4-3-2 vs. 3-2-1 e 3-2-1-1-0: Entenda as Diferenças na Estratégia de Backup

64K+ Alcance em 30 dias Cloud4Y 53,22 Classificação 778 Assinantes Assinar Cloud4Y Há 12 minutos 4-3-2 vs. 3-2-1 e 3-2-1-1-0: Entenda as Diferenças 5 min 361 Blog da Cloud4Y Segurança da Informação * Infraestrutura de TI * Backup * Serviços em Nuvem * Tradução Autor do original: Natasha Rabinov Observação do tradutor Este é o terceiro e último material da nossa mini-série sobre a evolução da regra 3-2-1. No primeiro artigo , analisamos o esquema clássico e mencionamos que a indústria moderna adicionou dois andares a ele - 3-2-1-1-0 e 4-3-2. No segundo, traduzimos um material detalhado da AvePoint sobre 3-2-1-1-0 e prometemos um texto separado sobre 4-3-2. Este é ele. O original da Backblaze cobre ambas as extensões de uma vez. Para não duplicar o material anterior, a seção sobre 3-2-1-1-0 foi resumida com um link para a versão completa, e a seção sobre 4-3-2 foi traduzida na íntegra

• este é o principal objetivo da publicação. Todos os julgamentos e avaliações no texto principal pertencem ao autor. Os comentários da equipe Cloud4Y são exibidos em painéis e marcados como "Nota do tradutor" ou "Da Cloud4Y". Os membros das forças especiais americanas têm uma regra para isso: "Dois é um, e um é zero". Eles raramente são superados, mas no mundo dos backups de computador, dois é pouco. O padrão ouro até recentemente era a regra 3-2-1: três cópias de dados em dois meios diferentes, uma cópia fora do local. A regra 3-2-1 ainda tem valor, especialmente para aqueles que não fazem backup. Mas hoje, o padrão ouro está evoluindo. Este texto é sobre por que 3-2-1 está perdendo popularidade para estratégias mais bem pensadas e qual é a diferença entre a regra clássica e seus sucessores - 3-2-1-1-0 e 4-3-2 - e como escolher um esquema para uma tarefa específica. Por que 3-2-1 está perdendo popularidade Quando a estratégia 3-2-1 estava apenas ganhando força, o cenário tecnológico era completamente diferente. Acredita-se que a regra vem da fotografia - Peter Krogh a formulou em seu livro "The DAM Book: Digital Asset Management for Photographers" em 2009. Naquela época, as unidades de fita ainda eram amplamente utilizadas em nível corporativo devido ao baixo custo, capacidade e durabilidade da mídia. O esquema 3-2-1 melhorou a prática da época de "uma cópia na fita, e deixe-a em algum lugar distante". Ele prescrevia manter três cópias de dados (uma de trabalho e duas de backup) em dois meios diferentes (por exemplo, disco interno + fita + HDD externo ou outra fita) e uma cópia fora do local principal (geralmente a própria fita). Até que o armazenamento em nuvem se tornou massivo, para levar a terceira cópia "para fora", era preciso contratar um serviço de campo que pegasse as fitas e as levasse para um depósito, ou levá-las para outro local por conta própria (um de nossos co-fundadores enviou uma cópia de backup por correio para seu irmão). Devido a isso, as fitas fora do local eram "air-gapped" - literalmente separadas fisicamente da rede em que a instância principal vivia. Se os dados primários ou o backup local fossem danificados ou comprometidos, era possível restaurar a partir da cópia fora do local. Com o desenvolvimento das tecnologias de armazenamento, 3-2-1 tornou-se um pouco... mais em nuvem. Uma empresa pode implantar um armazenamento local para backup - um armazenamento de rede NAS ou uma rede de armazenamento SAN especializada - e replicar o conteúdo em um armazenamento de objetos na nuvem. Um indivíduo implementa o mesmo esquema por meio de um disco externo e um serviço em nuvem. E tudo estaria bem, mas com cópias fora do local na nuvem, o esquema 3-2-1 perde o mesmo gap de ar que a fita fornecia. Os backups em nuvem geralmente estão conectados à rede de trabalho - o que significa que são vulneráveis a ataques digitais. Ransomware - o motor de estratégias mais rígidas Depois dos incidentes sensacionais dos últimos meses, já não surpreende que os ataques de ransomware estejam em alta. O valor do resgate em 2021 atingiu um recorde de US$ 50 milhões, e os ataques à Colonial Pipeline e à JBS Foods ameaçaram o fornecimento de combustível e alimentos. Em um relatório de 2021 Detect, Protect, Recover: How Modern Backup Applications Can Protect You From Ransomware A Gartner previu que até 2025, pelo menos 75% das organizações de TI enfrentarão pelo menos um ataque. Os backups devem ser a última tábua de salvação em um ataque de ransomware - mas eles só funcionam se não forem comprometidos. E os atacantes entendem isso. Grupos de ransomware conhecidos - por exemplo, Sodinokibi (também conhecido como REvil), responsável pelos ataques à JBS, Acer e Quanta - agora não estão apenas atrás de dados de trabalho, mas também de cópias de backup. Os backups em nuvem geralmente estão vinculados ao Active Directory corporativo e virtualmente não são isolados da rede de trabalho. Assim que um invasor se estabelece em uma máquina conectada à rede, ele começa a se mover horizontalmente por ela para obter contas de administrador - por meio de keyloggers, phishing ou simplesmente de documentos espalhados pelos servidores. Se ele tiver contas de administrador do AD em suas mãos, todos os backups protegidos por esse AD se tornam vulneráveis. A estratégia 3-2-1 é viável hoje? Apesar das mudanças tecnológicas, os princípios-chave do 3-2-1 ainda são verdadeiros: Deve haver várias cópias de dados. As cópias devem ser geograficamente distribuídas. Pelo menos uma cópia deve estar à mão para uma recuperação rápida após uma falha física ou exclusão acidental. Falta apenas uma coisa - uma camada adicional de proteção: uma ou mais cópias devem ser física ou virtualmente isoladas no caso de um desastre digital, como um ransomware que visa todos os seus dados, incluindo backups . O que está substituindo 3-2-1? 3-2-1 ainda é um esquema de trabalho, mas surgiram estratégias mais completas que cobrem as vulnerabilidades que a conectividade de rede constante adicionou. Elas não soam tão animadas quanto 3-2-1, mas oferecem mais proteção na era dos backups em nuvem e ransomware. São 3-2-1-1-0 e 4-3-2 . O que é 3-2-1-1-0 (resumidamente) Nota do tradutor Esta seção no original é bastante detalhada, mas analisamos detalhadamente o esquema 3-2-1-1-0 na tradução anterior do material AvePoint . Aqui, fornecemos apenas um resumo. Se você quiser se aprofundar, é melhor ler o artigo inteiro. O esquema prescreve: armazenar no mínimo 3 cópias de dados, em 2 diferentes tipos de mídia, 1 cópia - fora do local principal, mais 1 cópia - offline ou com um gap de ar (pode ser uma fita ou uma cópia imutável na nuvem), e garantir 0 erros: monitoramento diário de backups, correção instantânea de erros e restaurações de teste regulares. A principal ideia: 3-2-1-1-0 retorna a ideia de uma cópia "inacessível" - aquela que o ransomware não pode alcançar, mesmo que obtenha acesso de administrador a todo o resto. Implementar a imutabilidade na nuvem é mais fácil por meio do Object Lock - uma configuração que impede a alteração ou exclusão de um arquivo até uma data especificada, mesmo pelo proprietário da conta ou por um invasor com suas credenciais. O que é 4-3-2 E esta seção é aquela para a qual preparamos nosso material. Se seus dados são gerenciados por um provedor de serviços de recuperação de desastres especializado, como a Continuity Centers, seus backups provavelmente seguem a regra 4-3-2: 4 cópias de dados, dados em 3 locais (em seu próprio local, no local de um provedor de serviços como a Continuity Centers e em um provedor de nuvem externo), 2 desses locais estão fora do seu local principal. Aviso Alguns provedores de serviços em nuvem gostam de insinuar que o uso de vários fornecedores é um sinal de desconfiança em sua própria confiabilidade. Na verdade, os backups devem estar sempre . A verdade é que qualquer coisa pode falhar. Discos rígidos quebram. Bons funcionários cometem erros ruins. Funcionários ruins - ainda piores. Mesmo os maiores provedores de nuvem regularmente sofrem grandes falhas que arrastam uma parte significativa da Internet e serviços populares. Pessoas sensatas partem disso, qualquer que seja o fornecedor que escolherem. Qual estratégia é certa para você Acima de tudo: qualquer backup é melhor do que nenhum. Contanto que você siga o núcleo 3-2-1, você poderá se recuperar de um desastre natural, um laptop perdido ou exclusão acidental. Se resumirmos o núcleo: Várias cópias de dados - pelo menos três. Cópias em locais geograficamente distribuídos. Pelo menos uma cópia - no local, para recuperação rápida. Com ferramentas como Object Lock, você pode adicionar o núcleo com os princípios 3-2-1-1-0 ou 4-3-2: dar aos dados uma camada adicional de proteção, isolando-os virtualmente para que não possam ser excluídos ou criptografados por um determinado período de tempo. Se o ransomware ainda chegar aos seus sistemas, um backup sob Object Lock permitirá a recuperação. Da Cloud4Y. Se no papel você já está construindo 4-3-2, mas falta um dos "três locais" - nós cobrimos esse papel. Cloud4Y é um provedor de nuvem russo com seus próprios data centers no território da Federação Russa; em nossa infraestrutura, você pode colocar a segunda cópia fora do local. Para os leitores do Habr, há uma promoção: desconto de 20% no aluguel de servidores em nuvem com o código promocional HABR20 . As condições são na página da promoção . Na infraestrutura alugada, você pode configurar seu próprio destino de backup e testar o esquema 4-3-2 em dados de produção antes de colocá-lo na arquitetura permanente. Tags: 432 backups backup segurança da informação ib Hubs: Blog da Cloud4Y Segurança da Informação Infraestrutura de TI Backup Serviços em Nuvem 0 0 0 64K+ Alcance em 30 dias Cloud4Y Site Facebook X VKontakte Telegram 64K+ Alcance em 30 dias 206 Karma Cloud4Y @Cloud4Y Provedor de nuvem corporativo Assinar Site VKontakte Telegram O fluxo de Segurança da Informação está disponível 24 horas por dia, 7 dias por semana, graças ao suporte dos amigos do Habr Cursos Habr para todos PUBLICIDADE Prática, Hexlet, SkyPro, cursos do autor - reunimos todos e pedimos descontos. Resta escolher! Ir Ir para o fluxo de Segurança da Informação Comentar Melhor do dia Semelhante