> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/es/refuerza-tu-entorno/readme/cloud-backup-solutions.md).

# Soluciones de copia de seguridad en la nube

Use esta página para elegir un enfoque de copia de seguridad en la nube que siga funcionando después del ransomware.

Enfoque: capacidad de recuperación, retención y protección contra la eliminación de copias de seguridad.

## Google Drive y OneDrive

Los entornos de Google Drive y OneDrive no disponen de funciones nativas que les permitan restaurar sus datos tras un ataque de ransomware que haya eliminado sus versiones anteriores. Por lo tanto, es necesario considerar ciertas soluciones para realizar copias de seguridad periódicas de sus datos y protegerlos.

Se pueden considerar varias soluciones para lograr este objetivo, cada una con sus ventajas y desventajas.

#### Solución #1: Disco duro

Esta solución consiste en realizar copias de seguridad manuales de los archivos del entorno de Google Drive o OneDrive en un disco duro externo. Idealmente, la copia de seguridad de un entorno de OneDrive o Google Drive debería realizarse en al menos dos discos duros externos para evitar la pérdida de datos en caso de que uno de los discos falle. Aunque esta solución es la más sencilla de implementar, también es la más restrictiva.

#### Solución #2: NAS

Un NAS (almacenamiento conectado a la red) es un servidor físico de almacenamiento en red. Esta solución consiste en instalar una aplicación de sincronización en el NAS —a saber, Google Drive Desktop para un entorno de Google Workspace y OneDrive para un entorno de O365— para sincronizar periódicamente las unidades compartidas (Google Drive) y los sitios de SharePoint (OneDrive), y realizar copias de seguridad en los discos del NAS. También es posible utilizar ciertos tipos de RAID para mejorar la seguridad de los discos o la tolerancia a fallos en el NAS.

#### Solución #3: Espacio de almacenamiento AWS/Azure

Azure (Microsoft) y AWS (Amazon) ofrecen espacios de almacenamiento en la nube asequibles para guardar copias de seguridad. La idea es transferir regularmente todos los datos de los entornos de Google Drive y OneDrive a uno de estos espacios de almacenamiento, ya sea manualmente o automáticamente mediante un script y una máquina suscrita a uno de estos entornos. Se han desarrollado varias herramientas gratuitas y se actualizan con frecuencia para este fin, en concreto rclone y duplicity, que están diseñadas para permitir este tipo de transferencia.

#### Solución #4: Soluciones de terceros

Se pueden considerar ciertas soluciones de terceros si ninguna de las soluciones anteriores resulta adecuada. Estas soluciones facilitan mucho el uso de las copias de seguridad, pero tienen un coste financiero considerable. Este tipo de solución implica conceder a un servicio de terceros acceso a su entorno de Google Drive y OneDrive para que pueda recuperar datos automáticamente de forma periódica. Estas soluciones también proporcionan funciones de restauración de datos. Algunos ejemplos son Afi, Backupify, Spanning y SpinBackup.

#### Tabla resumen

Analizando todos estos escenarios, es posible definir ciertos criterios y clasificar todas estas soluciones en consecuencia, como se ilustra en la siguiente tabla:

<figure><img src="/files/c963cd14ecde29e3ac94062a86810e6d6b3ff17c" alt=""><figcaption></figcaption></figure>

## Azure

### Copias de seguridad inmutables de Azure

Las copias de seguridad de Azure pueden ser de dos tipos, Bóveda de copia de seguridad o Servicios de recuperación, según sus modelos de datos:

Hay 2 métodos para garantizar la inmutabilidad de estas copias de seguridad:

![datasources$ (1)](/files/ab0b5d05db15994dd0587c6a551d34abb6482116)

{% stepper %}
{% step %}

### Compruebe que la función Soft Delete esté habilitada.

De forma predeterminada, Soft Delete está habilitado en las bóvedas de Azure Recovery Services. Esta función protege las copias de seguridad frente a eliminaciones accidentales o malintencionadas durante un período de 14 días sin coste adicional. Si se eliminan las copias de seguridad y Soft Delete no está habilitado, ni usted ni Microsoft pueden recuperar los datos eliminados. Es necesario implementar la siguiente protección para evitar el siguiente escenario:

1. Compromiso del inquilino de Azure y de las bóvedas;
2. Deshabilitación de Soft Delete;
3. Eliminación de copias de seguridad;
4. Restauración;
5. Eliminación permanente.
   {% endstep %}

{% step %}

### Utilice la Autorización de múltiples usuarios (MUA) en la función Soft Delete.

MUA para Azure Backup utiliza un nuevo recurso llamado Resource Guard para garantizar que las operaciones críticas, como deshabilitar Soft Delete, detener y eliminar copias de seguridad, o reducir la retención de las directivas de copia de seguridad, solo se realicen con la autorización adecuada. Para comprender el proceso, es necesario entender 2 roles que deben definirse dentro de la organización de Azure:

1. Administrador de copias de seguridad: propietario de la bóveda de Recovery Services o de la bóveda de copia de seguridad que realiza en ellas las operaciones de administración y gestión;
2. Administrador de seguridad: propietario de Resource Guard, que actúa como custodio de las operaciones críticas de la bóveda. Por lo tanto, el Administrador de seguridad controla los permisos que el Administrador de copias de seguridad necesita para realizar operaciones críticas en la bóveda.

Para configurar MUA, debe:

* Verifique que Resource Guard y la bóveda de Azure Recovery Services se encuentren en la misma región de Azure;
* Verifique que el Administrador de copias de seguridad no tenga permisos de colaborador en Resource Guard. Puede tener Resource Guard en otra suscripción del mismo inquilino o en otro inquilino;
* Siga el [procedimiento oficial de Azure](https://learn.microsoft.com/en-us/azure/backup/multi-user-authorization?pivots=vaults-recovery-services-vault\&tabs=azure-portal).
  {% endstep %}
  {% endstepper %}

### Protección de sus operaciones críticas de Azure

Configurar bóvedas inmutables permite las siguientes protecciones:

* Servicios de recuperación: protege los datos contra la eliminación; impide la modificación o eliminación de la directiva de copia de seguridad para reducir la duración de la retención de datos.
* Bóvedas de copia de seguridad: protege los datos contra la eliminación

{% stepper %}
{% step %}

### Inicie sesión en su Portal de Azure y busque Bóvedas de Recovery Services, Bóvedas de copia de seguridad o la bóveda que desea proteger:

<figure><img src="/files/6d2b2688fd18715d7efcbef531936efddbb7b123" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Haga clic en la pestaña Propiedades para habilitar la bóveda inmutable y bloquear la bóveda durante la duración de la directiva de copia de seguridad

<figure><img src="/files/793691b8b05e6b554c069ef6fdac8107ac74e83a" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/87dfd23aaffb4f71959ce7188266a31a49b4a25e" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Nota: este paso no se puede deshacer; úselo con precaución para datos sensibles.
{% endhint %}
{% endstep %}

{% step %}

### Repita esta operación para las demás bóvedas necesarias para la continuidad del negocio.

{% endstep %}
{% endstepper %}

## AWS

### Solución degradada (sin permisos de SCP)

Nota: el primer paso debe repetirse para cada bucket de S3 que contenga datos sensibles o técnicos que puedan ser necesarios para producción.

{% stepper %}
{% step %}

### Cree una política de bucket de S3 que impida la eliminación de las versiones del bucket de S3.

1. En la [consola de Amazon S3](https://console.aws.amazon.com/s3/), abra el bucket y luego **Permisos**.

   <figure><img src="/files/8dde0331c38b82ea9dd25dc2b63406eae738f33e" alt=""><figcaption></figcaption></figure>
2. En **Política del bucket**, haga clic en **Editar**.
3. Sustituya la política de bucket existente (si la hay) por el JSON siguiente.

```json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyVersionDeletion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:DeleteObject*",
            "Resource": "arn:aws:s3:::my-bucket-name/*"
        }
    ]
}
```

{% hint style="info" %}
Reemplace `my-bucket-name` con el nombre de su bucket.
{% endhint %}
{% endstep %}

{% step %}

### Cree un mecanismo de alertas para detectar cualquier modificación o eliminación de este bucket.

1. Habilitar [AWS CloudTrail](https://console.aws.amazon.com/cloudtrail/) si aún no está habilitado.
2. Abra la [consola de Amazon EventBridge](https://console.aws.amazon.com/events/) (CloudWatch Events), luego vaya a **Reglas**.

   <figure><img src="/files/b36eaf6207df5d56050618eb6270a3fbc01f5c1d" alt=""><figcaption></figcaption></figure>
3. Haz clic en **Crear regla**. Seleccione **AWS API Call via CloudTrail** como tipo de evento.

   <figure><img src="/files/d5cee1c760390e95e68d350b0c0331f290a585c3" alt=""><figcaption></figcaption></figure>
4. Elija **Operaciones específicas** y añada:
   1. PutBucketPolicy
   2. DeleteBucketPolicy
   3. DeleteBucketLifecycle
   4. DeleteBucketPublicAccessBlock
   5. PutBucketPublicAccessBlock
   6. DeleteBucket como las operaciones sobre las que queremos recibir alertas.
5. Utilice el siguiente patrón de eventos:

```json
{
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["DeleteBucket", "DeleteBucketLifecycle", "DeleteBucketPolicy", "PutBucketPolicy", "DeleteBucketPublicAccessBlock", "PutBucketPublicAccessBlock"],
    "requestParameters": {
      "bucketName": ["my-bucket-name"]
    }
  }
}
```

{% hint style="info" %}
Reemplace `my-bucket-name` con el bucket que desea proteger.
{% endhint %}
{% endstep %}
{% endstepper %}

6. Configure el destino de la alerta (por ejemplo, un tema SNS para notificaciones o una función Lambda).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/es/refuerza-tu-entorno/readme/cloud-backup-solutions.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
