Índice
- ¿Qué es BaaS?
- 11 premisas para la seguridad del BaaS
- ¿Qué es un respaldo de datos inmutable?
- ¿Por qué es importante la inmutabilidad?
- Inmutabilidad de los respaldos
- Nextcom cuenta con amplia experiencia en servicios de infraestructura virtual.
- ¿Cómo cumplir con la regla 3-2-1-0 de VEEAM de almacenamiento en un datacenter fuera de Panamá?
- Tecnología VEEAM: Solución para realizar la réplica y recuperación de la información
- NAP de las Américas: Uno de los datacenters más poderosos del mundo
Uno de los tipos de ataques más prevalentes y catastróficos es el ocasionado por ransomware: es un tipo de programa dañino que típicamente encripta los datos del sistema de archivos infectado pidiendo un rescate de dinero.
Este breve resumen pretende aclarar el escenario de la seguridad de de la data que está involucrada en los servicios de Backup as a Service (BaaS), y los asociados al Nextcom Virtual Private Cloud (NVPC), ubicado en el NAP de las Américas (EEUU).
¿Qué es BaaS?
El servicio de backup en línea, también conocido como backup en cloud o backup como servicio (BaaS), es un método de almacenamiento de datos fuera del sitio en el que se encuentran archivos, carpetas, o todo el contenido de una unidad de disco duro está respaldado regularmente por un proveedor de servicios en un repositorio de datos remoto basado en cloud seguro a través de una conexión de red.
11 premisas para la seguridad del BaaS
1. El cliente puede usar sus actuales licencias y consolas de VEEAM de la premisa, para crear las nuevas tareas de respaldo hacia el repositorio de la nube privada del NAP de las Américas.
2. Si el cliente no tiene las licencias de VEEAM, las ofertas deben incluir las necesarias para cumplir con el servicio, para la cantidad de máquinas virtuales o la cantidad de TB de espacio necesario.
3. El usuario y password de acceso al servicio es el provisto por el NAP a través de Nextcom (VSP, VEEAM Solution Provider), el cual llegará directamente al cliente final. El usuario y password de la actual consola, si esta existe, es otro, y esa consola está en manos siempre del cliente final.
4. Para los procesos de cambios de contraseña en consola se recomienda hacerlo cada seis (06) meses. Igual se debe recordar: en los procesos de respaldo está el login al servicio o JOB (tarea) con el usuario administrador de las máquinas a respaldar. Si el JOB de respaldo falla por user y password, éste es distinto al provisto por el servicio y es distinto al login de consola también. Son 3 contraseñas para la protección de los datos involucrados en el servicio de respaldo, que nace en la premisa del cliente:
Contraseña de acceso a consola en manos del cliente
El usuario admin o administrador del dominio o de permiso para respaldar las máquinas.
El provisto por NEXTCOM a través del NAP para el cifrado del conducto, protegido por AES256, SSL y TLS.
5. El cliente puede borrar sus propios respaldos siempre y cuando se tenga acceso a la consola de VEEAM en las premisas del propio cliente.
6. Nextcom y ninguna de sus filiales o personas NO tienen acceso a las consolas de VEEAM del cliente, no tiene una consola en el NAP de las Américas y no tiene acceso al VEEAM Cloud Connect de los fabricantes y proveedores, por lo tanto, ni la data ni las consolas pueden ser borradas, ni tampoco Nextcom puede intervenir en procesos de respaldo de sus clientes finales sin la previa autorización y permisos. Esta es la mejor garantía de confidencialidad del servicio. Los proveedores VSP (VEEAM Solution Provider) del NAP de las Américas tampoco pueden borrarlas, porque el servicio provisto es de aprovisionamiento especial inmutable (aclarado más adelante) y no es de gestión. El monitoreo y reporte de estatus efectivamente está incluido.
7. El nombre del host aprovisionado para el SSL/TLS y la seguridad AES256 es un nombre aleatorio que se genera cuando se activa el servicio, el cual se debe aprovisionar y configurar antes de iniciar las copias y cuando el cliente indique que está listo para comenzar la primera subida. Previo a esto, Nextcom abrirá el ancho de banda necesario para que la primera vez del primer respaldo se haga velozmente, y luego se ajusta a valor contratado con base en los diferenciales (deltas) en el ancho de banda final.
8. En algunas situaciones, mantener copias de seguridad primarias o adicionales en un repositorio en la nube puede no ser suficiente para garantizar la seguridad de los datos. Los datos respaldados pueden no estar disponibles debido a un ataque interno. Por ejemplo, un pirata informático puede obtener acceso a la consola Veeam Backup & Replication local del cliente y eliminar todas las copias de respaldo activas, incluidas las copias de seguridad externas almacenadas en el repositorio de la nube del NAP de las Américas (secuestro incluido). O; un administrador del servicio puede eliminar accidentalmente los respaldos de un repositorio en la nube. A partir de Veeam Backup & Replication 9.5 Update 3 (versión actual es 11.0), se puede proteger los datos copiados contra ataques de este tipo. Esto está incluido en el servicio.
9. En Nextcom somos conscientes de estas amenazas, y es por esto que con nuestra solución de Veeam Backup Cloud y BaaS (Backup as a Service) tenemos habilitada la opción de VEEAM Inside Protection para todos los usuarios que lo deseen (siempre por defecto), y para nuestros clientes. Con esta opción habilitada, cuando una copia de seguridad o un punto de restauración específico en la cadena de copias de seguridad se elimina del repositorio de la nube, Veeam Backup & Replication no elimina inmediatamente los archivos de copias de seguridad reales. Veeam Backup & Replication mueve los archivos de copia de seguridad a la «papelera de reciclaje». Técnicamente, la «papelera de reciclaje» es una carpeta alojada en el repositorio de respaldo de la infraestructura cloud del NAP, cuyos recursos de almacenamiento están disponibles a nuestros clientes como repositorios en la nube. Veeam Backup & Replication crea automáticamente esta carpeta en el momento en que un archivo de copia de seguridad del cliente se mueve a la «papelera de reciclaje» por primera vez.
10. Para reforzar más este concepto, esta solución proporciona un almacenamiento fuera del repositorio cloud asignado al cliente, en el que todos los archivos eliminados se conservarán por una política de retención establecida (tres 03 días). Estos backups, siempre que se conserven en la «papelera de reciclaje», pueden restaurarse nuevamente en el repositorio del usuario y utilizarse como cualquier otro archivo de copia de seguridad normal.
11. Para el cliente del servicio Veeam Backup (respaldo nube), los archivos de copia de seguridad movidos a la «papelera de reciclaje» aparecen como eliminados realmente. El cliente no puede acceder a los archivos de copia de seguridad en la «papelera de reciclaje» y realizar operaciones con ellos, debido a que sí sufrió un ataque es evidente que también el hacker intentará borrar o secuestrar esos datos. Si un cliente necesita restaurar los datos de una copia de seguridad eliminada cuyos archivos de copia de seguridad aún residen en una «papelera de reciclaje», debe comunicarse con Nextcom, ya que dispondremos de un acceso exclusivo, sin visualización de la data (el cliente tiene las llaves de acceso) para la recuperación de estos archivos.
¿Qué es un respaldo de datos inmutable?
Un respaldo de datos inmutable no puede modificarse de ninguna manera ni eliminarse a lo largo de su ciclo de vida mientras viva almacenado en las instalaciones y en la nube.
¿Por qué es importante la inmutabilidad?
Garantiza que el backup sea seguro y esté listo para la recuperación, lo que lo torna muy interesante para la retención a largo plazo y el archivado general.
Al garantizar que la inmutabilidad se establece en el momento de la creación del backup o copia de este, sus datos de backup están a salvo del cifrado de ransomware y de cualquier otra amenaza que intente poner en peligro sus datos.
Inmutabilidad de los respaldos
La nueva versión 11 de VEEAM incluida en el servicio de Nextcom contiene algunas mejoras interesantes sobre Linux a tener en cuenta, como la compatibilidad para el resto de modos de transportes en Linux, además de HotAdd y la posibilidad de montar el respaldo de cualquier máquina con Linux para restauración granular, sin la utilización de un Helper Appliance, así como también un tipo de repositorio reforzado a nivel seguridad para realizar respaldos seguros e “inmutables”. Esta es la tecnología existente en el servicio del NAP de las Américas.
En este sentido los repositorios resilientes nombrados anteriormente se encuentran protegidos, en especial en el caso de los repositorios de objetos S3 inmutables, que se encuentran en una nube y que convierten los respaldos en solo-lectura, deshabilitando el borrado por un tiempo determinado. Aunque estas opciones son muy interesantes, ¿qué tal si pudiéramos proteger también nuestros repositorios locales del mismo modo, haciendo que sea realmente muy difícil o virtualmente imposible a nivel seguridad el borrado de esos datos por un tiempo determinado? Consulte con Nextcom para implementar la inmutabilidad de los respaldos en su centro de datos local (premisa).
Nextcom cuenta con amplia experiencia en servicios de infraestructura virtual.
Nextcom es una empresa innovadora y con experiencia en proporcionar servicios y productos de alta calidad a las organizaciones que desean migrar o enriquecer sus proyectos en la Nube (PaaS, BaaS, IaaS, etc.) y que este cambio conlleva un impacto positivo en la organización, tanto de recursos humanos, como financieros, entre otros. Nextcom cuenta con amplia experiencia en servicios de infraestructura virtual en diferentes industrias, entre las que destacan Finanzas, Retail y Manufactura.
¿Cómo cumplir con la regla 3-2-1-0 de VEEAM de almacenamiento en un datacenter fuera de Panamá?
Para cumplir con la regla 3-2-1-0 se deben seguir estas reglas de almacenamiento:
3 Copias de respaldo… en al menos…
2 medios distintos (cinta y disco)…y…
1 fuera del sitio principal…
0 fuera de la zona geográfica (cumpliendo con las reglas base de proyectos de disaster recovery)
Tecnología VEEAM: Solución para realizar la réplica y recuperación de la información
Proveer de un centro de datos potente, y de bajo costo mensual, para una capacidad estimada de TERAS a ser solicitado por los clientes, con lo cual y para proveer de una propuesta comercial, se deberá solicitar el servicio a través de una oferta en: https://servicios.nextcomsystems.com
Los servicios descritos, son detallados a continuación:
El Objetivo de Punto de Recuperación (Recovery Point Objective, RPO) define el punto en el tiempo utilizado para la restauración y está determinado por la frecuencia de las copias de seguridad. Los sistemas de copia de seguridad y recuperación consiguen RPOs bajos, gracias a las copias de seguridad.
El Objetivo de Tiempo de Recuperación (Recovery Time Objective, RTO) define cuánto se tarda en recuperar un objeto como puede ser un archivo, un servidor o un centro de datos. Un menor RTO significa menos tiempo de inactividad.
En Nextcom, contamos con la tecnología para realizar la réplica y recuperación de la información. Una vez solicitada la recuperación de un Server, esta tardará solo unos minutos y no horas o días, usando la tecnología de VEEAM.
NAP de las Américas: Uno de los datacenters más poderosos del mundo
El Network Access Point (NAP) de las Américas es un centro de datos de gran tamaño (TIER 4) y punto de intercambio de Internet en Miami, Florida, dirigido por Equinix. Alberga nada más y nada menos que una de las instancias del servidor raíz K del sistema de nombres de dominio planetario.
El edificio cuenta con seis pisos y una superficie de alrededor de 70.000 metros cuadrados. Su construcción fue terminada en 2001.
El NAP de las Américas sirve como un relé para Servicio de Telecomunicaciones Diplomático del poderoso Departamento de Estado de los Estados Unidos, con lo cual hay elevados niveles de seguridad y servicios.
Está el NAP de las Américas en Miami y HostDime como alternativa de Data Center desde Orlando, Florida, como réplica. Miami es una de las cinco ciudades mejor interconectadas del mundo; es tránsito y destino de una gran cantidad de cables submarinos que llevan datos en cantidad hacia el continente Norteamericano así como hacia Europa y Asia.
Equinix tiene su gran Data Center allí en el NAP, supremamente grande (más de 70.000 metros cuadrados) y costoso, en lo que se suele llamar el NAP (Network Access Point) de las Américas; alojar los equipos allí cuesta una importante suma de dinero, pero 650 grandes empresas hospedan sus servidores allí y lo avalan (Microsoft, Citrix, Facebook, Google y muchas de las más grandes del mundo). Pero eso no es todo, hay 250 operadores de interconexiones de red que también emplean sus instalaciones, y 20 grandes ISP con 16 veces redundancia satelital en telecomunicaciones.
El NAP tiene conexión directa por medio de Dark Fiber (Fibra oscura) con Miami. Se trata de la red de fibra óptica no utilizada por Equinix y que se tiene rentada para nuestro uso y el de nuestros clientes. Literalmente, conexión directa, de altísima calidad a bajo costo. Gana el usuario final porque los datos “vuelan” en cantidad y calidad. Solamente 5mbps es suficiente para recibir respaldos y réplicas aceleradas usando VEEAM.
Pero ahí no para todo. El NAP está en el Meet-me-room más solicitado del mundo. Esto quiere decir, que posee las instalaciones y las conexiones requeridas para permitir que los clientes se interconecten e intercambien datos con otras empresas tales como ISP (Internet Services Provider) o los 250 carriers, sin perder calidad ni fluidez en sus comunicaciones, con capacidades de 1-10G (calidad de servicio).
Esto también significa que está en condiciones de ofrecer conexión directa a una de las más grandes Peering Exchange (intercambio entre dos redes independientes para beneficio mutuo) del mundo, conocida por su nombre (FL-IX). Esto es posible gracias a la tecnología de escalabilidad ilimitada para redes de fibra óptica, DWDM, a la multiplexación por división de longitud de onda que emplea el NAP como Compañía.
El datacenter es uno de los más poderosos del mundo: https://www.miaminap.com
Ubicado en el centro de Miami, fue diseñado para soportar huracanes de categoría 5 (seguidos).
Su construcción comenzó en agosto de 2000 y se puso en funcionamiento en junio de 2001, justo durante la burbuja de los puntocom y antes de los atentados del 11 de septiembre.
Tiene servicio de electricidad continuo ofrecido por 12 sistemas de energía, y su superficie total es de más de 66.000 metros cuadrados. La energía está garantizada sin recarga de combustible hasta por tres (03) meses.
Más de 11.000 de esos metros cuadrados están ocupados por el gobierno de Estados Unidos.
Más de 160 operadores de internet intercambian información en el NAP.