Les données sont au cœur de l’activité de quasiment toutes les entreprises. C’est pourquoi il est crucial d’en assurer la sécurité et l’intégrité. Le service Amazon Simple Storage Service (S3) a depuis longtemps gagné la confiance des organisations qui recherchent une solution de stockage de données à la fois évolutive, économique et résiliente.
Concrètement, près d’un million d’entreprises dans le monde utilisent Amazon S3 pour stocker des centaines d’exaoctets de données stratégiques non structurées. Seulement voilà, le cloud tend à devenir une cible privilégiée des hackers, et ce dans un contexte de prolifération des cyberattaques. D’où l’importance capitale d’assurer la sécurité et la protection des données dans ces environnements dématérialisés.
Ceci dit, garantir la cyber-résilience des données S3 et faciliter leur restauration en cas d’attaque n’est pas une tâche facile. Alors que la plupart des organisations utilisent le versioning pour restaurer des objets isolés, leurs données restent au sein de leur compte AWS source, ce qui les rend accessibles à des intrus et vulnérables aux menaces d’acteurs internes authentifiés.
Les problématiques de protection des données S3 sont multiples :
Protection hétérogène des données : les organisations utilisent souvent plusieurs comptes AWS pour séparer leurs données et définir des périmètres de sécurité. Or, traiter chaque compte individuellement les oblige à gérer des plans de sauvegarde pour chacun d’eux, ce qui peut vite tourner au cauchemar. Imaginez maintenant que ces comptes soient tous rattachés à la même organisation AWS : si des hackers venaient à accéder à l’AWS Control Tower, ils pourraient causer des ravages sur l’ensemble des comptes.
Buckets S3 fantômes : avec des centaines de buckets déployés sur des centaines de comptes, les organisations finissent par manquer de visibilité sur les données hébergées dans S3. Certaines données stratégiques peuvent alors échapper aux mécanismes de protection.
Processus de restauration lent : les organisations doivent pouvoir facilement rechercher des données et des objets sur l’ensemble de leur environnement S3. Mais en cas de sinistre, une restauration complète des buckets peut être longue et difficile, surtout si les données sont réparties sur de multiples buckets.
Coûts de sauvegarde : les solutions de sauvegarde déployées doivent pouvoir utiliser le stockage hiérarchisé dans AWS, de manière à choisir un stockage moins coûteux que celui des données de production.
Pour assurer la cyber-résilience de leurs données, les organisations ont besoin d’une solution de protection conjuguant 1) une visibilité sur l’ensemble des données S3 de tous leurs comptes, 2) des processus de recherche et de restauration efficaces, et 3) la prise en charge du stockage hiérarchisé dans le cloud.
Rubrik Security Cloud couvre désormais AWS S3
C’est officiel ! Rubrik Security Cloud élargit sa couverture AWS à la protection des données stockées dans Amazon S3. Grâce à l’interface unifiée de Rubrik Security Cloud, les clients peuvent désormais découvrir et inventorier automatiquement les buckets S3 de tous leurs comptes AWS. De là, Rubrik assure une protection puissante et intelligente, basée sur les politiques propres à chaque domaine SLA, pour assurer la cyber-résilience des objets S3. Nous déployons pour cela toutes les fonctions de sécurité indispensables : sauvegardes immutables isolées par air-gap, contrôle des accès basé sur les rôles (RBAC), et bien sûr des fonctions de recherche et de restauration rapides et efficaces au niveau des objets.
Imaginez pouvoir affirmer avec certitude que vos données S3 sont parfaitement protégées. Et imaginez bénéficier d’une visibilité totale sur ces données, tout en réduisant votre coût total de possession. C’est précisément ce que vous apporte la protection Rubrik sur Amazon S3 !
Protection Rubrik sur Amazon S3 : mode d’emploi
Rubrik protège les données Amazon S3 en agissant sur quatre grands axes :
Découverte et onboarding automatiques
Protection globale basée sur des politiques
Efficacité des sauvegardes
Rapidité des restaurations
Passons en revue chacun de ces quatre leviers.
Découverte et onboarding automatiques
Pour intégrer Amazon S3 à Rubrik Security Cloud, il vous suffit de saisir dans Rubrik Security Cloud vos nom et ID de compte AWS. Une fois l’authentification effectuée, Rubrik déploie une pile AWS CloudFormation qui provisionne toutes les ressources nécessaires pour permettre à Rubrik Security Cloud d’exécuter les processus de sauvegarde et de restauration dans l’environnement S3. Après cet onboarding initial, la suite de l’authentification est gérée par un rôle déployé sur l’ensemble des comptes pour permettre aux clients d’octroyer à Rubrik un accès sécurisé à leur compte, tout en conservant la capacité de contrôler et d’auditer l’activité au sein de leur organisation.
En plus de ce rôle multicompte, une instance de calcul éphémère (Rubrik Exocompute) est configurée pour assurer l’indexation des buckets S3 et des objets qu’ils contiennent. Les clients qui souhaitent intégrer plusieurs comptes peuvent télécharger un fichier CSV, contenant leurs informations de compte, dans Rubrik Security Cloud, ce qui leur permettra de configurer plusieurs comptes AWS à la fois.
Une fois l’onboarding d’Amazon S3 terminé, Rubrik Security Cloud commence automatiquement à détecter et inventorier tous les buckets S3 du compte AWS, via une interface unique conçue pour répondre à tous vos besoins en matière de protection des données.
Protection globale basée sur des politiques
Comme n’importe quel autre workload dans Rubrik Security Cloud, les buckets Amazon S3 sont protégés à l’aide des domaines SLA globaux de Rubrik. Un domaine SLA élimine les « tâches » de l’approche traditionnelle de la protection des données et les remplace par une politique unique appliquée à vos buckets S3.
Par exemple, un domaine SLA peut regrouper les différents éléments de la protection des données, tels que le RPO (fréquence de sauvegarde) et la rétention (durée de conservation des sauvegardes), dans une seule et même politique de protection des données. Résultat : plus besoin de créer des tâches pour la sauvegarde, des tâches pour l’indexation, des tâches pour l’archivage, etc.
Une fois configurés, les SLA sont tout simplement affectés à nos buckets Amazon S3 à plusieurs niveaux :
Niveau compte : l’affectation d’un SLA à l’intégralité du compte AWS permet de s’assurer que les buckets (nouveaux et existants) associés au compte hériteront automatiquement de la politique et seront automatiquement protégés par Rubrik.
Niveau bucket : les domaines SLA peuvent également être affectés à des buckets individuels. Tout SLA affecté au niveau du bucket prévaut sur les SLA affectés au niveau du compte. Les organisations bénéficient ainsi d’une protection sur l’ensemble de leur compte AWS, tout en ayant la possibilité d’affecter à leurs buckets plus stratégiques un SLA qui prévoit un RPO plus ambitieux.
Affectation en fonction des balises : les domaines SLA peuvent être automatiquement affectés à des buckets en fonction des paires clé-valeur de leurs balises AWS. La plupart des organisations utilisent de multiples comptes AWS, eux-mêmes gérés par différents départements et différentes personnes. Pour autant, elles persistent à utiliser une stratégie de balisage transverse à tous ces comptes. En affectant un domaine SLA en fonction de paires clé-valeur spécifiques, les administrateurs cloud continuent de gérer et d’organiser leur environnement Amazon S3 comme ils l’ont toujours fait, tout en élargissant la protection des données à l’ensemble de leurs comptes AWS par simple ajout et modification des balises sur les buckets.
Grâce aux domaines SLA globaux, Rubrik Security Cloud peut protéger n’importe quel bucket sur les classes de stockage S3 Standard ou Accès peu fréquent.
Efficacité des sauvegardes
Pour protéger les buckets Amazon S3, Rubrik adopte l’approche des sauvegardes incrémentielles perpétuelles. Autrement dit, la première sauvegarde effectuée est une sauvegarde complète qui traite l’intégralité des données contenues dans le bucket. Les sauvegardes suivantes sont ensuite traitées de manière incrémentielle pour ne sauvegarder que les données modifiées depuis le dernier point de sauvegarde. Non seulement cette approche offre un moyen rapide et efficient de sauvegarder les données S3, mais elle contribue également à réduire le coût total du stockage des données dans les sauvegardes elles-mêmes.
Rubrik Exocompute est une instance de calcul éphémère servant à exécuter les processus de sauvegarde et de restauration, ainsi qu’à indexer et à envoyer les métadonnées à Rubrik Security Cloud après chaque événement de sauvegarde. Exocompute n’ayant d’utilité que pendant les tâches de sauvegarde, de restauration et d’indexation, l’instance est immédiatement désactivée dès qu’elle n’est plus utilisée.
Les sauvegardes proprement dites sont stockées dans S3 (au niveau Standard, Accès peu fréquent ou Glacier) et une isolation par air-gap est prévue pour permettre aux organisations de placer leurs sauvegardes dans des régions ou des comptes différents de ceux utilisés pour leurs données sources. Mais comme chacun sait, le simple fait de stocker des sauvegardes ne garantit pas que les données seront restaurées en cas de cyberattaque. D’où l’importance de fournir des sauvegardes immutables et de les protéger des acteurs malveillants. Pour garantir l’immutabilité, Rubrik utilise Amazon S3 Object Lock afin de protéger les sauvegardes de toute suppression et de tout chiffrement accidentels ou malveillants.
Rapidité des restaurations
La protection d’Amazon S3 offerte par Rubrik permet une restauration à la fois au niveau du bucket et au niveau de l’objet. Pour effectuer une restauration de niveau bucket, il suffit aux clients de sélectionner le bucket à restaurer via l’interface utilisateur de Rubrik Security Cloud, puis de spécifier la cible de restauration, qu’il s’agisse du bucket S3 source ou d’un tout autre bucket S3.
Pour une restauration de niveau objet, les clients peuvent rechercher les objets par leur nom au niveau du snapshot, sélectionner les objets à restaurer, puis lancer la restauration sur le bucket d’origine (en place) ou sur un autre bucket (exportation).
On peut ainsi restaurer aussi bien des buckets entiers que des objets individuels dans n’importe quelle région et sur n’importe quel compte, indépendamment de l’emplacement des sauvegardes d’origine. Cette approche assure une flexibilité complète qui contribue à préserver la continuité d’activité.
Rubrik protège désormais les données S3 stratégiques
La disponibilité, la confidentialité et l’intégrité des informations stratégiques des entreprises passe aujourd’hui par la protection des données stockées dans Amazon S3. Pour étendre la cyber-résilience à vos données S3, Rubrik Security Cloud assure non seulement la disponibilité des sauvegardes, mais également leur immutabilité et leur protection par air-gap contre tout acte involontaire ou de malveillance. Vous êtes un grand groupe qui gère des milliers de buckets sur des centaines de comptes AWS ? Vous êtes une PME qui n’utilise qu’un seul bucket ? Peu importe votre taille, Rubrik Security Cloud répond à tous vos besoins.
Dès maintenant en disponibilité générale (GA). Pour en savoir plus, rapprochez-vous de l’équipe responsable de votre compte ou contactez-nous.