💾 Immutable Backups: Difesa contro i Ransomware

Target: Garantire che i backup non possano essere modificati, cifrati o eliminati da alcun utente o malware per un periodo di tempo predefinito.

::: info Un Backup Immutabile è una copia dei dati che non può essere alterata in alcun modo dopo la sua creazione. Anche se un attaccante ottenesse i privilegi di amministratore sul tuo PC o sul tuo server Proxmox, non potrebbe cancellare i backup protetti sul NAS. :::

1. La Nuova Regola: 3-2-1-1-0

L’evoluzione della classica regola del backup per l’era della Cybersecurity:

• 3 copie dei dati.
• 2 supporti diversi (es. SSD e NAS).
• 1 copia off-site (Cloud o secondo NAS remoto).
• 1 copia Immutabile (Offline o con protezione Object Lock).
• 0 errori verificati (tramite test periodici di ripristino).

2. Tecnologie di Immutabilità

A. Snapshot con “Immutability” (NAS Synology/QNAP)

Sfruttando il file system Btrfs (Synology) o ZFS (QNAP/Proxmox), è possibile creare snapshot che non possono essere eliminati nemmeno dall’utente admin per un numero X di giorni.

• Azione: Configura lo Snapshot Replication impostando il flag di immutabilità.
• Vantaggio: Anche se un ransomware entra nel NAS tramite una falla del firmware, non può cancellare gli snapshot protetti.

B. S3 Object Lock

Se effettui backup su cloud (es. AWS S3, Backblaze, Wasabi), utilizza la funzione Object Lock in modalità “Compliance”.

• Compliance Mode: Nessuno, incluso l’account root del cloud, può eliminare i dati fino alla scadenza del timer.

C. Air-Gapping (Offline Backup)

La forma definitiva di immutabilità è l’assenza di connessione fisica.

• Rotazione Dischi: Utilizzare un disco USB collegato solo durante il backup e scollegato fisicamente subito dopo.

📉 Workflow: Protezione del Dato (Mermaid)

graph TD
    SRV[Server Proxmox / PC] -->|1. Backup Giornaliero| NAS[NAS: Share Standard]
    NAS -->|2. Snapshot Immutabile| BTRFS[Volume Btrfs/ZFS: LOCK]
    NAS -->|3. Sync Cifrato| CLOUD[Cloud S3: Object Lock]
    
    subgraph Ransomware_Attack
        MAL[Malware] --X|Tentativo Cifratura| BTRFS
        MAL --X|Tentativo Eliminazione| CLOUD
    end
    
    style BTRFS fill:#f96,stroke:#333,stroke-width:2px
    style CLOUD fill:#f96,stroke:#333,stroke-width:2px
    style MAL fill:#f66,color:#fff

🛠️ Implementazione Pratica (SOP)

1. Configurazione NAS:
   • Abilita il file system Btrfs sui volumi.
   • Crea una cartella condivisa dedicata ai backup con Snapshot periodici.
   • Attiva la protezione contro l’eliminazione accidentale e imposta il periodo di ritenzione (es. 14 giorni).
2. Pull-based Backup (Sicurezza Architetturale):
   • Regola: Non permettere al PC di “spingere” (Push) i backup sul NAS via SMB (troppo rischioso).
   • Soluzione: È il NAS che deve “tirare” (Pull) i dati dal PC/Server tramite SSH o agent dedicati (es. Active Backup for Business). Se il PC è infetto, il NAS legge solo i file e non espone le proprie API di eliminazione.
3. Monitoraggio Integrità:
   • Esegui uno “Scrubs” del filesystem mensile per prevenire il bit rot.
   • Configura notifiche via Telegram/Email per ogni fallimento del job di backup.

💡 Note dell’Architetto (Critical Thinking)

• L’illusione del RAID: Ricorda sempre che il RAID (Mirroring) non è un backup. Se un ransomware cifra un file, il RAID scriverà istantaneamente la versione cifrata su tutti i dischi. Solo lo snapshot o il backup versionato ti salva.
• Test di Ripristino: Un backup non testato è solo “speranza”. Una volta al trimestre, prova a ripristinare una intera VM Proxmox partendo dal backup sul NAS. Misura il tempo necessario: questo è il tuo RTO (Recovery Time Objective).
• Credenziali Separate: Il NAS deve avere un utente dedicato al backup con password diversa da quella del tuo account Windows e del tuo Proxmox.

Tags: #CyberSecurity #Backup #Ransomware #DataProtection #Synology #QNAP #ZFS*