La seguridad de los datos empresariales es una prioridad cuando se trata de velar por la continuidad de negocio. Los ciberataques son una fuente de problemas que aumenta de año a año. Según registros de NTT Data, los ciberataques a empresas duplicarán las cifras registradas en 2023. Ataques como los de tipo ransomware, sin ir más lejos, pueden suponer tener que dejar de prestar servicios o paralizar la actividad de una empresa durante horas o incluso días.
Según el informe "2023 Data Protection Trends Report" de Veeam, el 85 % de las 4200 organizaciones encuestadas han sufrido al menos un ataque de ransomware en 2022. Además, el 39 % de sus datos de producción habían sido cifrados o destruidos durante dichos ataques. Como puedes ver, el ransomware es uno de los ataques más dañinos para las organizaciones.
Pie: QNAP Airgap+ permite aislar las copias de seguridad de nuestros datos del tráfico de red sin perder ventajas como la velocidad de transferencia o la escalabilidad frente a otras tecnologías como el almacenamiento en cinta u otros soportes físicos.
No hay que caer en un alarmismo obsesivo, aunque nunca está de más diseñar estrategias que mitiguen lo más posible los efectos de un potencial ciberataque. Especialmente, cuando las empresas gestionan parte o la totalidad de sus propios datos y aplicaciones en sus redes corporativas.
Precisamente, Airgap+ es una de las propuestas de QNAP para maximizar la seguridad de nuestros datos en los tiempos de los ciberataques. El nombre de esta solución responde a lo que hace: aislar a un NAS dentro de la red local, de modo que solo pueda ser conectado por otro NAS en el que están los datos de los cuales queremos hacer una copia de seguridad, cuando se está realizando la mencionada copia de seguridad.
En cierto modo, QNAP consigue recrear una infraestructura de “cold storage” o almacenamiento en frío sin conexión. Es decir, un tipo de almacenamiento desconectado de la red, en el que hay que cargar las copias de seguridad manualmente a través de soportes físicos. La diferencia, es que, en este caso, el NAS donde se guardan las copias de seguridad no está físicamente desconectado de la red, pero sí lógicamente.
Con esta tecnología. QNAP permite incluso implementar estrategias 3-2-2-1-0 en la que se parte de tres copias de seguridad de los datos, al tiempo que una de ellas está aislada completamente en la red haciendo imposible cualquier posible modificación que no sea a través de HBS 3.
Pie: Hay dos modalidades de implementación de Airgap+, la estándar y la avanzada. En la estándar necesitamos un router de backup, mientras que en la avanzada necesitamos dos NAS, además de aquel que esté almacenando datos, montando servicios o aplicaciones a la red corporativa o a Internet.
En realidad, el “airgapping” es una estrategia de seguridad que ya se ha empleado en el pasado, con la circunstancia de no haber proliferado la modalidad de “cámara de aire” lógica, debido a la complejidad tecnológica que implicaba configurar los dispositivos de la red local para implementar tal aislamiento lógico.
Lo que ha hecho QNAP con Airgap+, es simplificar dicha complejidad, aglutinando toda la configuración de la red necesaria para ello bajo un único parámetro en la puesta a punto de los routers QHora compatibles con esta funcionalidad.
Cómo funciona Airgap+
QNAP ha diseñado el funcionamiento de Airgap+ a partir del uso combinado de un router de la familia QHora y una NAS QNAP con la aplicación HBS 3 (Hybrid Backup Sync) instalada. Concretamente, la compatibilidad de esta funcionalidad la tenemos con los routers QHora-321 y QHora-322 con los sistemas operativos QuRouter v2.4.2 (o versiones posteriores), a través de Hybrid Backup Sync (HBS 3) v25 y versiones posteriores.
Nosotros hemos trabajado con un router QNAP QHora-321, junto con un NAS TS-453Pro en el que están los datos que queremos salvaguardar y un NAS TS-432X que es el router “airgapeado” donde dejaremos la copia de respaldo aislada de la red lógicamente.
Pie: QNAP ha conseguido simplificar la configuración de las copias de seguridad aisladas de posibles ciberataques, especialmente los de ransomware, a través de sus dispositivos QHora y sus NAS.
El router QHora está configurado de modo que, en la configuración del Sistema, en el apartado de Control de acceso, está activada la opción TLS mutuo (mTLS) que garantiza el cifrado y la autenticación mediante certificados. De este modo, se puede establecer la conexión entre los NAS de un modo infranqueable para los potenciales ciberdelincuentes que hayan ganado acceso a nuestra red.
Esta es la opción obligatoria que tenemos que activar para activar Airgap+ en muestra red. Después, podremos activar Airgap+ en la configuración de la copia de seguridad en HBS 3, que es la opción que pondrá en marcha todo el proceso de configuración del NAS de destino para que quede aislado de la red local en todo momento, menos para la realización de las copias de seguridad que lancemos desde HBS 3 en el NAS de origen.
Pie: QNAP Airgap+ en su modalidad avanzada, precisa de dos NAS, pero libera al router en producción de la carga de trabajo asociada a la copia de seguridad. El NAS puente está sincronizado con el de producción, siendo este NAS puente el que lanza la copia de seguridad contra el NAS "airgapeado".
Hay un modo avanzado para Airgap+ en el que intervienen dos NAS. En este caso, se usa un NAS puente, de modo que tenemos una primera copia de seguridad hacia el NAS puente, para después realizar la copia desde el NAS puente hacia el NAS de destino final de la copia de seguridad. Por lo pronto, esta configuración no será necesaria, salvo que tengamos datos extremadamente críticos o estemos expuestos a amenazas de seguridad de un modo importante.
En el siguiente apartado, veremos cómo se lleva a cabo una copia de seguridad con Airgap+ de un modo eminentemente práctico con un escenario real montado con un router QHora y dos NAS QNAP.
Página oficial del servicio: QNAP Airgap+.
