Elles doivent assurer leurs arrières en cas de reprise après sinistre. Car le constat est sans appel : si Active Directory s’effondre, c’est toute l’entreprise qui est paralysée. Les employés ne peuvent plus se connecter à leurs postes de travail, les applications tierces fédérées n’ont plus d’emplacement centralisé pour authentifier les utilisateurs, qui s’en voient tout simplement refuser l’accès, les groupes et les objets de politique de groupe ne peuvent plus être modifiés, ce qui entraîne un sous-provisionnement ou, au contraire, un surprovisionnement de l’accès aux informations. Le fait est que, sans Active Directory, l’entreprise est pratiquement à l’arrêt ; il est donc important de déployer les bons outils pour restaurer Active Directory le plus efficacement possible.
Mais ne me faites pas dire ce que je n’ai pas dit : Active Directory regorge de fonctions de redondance intégrées, et comme il s’agit d’une application distribuée, les données sont répliquées entre les contrôleurs de domaine pour garantir une haute disponibilité. Au bout du compte, vous vous retrouvez avec une architecture à plusieurs maîtres où des modifications peuvent être apportées sur tous les contrôleurs de domaine présents, avant d’être répliquées sur l’ensemble du domaine. Dans certaines circonstances, la restauration revient alors simplement à déployer un nouvel hôte Windows et à le promouvoir sur un contrôleur de domaine dans le domaine existant. Ceci étant dit, en matière de restauration, il n’y a jamais deux scénarios identiques. Et quand on sait que les contrôleurs de domaine fournissent des services aussi essentiels que DNS, DHCP ou des services de certificat, la restauration peut parfois prendre une tournure extrêmement complexe. Ceux d’entre nous qui ont eu l’occasion d’assumer le rôle de FSMO (Flexible Single Master Operation) à la suite d’une paralysie totale du site due soit à une corruption, soit à une attaque de ransomware, diront sans doute que le processus n’est pas si « simple ». Restaurer Active Directory avec les méthodes natives peut s’avérer long et complexe. Quant aux solutions ponctuelles, elles se cantonnent généralement à faire en sorte de maintenir un environnement de production. Et, rappelez-vous : pendant que vous créez des hôtes pour faire tourner les contrôleurs de domaine, votre activité est à l’arrêt, vos applications sont paralysées et vos données sont prises en otage.
Découvrez la protection d’Active Directory vue par Rubrik
Pour protéger Active Directory, simplicité doit rimer avec efficacité ; Rubrik l’a bien compris. C’est pourquoi nous avons le plaisir d’annoncer la prise en charge officielle d’Active Directory dans le cadre de notre solution Rubrik Security Cloud (RSC), qui assurera une protection contre les pannes qui paralysent l’ensemble du domaine, tout en permettant de restaurer des objets Utilisateurs et Groupes individuels.
L’idée est de commencer par ajouter l’un de vos contrôleurs de domaine à RSC, après quoi Rubrik lancera automatiquement la découverte et l’inventaire de tous les contrôleurs de domaine participant au domaine concerné. En plus d’inventorier les noms d’hôte, RSC détectera et étiquètera les rôles FSMO dans l’interface utilisateur (par exemple, Maître de schéma, Maître d’infrastructure, Maître d’attribution des noms de domaine et Émulateur PDC). Les contrôleurs de domaine qui fournissent des services de domaines critiques, comme DNS et DHCP, sont également identifiés et les informations correspondantes sont transmises à l’interface RSC. Rubrik sait parfaitement qu’au cours d’une restauration d’Active Directory, il est important de savoir exactement où se trouvent ces services, afin de permettre aux organisations de prioriser et orchestrer plus facilement leurs efforts de restauration.
Une fois l’inventaire effectué, RSC protègera Active Directory selon l’approche simple et unifiée déjà adoptée pour protéger n’importe quelle autre charge applicative dans la plateforme. Il vous suffira d’attribuer des SLA globaux au niveau du domaine ou des contrôleurs de domaine, après quoi Rubrik veillera à ce que les sauvegardes respectent les constructions (par exemple le RPO et la durée de conservation) définies dans la règle correspondante. Vous pourrez également appliquer à vos sauvegardes Active Directory les fonctionnalités Zero Trust intégrées à la plateforme Rubrik (immuabilité, archivage, réplication, chiffrement, verrou de conservation), pour protéger la disponibilité et l’intégrité de vos sauvegardes. De plus, conformément aux recommandations et aux bonnes pratiques de Microsoft, Rubrik utilise wbadmin pour sauvegarder Active Directory en respectant la cohérence applicative, tout en prenant en charge de nombreuses options de restauration.
D’ailleurs, à propos d’options de restauration flexibles…
Soyons honnêtes : aucune sauvegarde au monde ne nous sera d’un grand secours si nous n’avons aucun moyen de la restaurer comme nous aimerions qu’elle le soit. Rubrik s’est toujours attachée à proposer des options de restauration à la fois rapides et efficaces pour différents scénarios de restauration, et Active Directory ne fait pas exception. Avec Rubrik Security Cloud, la restauration d’Active Directory peut se faire deux manières : via une restauration complète du domaine/des contrôleurs de domaine, ou via une restauration au niveau d’objets individuels.
Restauration complète du domaine/des contrôleurs de domaine
Voilà le pire scénario imaginable : vous devez restaurer l’intégralité de votre domaine ou un contrôleur de domaine spécifique. Dans un cas comme dans l’autre, ce processus peut se révéler complexe et chronophage si vous misez sur des outils natifs, ce qui ne ferait qu’allonger encore les temps d’arrêt. Rubik simplifie ce processus en automatisant la plupart des tâches banales et fastidieuses qui sont menées en arrière-plan pour assurer une restauration dans les scénarios suivants.
Restauration sur le même hôte
Lorsque vous devez simplement rétablir un contrôleur de domaine relativement fonctionnel, Rubrik peut restaurer une sauvegarde ponctuelle directement dans votre environnement de production. Le contrôleur de domaine est ensuite redémarré en mode récupération, et les données et l’état du système sont automatiquement restaurés à partir des sauvegardes immuables stockées sur la plateforme Rubrik.
Restauration sur un nouvel hôte avec la même configuration de base
Il arrive parfois que nos contrôleurs de domaine soient ciblés par du ransomware ou par toute autre forme de cyberattaque ; dans ces conditions, il est souvent difficile de faire confiance aux contrôleurs de domaine d’origine. Dans ce cas, les clients peuvent s’appuyer sur leurs modèles préintégrés pour créer des instances virtuelles contenant la même configuration de base que leur contrôleur de domaine source. Ils peuvent ensuite utiliser Rubrik de la même façon que dans une restauration sur le même hôte, c’est-à-dire restaurer à la fois les données et l’état du système, de manière à restaurer les contrôleurs de domaine existants sur un tout nouvel hôte virtuel.
Restauration sur un tout nouvel hôte bare-metal
Malheureusement, étant donné la situation actuelle dans le domaine de la cybersécurité, il peut arriver que les organisations aient besoin de restaurer ou reconstruire l’intégralité de leur environnement de production sur du matériel neuf. Dans ce scénario, Active Directory est l’un des premiers éléments de l’infrastructure qu’il est nécessaire de remettre sur pied. À l’aide de l’environnement de récupération Windows (WinRE), Rubrik pourra restaurer les sauvegardes des contrôleurs de domaine sur de nouveaux serveurs bare-metal (c’est-à-dire sans système d’exploitation). Le processus consiste à exporter un chemin de partage vers un contrôleur de domaine via un Live Mount, à démarrer à partir de WinRE en mode récupération, puis à pointer vers le partage SMB sécurisé.
Restauration au niveau d’objets individuels
Bien qu’il soit utile de restaurer l’intégralité d’un domaine ou d’un contrôleur de domaine (pour ne pas dire une nécessité pour la plupart des organisations), il faut reconnaître que l’administration d’Active Directory au quotidien se concentre essentiellement sur des objets individuels, notamment les Utilisateurs et les Groupes. Il arrive qu’un utilisateur ou un groupe d’utilisateurs soit supprimé des services d’annuaire. Que ce soit par accident ou par une erreur d’automatisation, nous nous sommes tous retrouvés un jour dans cette situation. Autrefois, un tel scénario imposait de restaurer l’intégralité d’un contrôleur de domaine, simplement pour en extraire une poignée d’utilisateurs ou de groupes afin de les réintégrer dans l’environnement de production.
Rubrik simplifie grandement les choses : il vous suffit de lancer une recherche dans l’ensemble de vos sauvegardes ou de cibler un instant précis, de sélectionner les utilisateurs ou les groupes à restaurer, et de laisser Rubrik s’occuper du reste, c’est-à-dire extraire les données qui se rapportent aux objets spécifiques et les remettre en production. Mais ce n’est pas tout : en plus de restaurer l’objet concerné, Rubrik récupère également les relations de cet objet avec d’autres entités. Par exemple, lorsqu’un utilisateur est restauré, les groupes qui lui sont attribués sont également restaurés et maintenus.
La protection d’Active Directory ne doit pas être seulement l’affaire de l’équipe IT ; c’est un élément essentiel au bon fonctionnement d’une entreprise. L’impact d’une défaillance d’Active Directory a des ramifications dans toute l’organisation : perte de productivité, perte de chiffre d’affaires, atteinte à la réputation, etc. Rubrik Security Cloud va intégrer la prise en charge d’Active Directory, de manière à fournir une protection robuste, basée sur des règles, complétée par des sauvegardes immuables et des options de restauration flexibles et efficaces, le tout accessible depuis une interface simple et unifiée.
N’attendez pas qu’il soit trop tard ! Découvrez dès maintenant comment Rubrik Security Cloud peut répondre à tous vos besoins de protection sur l’ensemble de vos charges applicatives : SaaS, Cloud ou datacenters. Retrouvez-nous à notre conférence annuelle Forward pour savoir comment renforcer votre cyberrésilience avec Rubrik. Inscrivez-vous à Forward.
DÉCLARATION RELATIVE À LA SPHÈRE DE SÉCURITÉ : Les services ou fonctionnalités mentionnés dans ce document n’ont pas encore été publiés et ne sont donc pas disponibles actuellement. Leur disponibilité générale peut être retardée ou annulée, à notre entière discrétion. Lesdits services ou fonctionnalités n’impliquent aucune promesse ou obligation ni aucun engagement de la part de Rubrik, Inc. et ne peuvent être reflétés dans aucun contrat. Les clients sont invités à prendre leurs décisions d’achat compte tenu des services et fonctionnalités actuellement disponibles au grand public.