Per anni, il backup ha rappresentato la misura di protezione dei dati per eccellenza. Duplicare le informazioni critiche e conservarle in un ambiente separato e sicuro è sempre stato un passo fondamentale per garantire la continuità operativa in caso di guasti, errori o incidenti.
Il backup non ha perso negli anni il suo ruolo primario nella data protection, ma le infrastrutture IT sono diventate più complesse e le minacce si sono evolute in modo radicale, obbligando a un ripensamento su come e dove proteggiamo i nostri dati. Infatti, oggi gli attacchi ransomware non si limitano a colpire i sistemi di produzione, ma prendono esplicitamente di mira i backup, cercando di eliminarli o comprometterli.
Fare il backup non basta più. Bisogna renderlo forte, resistente, inattaccabile. In una sola espressione: bisogna avere un backup immutabile.
Un backup immutabile è una replica dei dati progettata per non poter essere modificata o cancellata dopo la sua creazione per un periodo di tempo prestabilito. In altri termini, è irrevocabile.
Il backup immutabile non è una singola tecnologia né un prodotto. È piuttosto una proprietà del backup, ottenuta attraverso scelte architetturali, regole e meccanismi di protezione che rendono quella copia intoccabile, anche in presenza di errori umani, credenziali compromesse o attacchi informatici.
Nel backup classico, le copie di sicurezza restano potenzialmente esposte. Chi ha accesso amministrativo può cancellarle, sovrascriverle o ridurne la retention; uno script mal configurato può eliminarle; un ransomware può cifrarle insieme ai dati di produzione.
Il backup immutabile rompe questo schema. La copia viene scritta una volta e poi resa non alterabile fino alla scadenza della retention. Non importa chi tenta l’operazione o da dove: il sistema risponde semplicemente che quell’azione non è consentita. È questo vincolo tecnico, non aggirabile, a fare la differenza rispetto alle soluzioni tradizionali.
Non sorprende, quindi, che il backup immutabile stia diventando una componente sempre più centrale nelle strategie IT di molte aziende. Informazioni recenti mostrano che oltre l’80% delle aziende dispone di un piano di disaster recovery e che, al tempo stesso, circa il 62% ha già adottato soluzioni di backup immutabile.
Un backup diventa immutabile quando la sua protezione dipende da vincoli tecnici non aggirabili. In altri termini, non è l’operatore a decidere di non cancellare o alterare il backup, ma il sistema stesso a impedirlo. Vediamo gli elementi chiave.
Al momento della creazione, la copia di backup viene associata a un periodo di conservazione durante il quale non può essere modificata né eliminata. Fino alla scadenza di questo intervallo, qualsiasi tentativo di cancellazione o sovrascrittura viene rifiutato, anche se proviene da account con privilegi amministrativi.
A questo si affianca l’immutabilità a livello di storage, spesso basata su logiche write once, read many (WORM). In questo modello, lo storage accetta il dato in scrittura una sola volta e lo rende immediatamente di sola lettura. Il blocco non è applicato dal software di backup, ma è gestito dal layer che conserva fisicamente l’informazione, rendendo l’immutabilità molto più robusta.
Un ulteriore fattore determinante è la separazione dei ruoli e delle responsabilità. Le architetture più efficaci evitano che chi gestisce le operazioni di backup possa modificare le regole di immutabilità. Cambiare una retention, ridurla o disattivarla richiede spesso ruoli diversi, approvazioni o meccanismi di ritardo intenzionale, pensati per proteggere il sistema anche in caso di credenziali compromesse.
L’immutabilità viene rafforzata attraverso la separazione tra ambienti di produzione e repository di backup: credenziali dedicate, accessi limitati, infrastrutture isolate o logicamente disaccoppiate. Non c’è bisogno di un air gap fisico, ma di una scelta architetturale che riduce drasticamente la superficie di attacco.
Va sottolineato, infine, che non esiste un unico modo per rendere immutabile un backup. L’immutabilità può essere implementata tramite piattaforma di backup/data protection, storage on-premise, object storage in cloud o una combinazione di elementi. Ciò che conta è il risultato.
Il backup immutabile è una componente strutturale dei migliori piani di disaster recovery. In un piano di DR, infatti, convivono più livelli di protezione:
Tutti questi elementi presuppongono la disponibilità di copie integre e affidabili dei dati. Ecco perché il backup immutabile si colloca come punto di riferimento su cui il piano di disaster recovery può fare affidamento anche negli scenari più complessi e delicati.
È importante chiarire che non tutti i dati devono essere protetti tramite backup immutabile perché applicare l’immutabilità (in modo indiscriminato) aumenterebbe costi, complessità e rigidità operativa senza reali benefici. L’approccio corretto prevede una selezione consapevole: dati critici, sistemi core, informazioni sensibili o regolamentate, archivi indispensabili per il riavvio dei processi aziendali. È su questo perimetro che l’immutabilità esprime il massimo valore.
Nel contesto del disaster recovery, il backup immutabile viene quindi utilizzato come ultima linea di difesa, da attivare quando gli altri livelli di protezione non sono sufficienti. Non è pensato per il ripristino quotidiano o per gestire incidenti minori, ma per garantire una base solida da cui ripartire in caso di eventi distruttivi o compromissioni estese dell’infrastruttura.
Integrarlo nel DR significa anche allinearlo a RPO e RTO realistici, testarlo esplicitamente all’interno dei piani di recovery e trattarlo come una risorsa strategica, non come un semplice repository di informazioni chiave. In questo modo, il disaster recovery smette di essere un esercizio teorico e diventa una capacità concreta, fondata sulla certezza che esista sempre una copia dei dati non alterabile su cui fare affidamento.