En el mundo empresarial y a veces también en el privado necesitamos guardar datos importantes que nunca se puedan borrar o modificar, y la solución son los backups inmutables con QNAP. Esta solución será como grabar un DVD o una antigua tarjeta perforada que nada ni nadie pueda alterarlo salvo que lo rompa.
De esta forma las copias de seguridad estarán totalmente seguras digitalmente, incluso con rotura del disco duro, ya que gracias a QuTS Hero y ZFS tendremos una gran capacidad de recuperación. Además efectuaremos backups offline desde NAS a USB directamente para incrementar aún más el aislamiento de los datos. Para ello utilizaremos el NAS QNAP TVS-H674.
Índice de contenidos
Qué son las copias de seguridad inmutables
Principalmente en empresas y organismos oficiales se generan datos cuya existencia es necesaria y a veces obligatoria para la existencia de la entidad. Estos datos pueden ser listas de facturación, documentos notariales, contratos, etc. Cuya existencia además está obligada por ley durante determinados años, en caso de auditorías en el marco legal.
Una copia de seguridad inmutable es aquella que una vez realizada, será imposible borrarla o modificarla del lugar donde esté almacenada, salvo que por configuración del autor, admita cambios o se desbloquee transcurrido cierto tiempo. A este sistema se le llama WORM (Write Once Read Many) “Escribe una vez y lee muchas”, ya que a diferencia de los backups normales, estos no se podrán reescribir o borrar.
Como podréis deducir, es un efecto similar al que se produce cuando grabamos información sobre un CD o DVD que no es reescribible, pues solamente podremos alterar la información rayando o rompiendo la unidad. La ventaja aquí es que la información queda dentro de un soporte digital como es un disco duro o un USB, brindándonos una mayor accesibilidad, gestión de la información y protección frente a desastres, sin necesidad de tener discos sueltos ni archivos susceptibles a pérdida o destrucción.
QuTS Hero y NAS QNAP con carpetas WORM
El sistema operativo QuTS Hero de los NAS QNAP y su sistema de ficheros ZFS nos permite realizar los backups inmutables en nuestro sistema RAID o de almacenamiento creando carpetas WORM. Con ellas podemos configurar una vía para almacenar backups de ordenadores o servidores con alta replicación de datos. Esto implica que la versión normal del sistema QTS NO admite esta funcionalidad.
Estas carpetas estarán protegidas frente a ransomware o virus gracias a la imposibilidad de modificar la información de los documentos o directorios. Pero es que también estarán protegidas frente a degradado de discos duros y desastres, ya que el sistema de ficheros ZFS permite la auto reparación de volúmenes RAID-Z (self healing) e implementa el modelo Copy-on-Write para evitar la sobreescritura de datos activos.
Cómo configurar backups inmutables en QNAP
Sabemos la teoría, así que es el momento de ponerse manos a la obra para configurar los backups inmutables sobre el sistema QuTS Hero y el NAS QNAP TVS-H674. Pero antes de poder configurar estas carpetas, el sistema deberá cumplir estas condiciones:
- Tener creado un espacio de almacenamiento en los discos duros
- Tener creado un volumen de almacenamiento al menos, recomendable que sea RAID con replicación de datos
- Disponer de una conexión a la red del NAS
- Será también recomendable haber creado los usuarios distintos al administrador, si procede, para el acceso a la información
Carpeta WORM en QuTS Hero
Al tratarse básicamente de una carpeta compartida, la crearemos como cualquier otra, es decir, bien desde FileStation, o desde el panel de control. Así que nos dirigiremos a este, y sobre el apartado “Carpetas compartidas” pulsaremos en Crear.
Debemos seleccionar “Carpeta compartida” y acto seguido se nos abre un asistente de configuración. En el primer paso es indispensable asignar un nombre y un espacio de almacenamiento para la misma, mayor cuanto más grande estimemos que va a ser el backup. Lo recomendable es asignarlo como “Aprovisionamiento Thin”, ya que permite modificar dicho espacio y mejora en flexibilidad al aprovisionamiento Thick.
En el siguiente paso es donde debemos de activar la configuración WORM de la carpeta, las opciones superiores las podremos dejar por defecto. Dentro de la sección WORM tendremos aspectos bastante interesantes como:
- WORM tipo Empresa: permite escribir y leer datos, pero no modificar, eliminar o restaurar salvo que eliminemos la carpeta por completo.
- WORM tipo Cumplimiento: En este caso tampoco podremos eliminar la carpeta compartida, por lo que solo se puede eliminar el contenido formateando los discos.
- Opciones adicionales: podremos asignar un tiempo en el cual sí poder modificar el contenido tras ser grabado, y asignar un período de tiempo tras el cual los datos sí podrán ser modificados.
Estas últimas opciones son interesantes para llevar a cabo la rotación de backups, eliminando los más antiguos cada 2 o 3 años para dar espacio a los nuevos.
El tercer apartado permite configurar los permisos de los distintos usuarios que están en el sistema, por ejemplo para fijar el acceso de lectura y escritura a distintas estaciones de trabajo o departamentos dentro de la empresa. Por eso antes mencionamos que sería recomendable tener los usuarios ya creados en el sistema.
El penúltimo apartado cuenta con una lista de propiedades de la carpeta para backups inmutables, como mantener la carpeta oculta, acceso restringido a la papelera, etc.
En este momento la carpeta estará creada y aparecerá como directorio de red accesible desde cualquier otro ordenador perteneciente a la red ethernet. De esta forma, con ayuda de la ruta de red o url que asignemos, podremos enviar automáticamente los backups o archivos a la carpeta WORM desde las aplicaciones de copia de seguridad que utilicemos. Comprobaremos como efectivamente, solo podemos escribir datos nuevos en la carpeta WORM, cualquier otro cambio no quedará registrado en documentos o directorios.
Backups inmutables offline
¿Y si queremos que nuestros backups no solo sean inmutables, sino que también podamos transportarlos o almacenarlos en una unidad sólida externa como si se tratase de un CD/DVD? Pues esto se llama backups offline, ya que el contenido se transfiere a una unidad de almacenamiento que no esta en el NAS, y que por tanto es imposible de alterar salvo que la rompamos.
La unidad que ha elegido QNAP para la demostración ha sido un Kingston Ironkey VP80ES, que cual integra un sistema de configuración de acceso por contraseña a través de su pantalla. Admite cifrado AES 256 bit para asegurar la seguridad del contenido.
Backup inmutable en almacenamiento externo con HBS 3
Pues el procedimiento comienza obviamente conectando la unidad de almacenamiento en el NAS, el cual aparecerá listado en la barra de tareas y en FileStation accesible como cualquier otro almacenamiento portable. Recordemos, utilizamos QuTS Hero por ser el sistema que admite este tipo de carpetas.
Seguidamente debemos crear una carpeta WORM como en el apartado anterior, así que seguiremos los mismos pasos ya explicados. Así mismo, realizaremos una configuración de ejemplo para crear un trabajo de backup desde HBS 3 con una carpeta del NAS a al directorio inmutable creado antes.
Ahora viene la diferencia, que se trata de utilizar la aplicación HBS 3 disponible de forma gratuita para el sistema. Esta aplicación permite crear y programar trabajos de copias de seguridad del contenido bien al propio sistema local, o bien a dispositivos externos.
Sobre el apartado “Copias de seguridad y restauración” debemos crear un nuevo trabajo, el cual será Sincronizar – Colaborar – Compartir. Para enviar las copias de seguridad al disco duro externo debemos elegir “Trabajo de sincronización en una dirección”.
En el nuevo asistente debemos seleccionar nuestra carpeta inmutable procedente del NAS local, la cual enviará su contenido a un destino que será nuestro disco duro externo conectado al NAS. En la fila inferior seleccionaremos como ruta de origen la carpeta inmutable, o un directorio de ella, y como destino el USB o un directorio de su interior.
Pasamos al siguiente paso donde recomendamos:
- Activar la opción de “Extraer el volumen externo tras la finalización”.
- También activaremos la opción de “Copia de seguridad automática”, para que el trabajo de backup se lleve a cabo cuando conectemos el disco USB al puerto del NAS.
De esta forma el USB solo estará conectado y activo mientras se hace la sincronización, pudiendo realizar la copia solo cuando nosotros queramos, evitando cualquier infección de malware. El trabajo ya estará creado y listo para ejecutarse.
Dejamos aquí el vídeo donde QNAP explica todo esto de forma práctica
Conclusiones sobre backups inmutables
Los backups inmutables son una herramienta especialmente diseñada para datos sensibles donde empresas o particulares podrán tener copias de seguridad completamente seguras frente a encriptado y secuestro por ransomware o malware. Las ventajas de los antiguos soportes ópticos se unen a la versatilidad, capacidad y velocidad de los dispositivos digitales de nueva generación como SSD NVMe.
Y si queremos un grado más de seguridad, siempre podremos crear trabajos de sincronización a partir de HBS 3 desde el NAS para enviar estas carpetas WORM a volúmenes USB portables. De esta forma no habrá posibilidad de infección al ser un dispositivo que se desconectará y será ajeno a la red, siempre y cuando no integra Wi-Fi o Bluetooth.
Tenemos algunos artículos interesantes sobre NAS que dejamos para más información:
