Backup Air-Gapped: A Última Linha de Defesa Contra Ransomware
Backup air-gapped é a única cópia que o ransomware não consegue alcançar. Entenda como funciona o isolamento físico e lógico, compare com backup imutável e offline, e veja como implementar por porte de empresa — com guia passo a passo e requisitos de compliance.
Pontos-Chave deste Artigo
- 93% dos ataques de ransomware miram explicitamente os repositórios de backup, segundo o Veeam Ransomware Trends Report — backup air-gapped é a única cópia que o atacante não consegue alcançar.
- Air gap pode ser físico (fita LTO, HD externo desconectado) ou lógico (nuvem com credenciais isoladas, API restrita e imutabilidade) — ambos eliminam o vetor de ataque via rede.
- Empresas com backup air-gapped reduzem o tempo de recuperação de semanas para horas e evitam pagamento de resgate, segundo dados da Coveware.
- A regra 3-2-1 recomendada pelo CISA evoluiu para 3-2-1-1-0: 3 cópias, 2 mídias, 1 offsite, 1 air-gapped e 0 erros no teste de restore.
- Compliance com
LGPD,ISO 27001eBACENexige comprovação de cópia isolada — air gap atende aos três frameworks simultaneamente.
O Que É Backup Air-Gapped
Backup air-gapped (ou backup com "lacuna de ar") é uma cópia de segurança dos dados que permanece fisicamente ou logicamente desconectada de qualquer rede — incluindo a rede corporativa, a internet e qualquer sistema de armazenamento acessível online. O conceito de air gap (lacuna de ar) vem do universo militar e de inteligência, onde sistemas com informações classificadas são mantidos sem nenhuma conexão externa para impedir espionagem e ciberataques. Um computador air-gapped não possui cabo de rede, não está conectado a Wi-Fi e não tem nenhuma interface de comunicação ativa.
Aplicado ao backup corporativo, o air gap segue o mesmo princípio: se a cópia de segurança não está conectada a nada, o ransomware — que se propaga pela rede — simplesmente não tem como alcançá-la. Não importa se o atacante obteve credenciais de administrador, se comprometeu o Active Directory ou se criptografou todos os servidores de produção. A cópia air-gapped permanece intacta porque nunca esteve acessível durante o ataque.
Por que o air gap se tornou essencial
A necessidade de backup air-gapped explodiu nos últimos anos por um motivo concreto: o ransomware moderno foi projetado para destruir backups. Segundo o Veeam Ransomware Trends Report, 93% dos ataques de ransomware tentam comprometer os repositórios de backup. O Sophos State of Ransomware complementa: em 57% dos casos, os criminosos conseguem comprometer parcial ou totalmente os backups da vítima.
Antes, bastava ter um backup corporativo funcional para se recuperar de um ataque. Hoje, os grupos como LockBit, BlackCat e Cl0p mapeiam toda a infraestrutura da vítima antes de detonar a carga — e o primeiro alvo é o servidor de backup. Se encontram backups acessíveis pela rede, criptografam ou deletam tudo antes de atacar os servidores de produção. O resultado: a empresa fica sem dados de produção e sem backup para restaurar.
Cenário real: backups online criptografados
Considere o seguinte cenário, documentado em relatórios da Coveware: uma empresa de médio porte com 200 funcionários é atacada por um grupo de ransomware. A equipe de TI, confiante, afirma que possui backups diários em um NAS na rede e réplicas em um segundo servidor. O atacante, porém, passou 11 dias dentro da rede antes de detonar. Nesse período, identificou os dois servidores de backup, extraiu as credenciais do software de backup e, no momento do ataque, criptografou simultaneamente os servidores de produção, o NAS e o servidor de réplica. A empresa ficou com zero cópias recuperáveis e acabou pagando US$ 380.000 de resgate — sem garantia de recuperação completa.
Se essa empresa tivesse uma única cópia air-gapped — uma fita LTO em um cofre, um HD externo desconectado ou um bucket de nuvem com credenciais totalmente separadas e imutabilidade ativada — teria restaurado os dados em horas, sem pagar um centavo. Para entender a escala do problema no país, veja nosso panorama de ransomware no Brasil em 2026.
Air Gap Físico vs Lógico: Comparativo Completo
Existem duas abordagens fundamentais para implementar air gap em backup: o isolamento físico e o isolamento lógico. Cada um tem vantagens, limitações e cenários ideais de aplicação. A escolha depende do porte da empresa, do orçamento, dos requisitos de compliance e da tolerância ao RPO (Recovery Point Objective).
Air gap físico
O air gap físico é o conceito original: a mídia de backup é desconectada fisicamente de qualquer rede após a gravação dos dados. As formas mais comuns incluem:
- Fita LTO: A mídia é gravada e armazenada em cofre ou sala-cofre. Sem leitor conectado, o ransomware não tem como acessar a fita. É a forma mais pura de air gap e a preferida para compliance rigoroso.
- HD externo rotativo: Dois ou mais HDs externos são utilizados em rodízio — um conectado para backup, outro guardado desconectado. Após a gravação, o HD é fisicamente removido.
- NAS desconectado: Um NAS que é ligado e conectado à rede apenas durante a janela de backup, sendo desligado e desconectado logo após a conclusão.
Air gap lógico
O air gap lógico mantém os dados em storage acessível por rede, mas utiliza controles que impedem qualquer acesso não autorizado e tornam os dados imutáveis:
- Nuvem com credenciais separadas: O storage de backup usa credenciais completamente independentes da infraestrutura corporativa. Mesmo que o atacante comprometa o Active Directory, não consegue acessar o backup.
- API restrita: O acesso é permitido apenas via API de escrita (push), sem capacidade de leitura ou deleção pela mesma interface. O backup envia dados; ninguém além do sistema de restore pode lê-los.
- Imutabilidade (
WORM): Os dados gravados não podem ser alterados ou deletados por um período definido, mesmo com credenciais de administrador root. Tecnologias comoObject LockemS3implementam isso em nível de storage.
Tabela comparativa: air gap físico vs lógico
| Critério | Air Gap Físico | Air Gap Lógico |
|---|---|---|
| Nível de isolamento | Total — sem conexão de rede | Alto — credenciais separadas + imutabilidade |
| Automação | Manual ou semi-automático (conectar/desconectar mídia) | Totalmente automatizável (agendamento + API) |
| Custo inicial | Médio (fita LTO: R$ 8.000–25.000; HD externo: R$ 500–2.000) | Baixo (assinatura mensal a partir de R$ 159,90) |
| Escalabilidade | Limitada — exige compra de novas mídias | Elástica — aumenta conforme a necessidade |
| Compliance rigoroso | Atende a todos (BACEN, saúde, militar) | Atende à maioria (LGPD, ISO 27001, PCI DSS) |
| RTO (tempo de recuperação) | Horas a dias (depende de localização da mídia) | Minutos a horas (acesso via rede controlada) |
| Manutenção | Alta — rotação manual, inspeção de mídias, armazenamento físico | Baixa — monitoramento automatizado via dashboard |
| Proteção contra ransomware | Máxima — atacante precisaria de acesso físico | Muito alta — atacante precisaria de credenciais separadas + burlar imutabilidade |
Na prática, a combinação das duas abordagens oferece a proteção mais robusta. Empresas com exigências regulatórias rigorosas mantêm air gap físico para compliance e air gap lógico para operação diária. Essa estratégia se alinha à evolução da regra 3-2-1 para o modelo 3-2-1-1-0, onde o segundo "1" representa especificamente uma cópia air-gapped ou offline.
Como o Ransomware Ataca Seus Backups (e Por Que Air Gap É a Resposta)
Para entender o valor real do air gap, é preciso conhecer os vetores de ataque que o ransomware usa contra backups. Grupos modernos como LockBit 3.0, Black Basta e Akira não são amadores experimentando com scripts — são operações profissionais com divisões de reconhecimento, intrusão e negociação. A destruição de backups é parte planejada da cadeia de ataque. Para um panorama completo das variantes, consulte nosso guia sobre tipos de ransomware.
Vetor 1: Roubo de credenciais do backup admin
O atacante compromete o Active Directory ou captura credenciais via Mimikatz e acessa o console de gerenciamento do software de backup. A partir daí, deleta jobs de backup, remove pontos de restauração e desabilita alertas — antes de detonar a carga. Sem air gap, não sobra nada para restaurar.
Vetor 2: Criptografia de storage conectado à rede
Qualquer NAS, SAN ou servidor de backup acessível via SMB, NFS ou iSCSI pode ser criptografado se o atacante tiver credenciais de rede ou explorar vulnerabilidades no protocolo de compartilhamento.
Vetor 3: Comprometimento do agente de backup
Alguns ransomware identificam e comprometem o agente de backup instalado nos servidores, usando-o para deletar ou corromper os dados já armazenados no repositório.
Vetor 4: Deleção de snapshots e shadow copies
Uma das primeiras ações de qualquer ransomware moderno é executar vssadmin delete shadows /all /quiet para eliminar todas as cópias de shadow (VSS) do Windows, impedindo restauração rápida.
Vetor 5: Acesso a backup em nuvem sem imutabilidade
Se o backup em nuvem usa as mesmas credenciais da infraestrutura corporativa e não tem Object Lock ativado, o atacante pode acessar o console do provedor e deletar todos os backups armazenados.
Tabela: métodos de ataque vs proteção com e sem air gap
| Método de Ataque | Sem Air Gap | Com Air Gap Físico | Com Air Gap Lógico |
|---|---|---|---|
| Roubo de credenciais do backup admin | Backup deletado ou corrompido | Protegido — mídia desconectada | Protegido — credenciais separadas |
| Criptografia de storage em rede | Backup criptografado junto | Protegido — sem acesso de rede | Protegido — imutabilidade impede alteração |
| Comprometimento do agente de backup | Repositório corrompido via agente | Protegido — mídia não acessível | Protegido — API de escrita sem deleção |
| Deleção de snapshots/VSS | Snapshots eliminados | Protegido — cópia independente | Protegido — cópia independente |
| Acesso a backup em nuvem | Backups deletados no console | Protegido — mídia offline | Protegido — Object Lock em Compliance mode |
A conclusão é clara: sem air gap, o ransomware tem cinco caminhos para destruir seus backups. Com air gap — físico ou lógico — todos esses caminhos são bloqueados. Para estratégias completas de recuperação, consulte nosso guia sobre como recuperar dados após ransomware.
Implementando Backup Air-Gapped: Guia Passo a Passo
A implementação de air gap varia conforme a abordagem escolhida. Abaixo, detalhamos o processo completo para as duas modalidades — air gap físico e air gap lógico. Em ambas, o princípio fundamental é o mesmo: a cópia de backup deve estar inacessível pela rede durante a maior parte do tempo.
Implementação de air gap físico: 6 etapas
- Defina a mídia e o esquema de rotação. Escolha entre fita LTO, HD externo ou NAS dedicado. Para fita, o esquema GFS (Grandfather-Father-Son) é o mais comum: backups diários (Son), semanais (Father) e mensais (Grandfather) com retenção diferenciada. Para HD externo, utilize no mínimo 3 unidades em rodízio (A, B, C) — enquanto uma recebe o backup, as outras duas ficam guardadas desconectadas.
- Configure a janela de backup. Defina um horário fixo (geralmente noturno) para a execução do backup. O processo deve incluir: conectar a mídia (fisicamente ou ligar o NAS), executar o backup, verificar integridade (checksum) e desconectar a mídia. A janela deve ser suficiente para o volume de dados — considere backup incremental para reduzir o tempo.
- Automatize o que for possível. Utilize scripts para iniciar o backup automaticamente quando a mídia for conectada. Monitore via alertas (e-mail ou webhook) se o backup concluiu com sucesso. A única etapa que permanece manual é a conexão/desconexão física da mídia.
- Documente o processo operacional. Crie um procedimento escrito (runbook) detalhando: quem conecta a mídia, em que horário, onde a mídia é armazenada, quem tem acesso ao cofre e qual o procedimento em caso de falha. Esse documento é exigido em auditorias de ISO 27001.
- Armazene em local seguro e separado. A mídia air-gapped deve ser guardada em cofre resistente a fogo e umidade, preferencialmente em local físico diferente do datacenter principal. Isso protege também contra desastres como incêndios e inundações — complementando sua estratégia de disaster recovery.
- Teste o restore periodicamente. De nada adianta ter uma fita em cofre se ela não restaura. Execute testes trimestrais de restauração completa a partir da mídia air-gapped, em ambiente isolado. Valide integridade dos dados, tempo de recuperação (RTO) e completude. Documente os resultados — veja mais em nosso guia sobre teste de restore de backup.
Implementação de air gap lógico: 6 etapas
- Provisione storage em nuvem com credenciais isoladas. Crie uma conta de nuvem (ou subscrição) completamente separada da infraestrutura corporativa. As credenciais de acesso não devem estar no Active Directory, no cofre de senhas corporativo ou em qualquer sistema conectado à rede de produção. Utilize
MFAdedicado (hardware token ou app separado). - Ative imutabilidade (Object Lock / WORM). Configure o bucket ou container de armazenamento com imutabilidade em modo Compliance (não Governance, que pode ser desabilitado por root). Defina o período de retenção conforme a política de backup da empresa — tipicamente 30, 60 ou 90 dias. Isso garante que nem mesmo credenciais de administrador consigam deletar ou alterar os dados.
- Configure a política de acesso restritivo. A conta de backup deve ter permissão exclusiva de escrita (push) pelo agente de backup. A permissão de leitura (restore) deve exigir um segundo fator de autenticação independente. Não deve existir permissão de deleção — a imutabilidade cuida da expiração automática.
- Implemente criptografia end-to-end. Os dados devem ser criptografados com AES-256 antes de sair do servidor de origem (criptografia client-side). A chave de criptografia deve ser armazenada separadamente do storage de backup. Assim, mesmo em cenário de comprometimento do provedor de nuvem, os dados permanecem ilegíveis.
- Agende backup automatizado com verificação. Configure o software de backup para enviar dados ao storage air-gapped em horário definido (diário para dados críticos, semanal para dados menos críticos). Após cada backup, execute verificação automática de integridade (checksum SHA-256) e envie alerta em caso de falha.
- Realize Restore Drill periódico. Agende testes trimestrais de restauração completa a partir da cópia air-gapped. O teste deve ser feito em ambiente isolado (sandbox), validando: integridade dos arquivos, tempo real de recuperação, funcionalidade das aplicações restauradas e completude dos dados. Mantenha registro formal para auditoria.
Para um detalhamento completo do planejamento de backup, incluindo definição de RPO, RTO e políticas de retenção, consulte nosso guia dedicado.
Backup Air-Gapped vs Imutável vs Offline: Entenda as Diferenças
Os termos air-gapped, imutável e offline são frequentemente usados como sinônimos, mas representam conceitos distintos com implicações técnicas e operacionais diferentes. Entender as diferenças é essencial para montar uma estratégia de proteção completa — e para responder corretamente em auditorias de compliance.
Definições precisas
- Backup air-gapped: Cópia isolada da rede (física ou logicamente). O princípio é a inacessibilidade — o ransomware não consegue chegar até os dados porque não existe caminho de rede.
- Backup imutável: Cópia que não pode ser alterada, sobrescrita ou deletada por um período definido, independentemente das credenciais. O princípio é a inalterabilidade — mesmo acessível pela rede, os dados não podem ser modificados. Tecnologia base:
WORM(Write Once, Read Many) ouObject Lock. - Backup offline: Cópia armazenada em mídia não energizada (fita, HD externo desligado). O princípio é a desconexão — similar ao air gap físico, mas o termo é mais amplo e nem sempre implica os controles de segurança do air gap (cofre, documentação, rotação).
Tabela comparativa: air-gapped vs imutável vs offline
| Dimensão | Air-Gapped | Imutável | Offline |
|---|---|---|---|
| Conexão com a rede | Desconectado (físico) ou isolado (lógico) | Conectado, mas protegido por WORM | Desconectado e desligado |
| Proteção contra deleção remota | Sim — sem caminho de rede | Sim — Object Lock impede deleção | Sim — mídia desligada |
| Proteção contra criptografia por ransomware | Sim — inacessível | Sim — dados não podem ser sobrescritos | Sim — mídia não energizada |
| Automação | Parcial (físico) a total (lógico) | Total | Manual |
| RTO (tempo de restauração) | Horas (físico) a minutos (lógico) | Minutos a horas | Horas a dias |
| Custo operacional | Médio a alto | Baixo a médio | Baixo (mídia barata, mas processo manual) |
| Compliance (ISO 27001, BACEN) | Atende plenamente | Atende à maioria dos requisitos | Atende se documentado e controlado |
| Risco de dados desatualizados | Médio — depende da frequência de sincronização | Baixo — backup contínuo ou frequente | Alto — geralmente semanal ou mensal |
Quando usar cada estratégia
- Apenas air-gapped: Quando compliance exige isolamento físico comprovável (setores militar, governo, saúde com dados ultra-sensíveis).
- Apenas imutável: Quando a prioridade é RTO baixo e automação completa, sem exigência regulatória de air gap físico.
- Apenas offline: Microempresas com orçamento limitado e volume pequeno de dados — um HD externo guardado fora do escritório já é melhor que nada.
- Combinação air-gapped + imutável (recomendado): A abordagem mais robusta. Backup imutável na nuvem para restauração rápida (RTO baixo) + cópia air-gapped para proteção absoluta. É o padrão recomendado pelo NIST Cybersecurity Framework.
Air Gap por Porte de Empresa
Não existe abordagem única de air gap que sirva para todas as empresas. Uma startup com 5 funcionários tem necessidades radicalmente diferentes de um banco com 5.000. A tabela abaixo apresenta recomendações práticas por porte, incluindo abordagem sugerida, investimento estimado e ferramentas adequadas.
| Porte | Funcionários | Abordagem Recomendada | Investimento Estimado | Ferramentas |
|---|---|---|---|---|
| Micro | 1–10 | HD externo em rodízio (2 unidades) + backup em nuvem gerenciado | R$ 500–1.500 (hardware) + R$ 159,90/mês (nuvem) | HD externo USB 3.0 + DataBackup Cloud |
| Pequena | 11–50 | Air gap lógico na nuvem com imutabilidade + HD externo semanal | R$ 299,90–599,90/mês (nuvem) + R$ 1.000–3.000 (HDs) | DataBackup Cloud com Object Lock + HD externo rotativo |
| Média | 51–250 | Air gap lógico (nuvem imutável) + air gap físico mensal (fita ou HD) | R$ 899,90–2.499,90/mês (nuvem) + R$ 8.000–15.000 (drive LTO) | DataBackup Cloud + fita LTO-9 ou NAS dedicado com desconexão automatizada |
| Grande | 250+ | Air gap lógico (nuvem imutável multi-região) + air gap físico (biblioteca de fitas com rotação GFS) + DRaaS | R$ 3.999,90+/mês (nuvem + DRaaS) + R$ 25.000–80.000 (biblioteca de fitas) | DataBackup Cloud Enterprise + biblioteca de fitas automatizada + Disaster Recovery as a Service |
Recomendações práticas por porte
Microempresas: O investimento mínimo que protege contra ransomware é surpreendentemente baixo. Dois HDs externos de 2 TB em rodízio (um em uso, outro guardado em casa ou no cofre do contador) já constituem um air gap físico funcional. Combine com backup em nuvem gerenciado da DataBackup para ter air gap lógico com imutabilidade. Custo total: menos de R$ 200/mês + R$ 500 de hardware inicial.
Pequenas empresas: A prioridade é automatizar o air gap lógico na nuvem e manter o air gap físico como rotina semanal. O HD externo semanal é o "seguro contra catástrofe" — mesmo que tudo mais falhe, você tem uma cópia de no máximo 7 dias atrás. Configure alertas automáticos para garantir que a rotina não seja esquecida.
Médias empresas: A complexidade aumenta e a automação se torna crítica. O air gap lógico na nuvem deve ser o mecanismo primário, com backup diário e imutabilidade de pelo menos 30 dias. O air gap físico (fita LTO mensal) serve como última linha de defesa e para atender compliance. Considere um cronograma de backup formal documentado.
Grandes empresas: Exigem arquitetura multicamada: backup local para RTO mínimo, backup em nuvem imutável para air gap lógico, biblioteca de fitas automatizada para air gap físico, e DRaaS para continuidade de negócios. Toda a operação deve ter SLAs definidos, runbooks documentados e testes trimestrais auditáveis.
Air Gap e Compliance: LGPD, ISO 27001, BACEN
Além da proteção técnica contra ransomware, o backup air-gapped é um componente cada vez mais exigido — explícita ou implicitamente — por frameworks regulatórios. Empresas que operam em setores regulados (financeiro, saúde, governo) ou que tratam dados pessoais em volume precisam demonstrar que possuem cópias de segurança isoladas e resilientes.
Como o air gap atende cada regulação
| Regulação | Requisito Relevante | Como Air Gap Atende | Evidência Necessária para Auditoria |
|---|---|---|---|
| LGPD (Art. 46) | Medidas técnicas e administrativas para proteger dados pessoais de acessos não autorizados e situações ilícitas | Air gap impede acesso não autorizado aos backups contendo dados pessoais — ransomware não alcança a cópia isolada | Política de backup documentada, registros de execução, testes de restore, controle de acesso à mídia |
| ISO 27001 (A.8.13 / A.12.3) | Cópias de segurança devem ser testadas regularmente e protegidas contra modificação e deleção não autorizadas | Air gap garante proteção contra modificação/deleção; testes de restore comprovam eficácia | Procedimento de backup e restore, logs de execução, relatórios de Restore Drill trimestrais |
| BACEN (Res. 4.893 / Circ. 3.909) | Política de segurança cibernética com procedimentos de backup, recuperação e continuidade de negócios; dados críticos com proteção reforçada | Air gap físico ou lógico com credenciais separadas atende ao requisito de proteção reforçada para dados financeiros críticos | Plano de continuidade de negócios, procedimento de air gap documentado, testes semestrais, relatório de conformidade |
| PCI DSS (Req. 3, 9, 10) | Proteção de dados do titular do cartão em repouso e em trânsito; controle de acesso a mídias de backup; trilha de auditoria | Air gap com criptografia protege dados PAN/CHD em repouso; controle físico da mídia atende ao requisito de acesso | Inventário de mídias, registros de movimentação, criptografia comprovada, logs de acesso |
| Resolução ANS (Saúde) | Garantia de disponibilidade e integridade dos dados de beneficiários e prontuários | Air gap protege prontuários e dados de beneficiários contra destruição por ransomware | Plano de proteção de dados de saúde, procedimento de backup isolado, testes de restore documentados |
Para detalhamento específico de cada regulação, consulte nossos guias sobre LGPD e backup, ISO 27001 e backup e compliance BACEN.
Dica prática para auditorias
Auditores não querem apenas saber que você tem air gap. Eles querem evidência documental: procedimentos escritos, registros de execução com timestamps, relatórios de testes de restore e controle de acesso à mídia. A DataBackup gera automaticamente relatórios de compliance com todos esses dados, prontos para apresentação em auditoria.
5 Erros Comuns na Implementação de Air Gap
Mesmo empresas que investem em air gap cometem erros que comprometem a eficácia da proteção. Identificamos os cinco mais frequentes — e como evitá-los.
Erro 1: Air gap que não é air gap
O erro mais comum é acreditar que um NAS ou servidor de backup conectado à rede corporativa com "acesso restrito" é air gap. Não é. Se o dispositivo está conectado à rede e energizado, ele pode ser alcançado por ransomware com credenciais comprometidas. Air gap real exige desconexão física ou isolamento lógico com credenciais totalmente separadas e imutabilidade.
Como evitar: Teste seu air gap tentando acessar o storage de backup a partir de um servidor de produção. Se conseguir — mesmo com credenciais de admin —, não é air gap.
Erro 2: Nunca testar o restore
Ter uma fita LTO em um cofre durante 2 anos sem jamais testar se os dados restauram é uma falsa sensação de segurança. Mídias degradam, formatos mudam, software é atualizado. No momento do desastre, descobrir que a fita está corrompida é devastador.
Como evitar: Execute testes trimestrais de restore a partir da cópia air-gapped. Documente tempo de restauração, integridade dos dados e funcionalidade das aplicações. Veja nosso guia completo sobre teste de restore de backup.
Erro 3: Usar as mesmas credenciais para produção e backup
Se o storage de backup em nuvem usa as mesmas credenciais do Active Directory corporativo (ou Single Sign-On), o air gap lógico está comprometido. O atacante que obtiver acesso ao AD terá acesso direto ao backup.
Como evitar: Credenciais do storage air-gapped devem ser completamente independentes: conta separada, e-mail separado, MFA com hardware token dedicado. Nunca use SSO corporativo para acesso ao backup.
Erro 4: Não documentar o processo
Um air gap físico que depende do conhecimento de um único funcionário é um desastre esperando para acontecer. Se essa pessoa estiver de férias, doente ou sair da empresa, ninguém sabe onde está a fita, qual a senha ou como restaurar.
Como evitar: Crie um runbook detalhado com: localização das mídias, senhas (em cofre de senhas separado), procedimento de restore passo a passo e lista de responsáveis com backup de pessoal. Revise semestralmente.
Erro 5: Ignorar o intervalo entre backups air-gapped
Um air gap físico atualizado mensalmente significa que, no pior cenário, você pode perder até 30 dias de dados. Para dados críticos como ERP, financeiro e e-mail corporativo, isso pode ser inaceitável.
Como evitar: Defina o RPO tolerável para cada tipo de dado. Dados críticos precisam de air gap diário (preferencialmente lógico, para viabilizar a automação). Dados menos críticos podem ter air gap semanal ou mensal.
Como a DataBackup Implementa Air Gap Lógico na Nuvem
A DataBackup oferece air gap lógico como parte nativa da plataforma de backup corporativo em nuvem, combinando três camadas de proteção que, juntas, oferecem isolamento equivalente ao air gap físico — mas com a praticidade e o RTO de uma solução online.
Camada 1: Imutabilidade nativa
Todos os backups armazenados na nuvem da DataBackup utilizam tecnologia de imutabilidade em modo Compliance. Isso significa que os dados gravados não podem ser alterados, sobrescritos ou deletados durante o período de retenção configurado — nem mesmo por administradores com acesso root ao storage. O ransomware que conseguisse acesso ao storage (cenário já improvável) encontraria dados que simplesmente não podem ser modificados.
Camada 2: Cofre de credenciais isolado
As credenciais de acesso ao storage de backup na DataBackup são completamente separadas da infraestrutura do cliente. Não existe integração com Active Directory, LDAP ou SSO corporativo do cliente. O acesso é feito via API com token dedicado e MFA independente. Isso elimina o vetor de ataque mais comum: comprometimento de credenciais corporativas para acessar backups.
Camada 3: Acesso restrito por API
O agente de backup instalado nos servidores do cliente tem permissão exclusiva de escrita (upload de dados). A operação de restore exige autenticação adicional via console da DataBackup, com segundo fator independente. Não existe interface de deleção acessível ao agente — a expiração dos dados é controlada pela política de retenção com imutabilidade.
Criptografia AES-256 client-side
Os dados são criptografados com AES-256 no servidor de origem, antes de serem transmitidos. A chave de criptografia é controlada exclusivamente pelo cliente — a DataBackup nunca tem acesso a ela (zero-knowledge). Mesmo em cenário de comprometimento do storage, os dados são ilegíveis sem a chave.
Restore Drill automatizado
A DataBackup inclui funcionalidade de Restore Drill agendado: testes automatizados de restauração completa a partir da cópia air-gapped, executados em ambiente sandbox isolado. O sistema valida integridade (checksum SHA-256), completude dos dados e tempo de recuperação, gerando relatório formal para auditoria de compliance. Isso elimina o risco de descobrir que o backup não restaura apenas no momento do desastre.
Monitoramento e alertas 24/7
O dashboard da DataBackup monitora continuamente o status de todos os backups, incluindo a cópia air-gapped. Alertas automáticos são disparados em caso de falha de backup, atraso na janela, inconsistência de checksum ou tentativa de acesso não autorizado. A equipe de suporte é notificada simultaneamente para ação proativa.
Para conhecer os planos disponíveis e começar a proteger sua empresa com air gap lógico na nuvem, veja nossos planos ou fale com um especialista.
Checklist Final: Air Gap em 10 Passos
Para facilitar a implementação, consolidamos as recomendações deste guia em um checklist acionável:
- Mapeie seus dados críticos — identifique quais sistemas e bancos de dados precisam de cópia air-gapped (ERP, financeiro, dados pessoais LGPD, e-mail corporativo).
- Defina RPO e RTO por categoria — dados críticos exigem air gap diário; dados secundários podem ter air gap semanal. Veja nosso guia sobre RTO e RPO.
- Escolha a abordagem — air gap físico, lógico ou combinação, conforme porte e compliance.
- Implemente credenciais isoladas — conta separada, MFA independente, sem integração com AD corporativo.
- Ative imutabilidade — Object Lock em modo Compliance para storage em nuvem; retenção documentada para mídia física.
- Configure criptografia client-side —
AES-256com chave controlada exclusivamente pela empresa. - Automatize o máximo possível — backup agendado, verificação automática de integridade, alertas de falha.
- Documente o processo — runbook com procedimentos, responsáveis, localização de mídias e senhas.
- Teste o restore trimestralmente — Restore Drill em ambiente isolado, com relatório formal.
- Revise semestralmente — reavalie volume de dados, RPO/RTO, compliance e eficácia do air gap.
Conclusão: Air Gap Não É Luxo, É Necessidade
Em um cenário onde 93% dos ataques de ransomware miram os backups e onde grupos criminosos investem semanas mapeando a infraestrutura antes de atacar, ter todas as cópias de segurança conectadas à mesma rede é equivalente a guardar o extintor de incêndio dentro do forno.
Backup air-gapped — seja físico, lógico ou a combinação dos dois — é a única abordagem que garante a existência de uma cópia inalcançável pelo ransomware. É a última linha de defesa quando tudo mais falha: quando o firewall é contornado, quando as credenciais são roubadas, quando o antivírus não detecta, quando o servidor de backup é comprometido.
A boa notícia é que não precisa ser caro nem complicado. Para microempresas, dois HDs externos em rodízio já criam um air gap funcional. Para empresas maiores, o air gap lógico na nuvem com imutabilidade oferece proteção equivalente com automação total. O importante é começar — porque a pergunta não é se sua empresa será atacada, mas quando.
A DataBackup implementa air gap lógico como parte nativa de todos os planos, com imutabilidade, credenciais isoladas, criptografia AES-256 zero-knowledge e Restore Drill automatizado. Conheça nossos planos e comece a proteger seus dados com a última linha de defesa contra ransomware. Ou, se preferir uma análise personalizada para o cenário da sua empresa, fale com nossos especialistas.
Para uma visão completa da estratégia de proteção contra ransomware, recomendamos também a leitura dos nossos guias sobre regra 3-2-1 de backup, backup criptografado e recuperação de dados após ransomware.
A DataBackup oferece air gap lógico com imutabilidade WORM, criptografia AES-256 e Restore Drill automatizado em todos os planos. Teste 14 dias grátis e comprove a última linha de defesa contra ransomware.
Testar 14 Dias Grátis Falar com Especialista