Juliana Jenny Kolb
Home > Segurança da Informação
Política de Backup
O ciclo de vida do backup discorre acerca dos seguintes itens:
1. Escopo
Visão macro – tem o intuito de definir as premissas das solicitações de backup/restore: a quem se destina, o executor a tarefa, o ciclo de vida da informação, o armazenamento das mídias e seu descarte. Essa política deve ser aprovada pela gerência, publicada, de maneira que esteja ao alcance de todos da empresa, e revisada periodicamente ao menos uma vez por ano.
Visão micro – todo departamento que tenha necessidade de promover continuidade ao seu ativo de informação está apto a solicitar uma implantação de rotina de backup, bem como reinvidicar o restore do mesmo, caso haja impacto negativo devido a ocorrência de desastre.
2. Papéis e responsabilidades
Visão macro – no processo de backup há duas pontas: o solicitante (service owner da informação) e o executor da tarefa (equipe responsável pelo backup). Embora pareça óbvio, é necessário haver uma descrição da responsabilidade de cada uma dessas pontas, pois a estratégia tem um tratamento sequencial no que se refere aos seus processos.
Visão micro – é responsabilidade do service owner da informação detalhar o que deve ser colocado no backup, classificar a informação, definir seu tempo de retenção e descarte, bem como solicitar alterações na rotina implantada. Além de executar a tarefa solicitada, cabe à equipe responsável gerenciar e monitorar todo o ciclo de vida do mesmo.
Granularizar os perfis de acesso à interface de gerencimento da ferramenta de backup e relacioná-los com níveis de privilégios são ações que ajudam a reduzir falhas humanas na execução e restore dos jobs (conceito de RBAC – segregação por funções e least privilege); profissionais que possuam senioridade no uso da ferramenta, por exemplo, podem ter acesso completo; e profissionais menos experientes teriam acesso com privilégios reduzidos. Somente a equipe responsável pelo backup deve ter acesso ao armazenamento e todos que puderem acessar tais informações deverão assinar um termo de confidencialidade (caso já exista um, a atualização é suficiente para cobrir esta situação específica).
3. Solicitação de backup
Visão macro – o gestor hierárquico da equipe solicitante deve ter ciência (em alguns casos a execução é condicionada à aprovação) da criação da tarefa de backup e/ou restore.
Visão micro – o ideal é que as solicitações de backup e restore sejam feitas através de um sistema de abertura e fechamento de chamados (fica implícito a rastreabilidade das atividades para fins de logs e registros), e que cada solicitação possua um formulário (podendo ser anexado ou descrito na própria ferramenta de chamados), informando detalhes sobre a execução da tarefa como, por exemplo:
- Servidor/aplicação
- Ponto de montagem/diretório
- Periodicidade da execução
- Hora de início
- Dia/semana/mês
- Retenção
- Tipo de backup
- Descrição
Esse fluxo de implantação deve ser aplicado também para as tarefas de alteração de backup.
A ferramenta deve possuir, ainda, uma interface de gerenciamento centralizada, e deve ser capaz de controlar o tempo de uso da mídia; por exemplo: reutilizar uma fita de backup semanal ou diário que tenha alcançado sua data de expiração ou alertar para o descarte quando a mídia já alcançou seu limite de sobrescrita (limite de reutilização definido pelo fabricante).
4. Tipos de backup
Visão macro – os tipos de backups não precisam estar descritos no documento de política da empresa, mas pode-se optar por definir que a escolha do tipo mais adequado fique a cargo do solicitante da tarefa.
Visão micro – os tipos de backup mais comumente utilizados são: completo, incremental, e diferencial. Dependendo da complexidade do que está sendo copiado, alguns scripts (como stop e start de serviços, entre outros) deverão ser executados antes e/ou depois da execução do backup. Esse tipo de informação deve ser preenchido como observação no formulário de solicitação de backup.
OBS.: em aplicações sensíveis que acarretam dano seríssimo ao negócio em caso de desastre, quando os níveis de SLA são altamente agressivos, algumas empresas têm adotado a prática de snapshots dos servidores.
-
Backup Full ou Completo
O mais básico e completo tipo de backup é o full. Como o próprio nome diz, o backup full faz cópias de todos dados para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD. Se uma organização possui a política de realizar backup todos os dias, todos os dados serão copiados diariamente, independente de terem sido modificados ou não.
A principal vantagem de realizar um backup completo durante cada operação é que uma cópia completa de todos os dados está disponível em um único conjunto de mídia. Isso resulta em uma possibilidade maior recuperar os dados íntegros, menor complexidade da operação de recuperação e o menor tempo para recuperar os dados, métrica conhecida como Recovery Time Objective (RTO).
No entanto, as principais desvantagens são que leva mais tempo para executar um backup completo do que outros tipos (por vezes, por um fator de 10 ou mais), e requer mais espaço de armazenamento, já que todos os dados são armazenados a cada backup realizado.
Assim, por limitações técnicas, os backups completos são normalmente executados periodicamente. A maioria das políticas de backup empregam um backup completo em combinação com incrementais e/ou backups diferenciais.
-
Backup Incremental
O backup incremental é a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo. O ultimo backup pode ser um backup full, diferencial ou incremental. Um backup full é realizado inicialmente e nos backups subsequentes são copiados apenas os dados alterados ou criados desde o último backup.
O benefício de um backup incremental é que será copiada uma menor quantidade de dados do que um completo. Assim, esse backup será realizado mais rápido e necessitará menos espaço de armazenamento.
Por outro lado, a recuperação dos dados envolve um procedimento mais complexo e potencialmente mais lento, já que o último backup “full” deve ser recuperado e, em seguida, os dados incrementais de cada dia até o momento da falha. Isso significa, por exemplo, que, se tiver um backup “full” e três backups incrementais do mesmo arquivo, este será recuperado quatro vezes, gerando problemas para o administrador de backup ou o usuário lidar com essa multiplicação de arquivos desnecessários.
-
Backup Diferencial
A operação de backup diferencial é semelhante a um incremental na primeira vez em que é realizada, na medida em que irá copiar todos os dados alterados desde o backup anterior. No entanto, cada vez que é executado após o primeiro backup, serão copiados todos os dados alterados desde o backup completo anterior e não com relação ao último backup.
O backup diferencial armazena os dados alterados desde o último backup full. Assim, ele irá armazenar mais dados do que o incremental, embora normalmente menos do que o backup completo. Isso exigirá mais espaço e tempo de backup que os backups incrementais. Por outro lado, a recuperação dos dados tende a ser mais rápida do que o backup incremental já que só é necessário o último backup diferencial e o último backup full, enquanto o incremental necessita de todos os incrementais e o ultimo backup full.
-
Backup Incremental para sempre (progressivo)
Funciona como o backup incremental. O que faz um backup incremental para sempre diferente de um backup incremental é a disponibilidade dos dados. Como você deve se lembrar, a recuperação de um backup incremental requer o backup completo, e cada backup subsequente até o backup que você precisa recuperar. A diferença do backup incremental para sempre é que ele automatiza o processo de recuperação, de modo que você não tem que descobrir quais conjuntos de backups precisam ser recuperados. Em essência, o processo de recuperação de dados do incremental para sempre torna-se transparente e imita o processo de recuperação de um backup completo.
A inteligência do software torna a recuperação dos dados mais rápida e inteligente que o incremental. Além disso, pelo fato de, em teoria, esse tipo de backup só necessitar de um backup full, ao longo do tempo, a quantidade de dados armazenados será menor que os demais tipos (full, incremental e diferencial). Por outro lado, o tempo de recuperação tende a ser maior quando comparado ao backup diferencial e ao backup full, já que é necessário analisar diferentes conjuntos de backups para o processo de recuperação.
5. Esquemas de rotação das mídias
Visão macro – considerando que a política não precisa ir a fundo para descrever itens operacionais, o esquema de rotação das mídias seguirá a mesma analogia feita para o item “tipos de backup”, ou seja, sua citação é opcional; caso decida-se por abordar o assunto, uma maneira suscinta de fazê-lo é informar que a definição do esquema de rotação das mídias ficará a critério do gerente da equipe operacional que realiza a tarefa.
Visão micro – os esquemas de rotação de backup Torre de Hanoi e Avô-Pai-Filho [(Grandfather-Father-Son (GFS)] são os modelos mais comuns adotados pelo mercado. A maioria das empresas utilizam o esquema GFS, que, nada mais é que um tipo de backup mensal, semanal e diário, em que o backup mensal é armazenado off-site (geralmente com cópia on-site de toda a mídia armazenada) e o backup completo semanal e diário é armazenado on-site. Vale ressaltar que, após o término do ciclo de rotação, as mídias devem ser disponibilizadas para armazenamento e/ou reaproveitamento (dependendo da estratégia definida); no caso de mídia reaproveitada, a mesma não poderá conter dados residuais da gravação anterior.
6. Histórico de atividades
Visão macro – toda e qualquer atividade referente ao backup deverá ser registrada, e a integridade desse histórico deve ser garantida.
Visão micro – para cada rotina de backup implantada ou alterada (com sucesso ou não) haverá um registro da data em que a atividade ocorreu (pode-se referenciar um número de chamado ou ticket gerado pela aplicação de requisição de serviços). Também deverá ser armazenado e protegido, e, além disso, é importante verificar se a ferramenta de backup está criando seus próprios logs de execução. O ideal é que além de gerar logs, verificar se existe a possibilidade de enviar os mesmos a um servidor central de logs (caso isso não seja possível, o backup dos logs deve ser executado). Isso serve de apoio para facilitar a organização do dia-a-dia do departamento, mas principalmente quando a empresa for auditada e a equipe de auditores confrontarem as informações dos históricos e logs. O mesmo nível de rastreabilidade deve ser implementado para as atividades de restore.
Qualquer tipo de incidente de segurança que ocorra ao longo das etapas do ciclo de vida do backup deverá ser registrado.
7. Catalogação, inventário e localização
Visão macro – as tarefas de catalogação, inventário e localização implementam um nível de controle que mitiga o desvio, a perda das mídias e maximiza o tempo para encontrar uma ou mais informações.
Visão micro – todas as mídias de backup que forem utilizadas deverão possuir rótulos de identificação, ou seja, após a conclusão com sucesso do backup a mídia deve conter informações que indiquem o tipo de conjunto de backup de que ela faz parte, e, a partir daí, a mesma deve constar em um controle de inventário que, por sua vez, deve informar a localização de cada uma delas.
O catálogo é uma informação criada pela ferramenta de backup que lista os detalhes de cada job executado (volumes criados, dados arquivados e localização). É usado para “navegar” pelas gravações anteriores de uma determinada mídia, selecionar os arquivos que serão restaurados, podendo também ter adição de metadados e exportação das informações listadas em suas entradas.
Para uma melhor visão das informações que sofreram backup e suas respectivas mídias, é prudente manter uma listagem de catálogos centralizada. Orientações mais conservadoras, porém, sugerem relacionar os backups em mais de uma lista de catálogos, ou seja, o cadastramento de todos os backups feitos não deve constar apenas em um único catálogo e essas listas de catálogos também devem passar pelo processo de backup.
Na medida em que as quantidades de trabalhos de backup crescem, o catálogo também crescerá, logo, é necessário avaliar a integridade do mesmo. Implementar a tarefa de executar jobs de restore para verificar essa integridade pode ser funcional, pois existe a possibilidade de a ferramenta não localizar uma determinada informação devido à falha de sincronização da entrada de dados e ao job. Embora seja uma tarefa extra, diminuem as possibilidades de que este risco ocorra.
Não é de hoje que o backup deve ser analisado de maneira cautelosa, devido ao risco que ele traz para a empresa quando a mesma passa por um problema de indisponibilidade, pois a perda de um ativo pode ocorrer quando mais se precisa dele. A tarefa de avaliar todas as etapas da estratégia não é uma missão fácil, porém, quanto menos pontos de falha houver, mais madura a política de backup se tornará.
Sites Pesquisados
http://www.aliancatecnologia.com/conteudo/2015/05/quatro-tipos-de-backup/