Novedad
Solicitar una demo

Backup con Air Gap: qué es y cómo funciona

Gustavo DutschmannGD
Gustavo Dutschmann
Ingeniero de Ventas

El aislamiento por brecha de aire hace por el software lo que el distanciamiento social hace por las personas: mantiene a raya las infecciones. Es una estrategia de copia de seguridad y recuperación que impide que agentes maliciosos se infiltren, refuerza la postura de seguridad en infraestructuras hiperconvergentes (HCI) y desempeña un papel crucial en procedimientos de recuperación como los planes recuperación ante desastres (DR).

¿Qué es el aislamiento por brecha de aire?

El aislamiento por brecha de aire es un método de protección de datos que consiste en separar físicamente un volumen de almacenamiento de todos los posibles puntos de acceso, tanto cableados como inalámbricos. Tras el aislamiento, el volumen se convierte en un país dentro de un país, incluso dentro de su propia infraestructura, apartado de las cargas de trabajo y los procesos internos. Si los atacantes vulneran la red, los datos aislados por brecha de aire permanecen inaccesibles, ocultos tras una barrera conocida como muro de aire. Este muro de aire añade otra capa de protección y evita la manipulación ilícita salvo mediante sabotaje manual directo o destrucción. Por estas características, las brechas de aire se consideran una de las mejores prácticas de copia de seguridad.

¿Qué es una copia de seguridad aislada por brecha de aire?

Una copia de seguridad aislada por brecha de aire es una copia de datos sin conexión reforzada por un muro de aire. El aislamiento por brecha de aire no se adapta prácticamente a nada mejor que a las copias de seguridad, porque las vuelve impenetrables e inaccesibles. En cambio, las operaciones probablemente se detendrían si se aislara por brecha de aire un entorno de producción, debido a los retrasos inherentes en la transferencia. Por este motivo, la técnica de brecha de aire es especialmente adecuada para las copias de seguridad.

¿Cómo funcionan las copias de seguridad aisladas por brecha de aire?

Las copias de seguridad aisladas por brecha de aire residen fuera de las redes principales, a menudo en edificios separados, y a veces en lo que se denomina una jaula de Faraday (un recinto que neutraliza las ondas electromagnéticas). Una estrategia de protección estándar establece que los responsables deben transferir los datos entre origen y destino por sí mismos mediante dispositivos extraíbles como memorias USB. Esta técnica de aislamiento por brecha de aire es la medida de seguridad más estricta y una defensa sólida contra la pérdida de datos.

Sin embargo, algunas organizaciones no pueden o no quieren usar las brechas de aire de esta manera. Mantener una instalación adicional para dispositivos físicos, desplazarse de un lugar a otro e invertir en una jaula de Faraday puede resultar demasiado engorroso e ineficiente. Pero esa no es la única estrategia de brecha de aire que existe.

¿Cuáles son los tipos de brechas de aire?

Existen dos tipos básicos de sistemas aislados por brecha de aire: físicos y lógicos.

¿Qué es una brecha de aire física?

Una brecha de aire física implica un espacio literal —un búfer— entre la copia de seguridad y la producción. Considere estos factores antes de implementar dicho búfer:

  • Ubicación: Puede colocar el dispositivo de almacenamiento en un edificio separado o en el principal. En este último caso, asegúrese de que haya suficiente espacio entre el dispositivo y su entorno.
  • Separación: Decida si su postura de seguridad necesita una pantalla adicional, como una jaula de Faraday. Una jaula de Faraday lo suficientemente robusta podría desviar eventos de pulso electromagnético (EMP) o tormentas solares.
  • Conexión: Mantenga el volumen permanentemente desconectado de la red o déjelo físicamente conectado, pero equipado con interruptores que gestionen el control de acceso de forma manual o automática.

¿Qué es una brecha de aire lógica?

Algunas empresas prefieren brechas de aire lógicas. Siguen los mismos principios de seguridad que las brechas de aire físicas, pero los aplican mediante software. El software aísla el volumen de la red, aunque el volumen pueda permanecer físicamente conectado a ella. Los mecanismos responsables de la separación incluyen cifrado, firewalls o gestión del control de acceso; por ejemplo, Bloqueo de objetos de S3.

¿Qué es una brecha de aire en la nube?

Algunos proveedores de nube ofrecen copias de seguridad aisladas por brecha de aire. Aunque en apariencia sea una contradicción en los términos, las copias de seguridad con brecha de aire en la nube proporcionan una seguridad similar a la de las implementaciones locales. Aprovechan procesos lógicos para mantener los datos a salvo y solo se utilizan para restaurar e ingerir información. Desconectadas durante el intervalo, son en la práctica repositorios fuera de las instalaciones con conectividad de red ocasional.

Cómo configurar e implementar copias de seguridad aisladas por brecha de aire en las instalaciones

Las empresas que quieran configurar una copia de seguridad aislada por brecha de aire on-premises pueden elegir entre las siguientes tres opciones. Cada una se ajusta a estándares de seguridad rigurosos, equilibrando seguridad y comodidad de forma diferente.

  • Configuración completamente manual. Esto abarca bibliotecas de cintas sin conexión operadas manualmente u otros sistemas de almacenamiento. Aunque esta separación del exterior es inflexible, los expertos en seguridad la desaconsejan porque la gestión manual introduce un margen de error demasiado grande.
  • Configuración parcialmente/completamente automatizada. Incluye appliances de copia de seguridad diseñados específicamente (PBBA). Los PBBA constan de un medio de almacenamiento independiente con un sistema operativo autónomo que activa y desactiva el appliance según las políticas de seguridad vigentes.
  • Configuración basada en software. Es cuando las copias de seguridad aisladas por brecha de aire se imponen mediante software en lugar de hardware. Los ingenieros de Seguridad configuran procesos lógicos que conceden y revocan el acceso automáticamente según reglas predefinidas.

Hay algunas cosas que conviene recordar al implementar copias de seguridad aisladas por brecha de aire:

  • Aislar. Asegúrese de que estén físicamente fuera del alcance de partes no autorizadas.
  • Realice copias de seguridad con frecuencia, idealmente a diario. Cuanto más corto sea el intervalo, menor será el desfase entre los datos de producción y los de la copia de seguridad, expresado como Recovery Point Objective (RPO), la cantidad máxima aceptable de datos en riesgo de perderse.
  • Supervise de forma constante el estado de los dispositivos de copia de seguridad aislados por brecha de aire. El hardware moderno suele tener una vida útil corta; los discos duros, en particular, son susceptibles a defectos que pueden dejarlos inservibles en menos de cinco años.

¿Cuáles son las ventajas y desventajas del aislamiento por brecha de aire?

Pocas soluciones ofrecen mejores salvaguardas contra intrusiones maliciosas y protección contra la pérdida de datos que el aislamiento por brecha de aire.

Pero hay algunas salvedades. Por ejemplo, muchas organizaciones tienen dificultades para cartografiar fielmente sus conexiones de red. Esto genera confusión sobre los dispositivos conectados. En concreto, activos que se creían sin conexión pueden resultar estar en línea cuando se auditan. Asegúrese de conocer la estructura de su red de principio a fin.

El aislamiento por brecha de aire no elimina la transferencia de datos. La conectividad intermitente abre las copias fuera de las instalaciones al acceso físico y las expone a vulnerabilidades. Aproveche la inmutabilidad, el cifrado y un acceso sofisticado basado en roles para reforzarlas frente a ello.

Actualizar copias de seguridad aisladas por brecha de aire requiere tiempo y esfuerzo. Por desgracia, no existe una solución sencilla. Espere que un procedimiento de copia de seguridad dure unas horas en lugar de minutos o segundos, como ocurriría con la nube. Al considerar el aislamiento por brecha de aire, decida qué importa más: la seguridad o la velocidad. Las copias de seguridad aisladas por brecha de aire inclinan la balanza hacia lo primero.

Las brechas de aire físicas a menudo dejan poco o ningún rastro documental. Esto incrementa el riesgo de que alguien dentro de la empresa robe datos, porque puede hacerlo con relativa impunidad. Asegúrese de que su equipo sea confiable y digno de confianza.

Por último, las brechas de aire lógicas sacrifican seguridad a cambio de velocidad y comodidad. En sentido estricto, siempre están conectadas a la red y dependen del software para el aislamiento. Una brecha de aire física puede ser la mejor opción para una seguridad a prueba de todo.

¿Cómo proporcionan las brechas de aire protección de datos frente al ransomware?

El ransomware es un programa malicioso que se cuela en una red, cifra sus datos y deja una nota de rescate visible exigiendo un pago a cambio del descifrado.

Los perpetradores del ransomware intentan mantenerse al ritmo de las defensas desplegadas contra ellos. Más recientemente, han puesto el foco en las copias de seguridad, convencidos —con razón— de que, si las inutilizan, la víctima no tendrá otra salida que rendirse.

Una brecha de aire aísla los datos sensibles y mantiene a raya a los actores maliciosos, reforzando una estrategia de defensa contra ransomware, siempre que otras medidas de seguridad la complementen.

  • Inmutabilidad. Un sistema aislado por brecha de aire debe conectarse ocasionalmente a otro medio para cumplir su función. Ese breve instante puede ser todo lo que un atacante necesita para entrar. La inmutabilidad los detendrá en seco.
  • Cifrado. Puede emplear cifrado de datos en reposo, en tránsito o ambos para aumentar la seguridad.
  • Gobernanza. Asignar, comunicar y hacer cumplir niveles de autorización para gestionar copias de seguridad aisladas por brecha de aire mejorará de forma drástica la postura de seguridad del sistema.
  • Monitorización. La actividad en torno a las copias de seguridad aisladas por brecha de aire debe estar bajo escrutinio constante. Preste mucha atención incluso a las anomalías más leves. Podrían indicar un comportamiento nefasto.

¿Cómo encajan las copias de seguridad aisladas por brecha de aire en la regla 3-2-1?

Una sola copia de seguridad no basta cuando los datos son una cuestión de vida o muerte. Pero ¿cuántas copias de seguridad son suficientes para evitar la pérdida de datos?

El fotógrafo estadounidense Peter Krogh propuso una regla 3-2-1. Krogh creía que toda copia de seguridad debía constar de tres copias idénticas. Además, estas copias deberían usar al menos dos medios diferentes; por ejemplo, cinta y HDD, con una ubicada fuera de las instalaciones en caso de un desastre en el sitio.

Más tarde, el esquema se modificó para abordar mejor los desafíos de ciberseguridad como el ransomware. La versión corregida añade dos dígitos al nombre en clave y queda como 3-2-1-1-0. “0” se refiere a que todas las copias deben estar libres de errores. “1” significa que una de las tres copias debe ser inmutable o estar aislada por brecha de aire.

¿Debería proteger sus datos con brechas de aire?

Las copias de seguridad aisladas por brecha de aire ofrecen una seguridad excelente frente a ciberataques, pero tienen un coste. Para saber si encajan en la estrategia de seguridad de su organización, considere las siguientes preguntas.

  • ¿Ha auditado su infraestructura y determinado qué activos están conectados a la red? Esta es información importante que debe tener antes de instaurar un sistema de defensa aislado por brecha de aire.
  • ¿Está comprometido a implementar medidas de seguridad adicionales —como inmutabilidad o control de acceso— para acompañar al propio aislamiento por brecha de aire?
  • ¿Es consciente y acepta que las copias de seguridad aisladas por brecha de aire son más lentas y no igualan la alta disponibilidad de las copias de seguridad en la nube?
  • ¿Almacena datos sensibles? El aislamiento por brecha de aire es eficaz contra la degradación, la pérdida y la manipulación de datos, lo que ayuda a salvaguardar información confidencial.
  • ¿Sus empleados son dignos de confianza, fiables y con criterio de seguridad? Las copias de seguridad aisladas por brecha de aire son propensas al error humano y a la malicia. Es esencial cultivar una cultura de trabajo que fomente la lealtad y respalde la formación en seguridad.
  • ¿Su presupuesto es lo suficientemente amplio como para asumir el gasto? Los sistemas de brecha de aire pueden ser costosos de implementar.
  • ¿Está sujeto a leyes de protección de datos como GDPR, CCPA, CPRA, PCI y otras? Si es así, el coste de instalar un sistema aislado por brecha de aire, por elevado que sea, seguirá siendo inferior a las multas por incumplir la normativa.

Una forma de proteger los datos de sus copias de seguridad

Las brechas de aire protegen la información sensible y los datos críticos mejor que otras medidas de protección. Aun así, es esencial tener muy presentes las palabras de Gene Spafford, quien dijo: “El único sistema verdaderamente seguro es aquel que está apagado, embebido en un bloque de hormigón y sellado en una habitación revestida de plomo con guardias armados; y aun así tengo mis dudas”.

Por otro lado, empresas de todos los tamaños no pueden aspirar a una defensa mejor contra el ransomware y muchos otros tipos de malware que un sistema aislado por brecha de aire cuidadosamente desplegado, reforzado con inmutabilidad y control de acceso basado en roles. En un momento en que el ransomware campa a sus anchas, el aislamiento por brecha de aire es la última línea de defensa en caso de desastre.

Mantente al día

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.

Puede darse de baja en cualquier momento.