Mejora la ciber-resiliencia de tus backups con Cohesity Fort Knox

Fort Knox

Queridos amigos del blog de Encora, hoy queremos presentaros un nuevo capítulo de Encora Webinars.

Fort Knox, es nueva solución de Cohesity, dentro del ámbito de la protección de datos, diseñada para dar otra vuelta de tuerca a la estrategia del fabricante, ya de por si muy robusta, en cuanto a la seguridad de nuestros backups.

Por ponernos un poco todos en contexto, seguro que conocéis Fort Knox. Una cámara acorazada inexpugnable, definida por muchos como «el lugar más seguro del mundo», donde se guardan las reservas de oro norteamericanas. Esto, seguramente, ya os dará alguna pequeña pista del planteamiento que Cohesity nos ofrece con esta solución: «guarda tus datos en un sitio muy seguro».

Base militar del Ejército de los Estados Unidos, Fort Knox

Nuestro CRO, David Marquina, te cuenta las novedades de la solución de aislamiento y recuperación de datos de software como servicio (SaaS), que se suma a la cartera de ofertas de gestión de datos como servicio de la compañía.

3 COPIAS DE DATOS, EN 2 SITIOS DISTINTOS Y 1 OFFLINE

La filosofía 3,2,1 no es una estrategia exclusiva de Cohesity, si no que es una metodología para la protección de nuestros datos, que lleva más de 15 años siendo adoptada por multitud de compañías a lo largo del mundo.

Consiste en que debemos mantener 3 copias de nuestros datos, en dos sitios distintos y uno de ellos completamente offline. Es una forma de garantizar que siempre, tendremos una copia de nuestros datos disponibles.

A pesar de su longevidad, creo que es una filosofía que no debemos desterrar, si no simplemente adaptarla a las nuevas tecnologías y necesidades actuales. Por ejemplo, hasta ahora siempre pensábamos que la copia de seguridad la teníamos que usar por si había una corrupción de datos o una pequeña pérdida, pero realmente hoy en día puede ser nuestro último salvavidas en caso de una pérdida masiva de datos.

Básicamente, se fundamenta en 3 pilares, pensados para enfrentarse a situaciones variopintas, pero que por desgracia son muy reales:

Filosofia 3,2,1, Fort Knox
Los tres pilares que no podemos dejar indefensos.

Los ataques son cada vez son más sofisticados. Nos encontramos con un paradigma totalmente distinto a hace años, donde la mayoría de las soluciones de protección del datos fueron diseñadas. Ahora nos enfrentamos a ataques de Ransomware que nos encriptan los datos y nos obligan a hacer una restauración desde prácticamente 0, con las implicaciones que tiene para negocio.

Debemos tener en cuenta los desastres naturales y físicos, que ocasionan un daño a estos backups, por ejemplo, un incendio que estropea todo el CPD y también nuestra solución de backup. Seguro que esto es lo que todos veníamos tradicionalmente viendo como el motor, lo que nos impulsaba, a tener una buena externalización de nuestras copias. «Hemos sufrido un incendio», mismamente.

El último factor, pero no menos importante, que últimamente está teniendo muchísima pujanza es que hay actores internos con accesos autorizados, por ejemplo un empleado descontento que es despedido y borra determinados datos, con un acto impacto en negocio. Suelen, por desgracia, ser casos complejos, por que además de saber «donde hacer daño» es posible no darse cuenta al momento porque igual a borrado datos de hace tres meses y te das cuenta al año y medio, a los dos años o cuando sea. No es un ciberataque, es un lo que llamamos «ataques por actores internos» y recalco como decía anteriormente, suele ser muy dañinos.

TRADITIONAL DATA ISOLATION

¿Cómo aplicábamos anteriormente la filosodía 3,2,1 con soluciones legacy y habitualmente recurriendo sólo a arquitecturas on-premise?.

Traditional data isolation - fort knox
Las principales desventajas de la implantación del dato aislado tradicional.

Tradicionalmente teníamos una ubicación primaria y una ubicación secundaria donde copiamos o guardamos las copias con cinta. En muchos casos de forma artesanal, con mucho despliegue operativo y en innumerables ocasiones, con mucho esfuerzo por parte del equipo técnico.

¿Qué pasa con toda esta metodología de cintas? Es compleja, el mantenimiento es alto, es inflexible, los tiempos de restore son muy largos… Hoy en día donde la mayoría de los equipos IT son multidisciplinares y es difícil encontrar una compañía con alguien dedicado al 100% sólo al backup, diríamos que es «inabordable».

En lugar de cintas, ya en los últimos tiempos hemos recurrido al archive en blob de cloud, que no es una cinta, para nosotros es un disco, pero al final tiene una cierta complejidad, unos ciertos tiempos que hacen que su administración sea un poco más flexible y un poco más sencilla que el sistema tradicional de cintas pero que luego a la hora de los restores no deja de ser tan flexible como desearíamos. Ya que su foco principalmente es mantener el dato por «compliance» y no realmente ser usado como un punto de restauración real.

Nos enfrentamos a unos retos, como habéis visto anteriormente, con un montón de factores que nos pueden llevar a tener que hacer un 0 restore, es decir, a restaurar todo nuestro data center. Nos pueden comprometer todas nuestras copias locales y necesitamos una forma de tener una copia aislada que sea muy ágil. 

Los retos y las necesidades ya no tienen nada que ver a lo que hace 10 o 12 años requerían nuestras infraestructuras IT. Todo ha cambiado.

LA EVOLUCIÓN DEL DATA ISOLATION

En cuanto a la evolución de la data isolation, si os dais cuenta, vemos que ayer (4 o 5 años) lo que se usaba para tener el dato aislado era la cinta magnética (cogíamos, guardabamos en cintas, una empresa se lo llevaba y nos lo guardaba en un sitio. A la semana nos lo traía y demás).

La evolución del VDI con Fort Knox
Implantación del data aislado actual.

Lo primero es que la administración o era propia o era externa y era muy compleja, la restauración era tremendamente lenta, llegando incluso a semanas dependiendo del tipo de dato (sobre todo si había que hacer un 0 restore), por que no estaba diseñado para ello. Era una solución poco flexible y tenía un coste de propiedad altísimo, pero en su momento, era la mejor opción. Lo cual no quiere decir que 15 años después, siga siéndolo.

Se produce una evolución y nos vamos hacia sistemas de protección basados en archive a disco, la mayoría en blob o en almacenamientos de objeto. Nos mejora un poco los tiempos de restauración. En lugar de ser altos son altos o medios, pero tiene un coste alto de la propiedad y luego a la hora de restaurar no son soluciones muy rápidas sobre todo si nos vamos a una solución de archive, porque como os decía anteriormente no están pensadas para ello.

Una solución de archive de blob, como ya sabéis, tiene más propósito de compliance que de restore rápido. No podemos utilizarlo como un método de restore rápido porque no lo es. También tiene una cierta administración, sobre todo si nos vamos a un blob de cloud.

¿Hacia dónde vamos mañana? Es un poco lo que nos ofrece Cohesity con este data vault as a service

  1. No nos tenemos que preocupar por la administración. Esto es un servicio administrado por Cohesity. Vosotros lo tendréis des de una consola añadida a vuestro portal Helios, simplemente hay que marcar unos checks y la administración es totalmente gestionada.
  2. El RTO es muy corto como veréis, es decir, es muy flexible y rápido a la hora de restaurar porque no es un dato archivado, es un dato vivo almacenado en una solución desde la que puedo operar.
  3. Como es solo coste operativo, no tiene coste de adquisición, realmente tiene un retorno bastante rápido porque pagas por lo que usas. 

¿CÓMO FUNCIONA FORT KNOX?

Que es Fort Knox
Funcionamiento de Fort Knox.

Fort Knox es un vault que nos permite añadir un segundo sitio, un data vault más concretamente, donde guardamos nuestras copias en un repositorio administrado por Cohesity.

No tiene nada que ver con un repositorio tradicional. Realmente lo tenéis que ver, como si fuera un clúster secundario de Cohesity donde yo puedo almacenar mis backups on-premise de mi propio cluster de Cohesity, guardar una réplica y que estén listos para ser restaurados o gestionados, es decir, no es un almacén solo de datos, es como si fuese una especie de clúster de Cohesity.

Ventaja: Está completamente aislado y la comunicación entre mi clúster primario y el vault, solo se abre a demanda.

ARQUITECTURA

Cómo veréis, es relativamente sencilla. Tengo mi localización primaria, un cluster on-premise administrado por mi o por una empresa externa, mi sistema de administración cloud centralizado , Helios de Cohesity al que yo si quiero le añado un repositorio de Fort Knox, donde replico y guardo mis backups, que yo haya seleccionado previamente.

Arquitectura de Fort Knox
Arquitectura de Fort Knox.

Es muy importante recordar que este «virtual air gap» es dinámico, abierto sólo cuando es estrictamente necesario. Eso quiere decir que cuando se tiene que lanzar y guardar el repositorio, es cuando se abre esta conexión y se hace por «reclamación» de la parte cloud. Por lo tanto, imaginaos que sufre un desastre, un incendio, alguien específico me lo roba… yo tendría una copia totalmente aislada de la información que yo haya marcado y que yo quiera en mi Fort Knox, está totalmente aislado y yo, si sufriera un desastre en mi ubicación primaria, des del Helios, que está en servicio público, podría elegir si lo quiero restaurar en mi ubicación primaria o en una ubicación alternativa.

De hecho para la restauración de datos se propone un «workflow» de seguridad, para que el uso de estos datos almacenados en mi suscripción de Fort Knox requiera de un flujo de 2 o incluso, 3 aprobaciones, garantizando en todo momento que «nuestro arca» se abre porque realmente se necesita.

En la imagen superior, veréis que aparece el Threat Sanbox, muy importante. Imaginaos que yo he sufrido un ataque de Ransomware y tengo serias dudas de si lo que yo he ejecutado o lo que yo he salvado, no guarda un Ransomware latente o una amenaza de seguridad. Yo puedo levantar copias en este Sanbox y ejecutar pruebas o ver si realmente está limpio. Es como una caja aislada donde yo puedo ejecutarlo, no solo para amenazas sino para pruebas asegurando que lo que yo tengo allí, realmente es levantado. 

Como veis, toda esta parte secundaria es un valor añadido que es totalmente gestionado por Cohesity con lo cual, yo no me tengo que preocupar de nada.

LAS CLAVES DE FORT KNOX

Claves de Fort Knox
Ventajas de esta nueva solución de Cohesity.

Puedo restaurar sobre el origen o sobre un destino alternativo si he sufrido un desastre grande en mi CPD productivo, puedo restaurar sobre un cloud. 

Los que trabajéis con Cohesity ya sabéis que está basado todo en SLAs con lo cual es muy fácil adaptarse a los SLAs que te marca tu negocio. Nos vamos hacia una reducción de costes y una transición hacia un modelo de costes operativos y no de costes de adquisición. No tengo porque guardar en Fort Knox todo, si no solamente algunas de las cosas que quiero (granularidad). 

  • Visión absoluta de seguridad integral 
  • Framework de policies
  • Inmutabilidad 
  • Acceso basado en roles
  • Multi-factor
  • Virtual AirGap Isolation
  • Detección de anomalías y comportamientos mediante la inteligencia artificial (Auto bloqueo de usuarios, contenido malicioso, comportamiento inusual…).
  • Identificación de los datos seguros para restaurar.
  • Threat Sandbox: puedo lanzar simulacros de ataque, levantar un entorno virtual, puedo escanear qué va ligado con identificar los datos seguros, puedo conectar a través de APIs y como al final no es un dato guardado en una copia de seguridad tradicional (dato vivo), puedo lanzar sobre ese dato vivo, escaneos de virus y amenazas conocidas para evitar ataques y luego tiene unos indicadores de amenazas y seguridad que te dan una cierta tranquilidad en cuanto a lo que esté allí guardado es relativamente seguro.

REQUERIMIENTOS

Requerimientos Fort Knox
Requerimientos de la solución.

Solo funciona para clientes que tengan Cohesity y que tengan clúster on premise

En vuestro clúster on premise debéis tener versión 6.8 cómo mínimo.

La granularidad, hoy en día, es limitada. Se tiene que hacer por trabajos completos, pero van mejorando y creo que en los próximos uno o dos meses vais a poder tener mucha más granularidad incluso solo a nivel de máquina virtual y creo que están trabajando para tener road map de aquí a seis meses y que la granularidad pueda ser incluso de dato, pueda ser bastante más avanzado.

Otro tema muy interesante es que esto os permite abriros la puerta a que vuestro disaster recovery sea muy sencillo porque podemos pensar en Fort Knox no solo como un repositorio si no como un punto para restaurar mis datos y tener, no un disaster recovery al uso porque no puedo pulsar un botón y arranca, pero si un disaster recovery de ejecución muy avanzada, muy fácil y cómoda

Están trabajando también en unir Fort Knox con el Disaster Recovery as a Service, con lo cual puede dar con un disaster recovery fortificado.

KEY POINTS DE LA SOLUCIÓN

Key Points Fort Knox
Key points de Fort Knox.

Fort Knox nos proporciona una protección contra ataques de Ransomware brutales. 

Os va a permitir tener una estrategia de defensa completa frente ataques. Esto es un 3,2,1 (que ya lo podíais hacer con Cohesity) pero con ese 1 muy fortificado, muy automático y que además nos permiten una restauración bastante ágil. Es aplicable a cualquier ubicación. Podréis proteger cualquier filial con Cohesity, bien sea con soluciones cloud o bien sea con soluciones on premise. No tenéis que montar cosas complejas. Va a ser simplemente contratarlo y tenerlo des de cualquier sitio del mundo. 

El concepto Edge location va unido a cualquier ubicación, es decir, puedes hacer que cualquiera de tus filiales, cualquiera de tus oficinas, tenga una protección aislada. Una oficina remota en la que no hay personal específico de IT o en cualquier país del mundo, suele ser bastante complicado asegurarlo. Pues con esto lo podéis hacer y muy fácil.

Luego como todas las soluciones SaaS, soluciones de pago por uso en cloud pues que tiene una dinámica flexible.

Cohesity en el ecosistema actual del backup

Para los que no conocéis Cohesity, transmitiros que desde Encora llevamos ya años implementándolo en diferentes escenarios. Encaja muy bien en clientes medianos y grandes y no tanto en pymes, dónde otras soluciones como un Veeam Essentials se adapta mejor.

Si en vuestra organización tenéis diferentes herramientas tanto de copia de seguridad como de almacenamiento, Cohesity os puede ayudar a reducir drásticamente la complejidad de vuestro entorno. Es una solución de backup y también una solución de almacenamiento secundario.

Como solución moderna, surgida hace pocos años, contempla todas las novedades del mercado y realiza copia tanto de entornos físicos como virtuales o de los diferentes clouds. También contempla las cintas que sería el hermano viejuno de Fort Knox. Hace backup de un sistema windows un poco viejo y de un mainframe. Es realmente una solución a nivel de backup muy completa con el añadido de ser inalterable a ataques de ramsonware, cuestión imprescindible en la actualidad.

Por otra parte si tenéis qnaps, synologies, Data Domains o similar, con el Nodo Filer de Cohesity podéis tener una solución mucho más potente, tanto en crecimiento como en rendimiento y seguridad.

Más Encora Webinars

Muchísimas gracias David, y también gracias a todos por vuestra asistencia, esperamos que os haya gustado este webinar. Recordad que en nuestra web podéis consultar todos nuestros webinars y que, además, os podéis suscribir a la Encora Newsletter para estar al día de todas nuestras novedades.

¡Hasta la próxima!

Si estás interesado en contactar con el Encora Team para hablar de un proyecto para tu empresa, pulsa en el botón y te llamamos.

Compártelo en redes sociales

estamos a tu lado en este momento crítico

Nuestro equipo de expertos te ayuda inmediatamente