Skip to main content
BlueXP backup and recovery
Todos los proveedores de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de cloud
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Opciones de política de copia de seguridad a objeto en la copia de seguridad y recuperación de BlueXP

Colaboradores amgrissino
PDF

La BlueXP backup and recovery le permite crear políticas de copia de seguridad con una variedad de configuraciones para sus sistemas ONTAP locales y Cloud Volumes ONTAP .

Nota Estas configuraciones de políticas son relevantes únicamente para el almacenamiento de backup en objetos. Ninguna de estas configuraciones afecta sus políticas de instantáneas o replicación.

NOTA Para cambiar hacia y desde las cargas de trabajo de BlueXP backup and recovery , consulte "Cambiar a diferentes cargas de trabajo de BlueXP backup and recovery" .

Opciones de programación de backups

El backup y la recuperación de datos de BlueXP te permite crear varias políticas de backup con programaciones únicas para cada entorno de trabajo (clúster). Es posible asignar diferentes políticas de backup a volúmenes con diferentes objetivos de punto de recuperación (RPO).

Cada directiva de copia de seguridad proporciona una sección para Labels & Retention que puede aplicar a sus archivos de copia de seguridad. Tenga en cuenta que la política de Snapshot aplicada al volumen debe ser una de las políticas reconocidas por los archivos de backup y recuperación o backup de BlueXP no se creará.

Captura de pantalla de la configuración de la programación de copia de seguridad al crear una política de copia de seguridad.

Hay dos partes del programa; la etiqueta y el valor de retención:

  • Label define la frecuencia con la que se crea (o actualiza) un archivo de copia de seguridad desde el volumen. Puede seleccionar entre los siguientes tipos de etiquetas:

    • Puede elegir uno o una combinación de, cada hora, diario, semanal, mensual, y anualmente plazos.

    • Puede seleccionar una de las políticas definidas por el sistema que proporcione backup y retención durante 3 meses, 1 año o 7 años.

    • Si creó políticas de protección de backup personalizadas en el clúster mediante ONTAP System Manager o la CLI de ONTAP, puede seleccionar una de esas políticas.

  • El valor Retention define cuántos archivos de copia de seguridad se conservan para cada etiqueta (intervalo de tiempo). Una vez alcanzado el número máximo de backups en una categoría o intervalo, se eliminan los backups más antiguos de modo que siempre habrá los backups más recientes. Esto también ahorra costes de almacenamiento ya que los backups obsoletos no continúan ocupar espacio en el cloud.

Por ejemplo, diga que cree una política de copia de seguridad que cree copias de seguridad 7 semanales y 12 mensuales:

  • cada semana y cada mes se crea un archivo de copia de seguridad para el volumen

  • en la 8ª semana, se retira el primer backup semanal y se añade el nuevo backup semanal para la 8ª semana (con un máximo de 7 backups semanales)

  • al 13 mes se elimina la primera copia de seguridad mensual, y se añade la nueva copia de seguridad mensual a 13 meses (se mantiene un máximo de 12 copias de seguridad mensuales)

Las copias de seguridad anuales se eliminan automáticamente del sistema de origen tras transferirse al almacenamiento de objetos. Este comportamiento predeterminado se puede modificar en la página Configuración avanzada del entorno de trabajo.

Opciones de protección contra DataLock y Ransomware

El backup y la recuperación de BlueXP ofrece soporte para la protección DataLock y Ransomware para los backups de volúmenes. Estas funciones le permiten bloquear los archivos de backup y analizarlos para detectar posibles ransomware en los archivos de backup. Este es un ajuste opcional que se puede definir en las políticas de backup cuando se desea contar con protección adicional para los backups de volúmenes para un clúster de.

Ambas características protegen sus archivos de copia de seguridad para que siempre tenga un archivo de copia de seguridad válido para recuperar los datos en caso de un intento de ataque de ransomware en sus copias de seguridad. También resulta útil satisfacer ciertos requisitos normativos en los que los backups deben bloquearse y conservarse durante un cierto período de tiempo. Cuando se habilita la opción DataLock and Ransomware Protection, el bloque de cloud que se aprovisiona como parte de la activación del backup y la recuperación de BlueXP tendrá habilitado el bloqueo de objetos y el control de versiones de objetos.

"Consulte el blog de protección de DataLock y Ransomware para obtener más información".

Esta función no ofrece protección para los volúmenes de origen, solo para los backups de esos volúmenes de origen. Utilice algunos de los "Protecciones contra el ransomware proporcionadas por ONTAP" para proteger sus volúmenes de origen.

Precaución

  • Si planea utilizar DataLock y protección contra ransomware, puede habilitarlo al crear su primera política de respaldo y activar la BlueXP backup and recovery para ese clúster. Posteriormente puede habilitar o deshabilitar el escaneo de ransomware utilizando la Configuración avanzada de BlueXP backup and recovery .

  • Cuando BlueXP analiza un archivo de backup de ransomware al restaurar datos de volumen, tu proveedor de cloud incurrirá en costes adicionales de salida para acceder al contenido del archivo de backup.

Qué es DataLock

Con esta función, puede bloquear las instantáneas en la nube replicadas mediante SnapMirror y habilitarla para detectar un ataque de ransomware y recuperar una copia consistente de la instantánea en el almacén de objetos. Esta función es compatible con AWS, Azure y StorageGRID.

DataLock protege sus archivos de copia de seguridad de ser modificados o eliminados durante un cierto período de tiempo - también llamado almacenamiento inmutable. Esta funcionalidad utiliza la tecnología del proveedor de almacenamiento de objetos para el «bloqueo de objetos».

Los proveedores de nube utilizan una Fecha de Retención Hasta (RUD), que se calcula en función del Periodo de Retención de Instantáneas. Este Periodo se calcula en función de la etiqueta y el recuento de retención definidos en la política de backup.

El período mínimo de retención de instantáneas es de 30 días. Veamos algunos ejemplos de cómo funciona:

  • Si elige la etiqueta Diario con un recuento de retención de 20, el período de retención de instantáneas será de 20 días, que por defecto es el mínimo de 30 días.

  • Si elige la etiqueta Semanal con recuento de retención 4, el período de retención de instantáneas es de 28 días, que es el mínimo predeterminado de 30 días.

  • Si elige la etiqueta Mensual con recuento de retención 3, el período de retención de instantáneas es de 90 días.

  • Si elige la etiqueta Anual con recuento de retención 1, el período de retención de instantáneas es de 365 días.

¿Qué es la Fecha de Retención hasta (RUD) y cómo se calcula?

La fecha de retención hasta (RUD) se determina en función del período de retención de instantáneas. La fecha de retención hasta se calcula sumando el período de retención de instantáneas y un búfer.

  • Buffer es el Buffer para el Tiempo de Transferencia (3 días) + Buffer para Optimización de Costos (28 días), lo que suma un total de 31 días.

  • La fecha mínima de retención hasta es de 30 días + 31 días de margen = 61 días.

Estos son algunos ejemplos:

  • Si crea un programa de respaldo mensual con 12 retenciones, sus respaldos se bloquean durante 12 meses (más 31 días) antes de eliminarse (reemplazarse por el próximo archivo de respaldo).

  • Si crea una política de respaldo que crea 30 copias de seguridad diarias, 7 semanales y 12 mensuales, hay tres períodos de retención bloqueados:

    • Las copias de seguridad "30 diarias" se conservan durante 61 días (30 días más 31 días de búfer).

    • Las copias de seguridad "7 semanales" se conservan durante 11 semanas (7 semanas más 31 días) y

    • Las copias de seguridad "12 mensuales" se conservan durante 12 meses (más 31 días).

  • Si crea una programación de backup horaria con 24 retentions, puede pensar que los backups están bloqueados durante 24 horas. Sin embargo, dado que es inferior al mínimo de 30 días, cada backup se bloqueará y conservará durante 61 días (30 días más 31 días de búfer).

Precaución Las copias de seguridad antiguas se eliminan una vez que expira el período de retención de DataLock, no después del período de retención de la política de copia de seguridad.

La configuración de retención de DataLock anula la configuración de retención de políticas de su política de respaldo. Esto podría afectar a los costes de almacenamiento, ya que los archivos de backup se guardarán en el almacén de objetos durante un periodo de tiempo más largo.

Habilitar DataLock y la protección contra ransomware

Puede habilitar DataLock y la protección contra ransomware al crear una política. No podrá habilitarla, modificarla ni deshabilitarla una vez creada.

  1. Cuando cree una política, expanda la sección Protección contra DataLock y Ransomware.

  2. Elija una de las siguientes opciones:

    • Ninguno: La protección DataLock y la protección contra ransomware están deshabilitadas.

    • Desbloqueado: La protección DataLock y la protección contra ransomware están habilitadas. Los usuarios con permisos específicos pueden sobrescribir o eliminar archivos de copia de seguridad protegidos durante el periodo de retención.

    • Bloqueado: La protección DataLock y la protección contra ransomware están habilitadas. Ningún usuario puede sobrescribir ni eliminar archivos de copia de seguridad protegidos durante el periodo de retención. Esto cumple plenamente con la normativa.

Consulte "Cómo actualizar las opciones de protección contra ransomware en la página Configuración avanzada".

¿Qué es la protección contra ransomware en NetApp Backup and Recovery?

La opción de protección contra ransomware en NetApp Backup and Recovery analiza sus archivos de respaldo para buscar evidencia de un ataque de ransomware. La detección de ataques de ransomware se realiza mediante una comparación de suma de comprobación. Si se identifica un posible ransomware en un nuevo archivo de respaldo en comparación con el archivo de respaldo anterior, ese archivo de respaldo más nuevo se reemplaza por el archivo de respaldo más reciente que no muestra ningún signo de un ataque de ransomware. (El archivo que fue identificado como víctima de un ataque de ransomware se elimina 1 día después de haber sido reemplazado).

Los escaneos ocurren en estas situaciones:

  • Los análisis de los objetos de copia de seguridad en la nube se inician poco después de transferirlos al almacenamiento de objetos en la nube. El análisis no se realiza en el archivo de copia de seguridad cuando se escribe por primera vez en el almacenamiento en la nube, sino cuando se escribe el siguiente archivo de copia de seguridad.

  • Los análisis de ransomware se pueden iniciar cuando se selecciona la copia de seguridad para el proceso de restauración.

  • Los escaneos se pueden realizar a pedido en cualquier momento.

¿Cómo funciona el proceso de recuperación?

Cuando se detecta un ataque de ransomware, el servicio utiliza la API REST del Comprobador de Integridad del Conector de Datos Activo para iniciar el proceso de recuperación. La versión más antigua de los objetos de datos es la fuente de confianza y se convierte en la versión actual como parte del proceso de recuperación.

Veamos cómo funciona esto:

  • En caso de un ataque de ransomware, el servicio intenta sobrescribir o eliminar el objeto en el depósito.

  • Dado que el almacenamiento en la nube tiene control de versiones habilitado, crea automáticamente una nueva versión del objeto de copia de seguridad. Si se elimina un objeto con el control de versiones activado, se marca como eliminado, pero aún se puede recuperar. Si se sobrescribe un objeto, se almacenan y marcan las versiones anteriores.

  • Al iniciar un análisis de ransomware, se validan las sumas de comprobación de ambas versiones del objeto y se comparan. Si las sumas de comprobación son inconsistentes, se ha detectado un posible ransomware.

  • El proceso de recuperación implica volver a la última copia buena conocida.

Entornos de trabajo y proveedores de almacenamiento de objetos compatibles

Puede habilitar la protección de datos Lock y ransomware en volúmenes de ONTAP desde los siguientes entornos de trabajo al usar almacenamiento de objetos en los siguientes proveedores de cloud público y privado. En próximos lanzamientos, se añadirán más proveedores de cloud.

Entorno de trabajo de fuente Destino de archivo de copia de seguridad ifdef::aws[]

Cloud Volumes ONTAP en AWS

Endif de Amazon S3::aws[] ifdef::Azure[]

Cloud Volumes ONTAP en Azure

Endif de Azure Blob::Azure[] ifdef::gcp[] endif::gcp[]

Sistema ONTAP en las instalaciones

Ifdef::aws[] Amazon S3 endif::aws[] ifdef::Azure[] endif de Azure Blob::Azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

Requisitos

  • Para AWS:

    • Los clústeres deben ejecutar ONTAP 9.11.1 o posterior

    • El conector puede ponerse en marcha en el cloud o en sus instalaciones

    • Los siguientes permisos S3 deben formar parte del rol IAM que proporciona el conector con permisos. Residen en la sección "backupS3Policy" para el recurso "arn:aws:s3::netapp-backup-*":

      Permisos de AWS S3

      • s3:GetObjectVersionTagging

      • s3:GetBucketObjectLockConfiguration

      • s3:GetObjectVersionAcl

      • s3:PutObjectEtiquetado

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBucketObjectLockConfiguration

      • s3:GetLifecycleConfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBucketVersions

      • s3:ListBucket

      • s3:PutBucketEtiquetado

      • s3:GetObjectTagging

      • s3:PutBucketVersioning

      • s3:PutObjectVersionEtiquetado

      • s3:GetBucketVersioning

      • s3:GetBucketAcl

      • s3:BypassGovernanceRetention

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

      "Vea el formato JSON completo para la directiva donde puede copiar y pegar los permisos necesarios".

  • Para Azure:

    • Los clústeres deben ejecutar ONTAP 9.12.1 o posterior

    • El conector puede ponerse en marcha en el cloud o en sus instalaciones

  • Para StorageGRID:

    • Los clústeres deben ejecutar ONTAP 9.11.1 o posterior

    • Sus sistemas StorageGRID deben ejecutar 11.6.0.3 o posterior

    • El conector debe estar desplegado en sus instalaciones (se puede instalar en un sitio con o sin acceso a Internet)

    • Los siguientes permisos S3 deben formar parte del rol IAM que proporciona el conector permisos:

      Permisos de StorageGRID S3

      • s3:GetObjectVersionTagging

      • s3:GetBucketObjectLockConfiguration

      • s3:GetObjectVersionAcl

      • s3:PutObjectEtiquetado

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBucketObjectLockConfiguration

      • s3:GetLifecycleConfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBucketVersions

      • s3:ListBucket

      • s3:PutBucketEtiquetado

      • s3:GetObjectTagging

      • s3:PutBucketVersioning

      • s3:PutObjectVersionEtiquetado

      • s3:GetBucketVersioning

      • s3:GetBucketAcl

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

Restricciones

  • La función de protección DataLock y Ransomware no está disponible si configuró un almacenamiento de archivado en la política de backup.

  • La opción DataLock que seleccione al activar el backup y la recuperación de BlueXP debe utilizarse para todas las políticas de backup para ese clúster.

  • No puede utilizar varios modos DataLock en un único cluster.

  • Si activa DataLock, se bloquearán todas las copias de seguridad de los volúmenes. No se pueden mezclar backups de volúmenes bloqueados y no bloqueados para un solo clúster.

  • La protección DataLock y contra ransomware se aplica a nuevas copias de seguridad de volumen que utilicen una política de copia de seguridad con la protección DataLock y contra ransomware habilitada. Posteriormente puede habilitar o deshabilitar la opción de escaneo de Ransomware utilizando la opción Configuración avanzada.

  • Los volúmenes de FlexGroup pueden usar la protección DataLock y Ransomware solo si se utilizan ONTAP 9.13.1 o posterior.

Consejos sobre cómo mitigar los costes de DataLock

Puede habilitar o deshabilitar la función Ransomware Scan mientras mantiene activa la función DataLock. Para evitar cargos adicionales, se pueden deshabilitar los análisis programados de ransomware. Esto le permite personalizar su configuración de seguridad y evitar incurrir en costes por parte del proveedor de la nube.

Incluso si se deshabilitan los análisis programados de ransomware, puede seguir realizando análisis bajo demanda cuando sea necesario.

Puede elegir diferentes niveles de protección:

  • DataLock without ransomware scans: Proporciona protección para los datos de copia de seguridad en el almacenamiento de destino que puede estar en el modo Gobernanza o Cumplimiento.

    • Modo de gobernanza: Ofrece flexibilidad a los administradores para sobrescribir o eliminar datos protegidos.

    • Modo de cumplimiento: Proporciona una completa imposibilidad de borrado hasta que expire el período de retención. De este modo se cumplen los requisitos más estrictos de seguridad de datos de entornos altamente regulados. Los datos no se pueden sobrescribir ni modificar a lo largo de su ciclo de vida, lo que ofrece el nivel más sólido de protección para sus copias de backup.

      Nota En su lugar, Microsoft Azure utiliza el modo Bloquear y desbloquear.

  • DataLock with ransomware scans: Proporciona una capa adicional de seguridad para sus datos. Esta función ayuda a detectar cualquier intento de cambiar las copias de backup. Si se realiza algún intento, se crea discretamente una nueva versión de los datos. La frecuencia de exploración se puede cambiar a 1, 2, 3, 4, 5, 6 o 7 días. Si los escaneos se establecen en cada 7 días, los costos disminuyen significativamente.

Para obtener más consejos sobre cómo mitigar los costes de DataLock, consulte https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475

Además, puede obtener estimaciones del costo asociado con DataLock visitando el "Calculadora de coste total de propiedad (TCO) de backup y recuperación de BlueXP".

Opciones de almacenamiento de archivado

Al utilizar el almacenamiento en cloud de AWS, Azure o Google, puede mover archivos de backup antiguos a un tipo de almacenamiento de archivado más económico o a un nivel de acceso transcurridos un cierto número de días. También puede optar por enviar sus archivos de copia de seguridad al almacenamiento de archivos inmediatamente sin ser escrito en el almacenamiento en la nube estándar. Simplemente ingrese 0 como el “Archivo después de días” para enviar su archivo de copia de seguridad directamente al almacenamiento de archivos. Esto puede ser especialmente útil para los usuarios que rara vez necesitan acceder a los datos de backups en la nube o los usuarios que están reemplazando una solución de copia de seguridad a cinta.

No es posible acceder a los datos de los niveles de archivado inmediatamente cuando sea necesario y el coste de recuperación será superior, por lo que debe tener en cuenta con qué frecuencia puede necesitar restaurar los datos de los archivos de backup antes de decidir archivar los archivos de backup.

Nota

  • Aunque seleccione «0» para enviar todos los bloques de datos al almacenamiento en cloud de archivado, los bloques de metadatos se escriben siempre en almacenamiento en cloud estándar.

  • El almacenamiento de archivado no se puede utilizar si ha habilitado DataLock.

  • No puede cambiar la política de archivado después de seleccionar 0 días (archivo inmediatamente).

Cada directiva de copia de seguridad proporciona una sección para Archival Policy que puede aplicar a los archivos de copia de seguridad.

Captura de pantalla de la configuración de la directiva de archivado al crear una directiva de copia de seguridad.

  • En AWS, los backups comienzan en la clase de almacenamiento Standard y realizan la transición a la clase de almacenamiento Standard-Infrecuente Access tras 30 días.

    Si el clúster utiliza ONTAP 9.10.1 o superior, puede organizar en niveles los backups antiguos en el almacenamiento S3 Glacier o S3 Glacier Deep Archive. "Obtenga más información acerca del almacenamiento de archivado de AWS".

    • Si seleccionas ningún nivel de archivado en tu primera política de backup al activar el backup y la recuperación de BlueXP, S3 Glacier será tu única opción de archivado para futuras políticas.

    • Si selecciona S3 Glacier en su primera política de copia de seguridad, puede cambiar a la capa S3 Glacier Deep Archive para futuras políticas de copia de seguridad para ese cluster.

    • Si selecciona S3 Glacier Deep Archive en su primera política de copia de seguridad, ese nivel será el único nivel de archivado disponible para futuras políticas de copia de seguridad para ese cluster.

  • En Azure, los backups están asociados con el nivel de acceso Cool.

    Si su clúster utiliza ONTAP 9.10.1 o superior, puede organizar en niveles los backups anteriores en el almacenamiento de Azure Archive. "Obtenga más información sobre el almacenamiento de archivado de Azure".

  • En GCP, las copias de seguridad están asociadas con la clase de almacenamiento Standard.

    Si tu clúster on-premises utiliza ONTAP 9.12.1 o posterior, puedes elegir organizar en niveles los backups antiguos en el almacenamiento Archive en la interfaz de usuario de backup y recuperación de BlueXP después de un determinado número de días para optimizar los costes. "Más información sobre el almacenamiento de archivos de Google".

  • En StorageGRID, las copias de seguridad están asociadas con la clase de almacenamiento Standard.

    Si su clúster de on-prem utiliza ONTAP 9.12.1 o superior y su sistema StorageGRID utiliza 11.4 o superior, puede archivar archivos de backup antiguos en el almacenamiento de archivado en cloud público.

+ ** para AWS, puede organizar los backups en niveles en el almacenamiento AWS S3 Glacier o S3 Glacier Deep Archive. "Obtenga más información acerca del almacenamiento de archivado de AWS".

+ ** para Azure, puede organizar en niveles los backups antiguos para el almacenamiento Azure Archive. "Obtenga más información sobre el almacenamiento de archivado de Azure".