Por que imutável é diferente de offline
Backup offline (fita guardada no cofre) protege contra ataque, mas exige operação manual. Backup imutável protege contra ataque mesmo permanecendo online, porque o sistema operacional ou serviço impede deleção/alteração durante um período definido — mesmo por administrador com privilégio máximo. Grupos modernos (LockBit, BlackCat, Akira) atacam Veeam B&R, ESXi e Active Directory ANTES de cifrar produção. Imutabilidade é a única proteção que sobrevive a credencial comprometida.
Erros que invalidam a imutabilidade
- 1.Governance mode no S3 Object Lock. Governance permite remoção com permissão especial. Use Compliance para imutabilidade real.
- 2.Veeam Hardened com SSH+sudo do mesmo AD. Se a credencial AD cai, o atacante usa SSH+sudo. Use senha local isolada e MFA.
- 3.Esquecer de habilitar Object Lock na criação do bucket. Não pode ser habilitado depois. Bucket sem essa flag desde a criação é mutável para sempre.
- 4.Misturar dados imutáveis e mutáveis no mesmo bucket. Isso aumenta superfície e complica auditoria. Use bucket dedicado a imutáveis.
Implementação em 3 ambientes típicos
Escolha conforme volume, RTO e ambiente.
- 1
Opção A — AWS S3 Object Lock (nuvem)
Crie bucket S3 com Object Lock habilitado na criação. Configure modo Compliance (não permite remoção nem por root) com retention de 30-90 dias. Configure Veeam B&R para escrever nesse bucket via SOBR (Scale-Out Backup Repository) com tier de capacidade imutável. Custo: ~US$0,023/GB/mês + transferência.
- 2
Opção B — Veeam Hardened Repository (on-prem)
Instale Ubuntu 22.04 LTS em servidor dedicado (NÃO no AD). Crie usuário não-root para Veeam. Use ext4/XFS. No Veeam Console, adicione repositório Linux com flag 'This repository is hardened'. Veeam aplicará chattr +i nos backups por X dias. Setup completo em ~2h.
- 3
Opção C — Fita LTO em WORM (compliance)
Fitas LTO-7+ em modo WORM (Write Once Read Many). Veeam/Commvault escrevem e a fita física impede regravação. Custo por TB mais baixo no longo prazo. RTO maior (horas para localizar e ler). Ideal como 3ª cópia para retenção longa (7+ anos).
- 4
Defina retention adequada
Mínimo: 30 dias. Recomendado: 90 dias (cobre ataques que dormem antes de cifrar). Para setores regulados (saúde, financeiro): 1-7 anos conforme regulação.
- 5
Audite mensalmente
Tente deletar manualmente um arquivo via console: deve falhar. Documente o resultado. Audite acessos via CloudTrail (S3) ou auditd (Linux Hardened). Suspenda contas de auditoria 'que sumiram'.
Perguntas frequentes
Object Lock Compliance trava o bucket para sempre?
Não. Trava cada objeto pelo período de retention definido. Após o vencimento, pode ser deletado normalmente. Configure ciclo de 90 dias rotativos para custo controlado.
Veeam Hardened funciona em qualquer Linux?
Recomendamos Ubuntu 22.04 LTS ou RHEL 9 por estabilidade e suporte Veeam. Tecnicamente funciona em qualquer Linux com chattr.
Quanto custa proteger 50 TB?
S3 Object Lock: ~US$ 1.150/mês. Veeam Hardened on-prem: hardware ~US$ 8.000 (uma vez) + ~US$ 100/mês de operação. LTO WORM: ~US$ 5.000 setup + cartuchos.
Posso replicar backup imutável para outra região?
Sim e é recomendado. S3 Cross-Region Replication mantém Object Lock no destino. Veeam pode replicar para outro Hardened em DR.
Como combinar com 3-2-1-1-0?
Cópia local rápida (Veeam tradicional) + cópia imutável (S3 Object Lock ou Veeam Hardened) + cópia offsite (a própria S3 ou outro Hardened em DR). 1 imutável + 0 erros via teste mensal.
Quer apoio para implementar imutabilidade na sua empresa?
Consultoria de implementação Veeam + S3 Object Lock + restore tests.