¿Backup en la nube o de cinta?

Por qué ambos deben ser parte de su plan

de ciberseguridad
Por David Strom

El antiguo modo de espera de la protección de datos, los backups de cinta, sigue vigente
en muchos negocios de TI. Es irónico que resurja debido al ransomware y otros ataques
de malware. “En la era moderna, consuela tener algo fuera de línea, como una cinta, y todo
el mundo tiene una historia sobre cómo un backup de cinta salvó sus operaciones”, dijo
Rick Vanover, el director de estrategia de producto de Veeam Software. “No sabemos cómo
serán las amenazas el día de mañana, y corremos el riesgo de tener algo en línea que esté
conectado a una red con este tipo de amenazas hoy en día”.

La cinta tiene una extensa historia como medio de backup, sin duda alguna, pero el hecho
de que se pueda mover con facilidad de un estado en línea a uno fuera de línea resulta
muy atractivo hoy en día, cuando una infección de malware se puede propagar como
un incendio descontrolado de un servidor a otro a través de la red de una empresa.
En algunos casos, tener demasiada conectividad puede ser algo malo, especialmente cuando
no se sabe cuántos de los extremos se dañaron por un ataque o cuando se cometen errores
en la configuración de la red y en los controles de acceso. Por ese motivo es útil equilibrar las
tecnologías asociadas a la nube y la cinta para ayudar a enfrentarse a los atacantes y crear
la mejor estrategia de backup en base a las ventajas de ambos métodos.
 Artículo Página 2

Irónicamente, Veeam no fue compatible con las cintas durante mucho

tiempo, hasta que sus clientes no dejaron de hablar al respecto y Veeam
“Con el backup decidió ofrecer compatibilidad para los backup de cinta en la versión 7.
en la nube, puede Ahora, consideran que tener backups basados tanto en cinta como
en la nube es beneficioso para mejorar el estado de ciberseguridad.
implementar Ambos tienen bajos costos de adquisición, aunque por diferentes razones:
un sistema El backup de cinta porque su tecnología es reconocida y no es costosa;
de archivos el backup en la nube porque no se invierte en muchos bienes de capital.
completamente Tener ambos ayuda a reducir la pérdida potencial de datos, y ambas
tecnologías se pueden complementar considerablemente.
diferente, una
API diferente y “Con el backup en la nube, puede implementar un sistema de archivos
completamente diferente, una API diferente y tener un tipo
tener un tipo de de almacenamiento diferente. Toda esa diversidad es muy atractiva
almacenamiento y ayuda a la protección de datos”, dice Vanover.
diferente. Toda
De hecho, la diversidad también significa tener una gran variedad
esa diversidad de otros elementos. Por ejemplo, existe la administración de cuentas
es muy atractiva apropiada cuando se trata de los nombres de usuario que emplean
y ayuda a la los procesos de backup. Muchos negocios de TI conceden derechos
de acceso completos a los procesos de backup, lo que significa que,
protección de si alguien utilizara esta credencial de inicio de sesión, podría tener
datos” autorizaciones universales para la producción de datos y archivos.
Esto es más que una teoría: Un ataque reciente por parte de actores
rusos contra varios objetivos del sector energético provocó que los
hackers ejecutaran scripts que creaban cuentas de administrador local
disfrazadas de cuentas de backup legítimas para obtener acceso a la red.

Cuando Vanover comenzó a trabajar en Veeam, sus ingenieros se

dieron cuenta de que sus clientes conservaban los nombres de usuario
de productos de los proveedores de backup más antiguos cuando los
migraron a Veeam. “Conservaron los nombres de usuario porque tenían
autorizaciones universales y no querían cambiarlos”.

Esto puede causar un desastre en varios niveles. “Esto se trata

de un honeypot a la espera de que lo usen”, dice. “Puede atraer todo
tipo de malware, se puede propagar por toda su red y encriptar todos
sus sistemas de producción”. Por el contrario, debería considerar
la posibilidad de limitar estos derechos de acceso y establecer diferentes
mecanismos de autenticación para sus backups, con el fin de hacer más
difícil que los hackers y otras personas se muevan por su red. Tampoco
debería utilizar un solo nombre de usuario para todos los procesos
de backup. Los usuarios de backup no deberían compartir el mismo
dominio o el árbol de Active Directory que los usuarios regulares.
Artículo Página 3

Otra manera de hacer esto es usar diferentes sistemas de archivos:

Realizar backups de un Windows Server en una máquina Linux
y viceversa. Además, es muy útil tener los backups en dos lugares físicos
diferentes para aumentar la diversidad de sus soluciones de backup.

Esta última sugerencia ha existido al parecer desde el principio de los

tiempos, y por lo general se basa en la Regla 3-2-1: Conservar un
total de tres copias diferentes de sus datos, dos de las cuales son
locales, pero en medios diferentes y al menos una copia remota.
“Le sorprendería saber con qué frecuencia encuentro compañías que
no implementan esta regla básica”, dice Vanover. “Tenía un administrador
de TI que quería hacer copias de backup de sus máquinas virtuales
en el mismo dispositivo de almacenamiento en la red en el que
se ejecutaban. Ya nada me sorprende”.

Otra parte de la diversidad de datos está en realizar varios y diferentes

tipos de puntos de restauración. Esto hace que sea más fácil encontrar
un conjunto particular de archivos o una sola aplicación para restaurar.
Además, debe considerar la posibilidad de realizar backups solo
de archivos, ya que puede que deba omitir el malware que se guardó
de forma accidental en un trabajo de backup. “Si un servidor se infecta
con ransomware, se podría restaurar con la infección intacta y Windows
simplemente volvería a cifrar los archivos. Uno se quiere asegurar
de no volver a introducir las fuentes de la infección”, dice Vanover.
Artículo Página 4

Uno de los atractivos de las cintas es su naturaleza esencial de la “brecha

de aire”, que separa los mundos en línea y fuera de línea. Tener una
Trate sus brecha de aire puede hacer que el sistema deje de estar en contacto
repositorios de constante en línea. Pero la clave es cómo se implementa una brecha
de aire. Tiene que examinar las aplicaciones y los datos, y cómo
backup con el implementan los backup. “Por ejemplo, ¿una cinta siempre se coloca
mismo cuidado en una unidad de cinta? Para que sea una brecha de aire efectiva,
con el que trata tiene que ser un programa de rotación de cintas regular y se tiene que
sus datos de manejar el movimiento de las cintas, porque esto es lo que determina
qué tan bien se mantiene la brecha de aire”, dice.
producción.
Una forma de implementar brechas de aire es hacer que el sistema
de cinta opere la mayor parte del tiempo fuera de línea, y que solo
se conecte cuando tenga que realizar un backup. Para una mayor
seguridad, puede implementar un medio fuera de línea para ejecutar
los backups. De nuevo, el objetivo es ayudar a mantener este medio
protegido del acceso no autorizado y libre de infecciones.

Por último, trate sus repositorios de backup con el mismo cuidado

con el que trata sus datos de producción. “Muchos Responsables
de seguridad no tienen los mismos controles para sus backups,
y no piensan en las implicaciones de seguridad”, dice Vanover. “Creen
que están haciendo lo suficiente al cifrar sus backups”. Él propone
la siguiente situación, en la que un administrador de backup pueda
restaurar el buzón de correo electrónico del CEO en una máquina local
y tener acceso a todos los mensajes. “Es necesario establecer controles,
así como hacer un seguimiento de quién restaura qué datos en qué
ubicación, para poder identificar posibles problemas como estos”, dice.

De esta manera se muestra la diferencia entre la replicación y los

backups. Los dos tienen diferentes casos de uso y procedimientos,
y es necesario mantenerlos separados. Pero también indica que necesita
una variedad de métodos de backup. “La cinta y la nube son necesarias
hoy en día. Se deberían usar ambas”, dice Vanover.

Marzo de 2018 Copyright © Veeam 2018 | Veeam.com