Primero, veamos qué necesitamos para implementar una estrategia de copias de seguridad con Airgap+, ya sea en la modalidad estándar como la avanzada.
| | Airgap+ estándar | Airgap+ avanzado |
|---|
| Router QNAP | - Un router Airgap+ (QHora-321 o QHora-322)
- El router debe tener instalado QuRouter 2.4.2 o una versión posterior
|
| Sistema operativo de NAS de QNAP | QTS, QuTS hero |
| Aplicación NAS de QNAP | HBS 3 (Hybrid Backup Sync) versión 25 o una versión posterior |
| Dispositivos NAS de QNAP | Al menos dos dispositivos NAS: - Un NAS de origen en el que se ejecuten los trabajos de HBS
- Un NAS de copia de seguridad
| Al menos tres dispositivos NAS: - Un NAS de origen
- Un NAS de copia de seguridad
- Un NAS puente en el que se ejecuten los trabajos de HBS
|
- Los dispositivos NAS se encuentran en una red privada conectada a través del router Airgap+.
- El NAS de origen también está conectado a una red pública y es el dispositivo principal en el que se ejecutan los servicios.
|
| Restricción de Airgap | El router solo permite conexiones en las siguientes situaciones: |
| El NAS de origen transfiere datos al NAS de copia de seguridad a través de HBS. | El NAS puente transfiere datos del NAS de origen al NAS de copia de seguridad a través de HBS. |
| Ventajas | - Menos equipamiento
- Menos pasos de configuración
| - Capa adicional de aislamiento para el NAS de copia de seguridad
- Conserva los recursos del sistema en el NAS de origen para otras tareas y servicios importantes
|
Nosotros nos centraremos en la puesta a punto de una configuración estándar, con dos NAS QNAP y el router QHora-321. El modelo QHora-322 cuenta con mejores prestaciones y está pensado para organizaciones de más entidad. Nuestro caso de uso es apropiado especialmente para PYMES y departamentos.
El primer paso será configurar el router QHora para que permita la operación con Airgap+ en las copias de seguridad. QNAP ha conseguido que el router “hable” con el NAS encargado de lanzar los trabajos de copia de seguridad, de modo que si activamos esta opción en HBS 3, el router se encargará de configurar la red para que el aislamiento del NAS donde esté la copia de seguridad sea efectivo y a prueba de ciberataques.
Habrá que conectar el router de origen y el de backup a sendas tomas RJ-45 del router QHora como primer paso. Se recomienda asignar una dirección IP estática para el NAS donde se guardará la copia de seguridad para evitar que cambios en la dirección IP afecten al funcionamiento de Airgap+.
Lo que sí es mandatorio, es habilitar la conexión TLS mutua en el router. Esto lo hacemos en Sistema -> Control de acceso ->Configuración del control de acceso, donde habilitamos TLS mutuo o mTLS.
Después, nos centraremos en configurar el NAS donde se guardará la copia de seguridad. Para ello, habilitaremos el servidor RTRR. Esto se hace en HBS 3, dentro de Servicios -> NAS remoto (servidor RTRR), o habilitamos y configuramos las credenciales de acceso, ya sea con una contraseña específica o con las credenciales de acceso del NAS local. También tenemos que configurar el puerto. Lo demás lo dejamos por defecto.
El siguiente paso, será el de configurar un trabajo de copia de seguridad en el NAS de origen, desde HBS 3. Para ello, iremos a Copia de Seguridad y restauración -> Crear -> Nuevo trabajo de copia de seguridad.
Se abrirá un asistente para hacer los ajustes necesarios para completar el proceso. Se nos pedirá que elijamos una o varias carpetas de origen en el NAS local.
Después se nos pedirá que elijamos un NAS remoto para realizar la copia de seguridad. Usamos la IP del NAS de destino, así como el puerto que hubiéramos elegido en la activación de RTRR, activando la opción de Cuenta de servidor de RTRR. Se pide también la contraseña que hubiéramos definido a tal efecto en la configuración de RTRR.
Aquí seleccionamos la opción Utilice Airgap+ para proteger los datos del NAS remoto, para lo cual se nos pide la dirección IP de router QHora, así como las credenciales de acceso. Podemos realizar una prueba de velocidad si lo creemos conveniente.
Ahora se pedirá que elijamos una carpeta de destino en el NAS remoto. Podemos seleccionarla o crearla. Nosotros hemos creado una llamada Copia de seguridad en el directorio Public. Después de mostrará un resumen con la configuración del trabajo de copia de seguridad.
Después podremos configurar apartados relacionados con la programación del trabajo o lanzar la copia de seguridad de forma manual. También es posible definir filtros para determinar qué archivos se van a salvaguardar o no. .
Podemos cifrar las copias de seguridad si así lo deseamos. En todo momento tenemos acceso al estado de la copia de respaldo. Además, hemos comprobado que el NAS “airgapeado”, deja de estar accesible desde web o desde las carpetas compartidas que pudiéramos haber configurado.
El NAS aparece con la etiqueta “Airgap+” en la interfaz de configuración del router QHora, como debe ser. Es decir, perferemos la funcionalidad convencional del NAS, por lo que habrá que dimensionarlo adecuadamente para la tarea de guardar copias de seguridad.
En definitiva, QNAP está a la altura de lo que propugna acerca de Airgap+. Es una solución de seguridad conveniente para un amplio rango de negocios, desde PYMES hasta grandes organizaciones con departamentos que precisen de soluciones de copia de seguridad blindadas frente a ciberataques en general y el ransomware en particular.
Una de las ventajas de Airgap+ frente a otras soluciones es la rapidez con la que se hacen las copias de respaldo. La velocidad de restauración también será elevada gracias a las interfaces de red 2.5GbE o incluso 10 GbE que encontramos en los router QHora (el 322) y en los NAS, dependiendo del modelo concreto que usemos.
