Les données constituent un atout unique et précieux pour les entreprises. Bien que leur sauvegarde soit reconnue comme une pratique non négociable, il est parfois difficile d’opérationnaliser les processus de sauvegarde cloud sur des plateformes comme Amazon Web Services (AWS). Ce guide des sauvegardes AWS vous livre des conseils pour simplifier la protection de vos workloads AWS critiques.
AWS s’est imposé comme le leader du cloud avec 32 % de parts de marché. Il est donc probable que vous fassiez déjà appel à AWS pour l’infrastructure, le stockage et la gestion de vos données. Seulement voilà : comme tous les prestataires de services cloud (CSP), AWS fonctionne selon un modèle de responsabilité partagée en matière de sécurité. En d’autres termes, AWS est responsable de la sécurité de sa propre infrastructure cloud (matériel, réseau, etc.). En revanche, c’est vous, le client AWS, qui êtes responsable des données que vous placez sur le cloud.
C’est à vous d’assurer leur sécurité et leur sauvegarde. Comment garantir une sécurité complète sur AWS ?
Bonnes pratiques en matière de sauvegarde AWS
Les professionnels IT ont mis au point des bonnes pratiques de sauvegarde des données AWS qu’ils mettent régulièrement à jour. La plupart sont relatives à la sécurité : après tout, la sauvegarde est une mesure utile contre les cybermenaces comme les ransomwares. Cependant, les sauvegardes elles-mêmes sont la cible des acteurs malveillants.
Systèmes de sauvegarde natifs vs. tiers
Avant tout, répondons à une question fréquente : « AWS n’offre-t-il pas déjà sa propre solution de sauvegarde avec AWS Backup ? » La réponse est oui. Cependant, il faut bien comprendre ce qu’est AWS Backup et quelles sont ses limites.
La solution propose plusieurs avantages : elle couvre de nombreux workloads, permet de sauvegarder un large éventail de ressources AWS et est relativement facile à prendre en main si vous utilisez déjà AWS. En outre, l’utilisation d’une solution native vous permet d’être en relation avec un seul fournisseur pour la sauvegarde et la restauration.
Toutefois, il est bon d’envisager l’adoption d’une solution tierce pour sauvegarder vos assets AWS. En effet, une telle solution offre des fonctionnalités supplémentaires qui répondent à vos besoins en matière de sauvegarde et restauration :
Des fonctionnalités de sécurité avancées comme la découverte des données sensibles et la détection des ransomwares
Des processus de sauvegarde et de restauration adaptés aux architectures multicloud et hybrides, non inclus dans AWS Backup
Des niveaux de stockage à moindre coût
Une meilleure visibilité, une gouvernance plus précise et une administration simplifiée des sauvegardes pour de multiples comptes et régions AWS
Des avantages fonctionnels pour la sauvegarde et la restauration des données dans l’ensemble des workloads AWS (EC2, S3, Amazon Elastic Block Store/EBS et Amazon Relational Database Service/RDS).
Ainsi, une solution de sauvegarde tierce contribue à réduire le coût total de possession (TCO) de vos sauvegardes AWS.
Responsabilité partagée en matière de sécurité
Compte tenu du modèle de responsabilité partagée, il convient d’accorder une attention particulière à la sécurité de vos processus de sauvegarde et de restauration sur AWS. En matière de protection des données cloud, les fichiers sauvegardés constituent une cible de choix pour les acteurs malveillants. C’est à vous de protéger ces sauvegardes. Ainsi, nous vous conseillons d’appliquer la même rigueur en matière de sécurité que pour vos autres systèmes critiques.
Les ransomwares sont sans doute la plus grande menace pour vos sauvegardes. Pour déterminer les meilleures mesures de sécurité, nous vous recommandons de consulter les études réalisées par Amazon sur l’exposition aux ransomwares de la plateforme. Sa Customer Incident Response Team (CIRT) a examiné des attaques par ransomware et déterminé que la cause principale de celles-ci était la « divulgation involontaire de clés d’accès IAM (gestion des identités et des accès) ». Dans ce scénario, les acteurs malveillants volent des identifiants et pénètrent facilement dans les instances de sauvegarde AWS. Ce vol d’identifiants fait partie des nombreuses vulnérabilités qui peuvent affecter les sauvegardes AWS.
Parmi les bonnes pratiques en matière de sécurité, on peut citer :
Gestion des identifiants – Intègre les fonctions de sauvegarde à une solution IAM qui gère et protège les identifiants des utilisateurs dans de multiples environnements cloud et on-prem.
Authentification multifacteur (MFA) – Renforce le MFA pour empêcher les utilisateurs malveillants d’exploiter des identifiants volés pour accéder aux sauvegardes depuis des appareils non autorisés.
Contrôles d’accès basés sur les rôles (RBAC) – Simplifie et organise les privilèges d’accès par rôle, dans la mesure du possible, afin de réduire les risques liés à un provisionnement excessif ou à d’anciens employés disposant encore de leurs droits d’accès.
Chiffrement des données – Chiffre les données au repos stockées sur AWS afin de réduire l’impact des compromissions.
AWS Key Management Service (KMS) pour le chiffrement – Empêche l’utilisation abusive de clés et les accès non autorisés aux données par des acteurs malveillants.
Conception Zero Trust – Interdit par défaut l’accès aux systèmes de sauvegarde et ne l’autorise qu’après une validation minutieuse des identités et de l’appareil de l’utilisateur.
Sauvegarde protégée par un air-gap logique – Empêche les attaquants d’accéder aux sauvegardes grâce à des méthodes logiques qui isolent la sauvegarde via un « air-gap ».
Quels sont les critères d’un bon fournisseur de solutions de sauvegarde AWS ?
Votre fournisseur doit être aligné sur vos objectifs de sauvegarde et de continuité des activités, par exemple en offrant des options de stockage cloud à faible coût ou la capacité de travailler avec d’autres plateformes qu’AWS. La solution doit être facile à gérer et idéalement proposer un haut degré d’automatisation.
Enfin, vous avez probablement besoin d’une solution qui gère et sécurise vos données sur de multiples clouds et environnements de stockage on-prem, et permet d’atteindre des RTO et RPO proches de zéro.
Offrir des options de stockage cloud à faible coût
AWS Backup n’offre pas la possibilité de placer vos données sur des niveaux de stockage plus économiques. Vous risquez donc de dépenser beaucoup d’argent pour maintenir vos sauvegardes. Or en 2024, le besoin de réduire les coûts préoccupe de plus en plus les équipes IT. Une solution existe : la voici. AWS propose différentes options de stockage à prix variables, avec des compromis acceptables en termes de performances. En optant pour un bon fournisseur tiers, vous pourrez sauvegarder vos données via les options les moins coûteuses tout en utilisant d’autres services de stockage cloud.
Simplifier la gestion des sauvegardes grâce à l’automatisation basée sur des politiques
Idéalement, une solution de sauvegarde AWS devrait simplifier la gestion des fonctions de sauvegarde et de restauration pour tous les workloads. Cela inclut la détection automatique des workloads puis la création d’une sauvegarde de référence (baseline) à partir de politiques unifiées de protection des données.
Les politiques doivent diriger tous vos processus automatisés. Par exemple, si vous disposez d’une politique qui définit une période de conservation pour chaque type de données, votre fournisseur doit être capable de l’appliquer automatiquement pour toutes vos données AWS.
Accélérer la restauration pour minimiser les RTO et RPO
Un autre critère essentiel pour choisir votre fournisseur tiers doit être la rapidité de restauration des données. Une des méthodes les plus efficaces est la restauration ciblée des applications, fichiers et objets les plus importants pour votre entreprise – le tout à grande échelle. Donner la priorité à ces données critiques permet d’accélérer la reprise de vos activités.
L’objectif est double : accélérer le RTO (objectif de temps de récupération) et minimiser le RPO (objectif de point de récupération). Le RTO correspond au temps entre le début d’une panne et le rétablissement du système affecté. Le RPO marque le moment où les données sont perdues à la suite d’une action (par ex. la dernière transaction avant la panne pouvant être récupérée). Un processus de restauration ciblé permet d’atteindre des RTO et RPO proches de zéro.
Proposer une analyse des menaces
La protection des sauvegardes nécessite une vigilance constante. Votre fournisseur doit donc adopter cette approche grâce à l’intégration avec des solutions IAM et DLP (Data Loss Prevention) ou encore à des outils de sécurité comme le SOAR (Security Orchestration Automation and Response). Il doit également procéder à une analyse des menaces en surveillant en permanence votre posture data et le degré d’exposition de vos données sensibles.
Par exemple, un employé peut accidentellement stocker sur AWS un fichier contenant un malware, qui est sauvegardé dans un bucket S3 et attend sagement d’être activé. La première étape pour atténuer l’impact de ces logiciels malveillants est de savoir qu’ils existent. Il faut donc rechercher la présence d’éventuelles menaces dans les données sauvegardées, puis alerter les experts qualifiés pour y remédier.
Conformité
Les sauvegardes sont aussi concernées par les obligations réglementaires – en particulier si les jeux de données concernés contiennent des données à caractère personnel (DCP), des données de santé ou tout autre type de données soumises aux exigences de confidentialité. Vos sauvegardes cloud seront donc examinées dans le cadre d’audits de conformité. Par conséquent, vous devez choisir un fournisseur qui inclut la conformité et l’auditabilité au processus de sauvegarde AWS.