Las copias de seguridad pueden ayudar a recuperar datos si se corrompe o borra la copia principal de producción. Sin embargo, con el alto riesgo de ciberataques y otras amenazas, las copias de seguridad también son vulnerables.
Una de las mejores formas de proteger los datos de respaldo contra cualquier modificación o eliminación es utilizando almacenamiento que admita inmutabilidad. Aprende sobre la inmutabilidad de los datos, cómo funciona el almacenamiento inmutable y por qué el almacenamiento de datos inmutable mejora las posibilidades de protección y recuperación de datos.
¿Qué es la inmutabilidad de datos?
La inmutabilidad de datos es un concepto en informática y gestión de datos que se refiere a datos que no pueden ser modificados después de haber sido creados. En un modelo de datos inmutable, una vez que se crea un dato, no se puede modificar o actualizar; en su lugar, cualquier cambio resulta en la creación de nuevos datos, dejando los datos originales sin cambios (si los cambios se pueden aplicar). Este enfoque tiene implicaciones y beneficios importantes.
Los datos inmutables no siempre son la mejor opción, ya que hay escenarios donde los datos mutables son más eficientes o apropiados. Sin embargo, en muchos casos, especialmente en sistemas de respaldo, sistemas concurrentes o distribuidos, la inmutabilidad puede simplificar el desarrollo y mejorar la confiabilidad.
¿Qué es el almacenamiento inmutable?
El almacenamiento inmutable es un tipo de almacenamiento de datos donde una vez que los datos son escritos o almacenados, no pueden ser modificados, alterados o eliminados durante un período de tiempo especificado, si es que pueden serlo. Este concepto se utiliza frecuentemente en el contexto de la preservación de datos, protección de datos, cumplimiento normativo y seguridad de datos. Los sistemas de almacenamiento inmutable están diseñados para garantizar la integridad e inmutabilidad de los datos, típicamente por razones legales o regulatorias o para proteger información crítica de cambios o eliminaciones no autorizadas.
El almacenamiento inmutable añade una capa adicional de seguridad de datos. Una vez que los datos son escritos en un sistema de almacenamiento inmutable, se vuelven resistentes a modificaciones no autorizadas, protegiéndolos de ciberataques y amenazas internas. El almacenamiento inmutable puede ser utilizado en escenarios donde mantener una cadena de custodia segura e intacta es crucial, como el almacenamiento de pruebas en casos legales o el almacenamiento de registros de transacciones financieras. Un ejemplo puede ser la grabación de vigilancia por video que se escribe una vez y no puede ser manipulada ni eliminada para ser utilizada como prueba al investigar actividades legales.
Los sistemas de almacenamiento inmutable se implementan para retener datos por un período específico, asegurando que permanezcan sin cambios y accesibles para fines de auditoría, cumplimiento o archivado. Esto es crucial en industrias como finanzas, atención médica y legal, que son campos con estrictos requisitos de retención de datos. Ya sea para protección de datos, cumplimiento normativo (por ejemplo, GDPR), o seguridad mejorada, el almacenamiento inmutable es un componente crítico para garantizar la integridad de los datos y la resistencia contra manipulaciones o cambios no autorizados.
¿Cómo Funciona el Almacenamiento Inmutable?
El almacenamiento inmutable funciona mediante la implementación de mecanismos y políticas que evitan que los datos sean modificados, alterados o eliminados después de haber sido escritos o almacenados. Los métodos específicos para lograr la inmutabilidad pueden variar dependiendo de la tecnología y la arquitectura del sistema de almacenamiento. Las técnicas y principios utilizados en el almacenamiento inmutable son:
- Escribir-Sólo-Leer-Muchos (WORM). El almacenamiento WORM está diseñado para permitir que los datos sean escritos solo una vez y una vez escritos, no pueden ser cambiados o sobrescritos. Esto se logra frecuentemente utilizando mecanismos físicos o lógicos que bloquean los datos después de que han sido escritos, previniendo cualquier modificación adicional.
- Versionado de datos. Algunos sistemas de almacenamiento inmutable admiten el versionado de datos, donde cada modificación a los datos resulta en una nueva versión. Las versiones antiguas de los datos son preservadas, permitiéndote acceder a versiones históricas mientras se asegura que los datos originales permanezcan sin cambios.
- Bloqueo y controles de acceso. Los sistemas de almacenamiento inmutable a menudo incorporan controles de acceso y permisos para evitar que usuarios no autorizados intenten modificar o eliminar datos. Solo individuos o procesos autorizados pueden escribir en el almacenamiento, mientras que otros solo pueden leer datos.
- Políticas de retención. Los sistemas de almacenamiento inmutable típicamente incluyen políticas de retención que especifican cuánto tiempo deben conservarse los datos en un estado inalterado. Esto te permite establecer la inmutabilidad por un tiempo específico. Una vez que este período de retención expire, los datos pueden ser elegibles para su eliminación.
- Hashing criptográfico. Muchos sistemas de almacenamiento inmutable utilizan técnicas de hashing criptográfico para garantizar la integridad de los datos. Cuando se escribe un dato, se calcula y almacena un valor de hash (una cadena de longitud fija derivada del contenido de los datos) junto con los datos. Cualquier intento de modificar los datos resultará en un valor de hash diferente, lo que indica manipulación.
- Almacenamiento con dirección de contenido. Esta es una arquitectura de almacenamiento que asigna un identificador único (típicamente un hash criptográfico) a cada pieza de datos. Este identificador se utiliza para recuperar datos en lugar de las rutas de archivo tradicionales. Una vez que se escribe un dato, no se puede modificar sin cambiar su identificador.
- Registros de auditoría. Para garantizar el cumplimiento y rastrear cualquier intento de acceso o modificación, los sistemas de almacenamiento inmutable a menudo mantienen registros de auditoría detallados que registran todas las interacciones con los datos almacenados.
- Protecciones de hardware y software. El almacenamiento inmutable puede utilizar protecciones de hardware o software para proteger los datos de amenazas físicas y lógicas, como sellos a prueba de manipulaciones, módulos de hardware seguros o algoritmos de consenso distribuido.
El almacenamiento inmutable se utiliza a menudo en combinación con otras tecnologías como blockchain, firmas digitales y sellos de tiempo seguros para mejorar aún más la autenticidad y seguridad de los datos. La implementación específica del almacenamiento inmutable puede variar ampliamente según las necesidades y requisitos de la organización o industria a la que sirve.
Diferencia entre Air Gap y Almacenamiento Inmutable
Un hueco de aire es una medida de seguridad utilizada en la informática y la gestión de datos para aislar física y lógicamente un sistema o red de entornos no seguros o potencialmente comprometidos. El término “hueco de aire” implica que hay un espacio literal o una desconexión física entre el sistema/datos protegidos y las redes externas, lo que dificulta que los datos sean accedidos, alterados o comprometidos por usuarios no autorizados o ciberataques.
El almacenamiento con hueco de aire es un medio de almacenamiento que está físicamente desconectado de una computadora o red. Los huecos de aire se utilizan comúnmente para sistemas altamente sensibles o críticos, como aquellos que manejan información clasificada, sistemas de control de infraestructura crítica y redes gubernamentales o militares seguras.
Un hueco de aire proporciona una capa sólida de seguridad al aislar un sistema o datos de redes externas, pero no hace que el almacenamiento sea inmutable de manera inherente. El enfoque principal del hueco de aire es aislar un sistema o red de amenazas externas, pero por sí solo no garantiza la inmutabilidad de los datos. Las organizaciones pueden combinar entornos con hueco de aire con medidas de seguridad adicionales y prácticas y políticas de inmutabilidad de datos para lograr resiliencia cibernética dentro de ese contexto aislado y proteger los datos contra cambios no autorizados.
Un ejemplo de almacenamiento con hueco de aire
SAS, SATA o un disco duro USB desconectado de un servidor o matriz de almacenamiento es un ejemplo común de almacenamiento con hueco de aire. Los archivos almacenados en dicho disco duro (HDD) no pueden ser modificados porque este dispositivo está físicamente desconectado y apagado. Es inaccesible para el software. Los datos almacenados en este disco duro desconectado están protegidos contra ataques de ransomware y otros cambios no deseados.
Sin embargo, esta protección no se logra utilizando tecnologías inmutables como en el caso del almacenamiento moderno inmutable. No hay interruptores de protección contra escritura de hardware y no hay software que garantice la protección contra escritura para un disco duro estándar que esté apagado. Por eso el almacenamiento sin conexión y el almacenamiento inmutable son diferentes, a pesar de que se utilizan para propósitos similares.
Los cartuchos de cinta también se consideran almacenamiento sin conexión. Después de escribir una copia de seguridad en la cinta, el cartucho de cinta expulsado no puede ser accedido por ransomware y los datos de la copia de seguridad no pueden ser modificados.
El almacenamiento sin conexión requiere más esfuerzo y tiempo para su gestión en comparación con el almacenamiento inmutable que puede implementarse en un servidor, en una nube local o pública.
Soluciones de almacenamiento en la nube inmutable
Las soluciones de almacenamiento en la nube inmutable se refieren a servicios o sistemas de almacenamiento de datos basados en la nube que ofrecen inmutabilidad como una característica principal. Estas soluciones garantizan que una vez que los datos están almacenados en la nube, no pueden ser modificados, alterados o eliminados durante un período especificado o según políticas específicas y los principios del almacenamiento inmutable. El almacenamiento en la nube inmutable es particularmente valioso para organizaciones que buscan proteger la integridad de los datos, cumplir con los requisitos de cumplimiento, mejorar la seguridad de los datos e implementar estrategias de retención de datos en el entorno de la nube.
Ejemplos de almacenamiento en la nube inmutable
Las soluciones de almacenamiento en la nube inmutables son ofrecidas por varios proveedores de servicios en la nube y están diseñadas para proporcionar inmutabilidad de datos y protección contra modificaciones o eliminaciones no autorizadas. Varios proveedores de servicios en la nube ofrecen soluciones de almacenamiento en la nube inmutables como parte de su cartera. Por ejemplo, Amazon S3 (Simple Storage Service) ofrece Object Lock, una característica que permite la inmutabilidad de datos para objetos S3 (almacenamiento de objetos inmutable). Microsoft Azure ofrece Azure Immutable Blob Storage, que permite a las organizaciones crear y gestionar datos inmutables en Azure Blob Storage. Veamos ejemplos de soluciones de almacenamiento en la nube inmutables de algunos de los principales proveedores de la nube:
- Amazon S3 Object Lock. Amazon S3 ofrece una función llamada Object Lock que permite a los usuarios crear objetos inmutables dentro de sus cubos S3 para proporcionar almacenamiento de objetos inmutable en la nube pública. Los usuarios pueden elegir entre dos modos: modo de Gobierno, donde los administradores pueden establecer políticas de retención, y modo de Cumplimiento, donde una vez que un objeto está bloqueado, no se puede eliminar ni modificar hasta que expire el período de retención.
Microsoft Azure Immutable Blob Storage . Microsoft Azure proporciona Immutable Blob Storage como parte de su servicio Azure Blob Storage. Immutable Blob Storage permite a los usuarios establecer políticas de retención en sus contenedores de blobs, evitando cualquier modificación o eliminación de blobs hasta que haya transcurrido el período de retención. - Microsoft Azure Almacenamiento de Blob Inmutable. Microsoft Azure ofrece el Almacenamiento de Blob Inmutable como parte de su servicio Azure Blob Storage. El Almacenamiento de Blob Inmutable permite a los usuarios establecer políticas de retención en sus contenedores de blob, evitando cualquier modificación o eliminación de blobs hasta que haya transcurrido el período de retención.
- Google Cloud Storage Control de Versiones de Objetos. El Google Cloud Storage ofrece el control de versiones de objetos como una forma de lograr la inmutabilidad. Cuando se habilita el control de versiones, cada modificación de un objeto crea una nueva versión de ese objeto, preservando el original. Los usuarios pueden configurar políticas de ciclo de vida de objetos para administrar las versiones con el tiempo, que pueden incluir establecer períodos de retención para la inmutabilidad.
- Bloqueo de Objetos en IBM Cloud. IBM Cloud Object Storage proporciona el Bloqueo de Objetos, una característica que permite a los usuarios imponer inmutabilidad para objetos específicos dentro de sus buckets. De manera similar a otros proveedores de nube, el Bloqueo de Objetos proporciona modos de Gobernanza y Cumplimiento para diferentes niveles de control sobre la retención de datos e inmutabilidad.
- Bloqueo de Objetos en el Servicio de Almacenamiento de Oracle Cloud. El Servicio de Almacenamiento de Oracle Cloud ofrece el Bloqueo de Objetos, que permite a los usuarios crear objetos inmutables con períodos de retención personalizables. Esta característica es útil para organizaciones sujetas a regulaciones de retención de datos o aquellas que requieren una estricta preservación de datos.
Estos ejemplos resaltan cómo diversos proveedores de servicios en la nube ofrecen soluciones para garantizar la inmutabilidad de los datos, principalmente a través de la creación de objetos inmutables o el uso de políticas de retención y control de versiones.
Almacenamiento Inmutable Local
El almacenamiento inmutable local se refiere al almacenamiento de datos que está físicamente ubicado en un dispositivo o sistema y está diseñado para garantizar la inmutabilidad de los datos almacenados. A diferencia de las soluciones de almacenamiento inmutable basadas en la nube, que dependen de servidores y servicios remotos, el almacenamiento inmutable local opera dentro de los límites de un solo dispositivo, servidor o infraestructura en el sitio. Este tipo de almacenamiento es particularmente útil para escenarios en los que los datos deben protegerse contra modificaciones o eliminaciones no autorizadas a nivel local.
Las características clave del almacenamiento inmutable local son:
- Protección de escritura basada en hardware. El almacenamiento inmutable local se puede lograr a través de mecanismos de hardware que físicamente impiden que los datos se sobreescriban o modifiquen. Por ejemplo, dispositivos de almacenamiento o medios protegidos contra escritura, como discos ópticos, permiten que los datos se escriban una vez y luego los protegen de cambios posteriores.
- Características del sistema de archivos. Algunos sistemas de archivos admiten características que se pueden utilizar para implementar la inmutabilidad local. Por ejemplo, en sistemas operativos similares a Linux, puedes usar el comando
chattrpara establecer atributos como ” i ” (inmutable) en archivos, evitando que se modifiquen o eliminen. - Software especializado. Existen soluciones de software diseñadas para crear entornos de almacenamiento local inmutable. Estos a menudo se basan en el uso de funciones hash criptográficas, firmas digitales y controles de acceso para garantizar la integridad y la inmutabilidad de los datos.
Ejemplos de Almacenamiento Local Inmutable
Los ejemplos de almacenamiento local inmutable utilizados en la práctica son:
- Discos ópticos (CD-R, DVD-R, Blu-ray): Los discos ópticos de escritura única son un ejemplo clásico de almacenamiento local inmutable. Una vez que los datos se graban en estos discos, no pueden ser alterados o eliminados sin dañar físicamente el medio.
- Dispositivos de almacenamiento con protección de escritura: Las tarjetas de memoria SD vienen con interruptores de protección de escritura y algunos discos duros USB tienen mecanismos que impiden que los datos se modifiquen una vez que se activa la protección de escritura.
- Sistemas de archivos inmutables: Algunos sistemas de archivos especializados, como los sistemas de archivos WORM (Write-Once-Read-Many), están diseñados para imponer la inmutabilidad de los datos a nivel de sistema de archivos (por ejemplo, Sun QFS). Impiden que se realicen cambios en los datos almacenados después de que se haya escrito.
- Bases de datos blockchain: Las bases de datos blockchain son una forma de almacenamiento local inmutable utilizada para aplicaciones descentralizadas. En blockchain, los datos se almacenan en una serie de bloques, con cada bloque que contiene un hash criptográfico del anterior. Esta cadena de bloques garantiza la inmutabilidad de los datos almacenados.
- Módulos de Hardware Seguro: Algunos módulos de seguridad de hardware (HSMs) y enclaves seguros proporcionan capacidades de almacenamiento local inmutable protegiendo claves criptográficas y datos sensibles de manipulación o acceso no autorizado.
Usar tecnologías inmutables y almacenamiento inmutable se puede implementar en dispositivos de almacenamiento convencionales en la infraestructura local. Medios ópticos como CD-R, DVD-R y Blu-Ray, así como tarjetas flash SD, pueden ayudar a proteger pequeñas cantidades de datos que pueden ser convenientes para usuarios individuales en el modo manual. En cuanto a organizaciones y entornos de producción, se puede implementar un sistema de archivos con configuración WORM y otras soluciones para almacenamiento escalable para una protección eficiente con automatización. Las soluciones de almacenamiento inmutable basadas en la nube pueden servir para una gama más amplia de casos de uso, incluido el acceso remoto y la colaboración.
¿Es la cinta un medio de almacenamiento inmutable?
El almacenamiento en cinta se puede usar para proporcionar una forma de almacenamiento inmutable. El almacenamiento en cinta es un medio versátil que permite que los datos se escriban, sobrescriban y borren como otras formas de almacenamiento. Sin embargo, las organizaciones pueden implementar prácticas y políticas para hacer que el almacenamiento en cinta se comporte de manera inmutable.
Las organizaciones pueden utilizar una estrategia de escritura única al almacenar datos en cinta que es útil para respaldar a cinta. Esto significa que los datos se escriben en la cinta una vez y, después de eso, la cinta se trata como de solo lectura. Una vez que los datos se escriben en una cinta de esta manera, no se pueden alterar o eliminar sin destruir físicamente la cinta. Las cartuchos de cinta tienen un interruptor de protección contra escritura. También hay cartuchos especiales VolSafe que solo se pueden usar una vez para escribir datos.
Sin embargo, es importante tener en cuenta que mantener y administrar almacenamiento inmutable basado en cinta puede ser más complejo y menos conveniente que utilizar soluciones inmutables basadas en la nube o en disco, que a menudo vienen con funciones integradas para la inmutabilidad de datos y el control de acceso.
Almacenamiento inmutable en NAS
Algunos sistemas de almacenamiento conectado a la red (NAS), como Synology NAS y QNAP NAS, admiten almacenamiento inmutable que se puede configurar en la interfaz web del sistema operativo nativo del proveedor instalado en el NAS. Esta es una opción más para configurar almacenamiento inmutable en el entorno local. La configuración de la inmutabilidad para una carpeta compartida de escritura única carpeta compartida en el NAS es sencilla.
Copia de seguridad inmutable
Una copia de seguridad inmutable es una copia de seguridad que no se puede alterar ni eliminar. Copia de seguridad inmutable es uno de los casos de uso más populares de almacenamiento de datos inmutable. Si se establece un período de caducidad, la copia de seguridad inmutable solo se puede eliminar después de que expire este período. Las copias de seguridad inmutables son utilizadas por organizaciones de todos los sectores.
Las copias de seguridad son uno de los objetivos principales para los atacantes de ransomware porque los atacantes saben que tener una copia de seguridad permite a la víctima restaurar los datos sin tener que pagar un rescate. Las copias de seguridad ubicadas en almacenamiento inmutable protegen a los usuarios y organizaciones contra la encriptación de datos, la corrupción de datos y la eliminación en las copias de seguridad.
Cuando se utiliza la regla de backup 3-2-1, que requiere tener al menos 3 copias de datos en al menos 2 medios diferentes, uno de los cuales se almacena fuera del sitio, es más confiable tener una copia de datos en almacenamiento con inmutabilidad. Puede ser una copia de datos adicional (cuarta). Si las copias primarias de datos están comprometidas, es posible restaurar datos desde la copia de seguridad inmutable.
Copia de seguridad en almacenamiento inmutable con NAKIVO
NAKIVO Backup & Replication es una solución moderna de protección de datos que admite la copia de seguridad de datos en repositorios que admiten la inmutabilidad. Puede configurar la inmutabilidad implementando un repositorio de copia de seguridad en los siguientes lugares:
- A physical or virtual machine:
- A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
- A public cloud with immutability supported:
- Amazon S3
- Azure Blob Storage
- Wasabi
- Backblaze B2
Además, puedes implementar un dispositivo virtual para VMware vSphere y una Imagen de Máquina Amazon (AMI) preconfigurada para Amazon EC2 con un repositorio de copia de seguridad integrado fortificado con inmutabilidad habilitada.