Azure Backup y Site Recovery: Continuidad del Negocio cuando Todo lo Demás Falla

El gerente general llega un lunes por la mañana y el sistema de ERP no abre. El administrador de sistemas revisa los servidores y encuentra los archivos cifrados con una extensión desconocida y un mensaje de rescate en inglés. El ransomware entró el viernes por la tarde.

La pregunta que define el futuro inmediato de la empresa no es “¿cómo ocurrió?” sino “¿cuándo fue el último backup funcional y cuánto tardamos en restaurar?”.

Si la respuesta es “backups externos que hacíamos en disco duro externo pero el último fue hace tres semanas, y nunca probamos si funcionan”, el escenario es crítico. Si la respuesta es “backups en Azure cada 4 horas, inmutables, con prueba de restauración mensual automatizada”, la empresa puede estar de vuelta en operación en pocas horas.

Azure Backup y Azure Site Recovery son los dos pilares de la estrategia de continuidad del negocio en el ecosistema Microsoft. No son lo mismo, y entender la diferencia es fundamental para elegir correctamente.

Los dos conceptos clave: RPO y RTO

Antes de hablar de tecnología, hay que hablar de objetivos:

RPO (Recovery Point Objective): ¿Cuánta pérdida de datos puede tolerar su negocio? Si el ERP tiene backups diarios y el servidor falla a las 5 PM, pierde todo el trabajo del día. Si tiene backups cada hora, pierde máximo 59 minutos. El RPO es la tolerancia máxima a esa pérdida.

RTO (Recovery Time Objective): ¿Cuánto tiempo puede estar el sistema crítico sin funcionar? Para un hospital, el RTO puede ser minutos. Para una empresa de servicios profesionales, puede ser 4-8 horas. Para una tienda de e-commerce en temporada alta, cada hora de inactividad tiene un costo medible en ventas perdidas.

Toda la estrategia de backup y DR debe diseñarse en función de estos dos objetivos. Tecnología más cara no siempre es la correcta — si un sistema tiene un RTO de 24 horas, no necesita replicación en tiempo real.

Azure Backup: la protección de los datos

Azure Backup es el servicio de respaldo nativo de Azure, completamente gestionado, que respalda cargas de trabajo de Microsoft y de terceros hacia almacenamiento seguro en Azure.

¿Qué puede respaldar?

Máquinas virtuales de Azure: Backup de VMs completas (discos OS + datos) con snapshots consistentes con la aplicación. Se pueden configurar políticas por VM: frecuencia, retención, redundancia de almacenamiento.

Servidores físicos y VMs on-premise: El agente MARS (Microsoft Azure Recovery Services) instalado en servidores Windows permite respaldar archivos, carpetas y estado del sistema directamente a Azure. Los servidores on-premise se respaldan sin necesidad de infraestructura propia de backup.

Bases de datos SQL Server: Backup nativo de SQL Server a Azure con consistencia transaccional, log backups para RPO de minutos, y restauración a cualquier punto en el tiempo dentro del período de retención.

SAP HANA: Para organizaciones con SAP, Azure Backup tiene certificación SAP BackInt para respaldar bases de datos HANA directamente desde el portal de Azure.

Azure Files: Snapshots de recursos compartidos de archivos en Azure Files, con restauración granular de archivos individuales o directorios completos.

Blobs de Azure Storage y discos: Para datos no estructurados y discos gestionados.

La bóveda de Recovery Services

Todos los backups se almacenan en un Recovery Services Vault — un contenedor lógico en Azure con varias capas de protección:

Redundancia de almacenamiento:

• LRS (Locally Redundant Storage): 3 copias dentro del mismo datacenter. Más económico, apropiado para entornos no productivos.
• ZRS (Zone-Redundant Storage): 3 copias en zonas de disponibilidad diferentes dentro de la misma región.
• GRS (Geo-Redundant Storage): 6 copias en dos regiones geográficas distintas. La opción correcta para datos críticos de producción.

Soft Delete: Cuando se elimina un elemento respaldado (accidentalmente o por un atacante), Soft Delete lo retiene 14 días adicionales con posibilidad de recuperación. Es una protección crucial contra ransomwares que intentan borrar backups.

Immutable Vault: La funcionalidad más importante para protección contra ransomware. Una vez habilitada con modo de bloqueo, ningún usuario — ni siquiera el administrador con las credenciales más privilegiadas — puede eliminar los datos de backup dentro del período de retención definido. Los atacantes que comprometan credenciales de administrador no pueden borrar los backups.

Multi-User Authorization (MUA): Las operaciones críticas en el vault (cambiar políticas de retención, deshabilitar protección, eliminar datos) requieren aprobación de una segunda cuenta con privilegios especiales — el equivalente digital de la firma dual en las cajas fuertes bancarias.

Azure Site Recovery: orquestación del failover

Azure Site Recovery (ASR) va más allá del backup: permite replicar continuamente servidores físicos y VMs a Azure o a un datacenter secundario, y ejecutar un failover completo — levantar todos los sistemas en Azure — en minutos.

Cómo funciona la replicación

El agente de ASR replica los cambios de disco de los servidores fuente (on-premise o Azure) a almacenamiento en Azure de forma continua o por intervalos. Los datos replicados se mantienen como snapshots con consistencia de aplicación que incluyen el estado exacto del sistema operativo, las aplicaciones y los datos en un momento específico.

Planes de recuperación

Un Recovery Plan define el orden y las dependencias para recuperar múltiples sistemas en secuencia. Si el ERP depende de la base de datos que depende de Active Directory, el plan de recuperación especifica que AD debe estar completamente operativo antes de intentar iniciar la base de datos, y la base de datos antes de iniciar el ERP.

Los planes de recuperación pueden incluir scripts automáticos (Azure Automation Runbooks) que ejecutan tareas adicionales durante el failover: actualizar registros DNS, enviar notificaciones, ejecutar validaciones post-restauración.

Drill de recuperación (sin impacto en producción)

Una de las funciones más valiosas de ASR es la capacidad de hacer un Test Failover: activar los sistemas replicados en una red aislada en Azure para probar que todo funciona correctamente, sin afectar el ambiente de producción. Esta prueba debería ejecutarse al menos trimestralmente — muchas organizaciones descubren que sus backups existen pero no funcionan cuando los prueban por primera vez en un incidente real.

Microsoft 365 Backup: protegiendo Exchange, SharePoint y OneDrive

Microsoft 365 Backup es el servicio nativo (lanzado en 2024) que extiende la protección de backup a los datos de productividad:

• Exchange Online: Restauración granular de buzones de correo a cualquier punto en los últimos 30-180 días.
• SharePoint Online: Restauración de colecciones de sitios completas o sitios individuales.
• OneDrive: Restauración de cuentas de OneDrive completas.

Antes de este servicio, las organizaciones dependían de soluciones de terceros (Veeam, AvePoint, Druva) para proteger datos de Microsoft 365 más allá de la retención estándar. Ahora Microsoft ofrece una opción nativa integrada en el portal de administración, aunque las soluciones de terceros siguen siendo más maduras en funciones avanzadas.

El checklist de continuidad del negocio

Una estrategia de continuidad madura cubre estas bases:

• Backups regulares de todos los sistemas críticos con RPO definido y verificado
• Almacenamiento geográficamente redundante (GRS)
• Protección inmutable de los backups (Immutable Vault)
• Plan de recuperación documentado con RTO objetivo
• Prueba de restauración verificada al menos trimestralmente
• Backups de Microsoft 365 (Exchange, SharePoint, OneDrive)
• Replicación de sistemas críticos con Azure Site Recovery
• Procedimientos documentados y personal capacitado para ejecutar el recovery

¿Ha probado recientemente que sus backups actuales funcionan y cuánto tarda en restaurar? Hablemos y evaluamos su estrategia de continuidad de negocio — antes de que sea necesario usarla.