I backup dati possono aiutare a recuperare i dati se una copia principale di produzione viene corrotta o eliminata. Tuttavia, con l’alto rischio di cyberattacchi e altre minacce, i backup sono anche vulnerabili.
Uno dei modi migliori per proteggere i dati di backup da eventuali modifiche o eliminazioni è utilizzare uno storage che supporti l’immutabilità. Scopri cosa significa l’immutabilità dei dati, come funziona lo storage immutabile e perché lo storage di dati immutabili migliora le possibilità di protezione e recupero dei dati.
Cosa Significa Immunità dei Dati?
L’immutabilità dei dati è un concetto nell’informatica e nella gestione dei dati che si riferisce ai dati che non possono essere modificati dopo essere stati creati. In un modello di dati immutabile, una volta che i dati sono stati creati, non possono essere modificati o aggiornati; invece, eventuali modifiche comportano la creazione di nuovi dati, lasciando i dati originali inalterati (se le modifiche possono essere applicate). Questo approccio ha importanti implicazioni e benefici.
I dati immutabili non sono sempre la scelta migliore, poiché ci sono scenari in cui i dati mutabili sono più efficienti o appropriati. Tuttavia, in molti casi, specialmente nei sistemi di backup, nei sistemi concorrenti o distribuiti, l’immutabilità può semplificare lo sviluppo e migliorare la affidabilità.
Cos’è lo Storage Immutabile?
Lo storage immutabile è un tipo di archiviazione dati in cui una volta che i dati sono scritti o archiviati, non possono essere modificati, alterati o eliminati per un periodo di tempo specificato, se del caso. Questo concetto è spesso utilizzato nel contesto della conservazione dei dati, della protezione dei dati, della conformità dei dati e della sicurezza dei dati. I sistemi di archiviazione immutabile sono progettati per garantire l’integrità e l’immutabilità dei dati, tipicamente per motivi legali o normativi o per proteggere informazioni critiche da modifiche o cancellazioni non autorizzate.
Lo storage immutabile aggiunge un ulteriore livello di sicurezza dei dati. Una volta che i dati sono scritti su un sistema di archiviazione immutabile, diventano resistenti a modifiche non autorizzate, proteggendoli da attacchi informatici e minacce interne. Lo storage immutabile può essere utilizzato in scenari in cui è cruciale mantenere una catena di custodia sicura e ininterrotta, come ad esempio l’archiviazione delle prove in casi legali o la conservazione dei registri delle transazioni finanziarie. Un esempio può essere il filmato di videosorveglianza che viene scritto una volta e non può essere manomesso o eliminato per essere utilizzato come prova durante le indagini su attività legali.
I sistemi di archiviazione immutabile vengono implementati per conservare i dati per un periodo specifico, garantendo che rimangano inalterati e accessibili per scopi di audit, conformità o archiviazione. Questo è cruciale in settori come finanza, sanità e legale, che sono campi con rigorosi requisiti di conservazione dei dati. Che si tratti di protezione dei dati, conformità normativa (ad esempio, GDPR), o sicurezza potenziata, lo storage immutabile è un componente critico per garantire l’integrità dei dati e la resilienza contro manomissioni o modifiche non autorizzate.
Come Funziona lo Storage Immutabile?
L’archiviazione immutabile funziona implementando meccanismi e politiche che impediscono la modifica, l’alterazione o l’eliminazione dei dati dopo che sono stati scritti o archiviati. I metodi specifici per ottenere l’immobilità possono variare a seconda della tecnologia e dell’architettura del sistema di archiviazione. Le tecniche e i principi utilizzati nell’archiviazione immutabile sono:
- Scrittura una volta, lettura molte (WORM). L’archiviazione WORM è progettata per consentire ai dati di essere scritti solo una volta e una volta scritti, non possono essere modificati o sovrascritti. Ciò viene spesso ottenuto utilizzando meccanismi fisici o logici che bloccano i dati dopo che sono stati scritti, impedendo ulteriori modifiche.
- Versionamento dei dati. Alcuni sistemi di archiviazione immutabile supportano il versionamento dei dati, dove ogni modifica ai dati porta a una nuova versione. Le versioni più vecchie dei dati vengono conservate, consentendo di accedere alle versioni storiche mentre si garantisce che i dati originali rimangano invariati.
- Blocco e controlli di accesso. I sistemi di archiviazione immutabile spesso incorporano controlli di accesso e autorizzazioni per impedire agli utenti non autorizzati di tentare di modificare o eliminare i dati. Solo individui o processi autorizzati possono scrivere nell’archiviazione, mentre altri possono solo leggere i dati.
- Politiche di conservazione. I sistemi di archiviazione immutabile includono tipicamente politiche di conservazione che specificano per quanto tempo i dati devono essere conservati in uno stato non modificato. Ciò consente di impostare l’immobilità per un periodo specifico. Una volta scaduto questo periodo di conservazione, i dati possono essere idonei per l’eliminazione.
- Hashing crittografico. Molti sistemi di archiviazione immutabile utilizzano tecniche di hashing crittografico per garantire l’integrità dei dati. Quando i dati vengono scritti, viene calcolato e memorizzato un valore hash (una stringa di lunghezza fissa derivata dai contenuti dei dati) insieme ai dati. Qualsiasi tentativo di modificare i dati produrrà un valore hash diverso, indicando manipolazione.
- Archiviazione indirizzabile dal contenuto. Si tratta di un’architettura di archiviazione che assegna un identificatore unico (tipicamente un hash crittografico) a ciascun pezzo di dati. Questo identificatore viene utilizzato per recuperare i dati invece dei percorsi file tradizionali. Una volta che i dati vengono scritti, non possono essere modificati senza cambiare il relativo identificatore.
- Piste di controllo. Per garantire la conformità e tracciare qualsiasi tentativo di accesso o modifica, i sistemi di archiviazione immutabile spesso mantengono dettagliati registri di controllo che registrano tutte le interazioni con i dati archiviati.
- Sicurezze hardware e software. L’archiviazione immutabile può utilizzare sicurezze hardware o software per proteggere i dati da minacce fisiche e logiche, come sigilli a prova di manomissione, moduli hardware sicuri o algoritmi di consenso distribuito.
L’archiviazione immutabile viene spesso utilizzata in combinazione con altre tecnologie come blockchain, firme digitali e timestamp sicuri per migliorare ulteriormente l’autenticità e la sicurezza dei dati. L’implementazione specifica dell’archiviazione immutabile può variare ampiamente in base alle esigenze e ai requisiti dell’organizzazione o dell’industria che serve.
Air Gap vs Archiviazione Immutabile
Un divario d’aria è una misura di sicurezza utilizzata nella gestione informatica e dei dati per isolare fisicamente e logicamente un sistema o una rete da ambienti non protetti o potenzialmente compromessi. Il termine “divario d’aria” implica che vi sia un effettivo divario o disconnessione fisica tra il sistema/dati protetti e le reti esterne, rendendo difficile l’accesso, la modifica o il compromesso dei dati da parte di utenti non autorizzati o cyber attacchi.
Lo storage con divario d’aria è un supporto di memorizzazione fisicamente disconnesso da un computer o una rete. I divari d’aria sono comunemente utilizzati per sistemi altamente sensibili o critici, come quelli che gestiscono informazioni classificate, sistemi di controllo dell’infrastruttura critica e reti governative o militari sicure.
Un divario d’aria fornisce uno strato di sicurezza forte isolando un sistema o dei dati da reti esterne, ma non garantisce intrinsecamente l’immutabilità dello storage. Il divario d’aria si concentra principalmente sull’isolamento di un sistema o una rete dalle minacce esterne, ma non garantisce l’immutabilità dei dati di per sé. Le organizzazioni possono combinare ambienti con divario d’aria con ulteriori misure di sicurezza e pratiche e politiche di immutabilità dei dati per raggiungere la resilienza cibernetica all’interno di quel contesto isolato per proteggere i dati da modifiche non autorizzate.
Un esempio di storage con divario d’aria
SAS, SATA o un HDD USB disconnesso da un server o un array di storage è un esempio comune di storage con divario d’aria. I file memorizzati su tale disco rigido (HDD) non possono essere modificati perché questo dispositivo è fisicamente disconnesso e spento. È inaccessibile per il software. I dati memorizzati su questo disco rigido disconnesso sono protetti contro attacchi ransomware e altre modifiche indesiderate.
Tuttavia, questa protezione non viene ottenuta utilizzando tecnologie immutabili come nel caso dello storage immutabile moderno. Non ci sono interruttori hardware di protezione della scrittura e non esiste un software che garantisca la protezione della scrittura per un disco rigido standard che è spento. Ecco perché lo storage disconnesso e lo storage immutabile sono diversi, nonostante vengano utilizzati per scopi simili.
Anche le cartucce a nastro sono considerate storage disconnesso. Dopo aver scritto un backup su nastro, la cartuccia del nastro espulsa non può essere accessa da ransomware e i dati di backup non possono essere modificati.
Lo storage disconnesso richiede più sforzo e tempo per la gestione rispetto allo storage immutabile che può essere implementato su un server, in un cloud locale o pubblico.
Soluzioni di Storage Cloud Immutabile
Le soluzioni di storage cloud immutabile si riferiscono a servizi o sistemi di archiviazione dati basati su cloud che offrono l’immutabilità come caratteristica principale. Queste soluzioni garantiscono che una volta che i dati sono archiviati nel cloud, non possono essere modificati, alterati o eliminati per un periodo specificato o secondo politiche specifiche e i principi dello storage immutabile. Lo storage cloud immutabile è particolarmente prezioso per le organizzazioni che cercano di proteggere l’integrità dei dati, soddisfare i requisiti di conformità, migliorare la sicurezza dei dati e implementare strategie di conservazione dei dati nell’ambiente cloud.
Esempi di storage cloud immutabile
Le soluzioni di archiviazione cloud immutabile sono offerte da vari fornitori di servizi cloud e sono progettate per fornire immutabilità dei dati e protezione contro modifiche o eliminazioni non autorizzate. Diversi fornitori di servizi cloud offrono soluzioni di archiviazione cloud immutabile come parte del loro portafoglio. Ad esempio, Amazon S3 (Simple Storage Service) offre Object Lock, una funzionalità che consente l’immutabilità dei dati per gli oggetti S3 (archiviazione di oggetti immutabili). Microsoft Azure offre Azure Immutable Blob Storage, che consente alle organizzazioni di creare e gestire dati immutabili in Azure Blob Storage. Vediamo alcuni esempi di soluzioni di archiviazione cloud immutabile da alcuni dei principali fornitori di cloud:
- Amazon S3 Object Lock. Amazon S3 offre una funzionalità chiamata Object Lock che consente agli utenti di creare oggetti immutabili all’interno dei propri bucket S3 per fornire archiviazione di oggetti immutabili nel cloud pubblico. Gli utenti possono scegliere tra due modalità: modalità di governance, dove gli amministratori possono impostare le politiche di conservazione, e modalità di conformità, dove una volta bloccato un oggetto, non può essere eliminato o modificato fino alla scadenza del periodo di conservazione.
Microsoft Azure Immutable Blob Storage . Microsoft Azure fornisce Immutable Blob Storage come parte del suo servizio Azure Blob Storage. Immutable Blob Storage consente agli utenti di impostare le politiche di conservazione sui loro contenitori di blob, impedendo qualsiasi modifica o eliminazione dei blob fino alla scadenza del periodo di conservazione. - Microsoft Azure Immutable Blob Storage. Microsoft Azure offre Immutable Blob Storage come parte del suo servizio Azure Blob Storage. Immutable Blob Storage consente agli utenti di impostare politiche di conservazione sui loro contenitori blob, impedendo qualsiasi modifica o eliminazione dei blob fino a quando non è trascorso il periodo di conservazione.
- Google Cloud Storage Object Versioning. Google Cloud Storage offre la versioning degli oggetti come metodo per ottenere l’immutabilità. Quando il versioning è abilitato, ogni modifica a un oggetto crea una nuova versione di quell’oggetto, preservando l’originale. Gli utenti possono configurare politiche di ciclo di vita degli oggetti per gestire le versioni nel tempo, che possono includere l’impostazione di periodi di conservazione per l’immutabilità.
- IBM Cloud Object Lock. IBM Cloud Object Storage fornisce Object Lock, una funzionalità che consente agli utenti di applicare immutabilità per oggetti specifici all’interno dei loro bucket. Simile ad altri provider di cloud, Object Lock offre sia modalità Governance che Compliance per diversi livelli di controllo sulla conservazione dei dati e sull’immutabilità.
- Oracle Cloud Storage Service Object Lock. Oracle Cloud Storage Service offre Object Lock, che consente agli utenti di creare oggetti immutabili con periodi di conservazione personalizzabili. Questa funzionalità è utile per le organizzazioni soggette a normative sulla conservazione dei dati o quelle che richiedono una rigorosa conservazione dei dati.
Questi esempi evidenziano come vari fornitori di cloud offrano soluzioni per garantire l’immutabilità dei dati, principalmente attraverso la creazione di oggetti immutabili o l’uso di politiche di versioning e di mantenimento.
Archiviazione locale immutabile
L’archiviazione locale immutabile si riferisce all’archiviazione dei dati che è fisicamente situata su un dispositivo o sistema ed è progettata per garantire l’immutabilità dei dati memorizzati. A differenza delle soluzioni di archiviazione immutabile basate sul cloud, che si basano su server remoti e servizi, l’archiviazione immutabile locale opera entro i limiti di un singolo dispositivo, server o infrastruttura on-premises. Questo tipo di archiviazione è particolarmente utile per scenari in cui i dati devono essere protetti dalle modifiche o dalle cancellazioni non autorizzate a livello locale.
Le principali caratteristiche dell’archiviazione locale immutabile sono:
- Protezione da scrittura basata su hardware. L’archiviazione locale immutabile può essere ottenuta attraverso meccanismi hardware che fisicamente impediscono ai dati di essere sovrascritti o modificati. Ad esempio, dispositivi di archiviazione o supporti protetti da scrittura, come i dischi ottici, consentono di scrivere i dati una volta e quindi di proteggerli dalle modifiche successive.
- Caratteristiche del filesystem. Alcuni filesystem supportano caratteristiche che possono essere utilizzate per implementare l’immutabilità locale. Ad esempio, nei sistemi operativi simili a Linux, è possibile utilizzare il comando
chattrper impostare attributi come “i” (immutabile) sui file, impedendo loro di essere modificati o eliminati. - Software specializzato. Esistono soluzioni software progettate per creare ambienti di archiviazione locale immutabili. Spesso si basano su hash crittografici, firme digitali e controlli di accesso per garantire l’integrità dei dati e l’immutabilità.
Esempi di Archiviazione Locale Immutabile
Gli esempi di archiviazione locale immutabile utilizzati nella pratica sono:
- Dischi ottici (CD-R, DVD-R, Blu-ray disc): I dischi ottici scrittura una tantum sono un classico esempio di archiviazione locale immutabile. Una volta che i dati vengono “bruciati” su questi dischi, non possono essere alterati o eliminati senza danneggiare fisicamente il supporto.
- Dispositivi di archiviazione protetti dalla scrittura: Le schede SD flash hanno interruttori di protezione dalla scrittura e alcuni dischi rigidi USB hanno meccanismi che impediscono la modifica dei dati una volta abilitato la protezione dalla scrittura.
- File system immutabili: Alcuni file system specializzati, come i file system WORM (Write-Once-Read-Many), sono progettati per imporre l’immutabilità dei dati a livello di file system (ad esempio, Sun QFS). Impediscono cambiamenti ai dati memorizzati dopo che sono stati scritti.
- Database blockchain: I database blockchain sono una forma di archiviazione locale immutabile utilizzata per applicazioni decentralizzate. Nei blockchain, i dati sono memorizzati in una serie di blocchi, con ogni blocco che contiene un hash crittografico del precedente. Questa catena di blocchi garantisce l’immutabilità dei dati memorizzati.
- Moduli Hardware Sicuri: Alcuni moduli di sicurezza hardware (HSMs) e enclaves sicuri forniscono capacità di archiviazione locale immutabile proteggendo le chiavi crittografiche e i dati sensibili da manomissione o accesso non autorizzato.
Utilizzando tecnologie immutabili e archiviazione immutabile, è possibile implementare soluzioni su dispositivi di archiviazione convenzionali nell’infrastruttura on-premises. I supporti ottici come CD-R, DVD-R e Blu-Ray, così come le schede SD, possono aiutare a proteggere piccole quantità di dati che possono essere convenienti per gli utenti individuali in modalità manuale. Per le organizzazioni e gli ambienti di produzione, è possibile implementare un file system con configurazione WORM e altre soluzioni per l’archiviazione scalabile per una protezione efficiente con automazione. Le soluzioni di archiviazione immutabile basate sul cloud possono soddisfare una gamma più ampia di casi d’uso, comprese l’accesso remoto e la collaborazione.
Il nastro è un supporto di archiviazione immutabile?
Archiviazione su nastro può essere utilizzata per fornire una forma di archiviazione immutabile. L’archiviazione su nastro è un mezzo versatile che consente di scrivere, sovrascrivere e cancellare i dati come altri tipi di archiviazione. Tuttavia, le organizzazioni possono implementare pratiche e politiche per rendere l’archiviazione su nastro conforme al comportamento immutabile.
Le organizzazioni possono utilizzare una strategia di scrittura una sola volta quando memorizzano dati su nastro che è utile per backup su nastro. Ciò significa che i dati vengono scritti sul nastro una sola volta e, dopo ciò, il nastro viene considerato di sola lettura. Una volta che i dati vengono scritti su un nastro in questo modo, non possono essere modificati o eliminati senza distruggere fisicamente il nastro. I cartucce per nastri hanno un interruttore di protezione dalla scrittura. Esistono anche speciali cartucce VolSafe che possono essere utilizzate una sola volta per scrivere dati.
Tuttavia, è importante notare che il mantenimento e la gestione di memorizzazione immutabile su nastro può essere più complesso e meno conveniente rispetto all’uso di soluzioni di memorizzazione immutabile basate sul cloud o su disco moderno, che spesso vengono fornite con funzionalità integrate per l’immutabilità dei dati e il controllo di accesso.
Memorizzazione immutabile su NAS
Alcuni sistemi Network Attached Storage (NAS), come Synology NAS e QNAP NAS, supportano la memorizzazione immutabile che può essere configurata nell’interfaccia web del sistema operativo nativo del fornitore installato sul NAS. Questa è un’altra opzione per configurare la memorizzazione immutabile in locale. La configurazione dell’immutabilità per una cartella condivisa scrivibile una sola volta su NAS è semplice.
Backup immutabile
Un backup immutabile è un backup che non può essere modificato o eliminato. Backup immutabile è uno dei casi d’uso più popolari della memorizzazione dei dati immutabili. Se è impostato un periodo di scadenza, il backup immutabile può essere eliminato solo dopo che questo periodo è scaduto. I backup immutabili sono utilizzati da organizzazioni di tutti i settori.
I backup sono una delle principali mete degli attacchi di ransomware perché gli attaccanti sanno che avere un backup consente alla vittima di ripristinare i dati senza dover pagare un riscatto. I backup situati su memorizzazione immutabile proteggono gli utenti e le organizzazioni contro la cifratura dei dati, la corruzione dei dati e l’eliminazione nei backup.
Quando si utilizza la regola di backup 3-2-1, che richiede di avere almeno 3 copie dei dati su almeno 2 diversi supporti, di cui uno conservato in un luogo remoto, è più affidabile avere una copia dei dati su un supporto con immutabilità. Questa può essere un’ulteriore (quarta) copia dei dati. Se le copie principali dei dati vengono compromesse, è possibile ripristinare i dati dalla copia di backup immutabile.
Backup su supporto immutabile con NAKIVO
NAKIVO Backup & Replication è una soluzione moderna di protezione dei dati che supporta il backup dei dati su repository che supportano l’immutabilità. È possibile configurare l’immutabilità distribuendo un repository di backup nei seguenti luoghi:
- A physical or virtual machine:
- A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
- A public cloud with immutability supported:
- Amazon S3
- Azure Blob Storage
- Wasabi
- Backblaze B2
Inoltre, puoi distribuire un’appliance virtuale per VMware vSphere e un’immagine predefinita Amazon Machine Image (AMI) per Amazon EC2 con un repository di backup integrato rinforzato con l’immutabilità abilitata.