Strategie Air-Gapped per backup sicuri: isolamento e rotazione supporti

Strategie Air-Gapped per backup sicuri: isolamento e rotazione supporti

Un backup funziona davvero solo quando è recuperabile. Un backup air-gapped aggiunge un livello di difesa che molti ambienti trascurano: la copia dei dati viene tenuta fisicamente o logicamente separata dal sistema di produzione, così da resistere meglio a ransomware, cancellazioni accidentali, corruzione del filesystem e compromissioni laterali nella rete.

Il punto non è “fare un backup”, ma rendere il backup difficile da colpire. In pratica: separazione, rotazione, verifica, e ripristino testato. Senza questi quattro elementi, anche il backup più costoso può trasformarsi in un file inutile al momento peggiore.

Cos’è davvero un backup air-gapped

Il concetto è semplice: il supporto di backup non deve essere costantemente raggiungibile dal server o dalla rete che protegge. Esistono più livelli di isolamento:

• Isolamento fisico: disco USB, NAS spento e collegato solo durante la finestra di backup, tape, supporti rimovibili conservati offline.
• Isolamento logico: credenziali separate, rete dedicata, repository non montato in scrittura in modo permanente, permessi ridotti.
• Isolamento temporale: il supporto è online solo per il tempo strettamente necessario al salvataggio o al restore.

La forma più robusta resta quella fisica, ma nella realtà dei piccoli e medi ambienti Linux si usa spesso una combinazione: disco esterno ruotato, repository cifrato, accesso limitato e verifica periodica dei file di backup.

Perché la rotazione dei supporti è il cuore del sistema

Un singolo supporto non basta. Se il disco si guasta, se un ransomware cifra tutto ciò che trova montato, o se un operatore sovrascrive l’archivio sbagliato, il backup sparisce con il resto. La rotazione riduce questo rischio distribuendo le copie su più supporti e su più momenti.

Il principio è semplice: almeno una copia deve restare fuori dalla portata del problema corrente. Questo vale per ransomware, guasti hardware, errori di sincronizzazione e cancellazioni accidentali. La rotazione più comune in ambienti piccoli è:

• 2 supporti alternati giornalmente o settimanalmente;
• 3 supporti per coprire meglio il ciclo di vita e ridurre il rischio di errore umano;
• 1 supporto conservato offline o in luogo separato per il backup di lungo periodo.

In contesti più esigenti si aggiunge una copia immutabile o WORM, ma anche senza arrivare a soluzioni enterprise la disciplina operativa fa già molta differenza.

Il modello pratico: produzione, staging e supporto offline

Una buona strategia parte da tre livelli distinti:

1. Produzione: server, VM, database, file web, configurazioni, posta, dati applicativi.
2. Staging del backup: area temporanea locale o remota dove i dati vengono preparati, compressi, cifrati e verificati.
3. Supporto offline: disco USB, SSD esterno, NAS scollegato, volume montato solo durante il backup.

Separare questi livelli evita che uno stesso errore colpisca sia i dati sia la loro copia. Per esempio, se il processo di backup scrive direttamente su una share sempre montata in scrittura, un attacco che compromette il server può cancellare o cifrare anche l’archivio.

La soluzione più prudente è trattare il supporto come un oggetto da collegare, usare, verificare e poi scollegare. Se il supporto resta sempre online, il vantaggio dell’air-gap si riduce drasticamente.

Scelta dei supporti: cosa usare e cosa evitare

Non tutti i supporti sono uguali. La scelta dipende da budget, volume dati, frequenza di backup e tempo di retention.

Dischi USB esterni

Sono la scelta più pratica per molti server Linux. Vantaggi: economici, facili da ruotare, rapidi da ripristinare. Limiti: usura meccanica, rischio di scollegamento improprio, affidabilità variabile tra modelli.

Consiglio operativo: usare dischi di buona qualità, etichettati chiaramente, con filesystem stabile e cifratura attiva. Evitare di lasciarli sempre collegati.

SSD esterni

Ottimi per velocità e silenziosità, ma richiedono attenzione alla qualità del controller e alla gestione del wear leveling. Sono utili per backup frequenti, meno per archivi lunghissimi senza controllo.

NAS o server secondario

Funzionano bene solo se non sono sempre raggiungibili in scrittura. Se il NAS è esposto in rete come destinazione permanente, non è veramente air-gapped. Meglio montarlo solo durante la finestra di backup, con credenziali dedicate e, se possibile, accesso limitato per IP e orario.

Tape o archiviazione a lungo termine

Rimangono validi nei contesti che richiedono retention lunga e forte separazione. Hanno senso se il volume dati è grande e il ripristino non deve essere immediato. Per piccole infrastrutture sono spesso sovradimensionati.

Regola d’oro: il backup deve essere cifrato prima di uscire dal server

Se il supporto viene rubato o smarrito, i dati non devono essere leggibili. La cifratura è parte della strategia air-gapped, non un optional. In ambiente Linux le opzioni pratiche includono LUKS per il supporto fisico, oppure cifratura a livello di archivio con strumenti di backup che supportano encryption nativa.

Una buona regola è questa: cifratura prima della scrittura sul supporto offline. In questo modo il disco può essere archiviato anche fuori sede senza esporre i dati. Le chiavi vanno conservate separatamente, con backup delle chiavi e procedura di recupero testata.

Attenzione a un errore comune: cifrare il disco ma lasciare le chiavi sullo stesso server o nello stesso account. In quel caso l’isolamento è solo apparente.

Rotazione supporti: schema semplice e robusto

Un modello molto pratico per Linux è la rotazione a tre supporti:

1. Supporto A: in uso questa settimana.
2. Supporto B: conservato offline come copia precedente.
3. Supporto C: conservato offsite o in cassaforte come copia storica.

Ogni ciclo il supporto in uso viene aggiornato, il precedente viene scollegato e diventa la copia di riserva, mentre il terzo resta separato. Questo schema offre un equilibrio utile tra semplicità e resilienza.

Per ambienti con backup giornalieri, la rotazione può essere più rapida: due dischi alternati durante la settimana e un terzo disco per l’archivio mensile. Per ambienti critici, invece, conviene aggiungere snapshot, replica e copia immutabile oltre all’air-gap.

Procedura operativa consigliata su Linux

La procedura migliore è sempre la stessa: preparare, salvare, verificare, scollegare. Non bisogna improvvisare, perché il punto debole spesso non è il software di backup ma l’operatività.

1. Preparazione del supporto

Collega il disco solo all’inizio della finestra di backup. Se usi cifratura, sbloccalo solo per il tempo necessario. Monta il filesystem in un punto dedicato, ad esempio /mnt/backup, e verifica che sia il supporto corretto.

2. Esecuzione del backup

Usa uno strumento affidabile e coerente con il tipo di dati: archivi file, dump database, snapshot VM, esportazioni configurazioni. L’importante è che il backup produca un output verificabile, con log e checksum quando possibile.

3. Verifica immediata

Dopo la scrittura, controlla almeno tre cose: dimensione attesa, integrità del file o archivio, possibilità di leggere almeno un campione dei dati. Se il software offre test di restore, eseguilo su un ambiente separato.

4. Smontaggio e disconnessione

Terminato il backup, smonta il filesystem in modo pulito e scollega il supporto. Non lasciarlo montato “per comodità”. La finestra di esposizione deve restare breve.

Il controllo che vale più di tutto: il restore test

Molti ambienti hanno backup regolari ma nessun ripristino testato. È qui che la strategia fallisce. Un backup non testato è una promessa, non una prova.

Il test di restore deve essere pianificato con cadenza definita: almeno mensile per ambienti piccoli, più spesso per servizi critici. Il test non deve limitarsi a decomprimere un archivio: deve verificare che il servizio torni davvero utilizzabile. Per un sito web, significa ripristinare file e database; per una mail server, verificare mailbox e indici; per una VM, avviare l’istanza in un ambiente isolato.

Il backup migliore è quello che sai ripristinare in tempi prevedibili, con una procedura che non dipende dalla memoria di chi era di turno.

Metadati e inventario: senza etichette, la rotazione fallisce

Ogni supporto deve avere un’identità chiara. Etichetta fisica, numero di serie, data di primo utilizzo, ultimo backup valido, contenuto logico, data di verifica, luogo di conservazione. Senza inventario, la rotazione diventa confusione.

Una tabella semplice basta spesso a evitare errori grossolani:

• ID supporto
• Stato: in uso, offline, offsite, in quarantena
• Ultimo backup valido
• Ultimo test restore
• Note su guasti o anomalie

Se un disco mostra errori SMART, rallentamenti o settori riallocati, va escluso dalla rotazione produttiva e messo in quarantena. Un supporto degradato può sembrare funzionante finché non serve davvero.

Conservazione offsite: perché una copia lontana salva il piano

Un incendio, un furto, un allagamento o un guasto elettrico serio possono distruggere sia il server sia i supporti conservati nello stesso locale. Per questo una copia deve stare fuori sede. Non serve complicare troppo: anche una cassaforte in altra sede o un armadietto protetto in un altro edificio può fare la differenza.

La copia offsite non deve essere per forza l’ultima versione. Spesso è più utile come ancora di salvezza contro eventi catastrofici. L’ideale è avere una retention che combini:

• copia recente per il ripristino rapido;
• copia settimanale per errori scoperti dopo qualche giorno;
• copia mensile o storica per incidenti tardivi o corruzioni silenziose.

Hardening minimo della procedura

Una strategia air-gapped diventa molto più solida se accompagni il processo con alcune misure minime:

• account dedicati al backup, senza privilegi inutili;
• chiavi e password separate dal server di produzione;
• backup dei backup di configurazione e delle chiavi di cifratura;
• log centralizzati e controllati;
• notifiche in caso di fallimento o di supporto non montato.

Se il sistema è esposto a ransomware o accessi non autorizzati, l’air-gap da solo non basta: va protetto anche il piano di backup con aggiornamenti, MFA dove possibile, least privilege e monitoraggio.

Errori comuni da evitare

Ci sono alcune abitudini che sembrano comode ma compromettono la sicurezza:

• lasciare il disco di backup sempre collegato;
• usare lo stesso account per produzione e backup;
• non verificare il restore;
• cancellare i backup vecchi senza una retention ragionata;
• non tenere traccia di chi ha montato e smontato il supporto;
• fidarsi solo della presenza dei file senza controllarne l’integrità.

Un altro errore tipico è la rotazione “a memoria”: si collega il disco che capita, senza etichetta, senza registro, senza controllo. In pochi mesi nessuno sa più quale supporto contenga cosa.

Quando l’air-gap non basta da solo

Ci sono casi in cui serve qualcosa in più: ambienti virtualizzati complessi, database ad alta frequenza di scrittura, servizi con RPO molto stretto, infrastrutture distribuite. In questi casi l’air-gap va integrato con snapshot, replica, retention multipla e testing automatico.

Per esempio, un sito WordPress con alto traffico può usare backup giornalieri air-gapped per la protezione definitiva, ma anche snapshot orari o replica su storage separato per ridurre il downtime. La logica è semplice: air-gap per la sopravvivenza, replica per la velocità.

Schema minimo consigliato per una piccola infrastruttura Linux

Se vuoi una base concreta e sostenibile, questa è una configurazione equilibrata:

1. backup giornaliero o notturno su supporto cifrato;
2. rotazione di almeno due dischi, meglio tre;
3. una copia offsite o in luogo separato;
4. test di restore periodico;
5. registro dei supporti e delle date di verifica;
6. smontaggio e scollegamento immediato dopo il job.

Con questo schema copri i guasti normali, gli incidenti umani e buona parte degli attacchi opportunistici. Non è perfetto, ma è già una barriera concreta e verificabile.

Conclusione operativa

Un backup air-gapped non è una tecnologia magica: è una disciplina. Il valore sta nel rendere il backup separato, ruotato, cifrato, verificato e ripristinabile. Se uno di questi elementi manca, la strategia si indebolisce.

La scelta più sensata per molti ambienti Linux è semplice: supporti rimovibili ruotati, cifratura attiva, finestra di esposizione minima, copia offsite e restore testato. È una soluzione meno appariscente rispetto a infrastrutture più complesse, ma spesso è proprio quella che sopravvive meglio quando tutto il resto si ferma.

In backup, come in sicurezza, la parte più importante non è conservare dati: è conservare la possibilità di tornare operativi.