I dati che si gestiscono in azienda, in ufficio o presso uno studio professionale hanno un valore immenso. Fermatevi soltanto un attimo a pensare cosa accadrebbe se improvvisamente perdeste i dati che ogni giorno utilizzate per svolgere le vostre attività. Come reagireste? Come potreste continuare a svolgere il vostro lavoro?
Lo sanno bene quelle realtà aziendali che purtroppo sono state vittime di attacchi ransomware senza disporre di backup aggiornati dei dati.
Un’infezione da ransomware che va a buon fine è una sconfitta per qualsiasi realtà aziendale, per gli amministratori IT e per le figure che si occupano di sicurezza. La cifratura dei dati da parte di un ransomware rappresenta infatti soltanto l’ultima fase di un attacco informatico nato molto prima e in grado di sfruttare evidenti lacune nella configurazione della rete, nella gestione dei permessi, nella condivisione delle risorse, nella protezione di server, workstation e singoli endpoint, nella mancata applicazione di aggiornamenti di sicurezza, nell’utilizzo di dispositivi insicuri, nella mancata adozione di strumenti centralizzati per la difesa dell’infrastruttura.
Anche seguendo tutte le linee guida e utilizzando i migliori strumenti per la difesa del perimetro aziendale, è tuttavia impensabile avere la certezza di essere protetti al 100%.
Per questo, come abbiamo spesso ricordato, è essenziale predisporre un efficace piano di disaster recovery. In questo senso l’adozione di politiche di backup adeguate fa davvero la differenza.
Backup 3-2-1: cos’è la regola che mette al riparo da qualunque incidente informatico
Creare un backup su un dispositivo collegato in rete locale, “vicino” ai sistemi che contengono i dati da proteggere, è del tutto inutile se le risorse sono accessibili da più utenti (anche da chi non dovrebbe averne visibilità).
Un ransomware o un qualunque malware che utilizza tecniche per il movimento laterale (dopo aver infettato un sistema, il componente dannoso va alla ricerca di altre macchine da aggredire sfruttando, ad esempio, condivisioni di rete e vulnerabilità insite nei vari software) potrebbe facilmente danneggiare anche le copie di backup memorizzate su altri dispositivi.
Come regola generale, quindi, il dispositivo che ospita i backup dovrebbe esso stesso accedere alle risorse condivise in LAN da copiare e mettere in sicurezza oppure servirsi di “agenti software” che gestiscono la procedura di backup in modo sicuro, senza esporre direttamente le risorse.
Il sistema scelto per il backup dovrebbe inoltre supportare il versioning ovvero la gestione di una “cronologia”: in caso di problemi è possibile ripristinare una precedente versione dei file. Dopo un’infezione da ransomware sarebbe davvero disarmante scoprire che il dispositivo di backup ha creato una copia dei dati crittografati dai criminali informatici sovrascrivendo le versioni originali.
Come ricorda QNAP la regola 3-2-1 è sempre vincente.
Il backup 3-2-1 prevede che:
– Vengano create una copia primaria dei dati e due copie accessorie.
– I backup devono essere salvati su due differenti tipi di supporti di memorizzazione.
– Sia creata almeno una copia di backup offsite ovvero in un luogo sicuro lontano dalla rete che ospita i dati.
QNAP, azienda che si occupa di innovazioni legate allo storage dei dati, al networking, al segmento “smart video”, ricorda ad esempio che l’utilizzo della tecnica RAID non è sufficiente per scongiurare eventuali perdite di dati.
RAID permette infatti di creare una copia speculare dei dati su più unità di memorizzazione collegate con il medesimo dispositivo. Quello stesso dispositivo può però subire un guasto hardware che interessa le unità collegate, danneggiarsi in seguito a un allagamento, a un incendio, a sbalzi di tensione dovuti a fulminazioni oppure ad altri eventi catastrofici. Non è escluso neppure che un dispositivo utilizzato per lo storage dei dati aziendali possa essere rubato o vandalizzato.
In queste situazioni l’utilizzo della tecnica RAID non permette di salvare i dati e recuperare i backup in seguito a un incidente.
Da sempre QNAP considera i server NAS molto di più di un semplice supporto per l’archiviazione dei dati e ha creato un’infrastruttura di rete basata sul cloud che consente non soltanto di configurare backup efficaci ma anche di orchestrare le attività utili a proteggere le informazioni di valore. In questo modo è possibile affrontare con serenità anche le sfide più complesse con la certezza di non perdere mai alcun dato.
Nel nostro caso abbiamo utilizzato un NAS QNAP TS-364: si tratta di un dispositivo a 3 vani che non soltanto accoglie unità SATA III 6 Gbps ma integra anche 2 slot M.2 2280 PCIe Gen 3 x2 per il collegamento di SSD performanti.
Grazie alla funzione di tiering dello storage, il NAS può posizionare i dati a seconda dell’unità che risulta preferibile utilizzare in un determinato momento. La scelta viene effettuata soprattutto sulla base della frequenza con cui i dati vengono richiesti e utilizzati. Tutto questo si traduce in prestazioni applicative superiori e in costi contenuti.
QNAP TS-364 permette inoltre di creare un array RAID 5, offre connettività 2,5 GbE, una porta USB 3.2 Gen 2 (10 Gbps) e una HDMI UHD 4K.
Visitando la pagina di confronto NAS QNAP è possibile individuare il modello che è più adatto alle proprie esigenze. I filtri disponibili sulla sinistra consentono di rendere la ricerca ancora più efficace.
Hybrid Backup Sync: come funziona
QNAP mette a disposizione prodotti e servizi che aiutano ad applicare il backup 3-2-1.
I server NAS QNAP sono dispositivi che vengono incontro alle varie esigenze per lo storage e la gestione dei dati: da quelle dell’utente privato fino a quelle della grande azienda. Dal punto di vista operativo i dispositivi QNAP sono uguali: essi sono equipaggiati con il medesimo sistema operativo (QTS) che è trasversale su tutte le linee di prodotto. In questo modo l’utente non deve mai reimparare a usare un dispositivo e può configurare un nuovo prodotto QNAP esattamente come fatto nel caso degli altri device.
I NAS QNAP, inoltre, escono di fabbrica non soltanto per essere configurati in modalità “stand alone” ma anche e soprattutto per colloquiare l’uno con l’altro, anche a distanza.
Hybrid Backup Sync è una soluzione per il backup attivabile su tutti i dispositivi NAS QNAP che semplifica la predisposizione di un piano di backup 3-2-1. Tutto ciò che serve è pianificare i processi di backup e lasciare che Hybrid Backup Sync faccia il resto.
La copia offsite prevista dalla regola 3-2-1 può essere realizzata su un altro NAS QNAP remoto oppure avvalendosi di un servizio di storage cloud.
È interessante notare che QNAP non vincola gli utenti a servirsi di un suo sistema cloud ma supporta la maggior parte dei servizi di archiviazione cloud: come destinazione per le copie di backup si possono quindi utilizzare decine di servizi beneficiando della compatibilità dei prodotti QNAP con ciascuno di essi.
Il NAS QNAP utilizza la tecnologia QuDedup per deduplicare i dati e garantire la creazione di copie di backup compatte e facili da gestire. I file vengono inoltre compressi e crittografati in modo che non siano accessibili dai soggetti non autorizzati eventualmente venuti in possesso dei supporti di backup.
QNAP parla di backup e sincronizzazione ibride perché i dati possono essere trasferiti con Hybrid Backup Sync non soltanto in ambito locale ma anche scambiati con dispositivi remoti usando RTRR, Rsync, FTP, WebDAV e condivisioni CIFS/SMB.
RTRR, acronimo di Real-time Remote Replication, è una soluzione di backup esclusiva che QNAP mette a disposizione sui suoi dispositivi e che permette il backup immediato dei file nuovi e degli oggetti modificati da una cartella all’altra, anche su NAS remoti. RTRR migliora significativamente l’efficienza dei backup e riduce i tempi richiesti.
Per impostare uno o più lavori di backup (job) con Hybrid Backup Sync, basta cliccare sull’icona Backup e Ripristino nella colonna di sinistra quindi sul pulsante Backup ora, Nuovo backup ora.
La procedura guidata che Hybrid Backup Sync propone consente di specificare quale dispositivo riceverà il backup. Se si utilizza la replica remota QNAP (RTRR) la configurazione è immediata: è sufficiente indicare il nome del NAS, il suo indirizzo IP, la porta in ascolto (di solito è 8899) e la password di accesso.
È possibile impostare anche l’utilizzo di un servizio di storage cloud configurando l’account da usare per la gestione del backup dei dati. È ovviamente permesso aggiungere più account: in questo modo il NAS QNAP effettuerà il backup sui vari dispositivi e servizi remoti.
Snapshot, ancora di salvezza contro ransomware e altre tipologie di malware
Uno degli aspetti sui quali QNAP insiste di più è la creazione degli snapshot.
Gli snapshot sono “immagini” complete del contenuto di un NAS: in caso di imprevisti è possibile riportare il dispositivo alla configurazione conservata in uno snapshot.
Anche nel caso degli snapshot, creando regolarmente delle immagini aggiornate è possibile ridurre il rischio di perdita dei dati. Il supporto dei backup incrementali permette di velocizzare l’aggiornamento degli snapshot risparmiando spazio prezioso.
Grazie all’elevata efficienza e alla maggiore flessibilità rispetto ai tradizionali metodi di backup, gli snapshot sono il modo migliore per proteggere i dati.
Nel pannello di amministrazione Web di QTS è possibile cliccare su Archiviazione & Snapshot per configurare la funzionalità, impostare la periodicità con cui creare nuovi snapshot e il versioning.
Con un clic su Snapshot replica quindi su Create un processo di replica è possibile andare alla ricerca dei dispositivi sui quali creare una replica dei dati contenuti nel NAS.
Nel caso in cui si utilizzasse un altro NAS QNAP esso viene automaticamente rilevato e impostato come destinazione per la replica del backup.
La procedura guidata consente di definire quando i dati degli snapshot devono essere trasferiti, se il flusso delle informazioni debba essere crittografato, se il trasferimento debba avvenire in forma compressa, se l’operazione debba essere limitata in termini di banda di rete occupata in modo da non ingenerare situazioni di congestione.
Abbinando l’utilizzo degli snapshot QNAP con Hybrid Backup Sync è possibile configurare due backup automatici su altrettanti dispositivi diversi e un backup offsite che possa offrire un livello di sicurezza aggiuntivo.
Protezione multilivello per i dati aziendali
I NAS QNAP consentono di godere di una protezione multilivello per i dati aziendali.
Quando si configura per la prima volta un NAS QNAP è possibile destinare alla memorizzazione degli snapshot una parte dello spazio complessivamente disponibile. In questo modo si può impostare la creazione di backup periodici del contenuto del NAS: in caso di problemi sarà sempre possibile ripristinare i dati dalle copie snapshot conservate in locale e proteggersi da cancellazioni accidentali dei dati.
Un livello di protezione aggiuntivo arriva dalla tecnica RAID: in caso di danneggiamento di un disco, è sempre possibile ripristinare i propri dati senza il rischio di perdere nulla.
A salire, con lo schema di backup 3-2-1 i dati possono essere memorizzati in totale sicurezza su altre unità diverse dal NAS stesso. In questo modo la protezione sarà totale.
Come gestire e ripristinare i backup
Abbiamo visto com’è semplice, usando i NAS QNAP, gestire backup 3-2-1 e copiare i dati su diverse destinazioni, anche offsite.
In caso di problemi, il recupero delle informazioni è altrettanto rapido e semplice grazie all’interfaccia grafica di QTS. In questo modo è possibile ripristinare uno snapshot o recuperare il contenuto dei backup programmati con pochi clic.
Con le soluzioni QNAP il backup diventa liberamente gestibile fuori dai limiti del cloud: le copie locali dovrebbero essere primariamente utilizzate ma i backup offsite (comprese le copie effettuate sui servizi di storage cloud) diventano essenziali in caso di incidenti che coinvolgono l’integrità dei sistemi per la memorizzazione dei dati configurati in ambito locale.
Nel caso degli snapshot QNAP cliccando su Istantanea nella colonna di sinistra è possibile “navigare” il contenuto di ciascuna immagine creata nel tempo con la possibilità di ripristinare l’intero snapshot, singoli file e cartelle o estrarre soltanto i dati che interessano nel dispositivo che si sta utilizzando.
Per le aziende che utilizzassero un approccio ibrido o avessero deciso di abbracciare l’utilizzo di piattaforme quali Microsoft 365 o Google Workspace, è bene rimarcare come la responsabilità circa il backup dei dati non è in capo al gestore del servizio bensì all’utente. Microsoft, Google e gli altri fornitori si impegnano contrattualmente a mantenere raggiungibili, funzionanti e performanti le rispettive piattaforme cloud.
Le repliche dei dati degli utenti effettuate automaticamente in più data center fanno in modo che le conseguenze di un ipotetico disastro non possano riflettersi sull’integrità delle informazioni.
Le funzionalità di versioning che soluzioni come Microsoft 365 e Google Workspace offrono sono solitamente molto limitate rispetto alle esigenze degli utenti. Il backup dei dati gestiti sul cloud è quindi fondamentale se si utilizzano piattaforme come quelle citate: modifiche avventate sui file, cancellazioni di dati improvvide o l’azione di ransomware (sì, i ransomware aggrediscono anche le piattaforme cloud…) può mettere a rischio la disponibilità e l’integrità dei dati dell’azienda che avesse scelto soluzioni basate “sulla nuvola”.
I NAS QNAP permettono anche di creare backup del contenuto di account Microsoft 365 e Google Workspace con la possibilità di ripristinare ogni dato in modo granulare.
La proposta di QNAP si chiama Boxafe e consente ad esempio il backup e il ripristino delle email e degli allegati di Gmail, dei file conservati su Google Drive, dei contatti e del calendario nel caso di Google Workspace; della posta elettronica e degli allegati di Outlook, di OneDrive, dei contatti, dei calendari, di SharePoint e Teams nel caso di Microsoft 365.