O que é uma Air Gap?

Uma barreira aérea funciona com base no princípio da desconexão absoluta. Enquanto a segurança de rede padrão depende de filtros de software, um espaço aéreo depende da ausência física de um meio de transmissão.

Para isso, o sistema protegido costuma ter as suas NIC removidas ou desativadas. Não há cabos Ethernet ligados, nem antenas Wi-Fi ativas ou rádios Bluetooth ativados. O sistema torna-se efetivamente numa ilha, invisível ao resto do oceano digital.

Uma vez que o sistema não consegue comunicar através de protocolos de rede padrão, a transferência de informações depende de um método manual. Para mover dados para o ambiente com falha de ar, o utilizador tem de copiar fisicamente os ficheiros para um meio amovível e levá-los para a máquina isolada. Este processo cria um ponto de intervenção humana obrigatório.

Este fluxo de trabalho manual introduz um atrito significativo que funciona como uma funcionalidade de segurança. Uma vez que não existe uma ligação persistente, o hacker não conseguirá executar uma shell de comandos remota, filtrar dados em tempo real ou mover lateralmente de uma estação de trabalho infetada para o servidor de cópia de segurança. A única ponte sobre a lacuna é temporária, física e estritamente controlada.

Tipos de configurações de lacunas de ar

As organizações implementam transformações de ar através de várias configurações arquitetónicas, que vão desde simples dispositivos desligados até cofres empresariais sofisticados. Estas configurações são escolhidas com base no equilíbrio entre os requisitos de segurança e a necessidade de acessibilidade operacional.

• Sistemas isolados autónomos: Esta é a configuração mais básica, consistindo em um único computador ou servidor que não tem absolutamente nenhuma conexão de interface de rede. É utilizado principalmente para tarefas altamente sensíveis, tais como a gestão de autoridades de certificação de raiz ou o processamento de documentos classificados, em que a entrada e a saída ocorrem estritamente através de meios amovíveis inspecionados.
   
• Abastecimento da biblioteca de bandas: Uma configuração tradicional mas altamente eficaz onde os dados de backup são gravados em cartuchos de banda magnética. Uma vez concluído o backup, as fitas são ejetadas da biblioteca robótica e transportadas para uma instalação de armazenamento segura, fora das instalações, criando um fosso literal entre os dados e a rede.
   
• Díodos de dados de hardware: Esta configuração utiliza um dispositivo de hardware especializado que impõe o fluxo de informações unidirecional na camada física. Os dados podem ser enviados para a rede de alta segurança (por exemplo, para arquivar registos), mas nenhum sinal pode fisicamente regressar à rede de origem, impedindo que um atacante envie sinais de comando e controlo de volta.
   
• Aparelhos de backup com isolamento de ar: Trata-se de aplicações de armazenamento concebidas especificamente para permanecerem offline por predefinição. O sistema liga-se física ou logicamente à rede de produção apenas durante o período preciso de uma janela programada, após o qual se desliga ou desliga imediatamente para minimizar a superfície de ataque.
   
• Cofres de recuperação geridos: Nesta configuração, os dados críticos são replicados para um ambiente isolado (muitas vezes uma sala limpa), que é completamente separado do diretório de produção e dos serviços de rede. Este cofre é gerido por um conjunto separado de credenciais e administradores, para impedir que um atacante com privilégios de administrador roubados aceda às cópias seguras.

Vantagens do Air Gapping

A implementação de uma estratégia de lacunas aéreas proporciona o nível mais elevado de defesa para os ativos mais críticos de uma organização. Ao separar fisicamente os dados da rede, as empresas beneficiam de várias vantagens estratégicas que as soluções puramente baseadas em software não conseguem replicar.

• Proteção contra ransomware e malware: O principal benefício é a sua capacidade de parar o movimento lateral de malware de autopropagação; porque não há conexão física para o código atravessar, ransomware que criptografa a rede de produção não pode chegar ou infetar as cópias, preservando um estado limpo para a recuperação.

• Prevenção de acesso não autorizado: As lacunas no ar neutralizam eficazmente as tentativas de pirataria remota e as intrusões não autorizadas, porque um ator de ameaças não pode explorar vulnerabilidades, utilizar palavras-passe de força bruta ou utilizar credenciais comprometidas para aceder a um sistema invisível à rede e à Internet.

• Garantir integridade e conformidade: Muitos enquadramentos regulatórios (como o RGPD, a HIPAA e as normas financeiras) requerem medidas rigorosas para garantir que os dados não sejam adulterados; as lacunas no ar satisfazem estas rigorosas exigências de conformidade, garantindo que, uma vez arquivados os dados num ambiente isolado, estes permaneçam imutáveis e inalterados por forças externas.

• Disaster recovery e continuidade da atividade: Um backup com falha de ar serve como a melhor "apólice de seguro" ou "cópia dourada", garantindo que, mesmo no pior cenário em que todo o ambiente de produção é eliminado ou bloqueado, a organização mantém um conjunto de informações recuperável para retomar as operações do negócio.

Enquanto que as lacunas no ar oferecem uma segurança superior, introduz um atrito operacional significativo e uma complexidade que podem dificultar a agilidade. A dependência das transferências de dados manuais impede a sincronização em tempo real, o que significa que os dados separados estão sempre ligeiramente desatualizados em comparação com o ambiente de produção em direto.

Além disso, o isolamento não é absoluto; a necessária ligação com meios amovíveis, como drives USB, cria uma vulnerabilidade em que o malware pode ser transferido manualmente através do espaço, como ficou demonstrado pelo worm Stuxnet, fazendo protocolos rigorosos de descontaminação e segurança física tão críticos como a própria desligação.

Embora o tradicional "verdadeiro" hiato de ar seja físico, os ambientes modernos muitas vezes empregam isolamento lógico para alcançar objetivos de proteção semelhantes com maior agilidade.

Um hiato físico do ar é a abordagem "clássica", em que o sistema é completamente desligado da infraestrutura. Não existe cablagem, Wi-Fi, e o hardware reside num local separado ou num rack seguro.

Em contraste, um espaço de ar lógico depende da segmentação da rede e dos controlos do software para criar isolamento. Os dados de backup podem residir na mesma rede do ambiente de produção, mas são logicamente invisíveis e inacessíveis para usuários e aplicativos padrão. Isto é conseguido utilizando políticas de armazenamento imutáveis (WORM - Write Once, Read Many - Escrever uma vez, ler várias vezes), domínios de autenticação distintos e configurações de rede sem fidedignidade que rejeitam todo o tráfego, exceto sequências de backup autorizadas e específicas.

As tecnologias de transmissão de ar são essenciais em sectores de risco elevado, nos quais o comprometimento de dados pode ter consequências físicas ou financeiras catastróficas. No sector militar e governamental, as lacunas físicas no ar são protocolos padrão para proteger sistemas de inteligência altamente secretos e controle de armas de espionagem estrangeira.

Os operadores de infraestruturas críticas, como as centrais elétricas e as instalações de tratamento de água, contam com sistemas de controlo industrial (ICS) e redes SCADA com lacunas do ar para impedir ataques que possam pôr em perigo a segurança pública.

Entretanto, as instituições financeiras utilizam redes isoladas para proteger os terminais de transações SWIFT e os principais registos bancários contra a fraude, e as organizações na área da saúde adotam cada vez mais backups imutáveis e logicamente arejados para proteger os registos de pacientes sensíveis da crescente ameaça de malware visando a disponibilidade hospitalar.

Melhores práticas para a implementação de lacunas no ar

A implementação de uma barreira de ar não é uma tarefa de "pôr e esquecer"; requer uma disciplina rigorosa para se manter eficaz contra ameaças como o ransomware.

• Definir controlos de acesso rigorosos: Limitar o acesso físico ao ambiente com brechas de ar a um número mínimo de funcionários examinados e impor uma "regra de duas pessoas" para operações críticas para evitar ameaças internas.
   
• Limpar suportes de dados amovíveis: Estabeleça uma estação de pesquisa obrigatória para analisar a existência de malware em todas as unidades USB ou discos externos antes de estes serem ligados ao sistema seguro.
   
• Automatizar isolamento lógico: Se utilizar um espaço de ar lógico, certifique-se de que o arquivo é imutável (WORM) e gerido por um sistema de autenticação totalmente separado (por exemplo, não ligado ao diretório da empresa principal).
   
• Rotação de teste regular: Um intervalo de ar é inútil se os dados não puderem ser recuperados; agende exercícios periódicos para recuperar fisicamente, montar e restaurar dados a partir do ambiente isolado para verificar a integridade e os tempos de recuperação.

Diferença de ar vs. outras medidas

Embora as ferramentas de segurança standard sejam essenciais para a defesa quotidiana, funcionam em redes ligadas, enquanto que um espaço aéreo depende do isolamento total.

• Diferença de ar vs firewalls e IDS: As firewalls e os sistemas de deteção de intrusões (IDS) filtram o tráfego com base em regras e assinaturas, mas se um exploit de dia zero contornar estes filtros de software, a rede fica exposta; um intervalo no ar, pelo contrário, impede fisicamente qualquer fluxo de tráfego, tornando as explorações remotas impossíveis independentemente das vulnerabilidades do software.
   
• Diferença do ar vs. segmentação da rede: A segmentação da rede (utilizando VLANs) limita o movimento lateral dividindo uma rede em zonas menores, mas estas zonas permanecem na realidade conectadas e potencialmente atravessáveis através de configurações erradas ou roubo de credenciais; um intervalo de ar remove a conexão por completo, oferecendo um limite físico mais forte que a segmentação lógica não pode emular.
   
• Diferença do ar vs isolamento baseado na cloud: O isolamento baseado na cloud (frequentemente designado por "backup imutável") cria um fosso aéreo lógico ao bloquear dados contra alterações (WORM) num ambiente ligado; embora seja altamente eficaz para uma recuperação rápida de malware, não tem a desconexão absoluta de um fosso aéreo físico, que protege contra compromissos em toda a plataforma ou ameaças internas com acesso administrativo à cloud.

Como a OVHcloud implementa os conceitos de segurança das lacunas aéreas

A OVHcloud integra os princípios do isolamento e da imutabilidade na sua arquitetura, de modo a fornecer uma proteção robusta que espelhe as tradicionais lacunas de ar.

• Isolamento de dados e soluções seguras de backup de dados: A solução de arquivamento a frio da OVHcloud otimiza a tecnologia de bibliotecas de banda IBM para armazenar dados offline para retenção a longo prazo. Isto oferece um equivalente moderno e automatizado de um espaço de ar físico em que os dados são gravados em banda e fisicamente desacoplados do ecossistema do disco ativo até que a recuperação seja solicitada.
   
• Antirransomware e Disaster Recovery: Ao suportar o Object Lock (WORM) no seu Object Storage compatível com S3, a OVHcloud permite que os utilizadores criem backups imutáveis que não podem ser encriptados, modificados ou eliminados por software maligno ou agentes maliciosos durante um determinado período de tempo, criando, assim, um "air gap" lógico para uma recuperação imediata de desastres.
   
• Conformidade e soberania da OVHcloud: A OVHcloud garante que os dados permanecem reais e juridicamente separados através do seu rigoroso quadro de soberania de dados; os dados são armazenados em datacenters localizados (imunes a leis extraterritoriais como o US CLOUD Act para clientes não norte-americanos) e protegidos por controlos rigorosos de acesso físico, garantindo que a "lacuna" protege contra ameaças cibernéticas e riscos geopolíticos.