ZFS_SEND | SSH > ZFS_RECV

En la era del ransomware automatizado y los limpiadores de discos (wipers), un disco de red (NAS) montado por SMB/NFS ya no es un backup válido. Si tu servidor es comprometido, el atacante simplemente cifrará la unidad de red.

La única defensa real On-Premise son los Backups Inmutables (Pull-based). ZFS hace que esto sea ridículamente fácil y eficiente.

La Arquitectura de Defensa

Servidor A (Producción): Proxmox corriendo nuestros contenedores y máquinas virtuales. Toma snapshots (instantáneas) locales cada hora.

Servidor B (Bóveda): Una máquina antigua, encendida en otra VLAN, dedicada exclusivamente a almacenamiento.

La clave es que el Servidor A no tiene acceso al Servidor B. Es el Servidor B (la Bóveda) quien se conecta por SSH al de producción, “toma” el snapshot y cierra la conexión.

El Comando Mágico (zfs send/recv)

ZFS permite enviar la diferencia binaria exacta entre dos snapshots a través de un túnel seguro.

Este script corre en la Bóveda (Pull)

Traemos la diferencia incremental del último snapshot de Producción

ssh [email protected] “zfs send -i zpool/data@snap1 zpool/data@snap2” | zfs receive vault/backups/data

¿Por qué esto detiene el Ransomware?

Si un atacante entra al Servidor A (Producción) y cifra todo zpool/data, no pasa nada. Al intentar acceder a la Bóveda, se encontrará con que la conexión está bloqueada (solo la Bóveda puede iniciar sesión hacia afuera, no al revés). Para restaurar, simplemente hacemos rollback al snapshot anterior en la Bóveda y reconstruimos.

“Si no has probado a restaurar tu backup, no tienes un backup; tienes esperanza.”