Estratégia de Backup 3-2-1-1-0
A estratégia 3-2-1-1-0 é uma evolução do modelo tradicional 3-2-1 de backups. O objetivo é reduzir riscos relacionados a falhas físicas, exclusão acidental, corrupção lógica, ataques ransomware e falhas silenciosas de recuperação.
O modelo adiciona mecanismos de imutabilidade e validação contínua, transformando o backup em um processo verificável e resiliente.
Estrutura do Modelo 3-2-1-1-0
O nome representa cinco requisitos operacionais:
- 3 cópias dos dados
- 2 tipos diferentes de mídia
- 1 cópia fora do ambiente principal
- 1 cópia offline ou imutável
- 0 erros verificados nos backups
Cada componente cobre uma categoria específica de falha.
3 Cópias dos Dados
O ambiente deve possuir ao menos três cópias distintas:
- Dados originais em produção
- Primeiro backup
- Segundo backup adicional
O objetivo é reduzir risco de perda simultânea causada por corrupção, falha de hardware ou erro operacional.
Exemplo:
| Tipo | Local |
|---|---|
| Produção | Banco PostgreSQL principal |
| Backup primário | NAS interno |
| Backup secundário | Object Storage externo |
2 Tipos Diferentes de Mídia
Utilizar tecnologias diferentes reduz falhas correlacionadas.
Exemplos válidos:
- Disco local + armazenamento em nuvem
- NAS + fita magnética
- SSD + object storage S3
- HDD local + armazenamento imutável remoto
Utilizar apenas múltiplos discos idênticos no mesmo storage não atende plenamente esse requisito, pois continua existindo dependência do mesmo controlador, firmware ou infraestrutura.
1 Cópia Off-site
Uma cópia deve estar fisicamente separada do ambiente principal.
Objetivos:
- Mitigar incêndio
- Mitigar roubo
- Mitigar desastre elétrico
- Mitigar falhas de datacenter
- Mitigar comprometimento completo da rede local
Exemplos:
- Bucket S3 em outra região
- Datacenter secundário
- Cofre externo
- Replicação entre provedores distintos
Backups armazenados apenas na mesma rede local não atendem esse requisito.
1 Cópia Offline ou Imutável
Esse é o principal diferencial do modelo moderno.
Backup Offline
O backup permanece desconectado da infraestrutura principal.
Exemplos:
- Fita removida do servidor
- Disco externo desconectado
- Storage air-gapped
Vantagem:
- Malware não consegue criptografar o backup desconectado
Desvantagem:
- Processo operacional mais lento
- Maior intervenção manual
Backup Imutável
O backup permanece acessível, porém não pode ser alterado ou excluído durante um período definido.
Exemplos:
- S3 Object Lock
- Immutable Blob Storage
- Snapshots WORM (Write Once Read Many)
Vantagens:
- Proteção contra ransomware
- Automação mais simples
- Retenção controlada
Desvantagens:
- Custo maior
- Exige planejamento de retenção
0 Erros Verificados
Backup sem validação é apenas uma suposição de recuperação.
O requisito “0” significa que os backups devem ser continuamente verificados.
Isso inclui:
- Verificação de checksum
- Testes automáticos de restauração
- Validação de integridade
- Auditoria de retenção
- Monitoramento de jobs
Exemplos de validação:
sha256sum backup.tar.zst
Teste periódico de restauração:
pg_restore --list backup.dump
Validação automatizada reduz riscos de:
- Corrupção silenciosa
- Backups incompletos
- Credenciais expiradas
- Objetos ausentes
- Falhas de retenção
Relação com Ransomware
O modelo 3-2-1 original foi criado antes da popularização massiva de ransomware moderno.
Atualmente, ataques frequentemente:
- Criptografam storages montados
- Excluem snapshots
- Apagam backups online
- Comprometem credenciais de backup
A inclusão da camada “1” adicional (offline ou imutável) busca impedir destruição simultânea dos backups.
Exemplo de Arquitetura
Cenário típico:
| Camada | Tecnologia |
|---|---|
| Produção | PostgreSQL |
| Backup local | Restic em NAS |
| Backup remoto | S3 compatível |
| Imutabilidade | Object Lock |
| Verificação | Restore automatizado em CI |
Fluxo:
- Backup gerado localmente
- Backup enviado para storage remoto
- Object Lock aplicado
- Checksums validados
- Restore de teste executado periodicamente
Vantagens
- Alta resiliência operacional
- Proteção contra ransomware
- Recuperação auditável
- Redução de ponto único de falha
- Melhor aderência a requisitos de compliance
Desvantagens
- Custo maior de armazenamento
- Complexidade operacional superior
- Necessidade de monitoramento contínuo
- Testes de restauração exigem automação adequada
Conclusão
O modelo 3-2-1-1-0 amplia o conceito tradicional de backup ao incorporar imutabilidade e validação contínua. Em ambientes modernos, especialmente expostos a ransomware e falhas distribuídas, apenas múltiplas cópias não são suficientes.
Backups precisam ser:
- Redundantes
- Isolados
- Imutáveis
- Verificados
- Recuperáveis na prática