Backup con Air Gap: cosa sono e come funzionano

L’air gapping fa per il software ciò che il distanziamento sociale fa per le persone: tiene lontane le infezioni. È una strategia di backup e ripristino che impedisce agli agenti malevoli di infiltrarsi, rafforza la postura di sicurezza nelle infrastrutture iperconvergenti (HCI) e svolge un ruolo cruciale nelle procedure di ripristino, come i piani Disaster Recovery (DR).

Che cos’è l’air gapping?

L’air gapping è un metodo di protezione dei dati che consiste nel separare fisicamente un volume di storage da tutti i possibili punti di accesso, cablati e wireless. Dopo l’isolamento, il volume diventa un paese dentro un paese, persino all’interno della propria infrastruttura, rimosso dai carichi di lavoro e dai processi interni. Se gli hacker violano la rete, i dati air-gapped restano inaccessibili, nascosti dietro una barriera nota come air wall. Questo air wall aggiunge un ulteriore livello di protezione e impedisce manipolazioni illecite, salvo manomissione manuale diretta o distruzione. Per queste caratteristiche, gli air gap sono considerati una delle migliori pratiche di backup.

Che cos’è un backup air-gapped?

Un backup air-gapped è una copia offline dei dati, fortificata da un air wall. L’air gapping si adatta praticamente a nulla meglio dei backup, perché li rende impenetrabili e inaccessibili. Al contrario, le operazioni probabilmente si fermerebbero se si applicasse l’air gapping a un ambiente di produzione, a causa dei ritardi intrinseci nel trasferimento. Per questo motivo, la tecnica dell’air gap è particolarmente indicata per i backup.

Come funzionano i backup air-gapped?

I backup air-gapped risiedono al di fuori delle reti principali, spesso in edifici separati, talvolta in quella che viene chiamata gabbia di Faraday (un involucro che neutralizza le onde elettromagnetiche). Una strategia di protezione standard stabilisce che i datori di lavoro dovrebbero trasferire i dati tra sorgente e destinazione autonomamente, su dispositivi rimovibili come chiavette USB. Questa tecnica di air gapping è la misura di sicurezza più rigorosa e una difesa robusta contro la perdita di dati.

Alcune organizzazioni, tuttavia, non possono o non vogliono usare gli air gap in questo modo. Mantenere una struttura aggiuntiva per i dispositivi fisici, spostarsi da un luogo all’altro e investire in una gabbia di Faraday può essere troppo macchinoso e inefficiente. Ma non è l’unica strategia di air gap disponibile.

Quali sono i tipi di air gap?

Esistono due tipi fondamentali di sistemi air-gapped: fisici e logici.

Che cos’è un air gap fisico?

Un air gap fisico prevede uno spazio reale — un buffer — tra il backup e la produzione. Considera questi fattori prima di implementare un simile buffer:

• Posizione: puoi collocare il dispositivo di storage in un edificio separato oppure in quello principale. In quest’ultimo caso, assicurati che ci sia spazio sufficiente tra il dispositivo e l’ambiente circostante.
• Separazione: decidi se la tua postura di sicurezza richiede un’ulteriore schermatura, come una gabbia di Faraday. Una gabbia di Faraday sufficientemente robusta potrebbe deviare eventi di impulso elettromagnetico (EMP) o brillamenti solari.
• Connessione: mantieni il volume permanentemente disconnesso dalla rete oppure lascialo fisicamente collegato ma dotato di interruttori che gestiscono il controllo degli accessi manualmente o automaticamente.

Che cos’è un air gap logico?

Alcune aziende preferiscono invece gli air gap logici. Seguono gli stessi principi di sicurezza degli air gap fisici, ma li applicano tramite software. Il software isola il volume dalla rete, anche se il volume può rimanere fisicamente collegato ad essa. I meccanismi responsabili della separazione includono crittografia, firewall o gestione del controllo degli accessi — per esempio, S3 Object Lock.

Che cos’è un air gap nel cloud?

Alcuni fornitori cloud offrono backup air-gapped. Sebbene in apparenza sia una contraddizione in termini, i backup air gap nel cloud forniscono una sicurezza simile a quella delle implementazioni locali. Sfruttano processi logici per mantenere i dati al sicuro e vengono usati solo per ripristinare e acquisire informazioni. Disconnessi nel frattempo, sono di fatto repository off-site con connettività di rete occasionale.

Come configurare e implementare backup air-gapped on-premises

Le aziende che vogliono configurare un backup air-gapped on-prem possono scegliere tra le tre opzioni seguenti. Ognuna aderisce a standard di sicurezza rigorosi, bilanciando però sicurezza e praticità in modo diverso.

• Configurazione completamente manuale. Include librerie a nastro offline gestite manualmente o altri sistemi di storage. Sebbene questa separazione dall’esterno sia senza compromessi, gli esperti di sicurezza la sconsigliano perché la gestione manuale introduce un margine di errore troppo elevato.
• Configurazione parzialmente/completamente automatizzata. Include appliance di backup purpose-built (PBBA). Le PBBA consistono in un supporto di storage indipendente con un sistema operativo autonomo che attiva e disattiva l’appliance in base alle policy di sicurezza in vigore.
• Configurazione basata su software. È il caso in cui i backup air-gapped vengono imposti tramite software anziché hardware. Gli ingegneri Sicurezza configurano processi logici che concedono e revocano l’accesso automaticamente secondo regole predefinite.

Ci sono alcuni aspetti da ricordare quando si implementano backup air-gapped:

• Isolare. Assicurati che siano fisicamente fuori dalla portata di soggetti non autorizzati.
• Esegui i backup frequentemente — idealmente ogni giorno. Più breve è l’intervallo, minore è lo scostamento tra dati di produzione e dati di backup — espresso come Recovery Point Objective (RPO), ovvero la quantità massima accettabile di dati a rischio di perdita.
• Monitora costantemente lo stato di salute dei dispositivi di backup air-gapped. L’hardware moderno spesso ha una vita utile breve; in particolare, i dischi rigidi sono soggetti a difetti che possono renderli inutilizzabili in meno di cinque anni.

Quali sono i pro e i contro dell’air gapping?

Poche altre soluzioni offrono salvaguardie migliori contro intrusioni malevole e protezione contro la perdita di dati rispetto all’air gapping.

Ma ci sono alcune avvertenze. Per esempio, molte organizzazioni faticano a mappare fedelmente le connessioni di rete. Questo crea confusione sui dispositivi connessi. In particolare, asset ritenuti offline possono risultare online durante un audit. Assicurati di conoscere a fondo la struttura della tua rete.

L’air gapping non elimina il trasferimento dei dati. La connettività intermittente espone le copie off-site all’accesso fisico e le rende vulnerabili. Sfrutta l’immutabilità, la crittografia e un controllo degli accessi avanzato basato sui ruoli per rafforzarle contro questi rischi.

Aggiornare i backup air-gapped richiede tempo e impegno. Purtroppo non esiste una soluzione semplice. Aspettati che una procedura di backup duri alcune ore invece di minuti o secondi, come accadrebbe con il cloud. Quando valuti l’air gapping, decidi cosa conta di più: sicurezza o velocità. I backup air-gapped spostano l’ago della bilancia verso la prima.

Gli air gap fisici spesso lasciano poche o nessuna traccia documentale. Questo aumenta il rischio che qualcuno all’interno dell’azienda rubi dati, perché può farlo con relativa impunità. Assicurati che il tuo team sia affidabile e degno di fiducia.

Infine, gli air gap logici sacrificano sicurezza in cambio di velocità e praticità. A rigore, sono sempre connessi alla rete e si affidano al software per l’isolamento. Un air gap fisico potrebbe essere la scelta migliore per una sicurezza a prova di attacco.

In che modo gli air gap proteggono i dati dal ransomware?

Il ransomware è un programma malevolo che si introduce di nascosto in una rete, cifra i dati e lascia una vistosa richiesta di riscatto, pretendendo un pagamento in cambio della decifratura.

Gli autori di ransomware cercano di tenere il passo con le difese messe in campo contro di loro. Più di recente, hanno puntato i backup, convinti — a ragione — che, se li rendono inutilizzabili, la vittima non avrà altra scelta che cedere.

Un air gap isola i dati sensibili e tiene a distanza i malintenzionati, rafforzando una strategia di difesa dal ransomware — a condizione che sia affiancato da altre misure di sicurezza.

• Immutabilità. Un sistema air-gapped deve occasionalmente connettersi a un altro supporto per svolgere il proprio compito. Quel breve momento può essere tutto ciò di cui un attaccante ha bisogno per entrare. L’immutabilità li fermerà sul nascere.
• Crittografia. Puoi adottare la crittografia dei dati a riposo, in transito o entrambe per aumentare la sicurezza.
• Governance. Assegnare, comunicare e far rispettare i livelli di autorizzazione per gestire i backup air-gapped migliorerà enormemente la postura di sicurezza del sistema.
• Monitoraggio. L’attività attorno ai backup air-gapped deve essere sotto controllo costante. Presta attenzione anche alle anomalie più lievi: potrebbero indicare comportamenti illeciti.

Come si inseriscono i backup air-gapped nella regola 3-2-1?

Un solo backup non basta quando i dati sono una questione di vita o di morte. Ma quanti backup sono sufficienti per prevenire la perdita di dati?

Il fotografo americano Peter Krogh ha proposto una regola 3-2-1. Krogh riteneva che ogni backup dovesse consistere in tre copie identiche. Inoltre, queste copie dovrebbero usare almeno due supporti diversi — per esempio, nastro e HDD — con una collocata off-site in caso di disastro on-site.

Lo schema è stato poi aggiornato per affrontare meglio le sfide di cybersecurity come il ransomware. La versione corretta aggiunge due cifre al nome in codice e diventa 3-2-1-1-0. “0” si riferisce al fatto che tutte le copie devono essere prive di errori. “1” significa che una delle tre copie deve essere immutabile o air-gapped.

Dovresti proteggere i tuoi dati con gli air gap?

I backup air-gapped offrono un’eccellente sicurezza contro gli attacchi informatici, ma hanno un costo. Per capire se hanno un ruolo nella strategia di sicurezza della tua organizzazione, considera le seguenti domande.

• Hai effettuato un audit della tua infrastruttura e determinato quali asset sono connessi alla rete? È un’informazione fondamentale da avere prima di istituire un sistema di difesa air-gapped.
• Sei impegnato a implementare misure di sicurezza aggiuntive — come immutabilità o controllo degli accessi — da affiancare all’air gapping stesso?
• Ti rendi conto e accetti che i backup air-gapped sono più lenti e non eguagliano l’alta disponibilità dei backup cloud?
• Conservi dati sensibili? L’air gapping è efficace contro erosione, perdita e manipolazione dei dati, contribuendo a proteggere le informazioni riservate.
• I tuoi dipendenti sono affidabili, responsabili e competenti in materia di sicurezza? I backup air-gapped sono esposti a errore umano e malafede. È essenziale coltivare una cultura del lavoro che generi lealtà e supporti la formazione sulla sicurezza.
• Il tuo budget è sufficientemente ampio da sostenere la spesa? I sistemi air gap possono essere costosi da implementare.
• Sei soggetto a leggi sulla protezione dei dati come GDPR, CCPA, CPRA, PCI e altre? In tal caso, il costo di installare un sistema air-gapped, per quanto elevato, sarà comunque inferiore alle sanzioni per la violazione della normativa.

Un modo per proteggere i dati di backup

Gli air gap proteggono informazioni sensibili e dati critici meglio di altre misure di protezione. Tuttavia, è essenziale fare proprie le parole di Gene Spafford, che disse: “L’unico sistema davvero sicuro è quello spento, inglobato in un blocco di cemento e sigillato in una stanza rivestita di piombo con guardie armate — e anche allora ho i miei dubbi.”

D’altra parte, aziende di ogni dimensione difficilmente possono sperare in una difesa migliore contro il ransomware e molti altri tipi di malware rispetto a un sistema air-gapped implementato con cura e potenziato con immutabilità e controllo degli accessi basato sui ruoli. In un’epoca in cui il ransomware dilaga, l’air gapping è l’ultima linea di difesa in caso di disastro.