Immutable Backup và Air Gap: lớp phòng thủ cuối cùng trước ransomware

Khi ransomware đã có mặt trong mạng nội bộ, bản backup chỉ còn giá trị nếu nó không thể bị sửa hoặc xóa bằng cùng quyền truy cập mà kẻ tấn công đang có. Đó là lý do immutable backup và air gap trở thành lớp phòng thủ quan trọng bậc nhất trong kiến trúc sao lưu hiện đại.

Tại sao immutable backup khác với backup thông thường

Immutable backup giữ dữ liệu trong một khoảng thời gian cố định mà không cho phép sửa hoặc xóa, dù người vận hành hay tài khoản quản trị có cố thay đổi cũng không tác động được vào restore point đã khóa. Tùy nền tảng, lớp này có thể được triển khai bằng hardened repository, object lock, compliance lock hoặc storage appliance có cơ chế chống thay đổi.

Air gap thì đi xa hơn một bước: nó tách bản sao ra khỏi đường đi của kẻ tấn công. Air gap có thể là ngắt mạng vật lý, cô lập logical, tách account, tách tenant hoặc giữ bản sao ở một vùng không được mount thường trực vào production.

Giá trị thực tế cho doanh nghiệp

• Giảm rủi ro mất cả production lẫn backup trong cùng một đợt tấn công.
• Tạo điểm tựa phục hồi sạch khi cần dựng lại hệ thống từ restore point tin cậy.
• Giúp đáp ứng yêu cầu kiểm toán, lưu trữ dài hạn và điều tra sự cố.

Cách triển khai đúng

1. Dùng repository hoặc object storage có immutability thay vì chỉ trông chờ vào snapshot ngắn hạn.
2. Tách tài khoản backup khỏi tài khoản quản trị hạ tầng sản xuất.
3. Đặt retention khóa đủ lâu để bao phủ window phát hiện và phản ứng sự cố.
4. Kiểm tra khả năng phục hồi của bản immutable bằng quy trình restore test riêng.

Điểm cần tránh

• Lưu backup cùng site với production nhưng gọi đó là air gap.
• Cho phép admin sản xuất xóa được toàn bộ restore point.
• Không có quy trình rotation credential cho hệ thống backup.

Nguồn tham khảo