Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Copias de seguridad con espacio de aire: ¿Qué son y cómo funcionan?

El aislamiento de aire hace por el software lo que el distanciamiento social hace por las personas: evita infecciones. Es una estrategia de respaldo y recuperación que detiene a los agentes maliciosos de infiltrarse, refuerza la postura de seguridad en la infraestructura hiperconvergente (HCI) y juega un papel crucial en los procedimientos de recuperación, como los planes de recuperación ante desastres (DR).

¿Qué es el aislamiento de aire?

El aislamiento de aire es un método de protección de datos mediante la separación física de un volumen de almacenamiento de todos los posibles puntos de acceso, tanto cableados como inalámbricos. Después de la aislamiento, el volumen se convierte en un país dentro de un país, incluso dentro de su propia infraestructura, alejado de las cargas de trabajo y procesos internos. Si los hackers violan la red, los datos aislados por aire permanecen inaccesibles, ocultos detrás de una barrera conocida como pared de aire. Esta pared de aire añade otra capa de protección y previene la manipulación ilegal, excepto a través de alteraciones manuales directas o destrucción. Debido a estos atributos, los espacios de aire se consideran una de las mejores prácticas de respaldo.

¿Qué es un respaldo aislado por aire?

Un respaldo aislado por aire es una copia offline de datos reforzada por una pared de aire. El aislamiento de aire se adapta prácticamente mejor a los respaldos porque los hace impenetrables e inaccesibles. Por el contrario, las operaciones probablemente se detendrían si se aislara un entorno de producción debido a los retrasos inherentes en la transferencia. Por esta razón, la técnica de aislamiento de aire se presta muy bien a los respaldos.

¿Cómo funcionan los respaldos aislados por aire?

Los respaldos aislados por aire residen fuera de las redes principales, a menudo en edificios separados, a veces en lo que se llama una Jaula de Faraday (un recinto que neutraliza las ondas electromagnéticas). Una estrategia de protección estándar dicta que los empleadores deben transferir datos entre la fuente y el destino por sí mismos en dispositivos extraíbles como unidades USB. Esta técnica de aislamiento de aire es la medida de seguridad más estricta y una defensa robusta contra la pérdida de datos.

Sin embargo, algunas organizaciones no pueden o no quieren usar espacios de aire de esta manera. Mantener una instalación adicional para dispositivos físicos, caminar de un lugar a otro e invertir en una Jaula de Faraday podría ser demasiado engorroso e ineficiente. Pero esa no es la única estrategia de aislamiento de aire que existe.

¿Cuáles son los tipos de espacios de aire?

Hay dos tipos básicos de sistemas aislados por aire: físico y lógico.

¿Qué es un espacio de aire físico?

Un espacio de aire físico implica un espacio literal—un buffer—entre el respaldo y la producción. Considere estos factores antes de implementar tal buffer:

  • Ubicación: Puede colocar el dispositivo de almacenamiento en un edificio separado o en el principal. En este último caso, asegúrese de que haya suficiente espacio entre el dispositivo y su entorno.
  • Separación: Decida si su postura de seguridad necesita una pantalla adicional, como una Jaula de Faraday. Una Jaula de Faraday suficientemente fuerte podría desviar eventos de pulso electromagnético (EMP) o erupciones solares.
  • Conexión: Mantenga el volumen permanentemente desconectado de la red o déjelo físicamente conectado pero equipado con interruptores que gestionen el control de acceso manual o automáticamente.

¿Qué es un espacio de aire lógico?

Algunas empresas prefieren espacios de aire lógicos en su lugar. Estos siguen los mismos principios de seguridad que los espacios de aire físicos, pero los aplican a través de software. El software aísla el volumen de la red, incluso cuando el volumen puede permanecer físicamente conectado a ella. Los mecanismos responsables de la separación incluyen cifrado, cortafuegos o gestión de control de acceso—por ejemplo, S3 Object Lock.

¿Qué es un espacio de aire en la nube?

Algunos proveedores de nube ofrecen respaldos aislados por aire. Aunque aparentemente es una contradicción en términos, los respaldos en la nube con aislamiento de aire proporcionan una seguridad similar a la de las implementaciones locales. Aprovechan procesos lógicos para mantener los datos seguros y solo se utilizan para restaurar e ingerir información. Desconectados en el ínterin, son efectivamente repositorios fuera del sitio con conectividad ocasional a la red.

Cómo configurar e implementar respaldos aislados por aire en las instalaciones

Las empresas que desean establecer un respaldo aislado por aire en las instalaciones pueden elegir entre las siguientes tres opciones. Cada una se adhiere a rigurosos estándares de seguridad mientras equilibra la seguridad y la conveniencia de manera diferente.

  • Configuración completamente manual. Esto abarca arreglos de cinta offline operados manualmente u otros sistemas de almacenamiento. Aunque esta separación del exterior es intransigente, los expertos en seguridad desaconsejan su uso porque la gestión manual introduce un margen de error demasiado grande.
  • Configuración parcialmente/completamente automatizada. Estas incluyen dispositivos de respaldo diseñados específicamente (PBBA). Los PBBAs consisten en un medio de almacenamiento independiente con un sistema operativo autónomo que activa y desactiva el dispositivo de acuerdo con las políticas de seguridad establecidas.
  • Configuración basada en software. Esto es cuando los respaldos aislados por aire se imponen a través de software en lugar de hardware. Los ingenieros de seguridad configuran procesos lógicos que otorgan y revocan el acceso automáticamente según reglas predefinidas.

Hay algunas cosas que recordar al implementar respaldos aislados por aire:

  • Aislar. Asegúrese de que estén físicamente fuera del alcance de partes no autorizadas.
  • Realice respaldos con frecuencia—idealmente todos los días. Cuanto más corto sea el intervalo, menor será la discrepancia entre los datos de producción y los de respaldo—expresada como Objetivo de Punto de Recuperación (RPO), la cantidad máxima aceptable de datos en riesgo de ser perdidos.
  • Mantenga un control constante sobre la salud de los dispositivos de respaldo aislados por aire. El hardware moderno a menudo tiene una vida útil corta, siendo los discos duros particularmente susceptibles a defectos que pueden volverlos inútiles en menos de cinco años.

¿Cuáles son los pros y los contras del aislamiento de aire?

Pocas otras soluciones proporcionan mejores salvaguardias contra la intrusión maliciosa y protección contra la pérdida de datos que el aislamiento de aire.

Pero hay algunas advertencias. Por ejemplo, muchas organizaciones luchan por mapear sus conexiones de red de manera fiel. Esto confunde a los dispositivos conectados. Específicamente, los activos que se creen offline pueden resultar estar en línea cuando se auditan. Asegúrese de conocer la estructura de su red a fondo.

El aislamiento de aire no elimina la transferencia de datos. La conectividad intermitente abre copias fuera del sitio al acceso físico y las expone a vulnerabilidades. Aproveche la inmutabilidad, el cifrado y el acceso basado en roles sofisticados para fortalecerlas contra eso.

Actualizar los respaldos aislados por aire lleva tiempo y esfuerzo. Desafortunadamente, no hay una solución fácil. Espere que un procedimiento de respaldo dure unas pocas horas en lugar de minutos o segundos, como lo haría con la nube. Al considerar el aislamiento de aire, decida qué es más importante: seguridad o velocidad. Los respaldos aislados por aire inclinan la balanza hacia la primera.

Los espacios de aire físicos a menudo dejan poca o ninguna huella de papel. Esto aumenta el riesgo de que alguien dentro de la empresa robe datos porque puede hacerlo con relativa impunidad. Asegúrese de que su equipo sea confiable y responsable.

Finalmente, los espacios de aire lógicos sacrifican seguridad por velocidad y conveniencia. Estrictamente hablando, siempre están conectados a la red y dependen del software para el aislamiento. Un espacio de aire físico podría ser la mejor opción para una seguridad a prueba de balas.

¿Cómo proporcionan los espacios de aire protección de datos contra ransomware?

El ransomware es un programa malicioso que se infiltra en una red, cifra sus datos y deja una nota de rescate conspicua exigiendo un pago a cambio de la descifrado.

Los perpetradores de ransomware intentan mantenerse al día con las defensas desplegadas contra ellos. Más recientemente, han centrado su atención en los respaldos, convencidos de que si los alteran, la víctima no tendrá más recurso que rendirse.

Un espacio de aire aísla datos sensibles y mantiene a los actores maliciosos a raya, fortaleciendo una estrategia de defensa contra ransomware — siempre que otras medidas de seguridad la complementen.

  • Inmutabilidad. Un respaldo aislado por aire debe conectarse ocasionalmente a otro medio para hacer su trabajo. Ese breve momento puede ser todo lo que un atacante necesita para infiltrarse. La inmutabilidad los detendrá en seco.
  • Cifrado. Puede emplear cifrado de datos en reposo, en tránsito, o ambos para aumentar la seguridad.
  • Gobernanza. Asignar, anunciar y hacer cumplir los niveles de autorización para gestionar respaldos aislados por aire mejorará infinitamente la postura de seguridad del sistema.
  • Monitoreo. La actividad en torno a los respaldos aislados por aire debe estar bajo constante escrutinio. Preste atención incluso a las más mínimas anomalías. Pueden indicar un comportamiento nefasto.

¿Cómo encajan los respaldos aislados por aire en la regla 3-2-1?

Un respaldo no es suficiente cuando los datos son una cuestión de vida o muerte. Pero, ¿cuántos respaldos son suficientes para prevenir la pérdida de datos?

El fotógrafo estadounidense Peter Krogh propuso una regla 3-2-1. Krogh creía que cada respaldo debe consistir en tres copias idénticas. Además, estas copias deben utilizar al menos dos medios diferentes—por ejemplo, cinta y HDD—con una ubicada fuera del sitio en caso de un desastre en el sitio.

El esquema fue posteriormente enmendado para abordar mejor los desafíos de ciberseguridad como el ransomware. La versión corregida añade dos dígitos al nombre en clave y se lee 3-2-1-1-0. “0” se refiere al hecho de que todas las copias deben estar libres de errores. “1” significa que una de las tres copias debe ser inmutable o aislada por aire.

¿Debería proteger sus datos con espacios de aire?

Los respaldos aislados por aire proporcionan una excelente seguridad contra ataques cibernéticos, pero tienen un costo. Para averiguar si tienen su lugar en la estrategia de seguridad de su organización, considere las siguientes preguntas.

  • ¿Ha auditado su infraestructura y determinado qué activos están conectados a la red? Esta es información importante que debe tener antes de instituir un sistema de defensa aislado por aire.
  • ¿Está comprometido a implementar medidas de seguridad adicionales—como inmutabilidad o control de acceso—para acompañar el aislamiento de aire en sí?
  • ¿Se da cuenta y acepta que los respaldos aislados por aire son más lentos y no igualan la alta disponibilidad de los respaldos en la nube?
  • ¿Almacena datos sensibles? El aislamiento de aire es efectivo contra la erosión de datos, pérdida y manipulación, lo que ayuda a salvaguardar información confidencial.
  • ¿Son sus empleados confiables, responsables y conocedores de la seguridad? Los respaldos aislados por aire son propensos al error humano y a la malicia. Es esencial cultivar una cultura laboral que fomente la lealtad y apoye la educación sobre seguridad.
  • ¿Su presupuesto es lo suficientemente grande para acomodar el gasto? Los sistemas de aislamiento de aire pueden ser costosos de implementar.
  • ¿Está sujeto a leyes de protección de datos como GDPR, CCPA, CPRA, PCI y otras? Si es así, el costo de instalar un sistema aislado por aire, por muy elevado que sea, seguirá siendo menor que las multas por transgredir la regulación.

Una forma de proteger sus datos de respaldo

Los espacios de aire protegen mejor la información sensible y los datos críticos que otras medidas de protección. Aún así, es esencial tomar en serio las palabras de Gene Spafford, quien dijo: “El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un bloque de concreto y sellado en una habitación con plomo y guardias armados—y aun así tengo mis dudas.”

Por otro lado, las empresas de todos los tamaños no pueden esperar una mejor defensa contra el ransomware y muchos otros tipos de malware que un sistema aislado por aire cuidadosamente desplegado, aumentado con inmutabilidad y control de acceso basado en roles. En un momento en que el ransomware está descontrolado, el aislamiento de aire es la última línea de defensa en caso de un desastre.

Noticias del producto

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.