Backup Immutabile su Infrastruttura Iperconvergente: Protezione Ransomware Totale

Perche il backup tradizionale non basta piu

Un backup su NAS o su disco USB e meglio di niente, ma contro il ransomware moderno e come chiudere la porta a chiave e lasciare la finestra aperta. Gli attaccanti sanno che il primo obiettivo e neutralizzare il backup: cercano le condivisioni di rete, identificano i repository Veeam, cancellano gli snapshot e solo dopo lanciano la crittografia sui dati di produzione.

Su un server iperconvergente il rischio e amplificato: tutta l'infrastruttura (VM, storage, backup) convive nello stesso sistema. Se l'attaccante compromette il pannello di gestione, ha accesso a tutto. Il backup immutabile e l'unica difesa che funziona anche in questo scenario.

Come funziona il backup immutabile

Un backup immutabile e una copia dei dati protetta da WORM (Write Once Read Many): una volta scritta, non puo essere modificata, cancellata o crittografata per un periodo di tempo configurato (la retention). Nemmeno l'amministratore di sistema puo toccarla.

Ci sono due approcci principali su infrastruttura iperconvergente:

• Snapshot immutabili nativi — integrati nel sistema operativo dell'HCI (es. SynetoOS). Zero costi aggiuntivi, gestione dal pannello di controllo.
• Repository hardened esterno — un server Linux dedicato con Veeam immutable repository. Il backup viene scritto su un filesystem con flag immutabili che nemmeno root puo rimuovere.

Syneto: snapshot immutabili nativi

Syneto SynetoOS include una funzionalita di snapshot immutabili che funziona cosi:

1. Configurate la policy di snapshot dal pannello di controllo (frequenza: ogni 4 ore, 8 ore, giornaliera)
2. Definite la retention immutabile (es. 30 giorni)
3. Per 30 giorni, nessuno puo cancellare o modificare quegli snapshot — nemmeno l'admin
4. Dopo 30 giorni, gli snapshot scadono automaticamente secondo la policy FIFO

Il vantaggio di Syneto e che tutto questo e integrato. Non servono software aggiuntivi, non serve un server di backup separato, non serve configurare nulla a mano. Accendete il Syneto HYPER, configurate la policy e avete backup immutabile dal giorno uno.

In caso di ransomware: spegnete le VM compromesse, ripristinate dallo snapshot immutabile piu recente, e ripartite. Tempo medio di ripristino: 15-30 minuti per una VM tipica.

Veeam + HCI: la combinazione vincente

Per chi vuole un livello di protezione superiore, Veeam Backup & Replication si integra perfettamente con le piattaforme iperconvergenti:

Su Syneto

Veeam sfrutta gli snapshot nativi di Syneto per creare backup consistenti a livello di applicazione (application-aware). Questo significa che il backup di un server SQL o Exchange e sempre in uno stato pulito, senza transazioni in sospeso. I backup vengono poi copiati su un repository immutabile separato.

Su Proxmox

Veeam Agent for Linux protegge le VM Proxmox con backup incrementali. Il repository target puo essere un server Linux hardened (Debian o Ubuntu) con filesystem XFS e flag di immutabilita. Ceph, lo storage distribuito di Proxmox, puo essere configurato con tiering per avere una copia aggiuntiva su storage economico.

Costi reali Veeam

La regola 3-2-1-1-0 su HCI

La regola 3-2-1 classica (3 copie, 2 supporti, 1 off-site) non basta piu contro il ransomware. Servono due aggiunte:

• 3 copie dei dati (produzione + 2 backup)
• 2 supporti diversi (HCI + repository esterno)
• 1 copia off-site (replica su altra sede o cloud)
• 1 copia immutabile (snapshot Syneto o Veeam hardened)
• 0 errori di verifica (test di restore automatici)

Su Syneto HYPER con replica tra sedi, la regola si implementa cosi: i dati di produzione sono sul nodo principale, gli snapshot immutabili sono sullo stesso nodo (ma protetti), la replica asincrona copia tutto sulla sede secondaria, e Veeam fa un backup aggiuntivo su un repository hardened. Quattro livelli di protezione con un solo sistema da gestire.

Configurazione pratica: step by step

1. Configurare snapshot immutabili su Syneto

Dal pannello SynetoOS: Storage > Snapshot Policy > Create. Selezionate la frequenza (consigliamo ogni 4 ore per i dati critici), la retention (minimo 30 giorni) e attivate il flag "Immutable". Fatto.

2. Configurare il repository hardened Veeam

Installate Debian 12 su un server dedicato (anche un mini PC da 500 EUR va bene). Configurate il filesystem XFS con immutable flag. Aggiungete il server come repository in Veeam con l'opzione "Make recent backups immutable for X days". La connessione avviene via single-use credentials: Veeam si collega solo per scrivere, poi le credenziali scadono.

3. Configurare la replica off-site

Su Syneto: Replication > Add Target > inserite l'IP della sede secondaria. La replica asincrona inizia automaticamente. Su Proxmox: usate Proxmox Backup Server (PBS) su un'altra sede collegata via VPN.

4. Testare il restore

Questo e il passaggio che tutti saltano e che fa la differenza tra un backup che funziona e uno che vi da una falsa sicurezza. Testate il restore almeno ogni trimestre: ripristinate una VM dallo snapshot immutabile, verificate che si avvii, che il gestionale funzioni, che i dati siano integri. Noi lo facciamo per i nostri clienti come parte del contratto di assistenza.

Cosa succede durante un attacco ransomware

Scenario reale (semplificato) su un'azienda con Syneto HYPER e backup immutabile:

1. Ore 2:00 — il ransomware entra tramite email di phishing e inizia a crittografare i file
2. Ore 6:00 — il primo dipendente nota che i file sono illeggibili e chiama il supporto
3. Ore 6:15 — BullTech si collega via Atera, identifica il ransomware, isola le VM compromesse
4. Ore 6:30 — ripristino delle VM dallo snapshot immutabile delle ore 22:00 (8 ore prima)
5. Ore 7:00 — le VM sono online, i dati sono integri, la produzione riparte
6. Perdita dati: 4 ore di lavoro (dalle 22:00 alle 2:00). Senza backup immutabile: tutto.

Errori da evitare

• Backup sullo stesso storage senza immutabilita — se il ransomware compromette il server, cancella anche il backup
• Retention troppo breve — alcuni ransomware aspettano settimane prima di attivarsi. Minimo 30 giorni di retention immutabile
• Non testare mai il restore — un backup che non avete mai testato e un backup che non esiste
• Credenziali condivise — il repository immutabile deve avere credenziali separate dal dominio Active Directory
• Ignorare il network isolation — il repository deve essere raggiungibile solo dal server Veeam, non da tutta la rete

Costi complessivi per una PMI

Per chi ha gia un Syneto HYPER, gli snapshot immutabili sono inclusi. Il costo aggiuntivo e solo Veeam + repository hardened: circa 2.500-5.000 EUR. Con Proxmox, Proxmox Backup Server e gratuito e supporta backup immutabili.