Administracion de bases de datos

1/11/2024 | Ing Fabiana Sasia

Backups inmutables en SQL Server

Protege SQL Server de Pérdidas Críticas. Blinda Tus Datos Contra Ciberataques

Los ciberdelincuentes no solo roban información, también destruyen backups de SQL Server.
 Si no podés recuperar tus bases de datos perdés más que datos: perdés dinero, tiempo, reputación, productividad, perdés uno de los activos más importantes de la empresa.

Garantizar la continuidad del negocio con backups inmutables, alta disponibilidad y estrategias de backups inteligentes sobre SQL Server debe ser prioritario dentro de la estrategia del sector de tecnología de cualquier empresa.

En este artículo vamos a abordar cada punto para que puedas armar una fortaleza contra Ransomware o cualquier ataque similar. Hoy comenzamos por los backups inmutables.

¿Qué son los Backups Inmutables y por qué son importantes?

Los backups inmutables son una solución que garantiza que las copias de seguridad no puedan ser modificadas ni eliminadas durante un período de tiempo predefinido, brindando una defensa robusta contra este tipo de amenazas.

Implementarlos asegura que tus datos estarán protegidos contra cualquier intento de manipulación o eliminación, garantizando que siempre tendrás una copia confiable y lista para usar.

Los backups inmutables son copias de seguridad que, una vez creadas, no pueden ser alteradas ni eliminadas hasta que expire el período de retención establecido. Esto significa que, incluso si un atacante obtiene acceso a las credenciales del sistema, no podrá modificar ni borrar estos backups hasta que el sistema lo permita.

Dato importante, si los backups son inmutables, podes estar seguro de que siempre recuperarás tus datos a un estado conocido, sin preocuparte de que los backups pudieran haberse alterado luego de su creación.

Ventajas clave de los Backups Inmutables

Protección contra Ransomware: Evita que el malware cifre o elimine tus copias de seguridad.
 Cumplimiento normativo: Asegura que las copias de seguridad cumplan con regulaciones como GDPR, HIPAA, ISO 27001, entre otras.
 Evita errores humanos: Protege contra eliminaciones accidentales o modificaciones involuntarias de las copias de seguridad.
 Integridad garantizada: Permite la auditoría y rastreo de cualquier intento de acceso, asegurando que los datos sean fiables en caso de restauración.

¿Qué es el almacén o sitio inmutable de Azure?

El almacenamiento inmutable de Azure es una característica de Azure Blob Storage que permite almacenar datos en un estado inalterable. Esto significa que los datos no pueden modificarse ni eliminarse durante un período de tiempo definido por el usuario. 

El almacenamiento inmutable de Azure es útil para proteger datos críticos, como documentos o datos de copia de seguridad, y cumplir con regulaciones. 

Esta solución en la nube es útil para empresas que buscan: 

    1. Proteger la integridad de los datos, 
    2. Cumplir los requisitos de conformidad,
    3. Mejorar la seguridad de los datos, 
    4. Aplicar estrategias de conservación de datos. 

El almacén inmutable de Azure Backup se caracteriza por: 

    1. Bloquear las operaciones que podrían provocar una pérdida de puntos de recuperación
    2. Bloquear la configuración del almacén inmutable para que sea irreversible
    3. Usar el almacenamiento WORM para las copias de seguridad

Te dejo el link de Microsoft en caso de que quieras profundizar sobre el tema: https://learn.microsoft.com/es-es/azure/backup/backup-azure-immutable-vault-concept?tabs=recovery-services-vault#how-does-immutability-work

¿Cómo Implementar Backups Inmutables de SQL Server en sitios inmutables?

Implementar esta solución requiere contar con estrategia, planificación y selección de la tecnología adecuada para llevar adelante su implementación exitosa.

El primer paso será analizar y elaborar la estrategia para ello hay que determinar horarios de backups, rotaciones, tiempos de backup, tiempos de recuperación en base a la criticidad de los datos que estemos resguardando, analizar si los tiempos de backup y recuperación coinciden con la necesidad que tiene la empresa. 

Además, determinar la cantidad de espacio de almacenamiento necesarios, analizar si la velocidad de transferencia de copias de seguridad entre servidores o ambientes on premise y/o cloud son los adecuados.

Recordar que la tecnología elegida y la complejidad de la estrategia de backup influirán en costos, ROI, tiempos de implementación, etc. Y también debe evaluarse.

A esto se suman los puntos propios de una solución de inmutabilidad 

📌 Reevaluar tu Política de Respaldo

Asegurate de que tus políticas actuales se alineen con los tiempos de retención y de inmutabilidad necesarios para tu negocio.

📌 Definir Períodos de Protección

Determiná cuánto tiempo deben permanecer inmutables los backups y asegurate de que este período cubra tus necesidades operativas y de recuperación.

📌 Seleccionar las Herramientas Correctas

Elegí soluciones que ofrezcan inmutabilidad nativa, ya sea mediante software especializado o hardware diseñado para este propósito.

Entre las herramientas que encontramos en el mercado podemos ir desde una carpeta en un sistema operativo Linux ejecutando chattr, Azure Blob Storage hasta Veritas Netbackup, inmutabilidad nativa en las carpetas de los NAS de la marca Synology, entre otros. A continuación, te cuento el paso a paso de algunas de ellas.

A-Almacenamiento en la Nube con Inmutabilidad (Azure Blob Storage y AWS S3)

Las plataformas en la nube como Azure Blob Storage y AWS S3 Glacier permiten la creación de backups inmutables mediante la configuración de políticas WORM (Write Once, Read Many).

Pasos para implementar inmutabilidad en Azure:

🔹 Crear un contenedor en Azure Blob Storage y habilitar la política de retención inmutable.
🔹 Configurar SQL Server para realizar backups en la nube, usando BACKUP DATABASE TO URL.
🔹 Definir una política de retención para que las copias sean inmutables por un período determinado.

B-Uso de NAS Synology con Carpeta Inmutable

Los dispositivos NAS como Synology permiten crear carpetas protegidas con la función WriteOnce, que bloquea los archivos contra modificaciones.

🛠️ Configuración en Synology DSM 7.2+:

      • Habilitar modo Compliance para evitar que incluso un administrador modifique los backups.
      • Configurar el tiempo de retención para que los archivos permanezcan inmutables el tiempo necesario.

C-Almacenamiento en Sistemas con Protección WORM

Algunas soluciones on-premise permiten aplicar políticas de inmutabilidad directamente en los sistemas de almacenamiento:

📌 Ejemplos de soluciones con WORM:

      • Dell EMC Data Domain
      • NetApp SnapLock
      • Hitachi Content Platform

En estos sistemas, se pueden definir períodos de retención obligatorios, asegurando que los backups no puedan ser eliminados ni alterados hasta que expire el tiempo preestablecido.

    • Configurar Almacenamiento Seguro

Implementá carpetas o volúmenes de almacenamiento protegidos, donde los respaldos queden blindados contra cualquier intento de modificación.

      • Establecer Revisiones Periódicas

Verificá regularmente el estado de tus backups y la efectividad de tus políticas de inmutabilidad para garantizar que todo funcione como debe.

La Clave: Estar Siempre Preparado

Los backups inmutables no son solo una medida reactiva, sino una forma de pensar en el futuro. Implementarlos significa estar preparado para lo inesperado y tener la tranquilidad de saber que tus datos estarán siempre a salvo, incluso en los escenarios más extremos. 

Ademas no te olvides de complementar con las “Mejores Prácticas” que protegerán tus datos en SQL Server

🔒 Implementar la Regla 3-2-1:

3 copias de seguridad en
 2 tipos de almacenamiento diferentes, y
 1 copia offsite, de preferencia inmutable.

🔒 Habilitar Autenticación Multifactor (MFA): 

Protege el acceso administrativo a las copias de seguridad para evitar accesos no autorizados.

🔒 Monitorizar Accesos y Auditorías:

Configura alertas para detectar intentos de modificación o eliminación de backups inmutables.

🔒 IMPORTANTISIMO!!! Realizar Pruebas Periódicas de Restauración:

Asegúrate de que los backups sean funcionales en caso de un ataque o pérdida de datos.

Si tenes dudas o necesitas ayuda podes escribirme a info@dba24.com.ar

  • Autora
  • Ing Fabiana Sasia D·BA24