Os backups de dados podem ajudar a recuperar dados se uma cópia de produção principal estiver corrompida ou excluída. No entanto, com o alto risco de ciberataques e outras ameaças, os backups também são vulneráveis.
Uma das melhores maneiras de proteger os dados de backup contra quaisquer modificações ou exclusões é usando armazenamento que suporta imutabilidade. Saiba mais sobre imutabilidade de dados, como o armazenamento imutável funciona e por que o armazenamento de dados imutáveis melhora as chances de proteção e recuperação de dados.
O Que É Imutabilidade de Dados?
A imutabilidade de dados é um conceito em ciência da computação e gerenciamento de dados que se refere a dados que não podem ser alterados depois de terem sido criados. Em um modelo de dados imutável, uma vez que os dados são criados, eles não podem ser modificados ou atualizados; em vez disso, quaisquer alterações resultam na criação de novos dados, deixando os dados originais inalterados (se as alterações puderem ser aplicadas). Esta abordagem tem implicações e benefícios importantes.
Dados imutáveis nem sempre são a melhor escolha, pois existem cenários em que dados mutáveis são mais eficientes ou apropriados. No entanto, em muitos casos, especialmente em sistemas de backup, sistemas concorrentes ou distribuídos, a imutabilidade pode simplificar o desenvolvimento e melhorar a confiabilidade.
O Que É Armazenamento Imutável?
O armazenamento imutável é um tipo de armazenamento de dados no qual, uma vez que os dados são escritos ou armazenados, não podem ser modificados, alterados ou excluídos por um período de tempo especificado, se é que podem ser. Este conceito é frequentemente utilizado no contexto da preservação de dados, proteção de dados, conformidade de dados e segurança de dados. Os sistemas de armazenamento imutável são projetados para garantir a integridade e imutabilidade dos dados, tipicamente por razões legais ou regulatórias ou para proteger informações críticas contra alterações ou exclusões não autorizadas.
O armazenamento imutável adiciona uma camada extra de segurança de dados. Uma vez que os dados são escritos em um sistema de armazenamento imutável, eles se tornam resistentes a modificações não autorizadas, protegendo-os de ciberataques e ameaças internas. O armazenamento imutável pode ser usado em cenários nos quais manter uma cadeia de custódia segura e ininterrupta é crucial, como armazenamento de evidências em casos legais ou armazenamento de registros de transações financeiras. Um exemplo pode ser imagens de vigilância por vídeo que são gravadas uma vez e não podem ser adulteradas ou excluídas para serem usadas como prova ao investigar atividades legais.
Os sistemas de armazenamento imutável são implantados para reter dados por um período específico, garantindo que permaneçam inalterados e acessíveis para fins de auditoria, conformidade ou arquivamento. Isso é crucial em setores como finanças, saúde e jurídico, que são campos com requisitos rigorosos de retenção de dados. Seja para proteção de dados, conformidade regulatória (por exemplo, GDPR), ou segurança aprimorada, o armazenamento imutável é um componente crítico para garantir a integridade dos dados e a resiliência contra adulterações ou alterações não autorizadas.
Como Funciona o Armazenamento Imutável?
Armazenamento imutável funciona implementando mecanismos e políticas que impedem que os dados sejam modificados, alterados ou excluídos após terem sido escritos ou armazenados. Os métodos específicos para alcançar a imutabilidade podem variar dependendo da tecnologia e arquitetura do sistema de armazenamento. Técnicas e princípios usados no armazenamento imutável são:
- Write-Once-Read-Many (WORM). O armazenamento WORM é projetado para permitir que os dados sejam escritos apenas uma vez e, uma vez escritos, não podem ser alterados ou sobrescritos. Isso é frequentemente alcançado usando mecanismos físicos ou lógicos que bloqueiam os dados após sua escrita, impedindo quaisquer modificações adicionais.
- Versionamento de dados. Alguns sistemas de armazenamento imutável suportam versionamento de dados, onde cada modificação nos dados resulta em uma nova versão. Versões mais antigas dos dados são preservadas, permitindo que você acesse versões históricas enquanto garante que os dados originais permaneçam inalterados.
- Controles de bloqueio e acesso. Sistemas de armazenamento imutável frequentemente incorporam controles de acesso e permissões para evitar que usuários não autorizados tentem modificar ou excluir dados. Apenas indivíduos ou processos autorizados podem escrever no armazenamento, enquanto outros só podem ler os dados.
- Políticas de retenção. Sistemas de armazenamento imutável geralmente incluem políticas de retenção que especificam por quanto tempo os dados devem ser preservados em um estado não alterado. Isso permite que você defina a imutabilidade por um período específico. Uma vez que este período de retenção expira, os dados podem estar aptos para exclusão.
- Hashing criptográfico. Muitos sistemas de armazenamento imutável usam técnicas de hashing criptográfico para garantir a integridade dos dados. Quando os dados são gravados, um valor de hash (uma string de comprimento fixo derivada do conteúdo dos dados) é calculado e armazenado junto com os dados. Qualquer tentativa de modificar os dados resultará em um valor de hash diferente, indicando adulteração.
- Armazenamento endereçável por conteúdo. Esta é uma arquitetura de armazenamento que atribui um identificador único (tipicamente um hash criptográfico) a cada parte de dados. Este identificador é usado para recuperar dados em vez de caminhos de arquivo tradicionais. Uma vez que os dados são gravados, eles não podem ser modificados sem alterar seu identificador.
- Trilhas de auditoria. Para garantir conformidade e rastrear qualquer tentativa de acesso ou modificação, os sistemas de armazenamento imutável frequentemente mantêm registros de auditoria detalhados que registram todas as interações com os dados armazenados.
- Proteções de hardware e software. O armazenamento imutável pode utilizar proteções de hardware ou software para proteger os dados contra ameaças físicas e lógicas, como selos à prova de violação, módulos de hardware seguros ou algoritmos de consenso distribuído.
O armazenamento imutável é frequentemente usado em combinação com outras tecnologias como blockchain, assinaturas digitais e carimbos de data/hora seguros para aumentar ainda mais a autenticidade e segurança dos dados. A implementação específica do armazenamento imutável pode variar amplamente com base nas necessidades e requisitos da organização ou indústria que serve.
Air Gap vs Armazenamento Imutável
Um “air gap” é uma medida de segurança utilizada em computação e gerenciamento de dados para isolar fisicamente e logicamente um sistema ou rede de ambientes não seguros ou potencialmente comprometidos. O termo “air gap” implica que há um literal espaço ou desconexão física entre o sistema/dados protegidos e redes externas, tornando difícil acessar, alterar ou comprometer dados por usuários não autorizados ou ataques cibernéticos.
O armazenamento com “air gap” é um meio de armazenamento que está fisicamente desconectado de um computador ou rede. Os “air gaps” são comumente usados para sistemas altamente sensíveis ou críticos, como aqueles que lidam com informações classificadas, sistemas de controle de infraestrutura crítica e redes seguras governamentais ou militares.
Um “air gap” fornece uma forte camada de segurança ao isolar um sistema ou dados de redes externas, mas não os torna inerentemente imutáveis. O “air gapping” se concentra principalmente na isolação de um sistema ou rede de ameaças externas, mas não garante a imutabilidade dos dados por si só. As organizações podem combinar ambientes com “air gap” com medidas adicionais de segurança e práticas e políticas de imutabilidade de dados para alcançar resiliência cibernética dentro desse contexto isolado para proteger os dados contra alterações não autorizadas.
Um exemplo de armazenamento com “air gap”
Um disco rígido (HDD) SAS, SATA ou USB desconectado de um servidor ou matriz de armazenamento é um exemplo comum de armazenamento com “air gap”. Os arquivos armazenados em um disco rígido (HDD) não podem ser modificados porque esse dispositivo está fisicamente desconectado e desligado. Ele é inacessível para o software. Os dados armazenados nesse disco rígido desconectado estão protegidos contra ataques de ransomware e outras alterações indesejadas.
No entanto, essa proteção não é alcançada usando tecnologias imutáveis como no caso do armazenamento imutável moderno. Não existem chaves de proteção de gravação de hardware e não há software que garanta a proteção contra gravação para um disco rígido padrão que esteja desligado. É por isso que o armazenamento com isolamento de ar e o armazenamento imutável são diferentes, apesar de serem usados para fins semelhantes.
Os cartuchos de fita também são considerados armazenamento com isolamento de ar. Após a gravação de um backup na fita, o cartucho de fita ejetado não pode ser acessado por ransomware e os dados de backup não podem ser modificados.
O armazenamento com isolamento de ar requer mais esforço e tempo para gerenciamento em comparação com o armazenamento imutável, que pode ser implementado em um servidor, em nuvem local ou pública.
Soluções de Armazenamento Imutável na Nuvem
As soluções de armazenamento imutável na nuvem referem-se a serviços ou sistemas de armazenamento de dados baseados em nuvem que oferecem a imutabilidade como uma característica central. Essas soluções garantem que, uma vez que os dados são armazenados na nuvem, eles não podem ser modificados, alterados ou excluídos por um período especificado ou de acordo com políticas específicas e os princípios do armazenamento imutável. O armazenamento imutável na nuvem é particularmente valioso para organizações que buscam proteger a integridade dos dados, atender aos requisitos de conformidade, aprimorar a segurança dos dados e implementar estratégias de retenção de dados no ambiente de nuvem.
Exemplos de armazenamento imutável na nuvem
As soluções de armazenamento em nuvem imutáveis são oferecidas por vários provedores de serviços em nuvem e são projetadas para fornecer imutabilidade de dados e proteção contra modificações ou exclusões não autorizadas. Vários provedores de serviços em nuvem oferecem soluções de armazenamento em nuvem imutáveis como parte de seu portfólio. Por exemplo, Amazon S3 (Serviço de Armazenamento Simples) oferece Object Lock, um recurso que permite a imutabilidade de dados para objetos S3 (armazenamento de objetos imutáveis). Microsoft Azure oferece Azure Immutable Blob Storage, que permite às organizações criar e gerenciar dados imutáveis no Armazenamento de Blobs do Azure. Vamos revisar exemplos de soluções de armazenamento em nuvem imutáveis de alguns dos principais provedores de nuvem:
- Amazon S3 Object Lock. Amazon S3 oferece um recurso chamado Object Lock que permite aos usuários criar objetos imutáveis dentro de seus buckets S3 para fornecer armazenamento de objetos imutáveis na nuvem pública. Os usuários podem escolher entre dois modos: modo de Governança, onde os administradores podem definir políticas de retenção, e modo de Conformidade, onde uma vez que um objeto é bloqueado, ele não pode ser excluído ou modificado até que o período de retenção expire.
Microsoft Azure Immutable Blob Storage . Microsoft Azure fornece Immutable Blob Storage como parte de seu serviço deArmazenamento de Blob do Azure . Immutable Blob Storage permite aos usuários definir políticas de retenção em seus contêineres de blob, impedindo qualquer modificação ou exclusão de blobs até que o período de retenção tenha decorrido. - Armazenamento de Blob Imutável do Microsoft Azure. O Microsoft Azure oferece o Armazenamento de Blob Imutável como parte de seu serviço Armazenamento de Blob do Azure. O Armazenamento de Blob Imutável permite que os usuários estabeleçam políticas de retenção em seus contêineres de blob, impedindo qualquer modificação ou exclusão de blobs até que o período de retenção tenha expirado.
- Versionamento de Objetos do Google Cloud Storage. O Google Cloud Storage oferece o versionamento de objetos como uma maneira de alcançar a imutabilidade. Ao habilitar o versionamento, toda modificação de um objeto cria uma nova versão desse objeto, preservando o original. Os usuários podem configurar políticas de ciclo de vida de objetos para gerenciar versões ao longo do tempo, que podem incluir a definição de períodos de retenção para imutabilidade.
- Bloqueio de Objeto do IBM Cloud. O IBM Cloud Object Storage fornece o Object Lock, um recurso que permite aos usuários impor imutabilidade para objetos específicos dentro de seus buckets. Semelhante a outros provedores de nuvem, o Object Lock oferece ambos os modos de Governança e Cumprimento para diferentes níveis de controle sobre a retenção de dados e a imutabilidade.
- Bloqueio de Objeto do Serviço de Armazenamento Oracle Cloud. O Serviço de Armazenamento Oracle Cloud oferece o Object Lock, que permite aos usuários criar objetos imutáveis com períodos de retenção personalizáveis. Esse recurso é útil para organizações sujeitas a regulamentos de retenção de dados ou aquelas que exigem a preservação rígida de dados.
Esses exemplos destacam como vários provedores de nuvem oferecem soluções para garantir a imutabilidade dos dados, principalmente através da criação de objetos imutáveis ou o uso de políticas de versionamento e retenção.
Armazenamento Imutável Local
Armazenamento imutável local refere-se ao armazenamento de dados que está fisicamente localizado em um dispositivo ou sistema e é projetado para garantir a imutabilidade dos dados armazenados. Ao contrário das soluções de armazenamento imutável baseadas na nuvem, que dependem de servidores e serviços remotos, o armazenamento imutável local opera dentro dos limites de um único dispositivo, servidor ou infraestrutura no local. Esse tipo de armazenamento é particularmente útil para cenários em que os dados precisam ser protegidos de modificações ou exclusões não autorizadas no nível local.
As principais características do armazenamento imutável local são:
- Proteção de escrita baseada em hardware. O armazenamento imutável local pode ser alcançado através de mecanismos de hardware que fisicamente impedem que os dados sejam sobrescritos ou modificados. Por exemplo, dispositivos de armazenamento ou mídia protegidos contra escrita, como discos ópticos, permitem que os dados sejam escritos uma vez e, em seguida, os protegem de alterações subsequentes.
- Recursos de sistema de arquivos. Alguns sistemas de arquivos suportam recursos que podem ser usados para implementar imutabilidade local. Por exemplo, em sistemas operacionais semelhantes ao Linux, você pode usar o comando
chattrpara definir atributos como “i” (imutável) em arquivos, impedindo que eles sejam modificados ou excluídos. - Software especializado. Existem soluções de software projetadas para criar ambientes de armazenamento local imutável. Geralmente, essas soluções dependem de hash criptográfico, assinaturas digitais e controles de acesso para garantir a integridade e imutabilidade dos dados.
Exemplos de Armazenamento Local Imutável
Os exemplos de armazenamento local imutável usados na prática são:
- Discos ópticos (CD-R, DVD-R, Blu-ray): Discos ópticos graváveis são um exemplo clássico de armazenamento local imutável. Uma vez que os dados são gravados nesses discos, eles não podem ser alterados ou excluídos sem danificar fisicamente o meio.
- Dispositivos de armazenamento protegidos contra gravação: Cartões SD de memória flash vêm com interruptores de proteção contra gravação e alguns discos rígidos USB têm mecanismos que impedem que os dados sejam modificados uma vez que a proteção contra gravação é ativada.
- Sistemas de arquivos imutáveis: Alguns sistemas de arquivos especializados, como sistemas de arquivos WORM (Write-Once-Read-Many), são projetados para impor a imutabilidade dos dados na camada do sistema de arquivos (por exemplo, Sun QFS). Eles impedem alterações nos dados armazenados depois que eles foram escritos.
- Bancos de dados blockchain: Bancos de dados blockchain são uma forma de armazenamento local imutável usada para aplicativos descentralizados. No blockchain, os dados são armazenados em uma série de blocos, com cada bloco contendo um hash criptográfico do anterior. Essa cadeia de blocos garante a imutabilidade dos dados armazenados.
- Módulos de Hardware Seguro: Alguns módulos de segurança de hardware (HSMs) e enclaves seguros fornecem capacidades de armazenamento local imutável protegendo chaves criptográficas e dados sensíveis de adulteração ou acesso não autorizado.
Utilizando tecnologias imutáveis e armazenamento imutável, é possível implementar em dispositivos de armazenamento convencionais na infraestrutura local. Meios ópticos, como CD-R, DVD-R e Blu-Ray, assim como cartões de memória SD, podem ajudar a proteger pequenas quantidades de dados que podem ser convenientes para usuários individuais no modo manual. Quanto a organizações e ambientes de produção, um sistema de arquivos com configuração WORM e outras soluções de armazenamento escalável podem ser implementadas para proteção eficiente com automação. Soluções de armazenamento imutável baseadas em nuvem podem atender a uma ampla gama de casos de uso, incluindo acesso remoto e colaboração.
O cartão de fita é um meio de armazenamento imutável?
Armazenamento em fita pode ser usado para fornecer uma forma de armazenamento imutável. O armazenamento em fita é um meio versátil que permite que os dados sejam escritos, substituídos e excluídos como outras formas de armazenamento. No entanto, as organizações podem implementar práticas e políticas para fazer com que o armazenamento em fita se comporte de maneira imutável.
As organizações podem adotar uma estratégia de escrita única ao armazenar dados em fita, o que é útil para fazer backup em fita. Isso significa que os dados são escritos na fita uma vez e, após isso, a fita é tratada como somente leitura. Uma vez que os dados são escritos em uma fita dessa maneira, eles não podem ser alterados ou excluídos sem destruir fisicamente a fita. As cartuchos de fita possuem um interruptor de proteção contra gravação. Existem também cartuchos especiais VolSafe que podem ser usados apenas uma vez para gravar dados.
No entanto, é importante notar que manter e gerenciar armazenamento imutável baseado em fita pode ser mais complexo e menos conveniente do que usar soluções modernas de armazenamento imutável baseadas em nuvem ou em disco, que geralmente vêm com recursos integrados para imutabilidade de dados e controle de acesso.
Armazenamento imutável em NAS
Alguns sistemas de Network Attached Storage (NAS), como Synology NAS e QNAP NAS, suportam armazenamento imutável que pode ser configurado na interface da web do sistema operacional nativo do fornecedor instalado no NAS. Esta é mais uma opção para configurar armazenamento imutável no local. A configuração da imutabilidade para uma pasta compartilhada gravável uma única vez pasta compartilhada no NAS é direta.
Backup Imutável
Um backup imutável é um backup que não pode ser alterado ou excluído. Backup imutável é um dos casos de uso mais populares de armazenamento de dados imutável. Se um período de expiração for definido, o backup imutável só pode ser excluído após a expiração desse período. Os backups imutáveis são usados por organizações de todas as indústrias.
Os backups são uma das principais metas de atacantes de ransomware porque os atacantes sabem que ter um backup permite que uma vítima restaure os dados sem pagar um resgate. Os backups localizados em armazenamento imutável protegem usuários e organizações contra criptografia de dados, corrupção de dados e exclusão em backups.
Ao utilizar a regra de backup 3-2-1, que exige ter pelo menos 3 cópias de dados em pelo menos 2 meios diferentes, sendo um deles armazenado fora do local, é mais confiável ter uma cópia de dados em armazenamento com imutabilidade. Pode ser uma cópia de dados adicional (quarta). Se as cópias primárias de dados forem comprometidas, é possível restaurar os dados a partir do backup imutável.
Backup para armazenamento imutável com NAKIVO
NAKIVO Backup & Replication é uma solução moderna de proteção de dados que suporta o backup de dados em repositórios que suportam imutabilidade. Você pode configurar a imutabilidade implantando um repositório de backup nas seguintes localizações:
- A physical or virtual machine:
- A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
- A public cloud with immutability supported:
- Amazon S3
- Azure Blob Storage
- Wasabi
- Backblaze B2
Você pode implementar um dispositivo virtual para o VMware vSphere e uma Amazon Machine Image (AMI) pré-configurada para o Amazon EC2 com um repositório de backup embutido e endurecido com imutabilidade ativada.