Tutti gli articoli


Backup 3-2-1, Air-Gap e backup immutabili contro i ransomware



Per chi va di fretta

  • Strategia di backup 3-2-1: Mantieni 3 copie dei tuoi dati, su 2 supporti differenti, con 1 copia off-site. Iperius Backup supporta questa strategia tramite backup ibridi: su destinazioni locali (dischi/NAS), cloud e nastro, garantendo ridondanza e sicurezza.
  • Backup air-gap: Una copia di backup isolata dalla rete è inaccessibile ai ransomware. Iperius consente di creare backup air-gapped salvando i dati su dispositivi rimovibili (es. USB, LTO) che possono essere scollegati dopo il backup, aggiungendo un ulteriore livello di protezione.
  • Software “air-gapped”: Iperius stesso non richiede una connessione internet continua per funzionare. Grazie alla licenza perpetua e all’indipendenza da servizi cloud, può operare anche in reti chiuse, riducendo la superficie d’attacco e risultando di fatto un software “air-gapped”.
  • Backup immutabili (Object Lock): Iperius supporta l’immutabilità dei backup su cloud come Amazon S3. Attivando Object Lock, i dati vengono archiviati in modalità WORM (Write Once Read Many), cioè scritti una volta e non modificabili per un periodo definito, impedendo cancellazioni o alterazioni accidentali o malevole.
  • Immutabilità e WORM: Conservare backup immutabili con politiche WORM è fondamentale per difendersi dai ransomware e soddisfare normative di conformità. Iperius Backup offre strumenti moderni per definire politiche di retention che garantiscono che i backup restino inalterabili nel tempo, assicurando integrità e recuperabilità dei dati anche negli scenari peggiori.

Strategia di backup 3-2-1

Una delle fondamenta della sicurezza dei dati è la strategia di backup 3-2-1. Questo approccio prevede di conservare almeno 3 copie dei dati, su 2 tipi di supporti differenti, di cui almeno 1 copia off-site (fuori sede). In pratica, oltre ai dati originali, dovresti avere due backup: ad esempio uno su disco/NAS locale e un altro su cloud o nastro in un luogo remoto. Così, anche in caso di guasto hardware, errore umano o disastro locale, esisterà sempre una copia recuperabile.

Iperius Backup facilita enormemente l’adozione della strategia 3-2-1 grazie al suo supporto per backup ibridi e multi-destinazione. Con un unico software è possibile configurare backup su diversi tipi di destinazione in parallelo:

  • Backup locali: salvataggi su dischi esterni USB, NAS di rete, cartelle locali o unità condivise.
  • Backup su nastro (LTO): archiviazione su supporti a nastro, ancora oggi molto usati per la loro affidabilità e longevità. Iperius supporta pienamente qualsiasi unità Tape LTO, permettendo di sfruttare i nastri come parte della strategia 3-2-1.
  • Backup su cloud: invio dei dati verso servizi cloud pubblici o privati tramite protocolli come Amazon S3, Azure Storage, Wasabi, Google Drive, OneDrive, Backblaze, Dropbox, oppure su server FTP/SFTP. Iperius supporta numerosi provider e qualsiasi storage compatibile con il protocollo S3, offrendo ampia flessibilità nella scelta della copia off-site.

Grazie a questa versatilità, puoi ad esempio effettuare contemporaneamente un backup su un NAS locale e su uno spazio cloud remoto con un unico job pianificato. In questo modo si ottiene subito il rispetto della regola 3-2-1 (backup locale + off-site) senza dover gestire processi separati. Iperius gestisce anche la compressione e la cifratura dei backup, assicurando che le copie su destinazioni esterne siano ottimizzate in dimensione e protette da accessi non autorizzati.

Implementare la strategia 3-2-1 con Iperius significa aggiungere un livello robusto di resilienza: anche se un ransomware colpisse i dati primari, avresti una copia locale rapida da ripristinare e un’ulteriore copia off-site intatta in caso di disastro maggiore. Questa stratificazione è la base di una solida continuità operativa.

Backup air-gap: l’arma anti-ransomware definitiva

Negli ultimi anni, con l’aumento degli attacchi ransomware, si è diffusa l’importanza dei backup air-gap. Un backup air-gapped è una copia di sicurezza mantenuta offline o comunque isolata dal resto della rete, tale che nessun malware o attaccante possa raggiungerla attraverso i canali tradizionali. In altre parole, c’è un vero e proprio “gap” (interruzione) tra il sistema dove risiedono i dati di produzione e il supporto dove è conservato il backup, impedendo la propagazione di eventuali infezioni.

I vantaggi di un backup air-gap in ottica anti-ransomware sono notevoli:

  • Isolamento totale: Se un ransomware infetta i server o i PC in rete, non potrà criptare o cancellare ciò che non riesce a vedere e raggiungere. Un supporto scollegato non è rilevabile né attaccabile dal malware.
  • Protezione da eliminazioni malevole: In caso di attacco mirato, un malintenzionato potrebbe cercare di cancellare anche i backup. Un backup scollegato fisicamente non può essere compromesso in nessun modo.
  • Resilienza a guasti della rete o dell’infrastruttura: Conservando copie scollegate e magari in edifici diversi da quello aziendale, i dati sono al sicuro anche da eventuali problemi di rete, blackout, incendi, disastri naturali, furti o altri eventi che potrebbero compromettere sia i sistemi di produzione che i backup online.

Tradizionalmente, l’approccio air-gap veniva realizzato tramite nastri magnetici: si eseguiva il backup su nastro e poi lo si rimuoveva e custodiva in cassaforte. Oggi, oltre ai nastri, si utilizzano dispositivi come dischi USB estraibili o unità rimovibili in generale. L’importante è che almeno una copia di backup non sia costantemente connessa al sistema. Anche il cloud può essere parte di una strategia air-gap se utilizzato con le dovute cautele (ad esempio mantenendo le credenziali ben isolate e usando le modalità di backup immutabile quando supportate), ma per definizione un servizio cloud è sempre raggiungibile via rete; per questo spesso la vera copia air-gapped rimane quella su supporto fisico scollegato.

Iperius e i backup air-gap su dispositivi rimovibili (USB, LTO)

Iperius Backup permette di mettere in pratica il concetto di air-gap in modo semplice ed efficace. Grazie al supporto di backup su dispositivi rimovibili, puoi salvare i tuoi dati su unità che vengono poi scollegate o disattivate quando non sono in uso, creando di fatto un isolamento.

Ecco alcune modalità con cui Iperius facilita i backup air-gapped:

  • Backup su dischi USB: Puoi configurare backup automatici verso dischi esterni USB. Ad esempio, utilizzando più unità in rotazione (lunedi disco A, martedi disco B, etc.), avrai sempre almeno un disco offline e conservato in luogo sicuro mentre l’altro è collegato per il backup corrente. Iperius consente di pianificare i backup in giorni/orari specifici, così da poter collegare il dispositivo solo in quella finestra temporale e scollegarlo subito dopo. Iperius può inoltre eseguire uno script alla fine del backup che scollega il disco USB automaticamente.
  • Backup su Tape LTO con espulsione: Iperius supporta l’espulsione automatica del nastro al termine del backup. Ciò significa che, completata la copia, il software può espellere la cartuccia LTO dal drive. Il nastro espulso è fisicamente isolato dal sistema fino a quando qualcuno non lo reinserisce, realizzando un perfetto air-gap. Questa funzione è preziosa per implementare routine di backup su nastro completamente automatizzate e sicure: ogni backup termina con il nastro fuori dal drive, pronto per essere archiviato offline.
  • Notifiche e script personalizzati: Iperius offre la possibilità di eseguire script o comandi personalizzati prima o dopo il backup. Ciò consente, ad esempio, di montare/smontare unità di rete o dischi tramite script, realizzando un collegamento temporaneo solo per la durata del backup. Allo stesso modo, le notifiche email di fine backup ricordano all’operatore di scollegare il supporto rimovibile qualora debba farlo manualmente.

Un altro aspetto cruciale è che Iperius stesso è un software “air-gapped”. Grazie alla licenza perpetua e alla totale autonomia operativa, Iperius non richiede connessioni costanti ad internet o ad alcun server di gestione esterno. Molti software moderni di backup dipendono da servizi cloud o da attivazioni periodiche online; Iperius invece, una volta installato e attivato, può funzionare indefinitamente anche in un ambiente completamente isolato (ad esempio una rete aziendale chiusa senza accesso a internet). Questo significa minori vulnerabilità: il software non apre canali di comunicazione esterni che potrebbero essere sfruttati da hacker, e continua a proteggere i dati anche in infrastrutture segregate per motivi di sicurezza. In sintesi, puoi affidarti a Iperius in contesti dove la sicurezza impone segmentazione e isolamento, certo che i tuoi backup saranno eseguiti e protetti senza dipendere da fattori esterni.

Backup immutabili con Object Lock su Amazon S3

Oltre all’isolamento fisico, un altro pilastro della protezione avanzata dei dati è l’immutabilità dei backup. Un backup immutabile è un backup che, una volta creato, non può essere modificato né cancellato per un determinato periodo di tempo (o indefinitamente). Questa caratteristica garantisce che la copia di sicurezza resti integra e disponibile anche se qualcuno tenta di alterarla o distruggerla, volontariamente o a causa di malware.

Iperius Backup abbraccia pienamente questo concetto grazie al supporto della funzionalità Object Lock sugli storage cloud compatibili, come Amazon S3. In pratica, quando invii i tuoi backup al cloud tramite Iperius, puoi attivare l’opzione di backup immutabile (se il provider lo supporta): il software imposterà i dati in modalità WORM (Write Once Read Many) direttamente sullo storage remoto.

Cosa comporta questo in uno scenario reale? Supponiamo di fare un backup cloud dei dati aziendali critici ogni settimana e di impostare un periodo di retention immutabile di 30 giorni. Ogni backup caricato su S3 con Object Lock rimarrà inalterabile per 30 giorni: nessuno – nemmeno un utente con accesso amministrativo al cloud – potrà cancellarlo o modificarlo in quel lasso di tempo. Se un ransomware riuscisse a compromettere le credenziali di accesso al cloud o se un operatore malintenzionato cercasse di eliminare i backup, quei file protetti dall’Object Lock rimarrebbero comunque al sicuro, perché il sistema di storage rifiuterà qualsiasi operazione di cancellazione fino alla scadenza del periodo impostato.

Iperius rende semplice configurare questa protezione: l’utente non deve far altro che abilitare l’opzione di immutabilità e scegliere il periodo di conservazione desiderato durante la configurazione del backup su Amazon S3. Da quel momento in poi, ogni backup inviato seguirà le regole WORM specificate. Vale la pena notare che Amazon S3 offre due modalità di Object LockGovernance Mode e Compliance Mode – che differiscono per il livello di protezione (la Compliance Mode è più restrittiva, nemmeno un amministratore AWS potrebbe eliminare gli oggetti fino a scadenza). Iperius è compatibile con queste modalità, consentendo alle aziende di allinearsi anche a stringenti requisiti normativi.

In sintesi, con Iperius Backup hai la possibilità di implementare facilmente backup immutabili nel cloud: una difesa formidabile contro i ransomware che cercano di eliminare i backup e una garanzia in più che i tuoi dati critici siano sempre recuperabili. Questa funzionalità colloca Iperius tra le soluzioni di backup moderne che offrono non solo la copia dei dati, ma anche la sicurezza intrinseca delle copie di backup stesse.

Immutabilità e conservazione WORM: perché sono cruciali

Perché si insiste tanto su immutabilità e politiche WORM nella protezione dei dati? Perché queste caratteristiche rispondono direttamente alle tattiche distruttive degli attacchi moderni e ai requisiti di integrità dei dati nel lungo periodo.

Quando un ransomware colpisce, spesso non si limita a cifrare i dati primari: molti attacchi tentano anche di cancellare o compromettere le copie di backup, proprio per impedire alla vittima di ripristinare i file senza pagare il riscatto. Avere backup immutabili significa sottrarre al ransomware (o a qualunque attore malintenzionato) la possibilità di cancellare la tua ancora di salvezza. Una volta scritti, i dati non sono più eliminabili fino al termine del periodo di conservazione: questo assicura che, anche se l’intera rete fosse compromessa, i backup su supporti immutabili resterebbero intatti.

La conservazione WORM (Write Once Read Many) ha origine già in ambito di archiviazione ottica e su nastro, ed è stata storicamente impiegata per rispettare normative di settore (finanza, sanità, pubblica amministrazione) che impongono che certi documenti vengano conservati inalterabili per anni. Oggi lo stesso principio viene applicato ai backup: poter dimostrare che un certo backup non è stato alterato dalla data di creazione è non solo una best practice di sicurezza, ma spesso un obbligo legale. Pensiamo ad esempio ai log di sistema o ai dati finanziari archiviati: con Iperius puoi conservare queste informazioni in backup immutabili conformi alle politiche WORM, soddisfacendo i requisiti di audit e compliance (ad es. GDPR, norme PCI-DSS, o regolamenti specifici come quelli per il settore bancario) senza dover ricorrere a hardware speciale – basta il software e lo storage giusto.

In ottica più generale, l’immutabilità introduce anche un concetto di fiducia nei backup: sapendo che una copia è protetta in WORM, chi gestisce l’IT può avere la tranquillità che quel backup sarà utilizzabile quando serve, perché nulla e nessuno ha potuto alterarlo. Questo consente di rispettare con più certezza i piani di disaster recovery, avendo la garanzia che esiste almeno una copia sicuramente pulita e recuperabile.

Riassumendo, l’integrazione di immutabilità e WORM in Iperius Backup offre benefici chiave:

  • Sicurezza anti-manomissione: i backup immutabili non possono essere sabotati da malware o errori umani finché dura la policy WORM impostata.
  • Integrità verificabile: i dati restano esattamente come al momento del backup; ciò è fondamentale per poterli usare in futuri ripristini sapendo che sono integri.
  • Compliance e audit trail: la conservazione inalterabile aiuta a soddisfare obblighi normativi e fornisce uno storico affidabile delle copie di sicurezza, con possibilità di dimostrare che non sono state manipolate.

Conclusione

Tra best practice consolidate e tecnologie innovative, Iperius Backup si posiziona come una soluzione all’avanguardia per la sicurezza dei dati. Supportando la strategia 3-2-1, offrendo backup air-gap su misura e implementando backup immutabili con facilità, Iperius fornisce tutti gli strumenti necessari per mettere i propri dati al sicuro dagli incubi informatici moderni. Il tutto con la semplicità di un software leggero ma potente, una licenza perpetua senza costi ricorrenti e la flessibilità di adattarsi alle esigenze di qualsiasi ambiente (dal piccolo ufficio alla grande impresa).

In un’epoca in cui i ransomware e le minacce cyber evolvono costantemente, una soluzione di backup moderna deve fare molto più che copiare dei file: deve garantire resilienza, integrità e recuperabilità in ogni scenario. Iperius Backup risponde a questa sfida integrando le migliori strategie di protezione – dalla diversificazione delle copie alla loro immobilità temporale – in un’unica piattaforma completa. Affidandoti a Iperius, scegli una protezione dei dati a 360 gradi, consapevole che anche nello sfortunato caso di un attacco ransomware, avrai dalla tua parte strumenti solidi per ripristinare rapidamente l’operatività senza cedere a nessun ricatto.

In conclusione, Iperius Backup rappresenta una soluzione moderna, completa e affidabile per la protezione dei dati: un vero alleato nella guerra silenziosa contro la perdita di dati e le minacce ransomware, che unisce pratiche collaudate e funzionalità avanzate per tenere al sicuro il bene più prezioso in ambito IT, i tuoi dati.



Per qualsiasi domanda o dubbio in merito a questo articolo, Contattaci