Por qué inmutable difiere de offline
El backup offline (cinta en caja fuerte) protege contra ataque pero exige operación manual. El backup inmutable protege contra ataque aun permaneciendo online, porque el sistema operativo o servicio impide borrado/alteración durante un periodo definido — aun por administrador con privilegio máximo. Los grupos modernos (LockBit, BlackCat, Akira) atacan Veeam B&R, ESXi y Active Directory ANTES de cifrar producción. La inmutabilidad es la única protección que sobrevive a credenciales comprometidas.
Errores que invalidan la inmutabilidad
- 1.Governance mode en S3 Object Lock. Governance permite eliminación con permiso especial. Use Compliance para inmutabilidad real.
- 2.Veeam Hardened con SSH+sudo del mismo AD. Si la credencial AD cae, el atacante usa SSH+sudo. Use contraseña local aislada y MFA.
- 3.Olvidar habilitar Object Lock al crear el bucket. No se puede habilitar después. Bucket sin esa flag desde el inicio es mutable para siempre.
- 4.Mezclar datos inmutables y mutables en el mismo bucket. Aumenta superficie y complica la auditoría. Use bucket dedicado a inmutables.
Implementación en 3 entornos típicos
Elija según volumen, RTO y entorno.
- 1
Opción A — AWS S3 Object Lock (nube)
Cree bucket S3 con Object Lock habilitado al crear. Configure modo Compliance (no permite eliminación ni por root) con retention de 30-90 días. Configure Veeam B&R para escribir en ese bucket vía SOBR con tier de capacidad inmutable. Costo: ~US$0,023/GB/mes + transferencia.
- 2
Opción B — Veeam Hardened Repository (on-prem)
Instale Ubuntu 22.04 LTS en servidor dedicado (NO en el AD). Cree usuario no-root para Veeam. Use ext4/XFS. En Veeam Console, agregue repositorio Linux con flag 'This repository is hardened'. Veeam aplica chattr +i en los backups por X días. Setup completo en ~2h.
- 3
Opción C — Cinta LTO en WORM (compliance)
Cintas LTO-7+ en modo WORM (Write Once Read Many). Veeam/Commvault escriben y la cinta física impide regrabación. Costo por TB más bajo a largo plazo. RTO mayor (horas para localizar y leer). Ideal como 3ª copia para retención larga (7+ años).
- 4
Defina retention adecuada
Mínimo: 30 días. Recomendado: 90 días (cubre ataques que duermen antes de cifrar). Para sectores regulados (salud, financiero): 1-7 años según regulación.
- 5
Audite mensualmente
Intente borrar manualmente un archivo vía consola: debe fallar. Documente el resultado. Audite accesos vía CloudTrail (S3) o auditd (Linux Hardened). Suspenda cuentas de auditoría 'que desaparecieron'.
Preguntas frecuentes
¿Object Lock Compliance bloquea el bucket para siempre?
No. Bloquea cada objeto por el período de retention definido. Tras vencer, puede borrarse normalmente. Configure ciclo de 90 días rotativos para costo controlado.
¿Veeam Hardened funciona en cualquier Linux?
Recomendamos Ubuntu 22.04 LTS o RHEL 9 por estabilidad y soporte Veeam. Técnicamente funciona en cualquier Linux con chattr.
¿Cuánto cuesta proteger 50 TB?
S3 Object Lock: ~US$ 1.150/mes. Veeam Hardened on-prem: hardware ~US$ 8.000 (una vez) + ~US$ 100/mes de operación. LTO WORM: ~US$ 5.000 setup + cartuchos.
¿Puedo replicar backup inmutable a otra región?
Sí y es recomendado. S3 Cross-Region Replication mantiene Object Lock en el destino. Veeam puede replicar a otro Hardened en DR.
¿Cómo se combina con 3-2-1-1-0?
Copia local rápida (Veeam tradicional) + copia inmutable (S3 Object Lock o Veeam Hardened) + copia offsite (el mismo S3 u otro Hardened en DR). 1 inmutable + 0 errores vía prueba mensual.
¿Quiere apoyo para implementar inmutabilidad en su empresa?
Consultoría de implementación Veeam + S3 Object Lock + restore tests.