Categories
Database Backup

** Learn how to protect enterprise database archives from ransomware using immutable storage. Discover technical implementation steps for AWS S3 Object Lock, ZFS, PostgreSQL, and SQL Server.

En el panorama actual de amenazas, el ransomware ha evolucionado desde el cifrado oportunista hasta campañas de extorsión múltiple altamente dirigidas. Las Amenazas Persistentes Avanzadas (APT) y los sindicatos de ransomware ahora buscan activamente la infraestructura de respaldo y los archivos de bases de datos durante su tiempo de permanencia. Si un atacante compromete su base de datos principal y, simultáneamente, elimina o cifra sus repositorios de respaldo, su organización se enfrentará a una pérdida de datos catastrófica.

Para los Administradores de Bases de Datos (DBA) y los ingenieros de DevOps, la estrategia de respaldo tradicional 3-2-1 ya no es suficiente. Para garantizar la supervivencia de los datos, los equipos de infraestructura deben adoptar la regla 3-2-1-1, donde el último “1” representa el almacenamiento inmutable.

Este artículo proporciona un análisis técnico profundo y completo sobre cómo diseñar, implementar y gestionar el almacenamiento inmutable para archivos de bases de datos, con el fin de garantizar una resiliencia absoluta frente al ransomware.

La mecánica del almacenamiento inmutable

El almacenamiento inmutable se basa en una arquitectura de Escribir una vez, Leer muchas (WORM, por sus siglas en inglés). Una vez que los datos se escriben en un destino inmutable, no pueden ser modificados, cifrados ni eliminados por ningún usuario —incluidos los administradores con privilegios de root o cuentas de servicio comprometidas— hasta que expire un bloqueo temporal aplicado matemáticamente.

Modo de cumplimiento frente a modo de gobernanza

Al implementar la inmutabilidad, particularmente en almacenamiento de objetos en la nube como AWS S3, Azure Blob o SAN locales compatibles con S3, debe comprender la distinción entre los modos de retención:

  • Modo de gobernanza: Evita que los usuarios estándar eliminen o alteren objetos. Sin embargo, los usuarios con permisos IAM específicos (por ejemplo, s3:BypassGovernanceRetention) pueden omitir el bloqueo. Esto es útil para pruebas, pero insuficiente para la protección contra ransomware, ya que los atacantes a menudo escalan privilegios a administrador de dominio o root.
  • Modo de cumplimiento: El estándar de oro para la defensa contra ransomware. Una vez que un objeto se bloquea en modo de cumplimiento, su período de retención no puede acortarse y el objeto no puede ser eliminado por nadie, incluido el usuario root de AWS. El bloqueo se aplica a nivel de clúster de almacenamiento.

Diseño de una canalización de respaldo inmutable

Una arquitectura sólida de archivo de bases de datos separa las operaciones activas de la base de datos del nivel de archivo inmutable. No se puede aplicar la inmutabilidad a los archivos activos de la base de datos (como .mdf/.ldf en SQL Server o el directorio pg_data en PostgreSQL) porque las bases de datos requieren acceso constante de lectura/escritura.

En su lugar, la inmutabilidad se aplica a:
1. Archivos de respaldo completos y diferenciales: Las instantáneas base de la base de datos.
2. Registros de transacciones / Archivos WAL: El flujo continuo de cambios en la base de datos necesarios para la Recuperación a un Punto en el Tiempo (PITR).

Destinos de almacenamiento para la inmutabilidad

Puede implementar almacenamiento inmutable en diferentes niveles de infraestructura:
* Almacenamiento de objetos en la nube: AWS S3 Object Lock, Azure Blob Immutable Storage, políticas de retención de Google Cloud Storage.
* Almacenamiento de objetos local: MinIO, Cloudian o Pure Storage FlashBlade que admitan API de S3 Object Lock.
* Almacenamiento de bloques/archivos: ZFS con instantáneas de solo lectura y administración delegada, o atributos de archivo de Linux.

Implementación de almacenamiento inmutable: Tutoriales técnicos

1. Almacenamiento de objetos en la nube: AWS S3 Object Lock

Para proteger los volcados de bases de datos y los registros de transacciones en AWS, debe habilitar Object Lock en el momento de la creación del bucket.

Primero, cree el bucket con Object Lock habilitado:

aws s3api create-bucket 
    --bucket prod-db-archive-immutable 
    --region us-east-1 
    --object-lock-enabled-for-bucket

A continuación, configure la política de retención predeterminada. Para los archivos de bases de datos, un bloqueo de cumplimiento de 30 días es una base estándar, lo que garantiza que tenga un mes de respaldos inalterables.

aws s3api put-object-lock-configuration 
    --bucket prod-db-archive-immutable 
    --object-lock-configuration '{
        "ObjectLockEnabled": "Enabled",
        "Rule": {
            "DefaultRetention": {
                "Mode": "COMPLIANCE",
                "Days": 30
            }
        }
    }'

Cuando su script o agente de respaldo de base de datos envía un archivo a este bucket, S3 calcula automáticamente la Retain Until Date (fecha de retención) basada en la marca de tiempo de creación del objeto más 30 días.

2. Inmutabilidad local: ZFS y atributos de Linux

Si está archivando bases de datos en un servidor de respaldo Linux local, puede lograr una pseudo-inmutabilidad usando el comando chattr, o una verdadera inmutabilidad usando instantáneas de ZFS.

Uso de chattr en Linux:
El indicador +i (inmutable) evita la modificación, eliminación o cambio de nombre de archivos.

# Volcar la base de datos
pg_dump -U postgres -Fc mydb > /backups/mydb_$(date +%F).dump

# Hacer que el respaldo sea inmutable
sudo chattr +i /backups/mydb_$(date +%F).dump

# Verificar el atributo
lsattr /backups/mydb_$(date +%F).dump
# Salida: ----i---------e------- /backups/mydb_2023-10-27.dump

Nota: Aunque chattr detiene los scripts de ransomware básicos, un atacante sofisticado con acceso root puede simplemente ejecutar chattr -i. Por lo tanto, esto debe combinarse con un RBAC estricto y redes de respaldo aisladas.

Uso de instantáneas de ZFS:
ZFS proporciona una defensa mucho más fuerte. Al tomar una instantánea y colocarle un “hold” (bloqueo), evita que la instantánea sea destruida.

# Tomar una instantánea del conjunto de datos de respaldo
zfs snapshot tank/db_backups@archive_$(date +%F)

# Colocar un bloqueo en la instantánea para evitar su eliminación
zfs hold keep_30_days tank/db_backups@archive_$(date +%F)

# Incluso root no puede destruir esta instantánea sin liberar el bloqueo
zfs destroy tank/db_backups@archive_$(date +%F)
# Salida: cannot destroy 'tank/db_backups@archive_...': dataset is busy

Estrategias de archivo específicas para bases de datos

Para lograr la Recuperación a un Punto en el Tiempo (PITR), debe archivar continuamente los registros de transacciones en su almacenamiento inmutable.

Archivo de WAL de PostgreSQL con pgBackRest

pgBackRest es una herramienta de respaldo altamente confiable para PostgreSQL que admite de forma nativa el almacenamiento compatible con S3. Para proteger sus registros de escritura anticipada (WAL), configure pgBackRest para que envíe los datos directamente a su bucket de S3 inmutable.

En su pgbackrest.conf:

[global]
repo1-type=s3
repo1-s3-bucket=prod-db-archive-immutable
repo1-s3-region=us-east-1
repo1-s3-endpoint=s3.amazonaws.com
repo1-s3-key=AKIAIOSFODNN7EXAMPLE
repo1-s3-key-secret=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

# Asegúrese de que la retención se alinee con su configuración de S3 Object Lock
repo1-retention-full=2
repo1-retention-archive=2

[prod_cluster]
pg1-path=/var/lib/postgresql/14/main

Consideración crucial: Si su bucket de S3 aplica un bloqueo de cumplimiento de 30 días, pero pgBackRest intenta expirar y eliminar archivos WAL después de 14 días según repo1-retention-archive, las llamadas a la API de eliminación fallarán. Debe asegurarse de que la política de retención de su software de respaldo sea mayor o igual al bloqueo inmutable a nivel de almacenamiento.

Microsoft SQL Server: Respaldo a URL

SQL Server admite respaldos nativos directamente al almacenamiento de objetos compatible con S3. Puede configurar un trabajo del Agente de SQL Server para escribir archivos .bak y .trn directamente en un bucket inmutable.

CREATE CREDENTIAL [s3://prod-db-archive-immutable.s3.us-east-1.amazonaws.com]
WITH IDENTITY = 'S3 Access Key',
SECRET = 'AccessKeyID:SecretAccessKey';
GO

BACKUP DATABASE [ProductionDB]
TO URL = 's3://prod-db-archive-immutable.s3.us-east-1.amazonaws.com/ProductionDB_Full.bak'
WITH FORMAT, COMPRESSION, STATS = 10;
GO

Automatización y orquestación con CloudSave

Gestionar indicadores de retención inmutables, rotar claves de acceso y garantizar la sincronización entre las políticas de retención de bases de datos y los bloqueos de almacenamiento mediante scripts personalizados es altamente propenso a errores. Una sola configuración incorrecta en un trabajo cron o una llamada a la API puede dejar sus archivos expuestos o provocar que los costos de almacenamiento en la nube se disparen debido a objetos bloqueados huérfanos.

Las plataformas de respaldo empresariales como CloudSave simplifican esta arquitectura. CloudSave se integra de forma nativa con AWS S3 Object Lock, Azure Blob Immutable Storage y API compatibles con S3 locales.

Al configurar un plan de respaldo de base de datos en CloudSave:
1. La plataforma maneja automáticamente la quiescencia de VSS (Volume Shadow Copy Service) para SQL Server o la API pg_start_backup() para PostgreSQL.
2. Transmite los datos de respaldo deduplicados y cifrados directamente al destino de almacenamiento.
3. CloudSave aplica dinámicamente las llamadas a la API WORM (por ejemplo, PutObjectRetention) por objeto, alineando perfectamente la duración del bloqueo de almacenamiento con el cronograma de retención definido por la política.
4. Si un atacante compromete la consola de administración de CloudSave, aún no podrá eliminar los respaldos, ya que el bloqueo de cumplimiento es aplicado por la infraestructura de almacenamiento subyacente, no por el software de respaldo.

Mejores prácticas para archivos de bases de datos inmutables

Para garantizar que su arquitectura inmutable sea verdaderamente resiliente, siga estas mejores prácticas de ingeniería de sistemas:

1. Sincronización NTP estricta

Los bloqueos inmutables están vinculados matemáticamente a marcas de tiempo. Si el servicio NTP (Protocolo de Tiempo de Red) en su matriz de almacenamiento o servidor de respaldo se ve comprometido o se desvía, puede causar que los bloqueos expiren prematuramente o que nunca expiren. Asegúrese de que su infraestructura de almacenamiento utilice fuentes NTP autenticadas y redundantes.

2. Aislar roles y credenciales IAM

Las credenciales utilizadas para escribir en el bucket inmutable solo deben tener permisos s3:PutObject y s3:PutObjectRetention. Nunca deben tener permisos s3:DeleteObject o s3:PutBucketObjectLockConfiguration.

Ejemplo de una política IAM de privilegios mínimos para un agente de respaldo de base de datos:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::prod-db-archive-immutable",
                "arn:aws:s3:::prod-db-archive-immutable/*"
            ]
        }
    ]
}

3. Dimensionamiento del período de retención

No establezca bloqueos de cumplimiento por períodos excesivamente largos (por ejemplo, 7 años por cumplimiento) en su nivel principal de recuperación rápida. Las bases de datos generan cantidades masivas de datos de registro de transacciones/WAL. Bloquear estos datos durante años resultará en un crecimiento exponencial de los costos de almacenamiento.
En su lugar, utilice un enfoque escalonado:
* Nivel de recuperación operativa: 14 a 30 días de retención inmutable para respaldos completos y registros.
* Nivel de archivo a largo plazo: Respaldos completos mensuales movidos a Glacier/Deep Archive con Vault Lock durante 1 a 7 años.

4. Pruebas de recuperación regulares en VPC aisladas (Air-Gapped)

La inmutabilidad garantiza que los datos no puedan ser eliminados, pero no garantiza que los datos estén libres de corrupción lógica. Debe automatizar la restauración de sus archivos de bases de datos inmutables en una VPC o VLAN aislada. Ejecute DBCC CHECKDB (SQL Server) o pg_amcheck (PostgreSQL) en los datos restaurados para verificar la integridad estructural.

Conclusión

La defensa contra ransomware es un ejercicio de asumir una brecha. Para cuando se dispara una alerta en su SIEM, es probable que los actores de amenazas ya hayan intentado comprometer su infraestructura de respaldo. Al diseñar sus archivos de bases de datos utilizando almacenamiento inmutable en modo de cumplimiento, usted despoja a los atacantes de su principal ventaja. Ya sea que utilice API nativas de la nube, bloqueos de ZFS o una plataforma de orquestación empresarial como CloudSave, implementar almacenamiento WORM ya no es opcional: es un pilar obligatorio de la administración moderna de bases de datos y la recuperación ante desastres.

Categorías