Mantenere la continuità operativa durante e dopo un attacco informatico è diventato un obiettivo strategico fondamentale, non solo per la cybersecurity aziendale, ma anche per la leadership IT e aziendale. Un'efficace Identity Threat Detection & Response (ITDR), che includa un piano documentato di backup e ripristino di Active Directory, è fondamentale per una forte resilienza operativa.
L'infrastruttura di identità - Active Directory per la maggior parte delle organizzazioni, spesso in combinazione con Entra ID, Okta o un altro servizio di directory basato su cloud - svolge un ruolo fondamentale nell'accesso e nell'autenticazione. In breve: se Active Directory è fuori uso, lo è anche la vostra azienda. Scoprite perché un piano di backup e ripristino di Active Directory è fondamentale per la resilienza informatica e aziendale e come ottenere il massimo dal vostro backup di Active Directory.
Scoprite l'impatto di una soluzione efficace di backup e ripristino di Active Directory
Perché è necessario un backup di Active Directory?
A più di due decenni dalla sua creazione, Active Directory rimane una parte fondamentale dell'infrastruttura IT aziendale. Un'implementazione di Active Directory consiste in:
- Domini: Una raccolta di oggetti che rappresentano risorse come utenti e dispositivi sulla rete.
- Alberi: Un insieme di domini collegati da relazioni di fiducia
- Foreste: Un gruppo di alberi
- Controller di dominio: Un server che esegue Active Directory Domain Services (AD DS), che memorizza le informazioni sugli oggetti, come nomi e password, e consente agli utenti autorizzati di accedere a tali informazioni.
Se Active Directory viene compromessa, le organizzazioni devono recuperare rapidamente. Dato il numero di applicazioni integrate con AD in un'azienda tipica, l'impossibilità di ripristinare Active Directory può essere un evento catastrofico. I tempi di inattività costano denaro e danneggiano la reputazione.
Negli anni passati, le principali minacce ad Active Directory erano rappresentate da disastri naturali ed errori operativi. Oggi, invece, le aziende devono fare i conti con un panorama di minacce che comprende bande di ransomware e altri aggressori che prendono di mira Active Directory:
- Escalation dei privilegi
- Mantenere la persistenza
- Rubare o compromettere i dati
Il ripristino rapido da un attacco informatico si basa su un backup di Active Directory privo di malware. Ma molte organizzazioni non hanno un piano specifico per il backup e il ripristino di AD, a parte gli altri sistemi.
Problemi di backup di Active Directory
Le API Microsoft supportano due tipi di backup:
- Un backup dello stato del sistema copia i file del sistema operativo e tutti i ruoli installati sul server.
- Un ripristino bare metal (BMR) comprende un ripristino dello stato del sistema ed eventuali altri volumi collegati al server.
Un backup dello stato del sistema o del BMR di Active Directory deve essere installato sulla stessa configurazione hardware su cui funzionava il servizio prima dell'evento informatico incriminato. Entrambi i tipi di backup contengono un componente essenziale del sistema operativo noto come hardware abstraction layer (HAL). L'HAL è l'interfaccia tra il sistema operativo e i driver hardware unici necessari per lavorare con la piattaforma hardware specifica del server.
Ad esempio, il tentativo di ripristinare un backup dello stato del sistema di una macchina virtuale VMware in una macchina virtuale Hyper-V non riesce. I driver VMware ripristinati non funzioneranno su un'infrastruttura hypervisor Hyper-V.
Le organizzazioni possono anche scegliere tra backup incrementali e completi. I backup incrementali eseguono il backup solo delle modifiche apportate dall'ultimo backup completo.
Questo approccio ha il vantaggio di utilizzare meno spazio di archiviazione, poiché si concentra solo sulle modifiche apportate agli oggetti. Tuttavia, i backup incrementali possono comportare un maggior lavoro durante il ripristino. Pertanto, si consiglia alle organizzazioni di eseguire sempre backup completi di Active Directory.
Il file più grande di un backup di Active Directory è il file di database NTDS.DIT, che viene contrassegnato come modificato per ogni backup. L'uso di backup incrementali rallenta il ripristino perché è necessario montare ogni backup incrementale invece di montare solo il backup più recente. Inoltre, se si perdono i backup incrementali, si perdono anche le modifiche.
Ad esempio, supponiamo di dover ripristinare Active Directory il giovedì. Se si eseguono backup completi la domenica e incrementali ogni due giorni, sarà necessario eseguire un ripristino completo dell'ambiente della domenica e poi montare ogni incremento.
Molte organizzazioni scelgono il modo più semplice di procedere: utilizzare Windows Server Backup. Una volta installato, può essere configurato per eseguire il backup automaticamente, secondo una pianificazione impostata dall'utente. Anche alcuni prodotti di terze parti dispongono di una funzione di pianificazione. Ma questo approccio esegue il backup di Active Directory come parte del backup del server.
Le migliori pratiche di backup di Active Directory
La capacità di ripristinare Active Directory inizia con il seguire le best practice per il backup di Active Directory. Ecco alcuni suggerimenti per gestire il processo.
Best practice n. 1: disaccoppiare il backup di Active Directory dai backup del sistema operativo e dei dati
Se i backup del controller di dominio includono lo stato del sistema, è molto probabile che questi backup contengano malware, perché la vita utile dei backup AD è breve e il tempo di permanenza del malware è lungo. Questo è un problema potenziale anche per i backup BMR che contengono file di avvio o di sistema.
Le soluzioni di protezione dei dati possono eseguire il backup dei file e dei dati sui controller di dominio. Tuttavia, il ripristino di una foresta Active Directory richiede molto di più.
Best practice n. 2: Eseguire il backup di almeno due controller di dominio per ogni dominio.
Il backup di due controller di dominio per ogni dominio della foresta Active Directory offre ridondanza. Archiviate i backup di Active Directory in modo sicuro e offline, oppure copiate le immagini di backup sullo storage blob di Azure o AWS.
Best practice n. 3: Non utilizzare i checkpoint per eseguire il backup di Active Directory su una macchina virtuale.
Non c'è nulla di sbagliato nel mettere Active Directory su macchine virtuali in un ambiente VMware o Hyper-V. Tuttavia, evitate la tentazione di affidarvi alle istantanee del controller di dominio per il ripristino di Active Directory, per diversi motivi:
- Un bosco recuperato da istantanee causerà probabilmente problemi di coerenza dei dati.
- Se il malware è presente su un controller di dominio quando viene scattata l'istantanea, il malware verrà ripristinato insieme al controller di dominio. (Questo vale per qualsiasi backup).
Best practice n. 4: eseguire regolarmente il backup di Active Directory
Con quale frequenza si deve eseguire il backup di Active Directory? La risposta dipende dall'obiettivo del punto di ripristino (RPO) dell'organizzazione. L'RPO rappresenta la quantità di tempo che può trascorrere prima che l'organizzazione perda una quantità inaccettabile di informazioni.
Ad esempio, supponiamo che il vostro RPO sia di 30 giorni. In questo caso, i dati di backup non dovrebbero mai avere più di 30 giorni. La maggior parte delle organizzazioni crea un backup di Active Directory ogni 24 ore.
Best practice n. 5: Testare il backup di Active Directory
Non lasciate il ripristino di Active Directory al caso. Assicuratevi che il vostro piano di disaster recovery includa test regolari del processo di backup e ripristino di AD (questo è particolarmente importante se prevedete di ripristinare AD manualmente, un processo complicato e lungo). (Questo è particolarmente importante se si prevede di ripristinare manualmente l'AD, un processo complicato che richiede molto tempo).
Come Semperis può aiutare a proteggere i backup AD
Gli esperti ITDR di Semperis hanno sviluppato Active Directory Forest Recovery ( ADFR) per consentire un backup e un ripristino di Active Directory rapidi e privi di malware. ADFR utilizza un processo brevettato per eseguire il backup della foresta di Active Directory eliminando la minaccia di reinfezione da malware. Secondo gli analisti di Forrester, ADFR riduce anche i tempi di backup e ripristino del 90%.
Insieme, la riduzione del tempo necessario per il backup e il ripristino di Active Directory e l'eliminazione della persistenza del malware possono far risparmiare a un'organizzazione quasi 4 milioni di dollari in termini di manodopera e perdite di fatturato legate agli attacchi. Per gli ambienti di identità ibridi che mantengono sia Active Directory che Entra ID, Semperis offre il Disaster Recovery per Entra ID. DRET esegue il backup delle politiche di accesso condizionale di Entra ID e degli oggetti di utenti, gruppi e ruoli su uno storage gestito sicuro certificato SOC 2 (Type II), consentendo un ripristino più rapido di un ambiente Active Directory ibrido.