Cópias de segurança de dados podem ajudar a recuperar dados se uma cópia de produção principal estiver corrompida ou deletada. No entanto, com o alto risco de ciberataques e outras ameaças, as cópias de segurança também são vulneráveis.
Uma das melhores maneiras de proteger os dados de backup contra quaisquer modificações ou exclusões é usando armazenamento que suporte imutabilidade. Saiba sobre imutabilidade de dados, como o armazenamento imutável funciona e por que o armazenamento de dados imutável melhora as chances de proteção e recuperação de dados.
O que é Imutabilidade de Dados?
A imutabilidade de dados é um conceito em ciência da computação e gerenciamento de dados que se refere a dados que não podem ser alterados depois de terem sido criados. Em um modelo de dados imutável, uma vez que os dados são criados, eles não podem ser modificados ou atualizados; em vez disso, quaisquer alterações resultam na criação de novos dados, deixando os dados originais inalterados (se as alterações puderem ser aplicadas). Esta abordagem tem implicações e benefícios importantes.
Dados imutáveis nem sempre são a melhor escolha, pois existem cenários onde dados mutáveis são mais eficientes ou apropriados. No entanto, em muitos casos, especialmente em sistemas de backup, sistemas concorrentes ou distribuídos, a imutabilidade pode simplificar o desenvolvimento e melhorar a confiabilidade.
O que é Armazenamento Imutável?
O armazenamento imutável é um tipo de armazenamento de dados no qual, uma vez que os dados são gravados ou armazenados, não podem ser modificados, alterados ou deletados por um período de tempo especificado, se é que podem ser. Este conceito é frequentemente utilizado no contexto de preservação de dados, proteção de dados, conformidade de dados e segurança de dados. Os sistemas de armazenamento imutável são projetados para garantir a integridade e imutabilidade dos dados, geralmente por motivos legais ou regulatórios, ou para proteger informações críticas contra alterações ou exclusões não autorizadas.
O armazenamento imutável adiciona uma camada extra de segurança aos dados. Uma vez que os dados são gravados em um sistema de armazenamento imutável, eles se tornam resistentes a modificações não autorizadas, protegendo-os contra ataques cibernéticos e ameaças internas. O armazenamento imutável pode ser usado em cenários onde manter uma cadeia de custódia segura e ininterrupta é crucial, como o armazenamento de evidências em casos legais ou o armazenamento de registros de transações financeiras. Um exemplo pode ser imagens de vigilância por vídeo que são gravadas uma vez e não podem ser adulteradas ou excluídas para serem usadas como prova durante investigações de atividades legais.
Os sistemas de armazenamento imutável são implantados para reter dados por um período específico, garantindo que permaneçam inalterados e acessíveis para fins de auditoria, conformidade ou arquivamento. Isso é crucial em indústrias como finanças, saúde e jurídica, que são campos com requisitos rigorosos de retenção de dados. Seja para proteção de dados, conformidade regulatória (por exemplo, GDPR), ou segurança aprimorada, o armazenamento imutável é um componente crítico para garantir a integridade dos dados e a resiliência contra adulteração ou alterações não autorizadas.
Como Funciona o Armazenamento Imutável?
Armazenamento imutável funciona implementando mecanismos e políticas que impedem que os dados sejam modificados, alterados ou excluídos após terem sido escritos ou armazenados. Os métodos específicos para alcançar a imutabilidade podem variar dependendo da tecnologia e arquitetura do sistema de armazenamento. Técnicas e princípios utilizados no armazenamento imutável são:
- Write-Once-Read-Many (WORM). O armazenamento WORM é projetado para permitir que os dados sejam escritos apenas uma vez e, uma vez escritos, não podem ser alterados ou sobrescritos. Isso é frequentemente alcançado usando mecanismos físicos ou lógicos que bloqueiam os dados após terem sido escritos, impedindo quaisquer modificações posteriores.
- Versionamento de dados. Alguns sistemas de armazenamento imutável suportam versionamento de dados, onde cada modificação nos dados resulta em uma nova versão. As versões mais antigas dos dados são preservadas, permitindo acessar versões históricas enquanto garante que os dados originais permaneçam inalterados.
- Controles de bloqueio e acesso. Sistemas de armazenamento imutável frequentemente incorporam controles de acesso e permissões para evitar que usuários não autorizados tentem modificar ou excluir dados. Apenas indivíduos ou processos autorizados podem escrever no armazenamento, enquanto outros só podem ler dados.
- Políticas de retenção. Sistemas de armazenamento imutável tipicamente incluem políticas de retenção que especificam por quanto tempo os dados devem ser preservados em um estado não alterado. Isso permite definir a imutabilidade por um período específico. Uma vez que este período de retenção expire, os dados podem ser elegíveis para exclusão.
- Hashing criptográfico. Muitos sistemas de armazenamento imutável usam técnicas de hashing criptográfico para garantir a integridade dos dados. Quando os dados são escritos, um valor de hash (uma string de comprimento fixo derivada do conteúdo dos dados) é computado e armazenado junto com os dados. Qualquer tentativa de modificar os dados resultará em um valor de hash diferente, indicando adulteração.
- Armazenamento endereçável por conteúdo. Esta é uma arquitetura de armazenamento que atribui um identificador único (tipicamente um hash criptográfico) a cada pedaço de dados. Este identificador é usado para recuperar dados em vez de caminhos de arquivo tradicionais. Uma vez que os dados são escritos, eles não podem ser modificados sem alterar seu identificador.
- Trilhas de auditoria. Para garantir conformidade e rastrear quaisquer tentativas de acesso ou modificação, os sistemas de armazenamento imutável frequentemente mantêm registros de auditoria detalhados que registram todas as interações com os dados armazenados.
- Salvaguardas de hardware e software. O armazenamento imutável pode utilizar salvaguardas de hardware ou software para proteger os dados de ameaças físicas e lógicas, como selos invioláveis, módulos de hardware seguro ou algoritmos de consenso distribuído.
O armazenamento imutável é frequentemente utilizado em combinação com outras tecnologias como blockchain, assinaturas digitais e carimbos de tempo seguros para aprimorar ainda mais a autenticidade e segurança dos dados. A implementação específica do armazenamento imutável pode variar amplamente com base nas necessidades e requisitos da organização ou indústria que serve.
Gap de Ar vs Armazenamento Imutável
Uma lacuna de ar é uma medida de segurança usada em computação e gerenciamento de dados para isolar fisicamente e logicamente um sistema ou rede de ambientes não seguros ou potencialmente comprometidos. O termo “lacuna de ar” implica que existe uma lacuna literal ou desconexão física entre o sistema/dados protegidos e as redes externas, tornando difícil o acesso, alteração ou comprometimento dos dados por usuários não autorizados ou ciberataques.
O armazenamento com lacuna de ar é um meio de armazenamento que está fisicamente desconectado de um computador ou rede. Lacunas de ar são comumente usadas para sistemas altamente sensíveis ou críticos, como aqueles que lidam com informações classificadas, sistemas de controle de infraestrutura crítica e redes governamentais ou militares seguras.
Uma lacuna de ar fornece uma camada forte de segurança ao isolar um sistema ou dados de redes externas, mas não torna o armazenamento inerentemente imutável. O isolamento de ar foca principalmente em isolar um sistema ou rede de ameaças externas, mas não garante imutabilidade de dados por si só. Organizações podem combinar ambientes com lacunas de ar com medidas adicionais de segurança e práticas e políticas de imutabilidade de dados para alcançar resiliência cibernética dentro desse contexto isolado, a fim de proteger os dados contra alterações não autorizadas.
Um exemplo de armazenamento com lacuna de ar
SAS, SATA ou HDD USB desconectado de um servidor ou array de armazenamento é um exemplo comum de armazenamento com lacuna de ar. Arquivos armazenados em tal disco rígido (HDD) não podem ser modificados porque esse dispositivo está fisicamente desconectado e desligado. É inacessível para software. Os dados armazenados neste disco rígido desconectado estão protegidos contra ataques de ransomware e outras alterações indesejadas.
No entanto, essa proteção não é alcançada usando tecnologias imutáveis como no caso do armazenamento moderno imutável. Não há interruptores de proteção contra gravação de hardware e não há software que garanta a proteção contra gravação para um disco rígido padrão que está desligado. É por isso que o armazenamento com lacunas de ar e o armazenamento imutável são diferentes, apesar de serem usados para fins semelhantes.
Os cartuchos de fita também são considerados armazenamento com lacunas de ar. Depois de gravar um backup na fita, o cartucho de fita ejetado não pode ser acessado por ransomware e os dados de backup não podem ser modificados.
O armazenamento com lacunas de ar requer mais esforço e tempo para gerenciamento em comparação com o armazenamento imutável que pode ser implementado em um servidor, em uma nuvem local ou pública.
Soluções de Armazenamento na Nuvem Imutável
As soluções de armazenamento na nuvem imutável referem-se a serviços ou sistemas de armazenamento de dados baseados na nuvem que oferecem imutabilidade como característica principal. Essas soluções garantem que, uma vez que os dados sejam armazenados na nuvem, não possam ser modificados, alterados ou excluídos por um período especificado ou de acordo com políticas específicas e os princípios do armazenamento imutável. O armazenamento na nuvem imutável é particularmente valioso para organizações que buscam proteger a integridade dos dados, atender aos requisitos de conformidade, aumentar a segurança dos dados e implementar estratégias de retenção de dados no ambiente de nuvem.
Exemplos de armazenamento na nuvem imutável
Soluções de armazenamento em nuvem imutável são oferecidas por vários provedores de serviços em nuvem e são projetadas para fornecer imutabilidade de dados e proteção contra modificações ou exclusões não autorizadas. Vários provedores de serviços em nuvem oferecem soluções de armazenamento em nuvem imutável como parte de seu portfólio. Por exemplo, a Amazon S3 (Simple Storage Service) oferece o Object Lock, um recurso que permite a imutabilidade de dados para objetos S3 (armazenamento de objeto imutável). O Microsoft Azure oferece o Azure Immutable Blob Storage, que permite às organizações criar e gerenciar dados imutáveis no Azure Blob Storage. Vamos revisar exemplos de soluções de armazenamento em nuvem imutável de alguns dos principais provedores de nuvem:
- Amazon S3 Object Lock. Amazon S3 oferece um recurso chamado Object Lock que permite aos usuários criar objetos imutáveis dentro de seus buckets S3 para fornecer armazenamento de objeto imutável na nuvem pública. Os usuários podem escolher entre dois modos: modo de Governança, onde os administradores podem definir políticas de retenção, e modo de Conformidade, onde uma vez que um objeto é bloqueado, ele não pode ser excluído ou modificado até que o período de retenção expire.
Microsoft Azure Immutable Blob Storage . Microsoft Azure fornece o Immutable Blob Storage como parte de seu serviçoAzure Blob Storage . O Immutable Blob Storage permite aos usuários definir políticas de retenção em seus containers de blob, impedindo qualquer modificação ou exclusão de blobs até que o período de retenção tenha decorrido. - Armazenamento de Blob Imutável do Microsoft Azure. O Microsoft Azure oferece o Armazenamento de Blob Imutável como parte de seu serviço de Armazenamento de Blob do Azure. O Armazenamento de Blob Imutável permite que os usuários definam políticas de retenção em seus contêineres de blob, impedindo qualquer modificação ou exclusão de blobs até que o período de retenção tenha expirado.
- Versionamento de Objetos do Google Cloud Storage. O Google Cloud Storage oferece o versionamento de objetos como uma maneira de alcançar a imutabilidade. Quando o versionamento está habilitado, cada modificação em um objeto cria uma nova versão desse objeto, preservando o original. Os usuários podem configurar políticas de ciclo de vida de objetos para gerenciar versões ao longo do tempo, que podem incluir a definição de períodos de retenção para imutabilidade.
- Bloqueio de Objeto do IBM Cloud. O IBM Cloud Object Storage fornece o Object Lock, um recurso que permite aos usuários impor imutabilidade para objetos específicos dentro de seus buckets. Semelhante a outros provedores de nuvem, o Object Lock oferece os modos de Governança e Conformidade para diferentes níveis de controle sobre a retenção de dados e a imutabilidade.
- Bloqueio de Objeto do Serviço de Armazenamento do Oracle Cloud. O Serviço de Armazenamento do Oracle Cloud oferece o Object Lock, que permite aos usuários criar objetos imutáveis com períodos de retenção personalizáveis. Esse recurso é útil para organizações sujeitas a regulamentos de retenção de dados ou que exigem a preservação rigorosa de dados.
Esses exemplos destacam como vários provedores de nuvem oferecem soluções para garantir a imutabilidade dos dados, principalmente através da criação de objetos imutáveis ou o uso de políticas de versionamento e retenção.
Armazenamento Imutável Local
Armazenamento imutável local refere-se ao armazenamento de dados que está fisicamente localizado em um dispositivo ou sistema e é projetado para garantir a imutabilidade dos dados armazenados. Ao contrário das soluções de armazenamento imutável baseadas na nuvem, que dependem de servidores e serviços remotos, o armazenamento imutável local opera dentro dos limites de um único dispositivo, servidor ou infraestrutura local. Esse tipo de armazenamento é particularmente útil para cenários em que os dados precisam ser protegidos contra modificações ou exclusões não autorizadas no nível local.
As principais características do armazenamento imutável local são:
- Proteção de escrita baseada em hardware. O armazenamento imutável local pode ser alcançado através de mecanismos de hardware que fisicamente impedem que os dados sejam sobrescritos ou modificados. Por exemplo, dispositivos de armazenamento ou mídia protegidos contra gravação, como discos ópticos, permitem que os dados sejam escritos uma vez e, em seguida, os protegem de alterações subsequentes.
- Recursos de sistema de arquivos. Alguns sistemas de arquivos suportam recursos que podem ser usados para implementar a imutabilidade local. Por exemplo, em sistemas operacionais semelhantes ao Linux, você pode usar o comando
chattrpara definir atributos como “imutável” (imutável) em arquivos, impedindo que sejam modificados ou excluídos. - Software especializado. Existem soluções de software projetadas para criar ambientes de armazenamento imutável local. Essas soluções geralmente dependem de hash criptográfico, assinaturas digitais e controles de acesso para garantir a integridade e a imutabilidade dos dados.
Exemplos de Armazenamento Imutável Local
Os exemplos de armazenamento imutável local usados na prática são:
- Discos ópticos (CD-R, DVD-R, Blu-ray): Os discos ópticos de gravação única são um exemplo clássico de armazenamento imutável local. Uma vez que os dados são gravados nesses discos, eles não podem ser alterados ou excluídos sem danificar fisicamente o meio.
- Dispositivos de armazenamento com proteção de gravação: As cartas SD flash vêm com interruptores de proteção de gravação e alguns discos rígidos USB têm mecanismos que impedem que os dados sejam modificados após a ativação da proteção de gravação.
- Sistemas de arquivos imutáveis: Alguns sistemas de arquivos especializados, como os sistemas de arquivos WORM (Write-Once-Read-Many), são projetados para impor a imutabilidade dos dados no nível do sistema de arquivos (por exemplo, Sun QFS). Eles impedem mudanças nos dados armazenados após serem escritos.
- Bancos de dados blockchain: Bancos de dados blockchain são uma forma de armazenamento imutável local usada para aplicativos descentralizados. No blockchain, os dados são armazenados em uma série de blocos, com cada bloco contendo um hash criptográfico do anterior. Essa cadeia de blocos garante a imutabilidade dos dados armazenados.
- Módulos de Hardware Seguro: Alguns módulos de segurança de hardware (HSMs) e enclaves seguros fornecem capacidades de armazenamento imutável local protegendo chaves criptográficas e dados sensíveis de adulteração ou acesso não autorizado.
O uso de tecnologias imutáveis e armazenamento imutável pode ser implementado em dispositivos de armazenamento convencionais na infraestrutura local. Mídias ópticas como CD-R, DVD-R e Blu-Ray, assim como cartões de memória SD, podem ajudar a proteger pequenas quantidades de dados que podem ser convenientes para usuários individuais no modo manual. Quanto às organizações e ambientes de produção, um sistema de arquivos com configuração WORM e outras soluções para armazenamento escalável podem ser implementados para uma proteção eficiente com automação. Soluções de armazenamento imutável baseadas em nuvem podem atender a uma gama mais ampla de casos de uso, incluindo acesso remoto e colaboração.
O tape é um meio de armazenamento imutável?
O armazenamento em fita pode ser usado para fornecer uma forma de armazenamento imutável. O armazenamento em fita é um meio versátil que permite que os dados sejam gravados, sobrescritos e excluídos como outras formas de armazenamento. No entanto, as organizações podem implementar práticas e políticas para fazer com que o armazenamento em fita se comporte de maneira imutável.
As organizações podem adotar uma estratégia de gravação única ao armazenar dados em fita, o que é útil para fazer backup em fita. Isso significa que os dados são escritos na fita uma vez e, após isso, a fita é tratada como somente leitura. Uma vez que os dados são gravados em uma fita dessa maneira, eles não podem ser alterados ou excluídos sem destruir fisicamente a fita. As fitas de cartuchos têm um interruptor de proteção de gravação. Existem também cartuchos especiais VolSafe que só podem ser usados uma vez para gravar dados.
No entanto, é importante notar que manter e gerenciar armazenamento imutável baseado em fita pode ser mais complexo e menos conveniente do que usar soluções modernas de armazenamento imutável baseadas em nuvem ou disco, que geralmente vêm com recursos incorporados para imutabilidade de dados e controle de acesso.
Armazenamento imutável em NAS
Alguns sistemas de Network Attached Storage (NAS), como Synology NAS e QNAP NAS, oferecem suporte a armazenamento imutável que pode ser configurado na interface da web do sistema operacional nativo do fornecedor instalado no NAS. Esta é mais uma opção para configurar o armazenamento imutável no local. A configuração da imutabilidade para uma pasta compartilhada apenas gravável pasta compartilhada no NAS é direta.
Backup Imutável
Um backup imutável é um backup que não pode ser alterado ou excluído. Backup imutável é um dos casos de uso mais populares de armazenamento de dados imutáveis. Se um período de expiração for definido, o backup imutável só pode ser excluído após a expiração desse período. Os backups imutáveis são usados por organizações de todas as indústrias.
Os backups são uma das principais metas dos atacantes de ransomware porque os atacantes sabem que ter um backup permite que uma vítima restaure os dados sem precisar pagar um resgate. Os backups localizados em armazenamento imutável protegem usuários e organizações contra a criptografia de dados, corrupção de dados e exclusão em backups.
Ao utilizar a regra de backup 3-2-1, que exige ter pelo menos 3 cópias de dados em pelo menos 2 meios diferentes, sendo um deles armazenado fora do local, é mais confiável ter uma cópia de dados em armazenamento com imutabilidade. Pode ser uma cópia de dados adicional (quarta). Se as cópias primárias de dados forem comprometidas, é possível restaurar os dados a partir do backup imutável.
Backup para armazenamento imutável com NAKIVO
NAKIVO Backup & Replication é uma solução moderna de proteção de dados que suporta o backup de dados em repositórios que suportam a imutabilidade. Você pode configurar a imutabilidade implantando um repositório de backup nas seguintes localizações:
- A physical or virtual machine:
- A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
- A public cloud with immutability supported:
- Amazon S3
- Azure Blob Storage
- Wasabi
- Backblaze B2
Além disso, você pode implantar um appliance virtual para VMware vSphere e uma Amazon Machine Image (AMI) pré-configurada para Amazon EC2 com um repositório de backup integrado fortificado com imutabilidade habilitada.