NAKIVO > Blog > Multiplatform

Cómo habilitar el cifrado de backups con NAKIVO: una guía completa

Publicado: noviembre 11, 2024

Escrito por: Equipo NAKIVO

El cifrado se utiliza ampliamente con fines de seguridad porque impide que terceros no autorizados accedan a datos privados y los difundan. Los backups no son una excepción y a menudo son el destino de las filtraciones de datos. Como parte de una estrategia de protección de datos, puede implementar el cifrado como una capa adicional de seguridad para sus backups.

En esta entrada del blog, explicamos cómo el cifrado de los backups puede ayudarle a proteger los datos en caso de ciberataques y a mejorar el nivel general de protección de datos para conseguir una infraestructura de backups más segura.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

¿Qué es el cifrado de los backups?

El cifrado de los backups es el proceso de convertir los datos de backup de un formato legible a un formato seguro que es ilegible sin una clave de descifrado o contraseña especial. Esto garantiza que, aunque personas no autorizadas accedan a los datos de backups, no puedan ser leídos, utilizados o expuestos sin las credenciales adecuadas, que sólo están disponibles para los usuarios autorizados. El cifrado de los backups es una medida de seguridad clave para proteger la información confidencial de robos, pérdidas o exposición durante su almacenamiento y transferencia.

Un ejemplo de cifrado es la conversión de un texto plano legible para todo el mundo en datos cifrados (texto cifrado en este caso), que son ilegibles si se abren de la forma habitual sin un cifrado. Como resultado, después de convertir los datos originales utilizando un código secreto, el verdadero significado de estos datos queda distorsionado y no es comprensible sin una clave de descifrado.

Importancia de cifrar los backups

El cifrado de los backups es importante para evitar el robo de datos y las filtraciones por parte de terceros no autorizados. Los ciberdelincuentes pueden robar sus datos y venderlos a la competencia o publicar los datos robados en Internet para causar más daño a su organización. Puede acarrear importantes pérdidas financieras y de reputación.

Los virus modernos, el spyware y el ransomware son herramientas populares utilizadas por los malos actores para poner en práctica sus malas intenciones, y sus ataques se han vuelto más sofisticados y frecuentes. Además de los fines de protección de datos para evitar accesos no autorizados, también hay otros motivos por los que es importante hacer backup cifrado. Entre ellas figuran:

  • Cumplimiento y normativa. Algunas categorías de empresas deben cumplir determinados requisitos normativos, como el Reglamento General de Protección de Datos (RGPD) de la UE, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley de Informes para Infraestructuras Críticas (CIRCIA), SOC 3 (Controles de Sistemas y Organización 3), etc. Estas normas reglamentarias imponen a las organizaciones el cifrado de los datos durante su almacenamiento y transferencia.
  • Mejora de la seguridad general. Los backups cifrados añaden una capa a la seguridad y mejoran la estrategia de protección de datos. Almacenar los backups en un formato cifrado hace que sea más seguro transportar los datos de backup en soportes de almacenamiento extraíbles, como discos duros, a otra ubicación (por ejemplo, un sitio de recuperación ante desastres situado en otra región geográfica). Si se pierde o roban un soporte portátil con backups cifrados, un tercero no podrá acceder a datos críticos y confidenciales.

Backups cifrados contra ransomware

Los backups se utilizan para proteger los datos creando al menos una copia adicional de los datos originales para permitir una rápida recuperación cuando sea necesario. Por lo tanto, si la copia original de los datos está dañada o eliminada por el ransomware, puede recuperar los datos de una copia de seguridad. Los atacantes conocen esta estrategia e intentan acceder a los backups de datos para destruirlos y hacer imposible su recuperación. Antes de corromper o destruir las copias de seguridad, los ciberatacantes pueden copiar los backups en sus servidores para extraer sus datos de las copias de seguridad robadas.

Si los backups se almacenan como archivos cifrados, este método no ayuda a proteger estos archivos de ser corrompidos o eliminados por el ransomware. El ransomware suele utilizar algoritmos de cifrado potentes para cifrar los datos y, de este modo, hacerlos ilegibles o, en otras palabras, corromperlos. El ransomware puede volver a cifrar los archivos de backups previamente cifrados por usted o por su aplicación de backups para hacerlos inaccesibles para usted.

Al mismo tiempo, si el ransomware envía sus archivos de backup cifrados a los iniciadores del ataque, los atacantes no podrán acceder a sus datos si se utilizan algoritmos de cifrado potentes y las claves, contraseñas y credenciales se guardan en un lugar seguro. A los atacantes les gusta pedir rescates para no publicar los datos robados, pero si usted cifra sus backups y los datos de las copias de seguridad no son accesibles para los atacantes, los datos de backup cifrados robados son inútiles para ellos. Los backups cifrados son más resistentes a la manipulación.

El cifrado de hardware puede ser más eficaz en algunos casos cuando se trata de ataques de ransomware, pero este enfoque tiene sus propias desventajas. Los módulos de seguridad por hardware (HSM) pueden utilizarse para el cifrado por hardware. Puede ser una tarjeta PCIe y las claves de cifrado pueden almacenarse en un dispositivo USB especial (visualmente similar a una memoria USB). Las tarjetas inteligentes o las claves HASP son otros ejemplos de almacenamiento de claves de hardware para cifrado/descifrado. De estos dispositivos es más difícil extraer las claves. En este caso, deben instalarse los controladores adecuados en un ordenador.

Utilice almacenamiento aislado de la red para proteger sus backups contra el ransomware. Este tipo de almacenamiento impide la modificación de datos por ransomware. El ransomware no puede copiar datos de un almacenamiento aislado de la red que esté físicamente desconectado del ordenador y de la red. Utilizar almacenamiento inmutable o almacenamiento con capacidad para hacer backups inmutables, cuya finalidad es similar a la del almacenamiento aislado de la red para la protección de backups.

Cifrado en reposo y en tránsito

Los backups se pueden cifrar mientras se escriben en el medio de almacenamiento de destino. Como los datos de los que se hace backup suelen transferirse por la red antes de escribirse en el almacenamiento de destino, es importante cifrar el tráfico de red con estos datos. Los actores malintencionados pueden utilizar un sniffer de tráfico para interceptar (capturar) el tráfico de red y acceder así a los datos de backups. Cifrar los datos en tránsito reduce el riesgo de que se produzca un suceso de este tipo. El cifrado en tránsito se realiza entre el origen de los datos y el almacenamiento de destino de los backups.

El cifrado en reposo implica cifrar los datos de backups en el almacenamiento de backups, como un repositorio de backups en unidades de disco duro, cartuchos de cintas, la nube, etc. Mientras que el cifrado de los datos de backup en tránsito protege estos datos si los hackers acceden a una red, el cifrado de los backups en reposo los protege si los hackers acceden al almacenamiento de backups.

Tanto el cifrado en tránsito como el cifrado en reposo pueden utilizarse conjuntamente para hacer backups cifrados y aumentar el nivel de seguridad.

Algoritmos de cifrado

Para cifrar los datos se utilizan complejos algoritmos matemáticos y claves de cifrado y descifrado. Para mayor comodidad, el software puede transformar una contraseña o frase de contraseña en una clave de cifrado de la longitud adecuada. Este método permite a los usuarios memorizar sus contraseñas, lo que resulta más fácil que aprender largas claves de cifrado. La eficacia del cifrado para los backups, al igual que para otros datos, depende del algoritmo de cifrado.

Existen algoritmos de cifrado simétricos y asimétricos. En los algoritmos simétricos, se utiliza una sola clave para cifrar y descifrar datos. En los algoritmos asimétricos, se utiliza un par de claves: una clave pública para cifrar los datos y una clave privada para descifrarlos.

Ejemplos de ambos son:

  • Los algoritmos criptográficos simétricos son AES, DES, 3DES, Blowfish, Twofish y otros.
  • Los algoritmos criptográficos asimétricos son RSA (1024, 2048 y 4096 bits), ECC, DSA, Diffie-Hellman y otros.

Advanced Cifrado Standard (AES) es uno de los algoritmos de cifrado más utilizados en la actualidad por su alto nivel de seguridad. La longitud de la clave es importante y define durante cuánto tiempo los datos cifrados pueden considerarse seguros y protegidos. Una clave de 128 bits debería bastar para proteger los datos hasta tres años. Las claves más largas compatibles son las de 192 y 256 bits.

AES-256 garantiza el máximo nivel de seguridad con una longitud de clave de 256 bits. Se necesitan miles de años para forzar una clave de descifrado AES-256 (teniendo en cuenta el rendimiento máximo de los ordenadores modernos). El gobierno estadounidense lleva utilizando AES para proteger datos desde 2003. Este algoritmo criptográfico fue bien probado y aprobado por expertos en criptografía.

Las transacciones en red que utilizan Secure Sockets Layer/Transport Layer Security (SSL/TLS) se cifran en tránsito. El ejemplo más común es el protocolo HTTPS. Se debe utilizar TLS 1.1 o superior para un cifrado seguro.

Las claves criptográficas más largas garantizan un mayor nivel de seguridad, pero requieren más recursos de CPU para el cifrado de los datos. También se tarda más tiempo en recuperar los datos de los backups cifrados. Cuando se trata de cifrar datos durante transferencias a través de la red, con una clave de cifrado más larga la velocidad de transferencia de datos útiles también es menor. Esto se debe a:

  • En ocasiones, los datos cifrados pueden ser ligeramente mayores debido al relleno añadido para garantizar que los datos se ajustan al tamaño de bloque del algoritmo de cifrado.
  • Las conexiones cifradas suelen incluir metadatos y cabeceras adicionales para gestionar el proceso de cifrado. Esto incluye elementos como certificados, claves de cifrado e información de handshaking.
  • Estos bytes adicionales de metadatos contribuyen a una mayor carga útil de datos, lo que aumenta ligeramente la cantidad de datos que hay que transmitir.
  • El aumento del tamaño de los datos puede reducir el rendimiento efectivo de la red, ya que se transmiten más datos para la misma cantidad de información original.

Los algoritmos de cifrado pueden clasificarse en función del tipo de entrada como cifrado de flujo y cifrado de bloque para algoritmos simétricos. En los cifradores de flujo, se cifra un bloque cada vez. Los cifradores de bloques son un tipo de algoritmo de cifrado de clave simétrica que:

  • Un cifrado por bloques cifra los datos en bloques de tamaño fijo (por ejemplo, bloques de 64 o 128 bits).
  • Un cifrado por bloques utiliza una clave simétrica, lo que significa que se utiliza la misma clave tanto para cifrar como para descifrar.
  • Los algoritmos de cifrado por bloques más comunes son AES, DES y Blowfish.

Cifrado frente a hash

Una función hash es una función irreversible que puede transformar una cadena de texto u otro conjunto de datos en un hash. El hash calculado puede utilizarse para comprobar la integridad de los datos (archivos) y la autenticidad (hashes de contraseñas), o generar identificadores únicos (huellas digitales). Ejemplos de funciones hash son SHA-256 y MD5.

Riesgos asociados a los backups cifrados

Los backups cifrados añaden más complejidad y sobrecarga a un subsistema de backup. La pérdida de una clave o contraseña puede causar graves problemas, ya que será imposible recuperar los datos de un backups cifrado. Si una tercera persona o atacantes acceden a las claves de cifrado, pueden producirse robos y pérdidas de datos. Por estos motivos, las organizaciones deben utilizar una estrategia fiable para almacenar las claves de cifrado de los backups cifrados y gestionar estas claves, los esquemas de rotación de claves y las políticas de seguridad para proporcionar claves sólo a los usuarios autorizados.

También existen riesgos relacionados con hacer backups cifrando los cartuchos de cinta. Las cintas estándar LTO-4 a LTO-7 son compatibles con el cifrado AES-256 de los soportes de cinta. Una clave simétrica de cifrado/descifrado se almacena en una unidad de cinta cuando esta unidad escribe datos en cinta, pero no más que eso. Estas claves no se graban en cinta por motivos de seguridad. Si una catástrofe daña el centro de datos y se destruyen los servidores de backups, pueden surgir problemas de recuperación de datos porque las claves de descifrado se destruyen con ellos.

Para reducir los riesgos, se recomienda hacer backups de prueba con regularidad para asegurarse de que los datos se pueden recuperar a partir de backups cifrados en diferentes escenarios.

Cuando se utiliza el cifrado a nivel de la unidad de disco duro o el cifrado completo del disco, en caso de fallo del disco duro, puede que no sea posible la recuperación de datos en un laboratorio. Las copias de backups ayudan a reducir el riesgo de almacenar backups en un HDD o SSD cifrado.

Gestión de claves

Utilizar una sola clave para cifrar todos los datos supone un riesgo. Si un atacante consigue esta clave, podrá descifrar y acceder a todos los datos. Para lograr un alto nivel de seguridad, se recomienda que las organizaciones utilicen varias claves de cifrado para distintos conjuntos de datos. Estas claves deben guardarse en un lugar seguro al que sólo tengan acceso los usuarios autorizados que dispongan de permisos. Los administradores tienen que proteger las claves y asegurarse de que estén disponibles en caso de catástrofe.

Para mejorar el proceso de gestión de claves durante todo el ciclo de vida de las claves de cifrado/descifrado y protegerlas de pérdidas y fugas, puede implantarse un sistema de gestión de claves o KMS. El KMS puede utilizarse para controlar quién puede acceder a las claves y cómo se asignan y rotan. Uno de los estándares de gestión de claves es el Protocolo de Interoperabilidad de Gestión de Claves (KMIP). Las cámaras acorazadas de claves pueden utilizarse para almacenar y gestionar claves de cifrado.

Preparación para el cifrado de los backups en NAKIVO Backup & Replication

NAKIVO Backup & Replication es una solución de protección de datos que admite backups cifrados y puede cifrar los datos de las copias de seguridad mediante los siguientes métodos:

  • Cifrado del lado del origen para cifrar los datos antes de que salgan del origen, mientras se transfieren y durante todo su ciclo de vida en el repositorio de backups.
  • Cifrado de la red para cifrar los datos mientras están en tránsito por la red hacia el repositorio de backups.
  • Cifrado de los repositorios de backups para cifrar los datos mientras están en reposo en el almacenamiento.

La solución NAKIVO utiliza un potente cifrado AES-256 que se considera la norma del sector para cifrar datos en todo el mundo.

El cifrado de los backups en origen está disponible a partir de la versión 11.0. La ventaja de esta función es que los datos de los backups se cifran primero en el lugar de origen y, a continuación, estos datos cifrados se transfieren a un repositorio de backups y se almacenan en el repositorio de backups de forma cifrada. Este enfoque simplifica los procesos de configuración y backups y puede utilizarse también para hacer backups en la nube.

Requisitos del sistema

Requisitos para el cifrado del lado del origen

En la versión 11.0 de NAKIVO Backup & Replication, se introdujo una nueva opción que permite configurar el cifrado de los backups a nivel del job de backup. Los datos se cifran en el origen y permanecen cifrados en la red y almacenados en el repositorio de backups.

Tipos de destino de backups compatibles:

  • Carpetas locales
  • Recursos compartidos NFS y SMB
  • Amazon EC2
  • Almacenamiento de objetos de Amazon S3 y compatible con S3
  • Wasabi
  • Appliance de desduplicación
  • Almacenamiento Azure Blob Storage
  • Backblaze B2
  • Cinta

Tipo de repositorio de backups compatible: Incremental con

completa Requisitos para el cifrado de la red

Se necesitan dos transportadores para configurar el cifrado de la red para las versiones 10.11.2 y anteriores. Un Transportador es un componente central de NAKIVO Backup & Replication responsable del procesamiento, transferencia, cifrado, compresión, etc. de los datos.

El cifrado para transferir datos a través de la red tiene lugar entre los dos Transportadores: el Transportador del lado de origen comprime y cifra los datos antes de enviarlos al Transportador de destino, y el Transportador de destino descifra los datos y los escribe en un repositorio de backups.

Requisitos para el cifrado de repositorios de backups

El cifrado de backups en almacenamiento en el destino está disponible a nivel de repositorio de backups cuando se crea un repositorio de backups en NAKIVO Backup & Replication.

El cifrado de los repositorios de backups es compatible con los tipos de repositorios de backups incrementales con full y forever incremental en Linux OS.

Cómo activar el cifrado de los backups

Exploremos cómo activar diferentes tipos de cifrado de los backups en la solución de protección de datos NAKIVO.

Cifrado de los backups en origen (a partir de la versión 11.0)

En NAKIVO Backup & Replication v11.0, puede configurar el cifrado de los backups en el origen para transferir y almacenar los datos de forma segura. Puede configurar estas opciones en el paso Opciones del asistente para hacer backup o job de copia de backups.

Cifrado de los backups en el origen significa que los datos se cifran antes de ser enviados al repositorio, es decir, en el origen.

Para activar el cifrado de los backups del lado del origen en el nivel de job de backups en v11.0, haga lo siguiente:

  1. En el menú desplegable Cifrado de los backups, seleccione Activado.
  2. Haga clic en Ajustes en la línea Cifrado de los backups para establecer la contraseña de cifrado.

    Activación del cifrado de los backups en la solución NAKIVO v11

  3. Seleccione Crear contraseña, introduzca una contraseña y confírmela.

    Introduzca una descripción para esta contraseña. El nombre introducido en la descripción se mostrará en la lista de contraseñas que podrá seleccionar posteriormente para los distintos jobs de backups. Utilizamos Backup de Hyper-V como Nombre para la contraseña.

    Si no utiliza AWS KMS, verá el mensaje: El servicio de gestión de claves está deshabilitado. Consulte la pestaña Cifrado. Si ha configurado y habilitado AWS KMS, esta advertencia no se mostrará. Tenga en cuenta que para configurar KMS para gestionar sus contraseñas, primero debe añadir su cuenta de AWS al inventario de NAKIVO Backup & Replication.

    Haga clic en Continuar.

    Introducir una contraseña para el backup actual

  4. La contraseña introducida se aplica automáticamente.

    También puede seleccionar una contraseña existente.

    Seleccionar la contraseña introducida para cifrar el backup actual

  5. Haga clic en Finalizar para guardar los ajustes del job o haga clic en Finalizar & Ejecutar para guardar los ajustes y ejecutar el job con el cifrado de backups configurado.

    Los ajustes de cifrado de los backups se configuran para un job de backups en v11.

  6. Al aplicar los ajustes del job, verás un aviso de que la copia de seguridad está protegida por contraseña y, si la pierdes, será imposible descifrar los datos. Esta advertencia aparece si no ha habilitado el servicio de gestión de claves de AWS. Haga clic en Continuar.

    Un mensaje de advertencia para no perder la contraseña

Puede utilizar el servicio de gestión de claves de AWS para asegurarse de que no pierde las contraseñas de cifrado que estableció para los backups. Para utilizar AWS KMS, en la interfaz web de NAKIVO Backup & Replication, vaya a Ajustes > General > Ajustes del sistema, seleccione la pestaña Cifrado y marque la casilla Utilizar el servicio de gestión de claves de AWS. Recuerde que debe añadir primero la cuenta de AWS al inventario de NAKIVO Backup & Replication para habilitar AWS KMS.

Ajustes de gestión de claves AWS en la solución NAKIVO

Configuración del cifrado de la red para los backups

Podemos mejorar el nivel de seguridad y configurar el cifrado de los datos de backup mientras se transfieren por la red. Uno de los principales requisitos de las versiones anteriores a la v10.11 para que esta función funcione es que dos Transportadores deben estar instalados en máquinas diferentes.

Podemos añadir un host Hyper-V al inventario y hacer backups de una máquina virtual Hyper-V utilizando cifrado de la red a un almacenamiento de backups cifrado. Cuando añadimos un host Hyper-V al inventario NAKIVO desde la interfaz web de la solución NAKIVO, se instala un Transportador en el host Hyper-V.

Esta configuración se visualiza en la siguiente captura de pantalla.

Cifrado de los backups en vuelo

Ahora, podemos configurar el cifrado de la red para transferir los backups a través de la red en las opciones de job de backup. Introduzca un nombre para mostrar el job y otros parámetros.

En la lista desplegable Cifrado de la red, seleccione Activado. Este parámetro está activo porque se utilizan dos Transportadores para transferir datos de backups entre máquinas.

Habilitación del cifrado de la red para transferir los datos de backup a un repositorio de backups.

También podemos instalar un Transportador en la máquina remota que se puede ubicar en un sitio local para aumentar el número de cargas de trabajo procesadas de las que hacer backup. Un Transportador puede ser instalado en una máquina remota en un sitio remoto para almacenar backups y copias de backups para implementar la regla 3-2-1 de backups. En este caso, los datos de backup transferidos a través de la red pueden cifrarse y estar protegidos contra infracciones aunque no pueda utilizar una conexión VPN cifrada.

Un esquema de backups cifrados transferidos por la red

Activación del cifrado para un repositorio de backups

Puede configurar el cifrado de los backups para todo el repositorio al crear un repositorio de backups. Esta función está disponible en NAKIVO Backup & Replication desde la versión 5.7. iSi previamente has creado un repositorio de backups sin cifrado, necesitas crear un nuevo repositorio para habilitar el cifrado a nivel de repositorio de backups. El Transportador Onboard se ha instalado por defecto. Vamos a crear un repositorio de backups y a centrarnos en activar el cifrado de los backups.

NOTA: Al activar el cifrado para todo el repositorio de backups se desactiva la función de inmutabilidad para los backups almacenados en este repositorio. Esta función sólo está disponible para los repositorios de backups en máquinas basadas en Linux.

Los ajustes de cifrado para todo el repositorio de backups se configuran en el paso Opciones del asistente de creación de repositorios de backups:

  • En el menú desplegable Cifrado, seleccione Activado. A continuación aparecen los campos de contraseña.
  • Introduzca la contraseña de cifrado y confírmela.
  • Pulse Finalizar para finalizar la creación de un repositorio de backups cifrado.

Activación del cifrado de un repositorio de backups durante la creación.

De ahora en adelante, todos los backups almacenados en este repositorio de backups estarán cifrados.

Recuperación de Backups Cifrados

La recuperación de datos de backups cifrados es similar a la de backups sin cifrar. Si KMS no está activado o si se conecta un repositorio a una nueva instancia de la solución NAKIVO, deberá volver a proporcionar las contraseñas para permitir la recuperación. En otras palabras, si adjunta un repositorio de backups cifrado a la instancia de NAKIVO Backup & Replication (una instancia diferente o una instancia recién instalada del Director), debe introducir la contraseña de cifrado establecida previamente para este repositorio de backups (si activó el cifrado a nivel de repositorio).

Si se habilitó KMS al cifrar los backups después de conectar un repositorio a una nueva instancia de la solución NAKIVO, sólo tendrá que habilitar KMS de nuevo y seleccionar la clave adecuada (que se utilizó la última vez). En este caso, no tendrá que volver a introducir todas las contraseñas.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
¿Qué es el backup y la replicación de máquinas virtuales en VMware?
Picture
¿Qué es el almacenamiento inmutable de datos para backups?
Picture
¿Qué es el backup de nube y cómo funciona?