionando com um mínimo de tempo de inatividade.

Uma assessoria consultiva pode ajudar a desenvolver uma estratégia de backup 3-2-1 para a sua empresa que inclua avaliações e testes de resiliência de infraestrutura e segurança. Com uma abordagem consultiva de atuação, a Columbia Integração pode auxiliar a sua empresa em todas as fases da implementação desse processo. 

Do ponto de vista tecnológico, temos parcerias com diversas empresas líderes de mercado, como Veritas e NetApp. Essa estrutura nos possibilita entregar soluções de backup que atendam às necessidades de negócios, dentro de infraestruturas ágeis, resilientes, flexíveis e seguras.

Quer saber mais sobre como a Columbia pode ajudar a transformar a segurança e a inteligência dos seus negócios? 

Entre em contato conosco.

Posts relacionados