Los líderes de infraestructura y operaciones responsables de la protección de datos deben evaluar las nuevas características de protección de ransomware como prerrequisitos críticos al elegir plataformas de copia de seguridad. Aquí, evaluamos nuevas funciones que ayudan a detectar ataques de ransomware, proteger el repositorio de copias de seguridad y acelerar la recuperación.
Descripción general
Descubrimientos clave.
Los ataques de ransomware cada vez más sofisticados están dirigidos específicamente a los datos de copias de seguridad y las funciones de administrador.
Ninguna solución por sí sola puede proteger completamente a una organización de ataques de ransomware.
La amenaza del ransomware cada vez más sofisticado está creciendo, y los ataques son lanzados por organizaciones criminales y gubernamentales de todo el mundo.
El ransomware se implementa con frecuencia como un componente de un ataque más amplio que busca comprometer los sistemas críticos y las funciones administrativas.
Recomendaciones
Los líderes de infraestructura y operaciones responsables de la infraestructura del centro de datos deben:Eliminar los protocolos de intercambio de red: evitar el uso de protocolos simples de intercambio de red, como CIFS o NFS al implementar el almacenamiento para los datos de copias de seguridad.
Proteger el sistema de copias de seguridad: la protección de la consola de administración de copias de seguridad y las copias de los datos de copias de seguridad garantizan que siempre haya copias de seguridad disponibles.
Utilizar la autenticación multifactor para cuentas administrativas: implementar la autenticación de dos factores para todas las cuentas de administrador de copia de seguridad y asegurarse de que las cuentas estén configuradas con el privilegio mínimo requerido para funcionar.
Crear un entorno de recuperación aislado: hacer que la recuperación de ransomware a través de un IRE forme parte de su plan de recuperación ante desastres e inclúyala en futuras pruebas de recuperación ante desastres.
Supuesto de planificación estratégica.
Para el año 2025, al menos el 75 % de las organizaciones de TI enfrentarán uno o más ataques, ya que los investigadores independientes documentan un aumento drástico en los ataques de ransomware durante 2020, señalando tasas de crecimiento x7 o mayores.
Introducción.
El ransomware es una de las amenazas más peligrosas para las organizaciones, pero la naturaleza y el alcance de los ataques de ransomware a menudo se malinterpretan, lo que lleva a precauciones inadecuadas contra el ransomware y respuestas erróneas a ataques exitosos. Muchas organizaciones piensan que el ransomware es un ataque aislado similar al ataque Wannacry 2016, pero la realidad es que el ransomware a menudo se implementa como parte de un ataque más grande que puede implicar:Penetración de la red: la primera etapa del ataque generalmente implica la penetración de la red a través de credenciales robadas y malware de acceso remoto.
Robo de credenciales para cuentas críticas del sistema: la segunda etapa implica la subversión de cuentas administrativas críticas que controlan sistemas como copias de seguridad, Active Directory (AD) Domain Name System (DNS), consolas de administración de almacenamiento y otros sistemas clave.
Ataques a la consola de administración de copias de seguridad: el acceso a la consola de administración de copias de seguridad permite que los trabajos de copias de seguridad se desactiven o modifiquen, y que se cambien las políticas de retención; también proporciona una hoja de ruta donde se almacenan los datos confidenciales de la aplicación.
Robo de datos: en muchos casos, el objetivo del ataque no es solo cifrar datos, sino robar datos para usarlos en futuras actividades delictivas.
Este proceso puede tardar semanas o incluso meses en lograrse, y a menudo deja al malware profundamente integrado en los sistemas de toda la organización. Cuando se completa este trabajo, el ransomware se implementa para cifrar datos críticos, incluido el almacén de copias de seguridad, si es accesible en la red.
Los ataques devastadores de esta naturaleza se están volviendo más frecuentes, tardando días o incluso semanas en recuperarse, y es posible que la recuperación total no sea posible en absoluto. Según Check Point Software Technologies (una empresa especializada en seguridad de TI), hubo un aumento del 50 % en el promedio diario de ataques justo en el tercer trimestre de 2020.
Análisis
Debido a que estos ataques apuntan a los datos, la seguridad de la plataforma de copias de seguridad es absolutamente fundamental para la recuperación (consulte la Figura 1), y los proveedores de copias de seguridad están respondiendo agregando funciones para ayudar a las organizaciones en tres áreas:Detección de ataques: el sistema de copias de seguridad está bien ubicado para ayudar en la detección temprana de ataques, incluido el ransomware activo y la detección de ransomware antes de que se active.
Protección del sistema de copias de seguridad: debido a que el sistema de copias de seguridad es atacado con frecuencia como parte de un ataque de ransomware más amplio, la protección de todos sus componentes es fundamental para una recuperación exitosa.
Recuperación de ataques: el proceso de recuperación no es tan simple como la restauración de copias de seguridad, el proceso puede ser complejo y llevar mucho tiempo, por lo que el rendimiento del sistema de copias de seguridad y la automatización del proceso de recuperación son fundamentales.
Figura 1: Cómo la copia de seguridad puede ayudar a proteger su organización contra el ransomware.
El resto de este documento analizará cada una de estas áreas y resaltará las tecnologías y capacidades de las aplicaciones de copia de seguridad modernas que pueden ayudar a proteger su entorno de copia de seguridad.
Emphasize Enfatizar la detección temprana de ataques.
La primera línea de defensa contra el ransomware es la detección temprana de actividad sospechosa. En la mayoría de las organizaciones, esta tarea se maneja principalmente mediante software antimalware y antivirus implementado en casi todos los sistemas, desde servidores empresariales hasta computadoras portátiles de empleados. Sin embargo, el creciente número de ataques de ransomware exitosos sugiere que depender únicamente de las herramientas existentes no es suficiente para proteger a las organizaciones. Las aplicaciones de copia de seguridad no pueden llenar todos los vacíos en la protección, pero pueden contribuir en algo (ver Figura 2).
Figura 2: Detección temprana de ataques de ransomware
La detección de malware en las aplicaciones de copia de seguridad funciona de dos maneras:
Detección de anomalías: las aplicaciones de copia de seguridad modernas utilizan inteligencia artificial/aprendizaje automático (IA/AA) para detectar patrones anormales de entrada/salida (E/S), como un cambio significativo en el volumen de copia de seguridad incremental diario, y enviar alertas a los administradores. Esta información es valiosa de dos maneras:
Primero, alerta a las organizaciones sobre el ataque.
Segundo, ayuda a identificar las últimas copias de seguridad en buen estado conocidas durante el proceso de recuperación.
Escaneo de malware: una vez que se completa un trabajo de copia de seguridad, el contenido se puede escanear con una variedad de herramientas para buscar malware sin afectar el rendimiento de los sistemas de producción. Este proceso también se puede utilizar de forma retroactiva, si se dispone de firmas de malware previamente indetectable. Cuando se utiliza de forma retroactiva, el análisis profundo puede volver a través de los datos de copias de seguridad existentes para determinar si el malware ha sido atrapado en trabajos de copia de seguridad anteriores para aislarlo y determinar cuándo comenzó un ataque.
Estas funciones no son una defensa perfecta contra los ataques de ransomware y no deben considerarse como reemplazos de las herramientas de escaneo tradicionales basadas en host. Sin embargo, agregan capas adicionales de protección que pueden conducir a la detección temprana de ataques, lo que hace que sean implementaciones valiosas.
Protección del sistema de copias de seguridad
Los primeros ataques de ransomware se centraron exclusivamente en cifrar los datos a los que podían obtener acceso de escritura, incluido el sistema de copias de seguridad debido a permisos de red mal implementados que expusieron los datos de copias de seguridad almacenados en los archivos compartidos de red. Los ataques más recientes se han dirigido específicamente al sistema de copias de seguridad por dos motivos: Si se puede violar el sistema de copias de seguridad, es posible evitar que el sistema de copias de seguridad funcione, lo que hace que el ransomware de seguimiento sea más efectivo ya que las organizaciones no pueden recuperar datos.
El propio sistema de copias de seguridad proporciona una “hoja de ruta” para el lugar donde se almacenan los datos esenciales en la red, lo que permite ataques más dirigidos a esos datos. Sin la información obtenida del sistema de copias de seguridad, los atacantes deben buscar en la red las aplicaciones y los almacenes de datos, y esa actividad puede exponer el ataque.
La Figura 3 ilustra las debilidades que pueden ser explotadas por los atacantes.
Figura 3: Puntos débiles del sistema de copias de seguridad
Los puntos débiles en esta arquitectura se describen en la Tabla 1.
Tabla 1: Debilidades del sistema de copias de seguridad
Debilidad
Impacto
Consola del administrador de copias de seguridad
El acceso a la consola administrativa de la aplicación de copia de seguridad le brinda al atacante una hoja de ruta hacia donde se almacenan los datos confidenciales de la aplicación. Esto brinda la oportunidad de causar estragos en el sistema de copias de seguridad al cambiar las políticas y los cronogramas de copia de seguridad, eliminar datos y manipular otros componentes críticos de un sistema de copias de seguridad en funcionamiento.
Almacenamiento de copias de seguridad
Muchas organizaciones colocan copias de seguridad en plataformas de almacenamiento separadas con sus propias consolas administrativas. Si se viola la consola administrativa, los datos almacenados en el dispositivo se pueden eliminar. También puede haber problemas relacionados con la exposición del almacén de copias de seguridad en la red con permisos de lectura/escritura incorrectos, lo que permite que el ransomware encripte las copias de seguridad.
Los sistemas de copias de seguridad modernos abordan estas fallas de varias maneras:
Integración de almacenamiento de copias de seguridad y software de copias de seguridad
Almacenamiento de archivos inmutable
Eliminación de protocolos de redes compartidas
Autenticación multifactor (MFA) para cuentas administrativas
Separación de funciones administrativas
Flujos de trabajo de autorización de múltiples personas
Copias múltiples de datos de copias de seguridad
Comprender un poco cada una de estas características es fundamental para evaluar nuevas aplicaciones de copia de seguridad.
Integrar el almacenamiento de copias de seguridad y software de copia de seguridad.
Es muy posible crear un sistema de copias de seguridad seguro utilizando un subsistema de almacenamiento separado; sin embargo, la seguridad de la implementación depende de los componentes seleccionados y la efectividad de la implementación de seguridad de la organización. Elegir los componentes incorrectos o no proteger el entorno puede hacer que los datos de copias de seguridad se destruyan durante un ataque de ransomware.
Una forma de reducir el riesgo de que el almacenamiento de copias de seguridad sea atacado a través de la seguridad de red lax o una consola de administración de almacenamiento comprometida es eliminar el almacenamiento separado e integrar el almacenamiento de copias de seguridad física en un dispositivo (o clúster de dispositivos) que también ejecuta el software de copias de seguridad. Esto oculta el almacenamiento de datos de copias de seguridad, de modo que solo pueda ser atacado al violar la consola de administración del sistema de copias de seguridad o al obtener acceso a nivel raíz al SO subyacente.
Desarrollar un almacenamiento de archivos inmutable.
Los sistemas de archivos estándar como NTFS de Microsoft Windows o EFS de LINUX son adecuados para el almacenamiento de uso general, pero tienen una debilidad evidente: los datos almacenados en ellos pueden eliminarse o sobrescribirse por cualquier cuenta con privilegios de acceso suficientes. Esta debilidad es inaceptable para el almacenamiento de copias de seguridad, donde la organización debe tener la confianza de que los datos de copias de seguridad no se puedan eliminar, modificar o cifrar durante un ataque.
El almacenamiento inmutable puede implementarse de diversas maneras, el punto clave es que una vez que se han escrito los datos, solo se pueden eliminar en circunstancias especiales. Normalmente, la inmutabilidad se combina con un período de retención. Por ejemplo, cada conjunto de copias de seguridad puede conservarse durante 30 días. Durante esos 30 días, el conjunto de copias de seguridad no se puede eliminar, modificar ni sobrescribir, incluso mediante la cuenta de copia de seguridad más privilegiada. Sin embargo, dependiendo de la implementación, puede haber formas en torno a la configuración de inmutabilidad si un atacante puede comprometer las cuentas de administración del SO. Por ejemplo, es posible que no haya forma de eliminar una copia de seguridad inmutable de la consola del administrador de copias de seguridad; sin embargo, si el ataque puede obtener acceso a una cuenta de SO privilegiada, como “raíz” en un SO basado en LINUX, es posible que aún pueda eliminar los datos. Debido a esta limitación, es importante comprender cómo se implementa la inmutabilidad y si realmente es WORM, incluso si las cuentas de administración de la OS están comprometidas.
Eliminar los protocolos de uso compartido de red.
Los protocolos de intercambio de redes, como el sistema de archivos de red (Network File System, NFS) y el sistema de archivos de Internet común (Common Internet File System, CIFS), han existido durante décadas y funcionan bien para el intercambio de archivos de uso general; sin embargo, pueden ser complejos para ser verdaderamente seguros. Los errores menores en los permisos de lectura/escritura pueden provocar la exposición de los datos. Además, el uso de estos protocolos para compartir archivos de uso general significa que casi cualquier servidor o PC en la red puede descubrir el almacenamiento de copia de seguridad, utilizando herramientas y protocolos integrados en el SO. Con todas las herramientas necesarias incorporadas, cualquier sistema comprometido por un atacante tiene el potencial de atacar el almacén de copias de seguridad si se cometen errores en la configuración de permisos.
Eliminar el uso de protocolos de redes compartidas significa:Utilizar un método más seguro en la red, típicamente las API de almacenamiento de objetos, como las API compatibles con Amazon S3 o los protocolos de propiedad exclusiva.
Utilizar plataformas de almacenamiento de datos con sus propias API de movimiento de datos, los ejemplos incluyen Data Domain de DELL-EMC, así como bibliotecas de cintas virtuales (Virtual Tape Libraries, VTLs).
Combinar el almacenamiento con el servidor de copia de seguridad, de modo que el almacenamiento sea “local” en el servidor de copia de seguridad y no sea necesario acceder a él a través de una red.
Utilizar MFA para cuentas administrativas
Si se viola la seguridad de la consola de copia de seguridad, un atacante puede cambiar las políticas de copia de seguridad, alterar los trabajos de copias de seguridad o eliminar los datos de copias de seguridad del sistema, todo lo cual afectará seriamente la recuperación. La primera línea de defensa aquí debería requerir MFA para cualquier persona que inicie sesión en la consola, lo que hace que los ataques de phishing para obtener contraseñas administrativas sean menos efectivos.
Si el almacenamiento utilizado para las copias de seguridad es independiente, entonces la consola del administrador de almacenamiento requiere una protección similar o un atacante puede eliminar o reformatear volúmenes en el dispositivo de almacenamiento sin tener que penetrar en la consola de copia de seguridad.
Funciones administrativas separadas.
Las cuentas con privilegios completos para todas las partes de los sistemas de copias de seguridad son una mala idea, el violar una sola cuenta puede tener un impacto catastrófico en la capacidad de recuperarse de un ataque de ransomware. Para superar este problema, los programas de copia de seguridad suelen implementar cuentas basadas en roles donde se pueden asignar diferentes funciones a diferentes cuentas de usuario. Por ejemplo, puede crear cuentas con diferentes privilegios para realizar las siguientes tareas:
Monitoreo y generación de informes: es posible que los usuarios de diferentes unidades de negocio, así como el personal de TI, tengan que ver los registros diarios generados por los registros de copia de seguridad. Sin embargo, no hay necesidad de que estos usuarios puedan hacer ningún cambio en el sistema de copias de seguridad. Si los registros indican un problema, entonces deben trabajar con el equipo de copia de seguridad, no intentar solucionarlo ellos mismos.
Creación de trabajos de copia de seguridad: configurar diferentes trabajos de copia de seguridad para proteger las aplicaciones y los datos es una función fundamental cuando se trata de protegerse contra el ransomware. Un usuario con este privilegio tiene la oportunidad de eliminar trabajos de copia de seguridad o cambiar el trabajo para que ya no funcione de la manera en que fue diseñado. Por ejemplo, considere una organización con dos aplicaciones de base de datos, cada una con un trabajo de copia de seguridad asociado para proteger la base de datos. Un usuario con la capacidad de modificar un trabajo de copia de seguridad podría cambiar el trabajo de copia de seguridad para la segunda aplicación, de modo que haga una copia de seguridad de la base de datos de la primera aplicación. Dicho cambio podría pasar desapercibido fácilmente, porque el trabajo parecería completarse normalmente en los registros del sistema. Esto hace que minimizar la cantidad de personas con la capacidad de hacer tales cambios sea vital para asegurar el sistema de copias de seguridad.
Políticas de retención: las organizaciones conservan los datos de copias de seguridad por una variedad de motivos y por diferentes plazos, por lo que es importante limitar la cantidad de personas que pueden hacer cambios. Por ejemplo, si el valor predeterminado para retener los datos de copias de seguridad es de 30 días, puede regresar hasta ese punto para encontrar copias de datos en buen estado después de un ataque de ransomware. Sin embargo, si alguien pudiera cambiar esa política a un día de retención inmediatamente antes de liberar el ransomware en la red, podría ser imposible recuperar los datos, porque las copias de datos de copias de seguridad en buen estado ya no están allí.
Si este tipo de separación de usuarios se desarrolla en el producto, es importante comprender cómo se pueden modificar los roles y cuáles son las protecciones presentes para evitar que se cambie un rol a fin de permitir un mayor acceso. El punto clave aquí es que el software de copia de seguridad debe admitir la segregación de roles para que una violación en una sola cuenta administrativa no permita que un atacante tenga libertad para cambiar los trabajos de copia de seguridad, las políticas de retención y otros atributos de copia de seguridad críticos.
Flujos de trabajo de autorización de múltiples personas (también conocido como regla de los cuatro ojos).
Algunas plataformas de copia de seguridad ahora le permiten definir flujos de trabajo para cambios en la configuración de copia de seguridad de modo que la penetración de una sola cuenta administrativa (o el uso indebido por parte de un administrador no autorizado) no sea suficiente para comprometer las definiciones de trabajo de copia de seguridad o las políticas de retención. Considere una situación en la que un atacante obtiene acceso a una cuenta que puede modificar las definiciones de trabajo de copia de seguridad para cambiar o eliminar trabajos de copia de seguridad. Si esos cambios requieren la aprobación de otra cuenta, entonces es más difícil para el atacante dañar el sistema de copias de seguridad al violar una sola cuenta administrativa.
Copias múltiples de datos de copias de seguridad.
Las organizaciones han utilizado la regla 3-2-1 (tres copias de datos de copias de seguridad en dos tipos de almacenamiento diferentes con una copia aislada fuera del sitio) para proteger las copias de seguridad durante muchos años. En el pasado, esto podría haber significado copiar cintas u otros métodos manualmente para crear copias aisladas adicionales. Hoy en día, la mayoría de las aplicaciones de copia de seguridad admiten la capacidad de crear copias adicionales de los datos en el sitio de recuperación ante desastres o en la infraestructura de un proveedor de nube pública. Cuando se combinan con funciones como bóvedas de datos inmutables y control adecuado de privilegios de cuenta de copia de seguridad, estas copias adicionales de los datos pueden garantizar el acceso a los datos de copias de seguridad, si la copia de seguridad principal se elimina o se cifra con malware.
Recuperación rápida y segura.
Lamentablemente, las organizaciones seguirán siendo víctimas de ataques de ransomware. En ese momento, la recuperación se convierte en el objetivo, pero a menudo no es tan simple como restaurar los datos de copias de seguridad por varias razones:
Encontrar una copia de los datos de copias de seguridad en buen estado: si el ataque de ransomware pasa inadvertido durante cualquier período de tiempo, entonces es posible que las versiones cifradas de los archivos estén en las copias de seguridad más recientes. Esto hará que sea necesario encontrar una versión anterior de los datos de copias de seguridad que no se hayan visto afectados.
Prevención de la reinfección: la implementación de ransomware y otros malwares, como herramientas de acceso remoto, a menudo se lleva a cabo mucho antes de que se active el ransomware. La implicación de esto es que el malware casi seguramente ha sido capturado en copias de seguridad y está esperando ser reactivado después de una restauración.
Organización de restauraciones a gran escala: la experiencia de la mayoría de las organizaciones con la restauración de copias de seguridad se limita a cantidades relativamente pequeñas de datos para recuperarse de la pérdida localizada de datos. En el caso de un ataque de ransomware exitoso, puede ser necesario restaurar casi todo el entorno, lo que equivale a cientos o incluso miles de terabytes de datos. El desafío aquí es determinar el orden óptimo para restaurar los datos, a fin de garantizar que las aplicaciones más esenciales se recuperen primero.
Para facilitar el proceso de recuperación, los proveedores de copias de seguridad ofrecen una serie de mejoras al proceso de restauración que abordan los siguientes problemas:
Limpieza de datos de copias de seguridad
Organización del proceso de recuperación
Rendimiento de recuperación
Crear un entorno de recuperación aislado
Lamentablemente, nunca puede estar 100 % seguro de que los datos de copias de seguridad no están infectados con malware y debe proceder de la suposición de que los respaldos se han visto afectados. Es tentador tratar de evitar el problema de la infección por malware al volver a un conjunto de copias de seguridad creado antes de que comenzara el ataque, pero ese enfoque tiene tres problemas:
Muchas organizaciones no saben cuándo ocurrió la penetración inicial de la red, por lo que no saben hasta dónde regresar para encontrar copias limpias de los datos.
Los datos restaurados a partir de copias de seguridad que pueden tener semanas o meses de antigüedad tienen un valor cuestionable. Por ejemplo, ¿puede un negocio realmente recuperarse de perder semanas de datos esenciales para ventas e inventario?
El escaneo de copias de seguridad no siempre funciona una vez creados, porque es posible que las herramientas de escaneo no reconozcan el malware en ese momento.
Debido a estos problemas, el mejor enfoque es suponer que el malware está incorporado en los datos de copias de seguridad e intentar limpiarlo durante el proceso de recuperación (consulte la Figura 4). Hay dos componentes de la solución:
La organización de TI debe crear un entorno de recuperación aislado (Isolated Recovery Environment, IRE), en el que las aplicaciones y los datos se puedan restaurar, pero permanecer aislados de los perpetradores externos que podrían intentar activar malware que se restableció con la aplicación. Este IRE también incluirá una variedad de escáneres de malware que detectan malware basado en firmas o a través de métodos de detección de comportamiento más avanzados que utilizan IA/AA para buscar actividad que podría indicar actividad de malware.
El programa de copia de seguridad debe ser capaz de restaurar en el IRE y orquestar el proceso de escaneo para mover la aplicación y los datos a través de las diversas etapas de recuperación antes de que vuelvan a la producción.
Figura 4: Limpieza de datos de copias de seguridad y aplicaciones en un IRE
La limpieza de datos y aplicaciones a través del IRE implica varios pasos:
Los datos se restauran en el IRE donde no pueden ser controlados por el desarrollador de malware o los servidores de comando y control de contactos en Internet.
Escaneo 1: Los datos restaurados se escanean con herramientas convencionales de detección de malware que utilizan firmas para identificar y poner el malware en cuarentena. En algunos sistemas, los pasos 1 y 2 se combinan o se llevan a cabo completamente dentro del sistema de copias de seguridad.
Escaneo 2: La detección de malware que se centra en reconocer las firmas de malware está bien, siempre y cuando la detección de malware sepa qué buscar. Lamentablemente, este no es siempre el caso, porque las firmas de detección de malware en ocasiones se retrasan. Para solucionar este problema, el siguiente paso es iniciar la aplicación en el IRE, de modo que pueda escanearse con herramientas de escaneo de malware basadas en IA/AA, para buscar actividad anómala, como intentos de contactar servidores externos de comando y control.
Una vez que los datos han sido escaneados y se ha determinado que están libres de malware, se pueden mover al entorno de producción; por ejemplo, una máquina virtual (Virtual Machine, VM) se puede migrar en vivo desde el entorno de espacio aislado a la producción.
Organizar el proceso de recuperación.
Restaurar cientos o miles de servidores y grandes cantidades de datos de un sistema de copias de seguridad no es tan sencillo como simplemente comenzar la restauración y volver a sentarse a beber un poco de café por la mañana. Las organizaciones deben pensar en el orden de restauración para las diferentes aplicaciones para cumplir con los objetivos de tiempo de recuperación (Recovery Time Objetives, RTOs) y obtener las aplicaciones más esenciales en línea lo más rápido posible. Este proceso debe tener en cuenta más que solo la importancia de la aplicación; también debe considerar factores como la cantidad de datos para cada aplicación (consulte la Tabla 2).
Tabla 2: Optimización del pedido de restauración
Solicitud 1 | 4 horas | 1 hora |
Solicitud 2 | 8 horas | 7 horas y 30 minutos |
Solicitud 3 | 4 horas | 20 minutos |
Solicitud 4 | 1 hora | 50 minutos |
Solicitud 5 | 1 hora | 5 minutos |
Solicitud 6 | 8 horas | 5 horas |
Solicitud 7 | 24 horas | 19 horas |
En el ejemplo de la Tabla 2, es claro que el proceso de restauración para la Solicitud 2 y 7 debe comenzar antes que muchas de las aplicaciones con RTO más exigentes, simplemente porque tomará mucho más tiempo restaurar todos los datos. Esto es relativamente simple de resolver cuando hay un puñado de aplicaciones a restaurar, pero es mucho más difícil cuando hay cientos de aplicaciones. Los programas de copia de seguridad modernos pueden orquestar el proceso para programar las restauraciones en orden óptimo, incluido el ciclo del proceso de limpieza de datos, de modo que las aplicaciones se recuperen a tiempo para cumplir con los diversos RTO. Sin embargo, en algunos entornos, incluso el proceso de recuperación más cuidadosamente orquestado no podrá cumplir con todo el RTO si la plataforma de copia de seguridad no puede restaurar y limpiar datos lo suficientemente rápido (consulte Market Guide for IT Resilience Orchestration (Guía del mercado para la orquestación de resiliencia de TI)).
Rendimiento de recuperación.
El rendimiento del sistema de copias de seguridad es una parte clave de un proceso exitoso de recuperación, razón por la cual muchos proveedores se alejan de un modelo de ampliación para dispositivos de copia de seguridad y adoptan un enfoque de ampliación. Con un dispositivo de ampliación, puede agregar más capacidad para retener más datos de copias de seguridad; sin embargo, la velocidad a la que se pueden restaurar los datos permanece relativamente constante, porque está restringida por E/S y el rendimiento de cómputo que limita la velocidad a la que se pueden restaurar y limpiar los datos.
Una plataforma de copia de seguridad con escalabilidad horizontal difiere del dispositivo de escalabilidad ascendente tradicional. En lugar de agregar discos a dispositivos individuales para aumentar la capacidad, un enfoque de escalabilidad horizontal agrega dispositivos a un clúster, de modo que cada nuevo dispositivo aumenta el rendimiento de E/S y computación disponible para las operaciones de recuperación, así como la capacidad de almacenamiento del clúster. Aumentar todos los aspectos esenciales de rendimiento de la plataforma de copia de seguridad de acuerdo con la capacidad se ha vuelto cada vez más importante a medida que se han agregado más funciones a los procesos de copia de seguridad y recuperación.
Además del rendimiento escalable, las aplicaciones de copia de seguridad modernas pueden hacer que las imágenes completas de VM o las bases de datos grandes estén disponibles casi al instante desde el repositorio de copias de seguridad, en lugar de forzar la recuperación a esperar mientras se copian múltiples terabytes desde el repositorio de copias de seguridad a una ubicación de almacenamiento separada. Sin esta capacidad de restauración instantánea, el proceso de escanear los datos no puede comenzar hasta que se haya copiado del repositorio de copias de seguridad, lo que puede llevar horas para una imagen de VM o base de datos muy grande.
Pruebas.
Basado en conversaciones con proveedores sobre sus protecciones contra ransomware y con clientes sobre los desafíos a los que se han enfrentado para detectar y recuperarse de ataques de ransomware que han afectado a sus sistemas de copias de seguridad.
Todo En Uno.NET
¡Hola! 😊 Si eres un apasionado de la
tecnología, estás en el lugar correcto. Te invito a unirte a nuestros grupos
para estar al día con las últimas novedades:
- Grupo de WhatsApp: Únete a nuestra comunidad
en WhatsApp y comparte nuestro link con las personas que como tu quieren
aprender y mejorar sus conocimientos, preguntas y descubrimientos sobre
tecnología. ¡Aquí todos somos entusiastas y estamos ansiosos por aprender
juntos! 📱💡
- Grupo de Telegram: Si prefieres una
plataforma más versátil, nuestro grupo de Telegram es ideal. Compartimos
noticias, consejos y trucos sobre los avances tecnológicos. ¡Únete y sé
parte del conocimiento compartido! 🚀🔍
https://t.me/+NXPQCwc1yJhmMGNh
Recuerda que la tecnología nos conecta y nos
inspira. ¡Esperamos verte pronto en nuestros grupos! 🌟
Y si deseas obtener toda la información sobre nuestra organización,
también puedes encontrarnos en:
- WhatsApp: Mantente al tanto de
nuestras actividades y proyectos en WhatsApp. https://chat.whatsapp.com/BUta8KNDjq2GHM0z7RmkLG
- Telegram: Descubre más sobre
nuestra organización y comparte tus ideas con otros entusiastas. https://t.me/todoenunonet
¡Únete a nosotros y se parte de nuestra
comunidad! 🤝🔗