Azure Backup assure une protection native des machines virtuelles et des workloads. Pour cela, cette solution s’appuie sur des sauvegardes basées sur des snapshots, stockées dans un Recovery Services Vault. Elle couvre les besoins fondamentaux de sauvegarde et de restauration, notamment la conservation définie par des politiques et la reprise inter-régions. Toutefois, les entreprises ayant des objectifs stricts en matière de RPO/RTO, des inquiétudes liées aux ransomwares, des exigences de conformité ou des environnements hybrides ou multicloud peuvent avoir besoin de capacités plus avancées en matière d’immutabilité, de gouvernance centralisée et de reprise à grande échelle. Il ne s’agit donc pas de simplement activer Azure Backup, mais de concevoir une stratégie de protection des données alignée sur les exigences métiers et les impératifs de sécurité.
La sauvegarde des données cloud devrait constituer un impératif pour toute entreprise d’aujourd’hui. Mais si vous utilisez le cloud Microsoft Azure, comme le font 95 % des entreprises du Fortune 500, la sauvegarde doit figurer en tête de vos priorités. Et ce pour plusieurs raisons :
Seulement voilà, la sauvegarde complète et sécurisée d’Azure, et plus particulièrement des machines virtuelles (VM), peut constituer un véritable défi. Ce guide de sauvegarde des VM Azure vous livre les bonnes pratiques et recommandations pour libérer tout le potentiel des solutions de sauvegarde tierces. Vous y découvrirez comment sauvegarder Azure en général, et ses machines virtuelles en particulier.
Que vous utilisiez Azure Backup en natif ou une solution tierce comme Rubrik, le processus de protection sous-jacent des VM Azure suit un schéma similaire. Le comprendre permet de prendre de meilleures décisions en matière de politiques, de cohérence et d’options de restauration.
L’agent Azure VM doit être installé sur chaque machine virtuelle. Lorsqu’une tâche de sauvegarde est déclenchée, une extension de snapshot orchestre la création d’un snapshot de disque (disk snapshot) sans nécessiter l’arrêt de la VM. Rubrik s’appuie sur ce même mécanisme natif d’Azure. Résultat : aucun d’impact sur les performances de la VM pendant la sauvegarde et aucun agent supplémentaire n’est requis au delà de l’agent Azure VM standard.
La qualité d’un point de restauration dépend de son type de cohérence :
Les snapshots cohérents au niveau applicatif utilisent le service Volume Shadow Copy sur Windows pour vider les données présentes en mémoire vers le disque avant le snapshot. C’est le choix recommandé pour les bases de données et les workloads transactionnels, et c’est le mode ciblé par défaut par Rubrik pour les workloads pris en charge.
Les snapshots cohérents au niveau du système de fichiers purgent et suspendent les écritures du système de fichiers avant le snapshot. Ils sont utilisés pour les VM Linux.
Les snapshots cohérents en cas de crash capturent l’état du disque sans vider la mémoire. Ils conviennent aux workloads capables de tolérer une reprise de type redémarrage.
Après la première sauvegarde complète, les tâches suivantes sont incrémentales et ne transfèrent que les blocs de disque modifiés. Là où Azure Backup impose 30 jours de stockage à chaud avant de pouvoir déplacer les données vers un niveau moins coûteux, Rubrik transfère les données de sauvegarde vers du stockage froid dès le premier point de restauration. Pour les entreprises protégeant de grands volumes de VM Azure, cette différence de gestion des niveaux de stockage génère des économies significatives à l’échelle.
Certes, la solution native Azure Backup est un bon point de départ. Vous créez un Recovery Services Vault, définissez une stratégie de sauvegarde en matière de planification et conservation, activez la sauvegarde sur une VM, et Azure gère le reste. Pour les petites équipes administrant un nombre limité de VM au sein d’un seul abonnement, cela est souvent suffisant.
Cependant, à l’échelle d’une entreprise, certaines limites prennent de l’ampleur :
Les politiques sont configurées par vault et par abonnement. Appliquer des standards de sauvegarde homogènes sur des dizaines d’abonnements nécessite un effort manuel conséquent ou des scripts Azure Policy complexes.
Il n’existe pas de vue unifiée couvrant plusieurs abonnements, clouds ou environnements on-prem. Les équipes gérant des environnements hybrides doivent se connecter à chaque vault séparément pour vérifier la couverture.
Le stockage à chaud est requis pendant les 30 premiers jours, avec un coût environ deux fois supérieur à celui du stockage à froid. Un coût vite conséquent lorsqu’il s’agit de protéger des centaines de VM.
Les capacités de détection et de restauration post-ransomware sont limitées. Azure Backup propose la suppression temporaire et l’immutabilité des vaults, mais n’analyse pas les données de sauvegarde à la recherche d’indicateurs de compromission avant restauration.
Les options de restauration sont plus lentes. Il n’existe pas d’équivalent au montage instantané d’un snapshot de sauvegarde sous forme de VM active en fonctionnement.
C’est justement en réponse à ces points faibles que la plateforme Rubrik Security Cloud a été créée.
Rubrik Security Cloud se connecte directement à votre environnement Azure, détecte automatiquement vos VM et vous permet d’appliquer la protection via des domaines SLA plutôt que des politiques par vault. Résultat : une sauvegarde centralisée, pilotée par des politiques, qui s’étend à l’ensemble des abonnements et des clouds sans la complexité opérationnelle de l’approche native.
Rubrik se connecte à Azure via une application enregistrée dans Azure Active Directory à l’aide d’un service principal. Cette configuration est à effectuer une seule fois par abonnement.
Dans la console Rubrik Security Cloud, accédez à « Infrastructure », puis « Cloud Accounts » (Comptes cloud).
Sélectionnez Azure et suivez l’assistant pour enregistrer une application Rubrik dans votre tenant Azure AD.
Accordez les autorisations requises : rôle « Contributor » (Contributeur, collaborateur sans rôle administratif) sur les abonnements à protéger, et accès Key Vault si vous utilisez des clés gérées par le client.
Finalisez la connexion. Rubrik commence alors à détecter toutes les VM Azure des abonnements connectés.
Une fois la connexion établie, accédez à « Workloads », puis « Azure VMs », pour afficher un inventaire complet de toutes les VM sur vos abonnements connectés. Les VM non protégées sont clairement identifiées. Cette détection automatique supprime le processus manuel d’inscription des VM dans des vaults individuels, souvent l’un des aspects les plus chronophages de la gestion d’Azure Backup à grande échelle.
Rubrik utilise des domaines SLA en remplacement des politiques de sauvegarde par vault. Un domaine SLA est une politique déclarative : vous définissez un objectif (par exemple, des snapshots horaires conservés pendant 30 jours, avec des copies mensuelles archivées pendant sept ans et répliquées vers une région secondaire), et Rubrik en assure l’exécution sur tous les workloads associés. Un seul domaine SLA peut couvrir simultanément des VM Azure, des serveurs on-prem, des bases SQL et des applications SaaS.
Dans Rubrik Security Cloud, accédez à « SLA Domains » (Domaine SLA) et sélectionnez « Create SLA Domain » (Créer un domaine SLA).
Définissez la fréquence de sauvegarde (horaire, quotidienne ou hebdomadaire) et la durée de rétention locale.
Configurez la réplication vers un site secondaire ou une autre région cloud pour la reprise après sinistre.
Définissez les règles d’archivage afin de déplacer automatiquement les anciens points de restauration vers du stockage froid.
Enregistrez le domaine SLA.
Dans l’inventaire « Azure VMs », sélectionnez les VM, groupes de ressources ou abonnements à protéger.
Attribuez votre domaine SLA La protection démarre immédiatement selon le planning défini.
Rubrik commence à transférer les données de sauvegarde vers du stockage froid dès le premier point de restauration, contrairement à Azure Backup en natif qui impose un maintien en stockage à chaud pendant 30 jours.
Le tableau de bord de conformité Rubrik indique sur une vue unifiée quelles VM respectent les exigences de leur domaine SLA et lesquelles présentent des écarts, sur tous les abonnements et plateformes cloud connectés. Vous pouvez générer des rapports de conformité pour les audits sans accéder à chaque vault Azure ni exécuter des requêtes distinctes par abonnement. Des alertes sont automatiquement déclenchées lorsqu’une VM n’est plus conforme ou qu’une tâche de sauvegarde échoue.
La rapidité de reprise est l’un des principaux différenciateurs de Rubrik par rapport à la solution native Azure Backup. Cette dernière propose trois modes de restauration : restauration complète de VM, restauration au niveau disque et récupération au niveau fichier. Ces options sont efficaces, mais impliquent d’accéder à des vaults individuels, de sélectionner des points de restauration et d’attendre le transfert complet des données avant disponibilité de la VM.
Rubrik ajoute plusieurs capacités permettant de réduire significativement le RTO.
La fonctionnalité Live Mount de Rubrik permet de monter directement un snapshot de sauvegarde comme une VM Azure active, sans attendre le transfert complet des données. Le workload est disponible en quelques minutes, tandis que Rubrik migre les données en arrière plan. On passe ainsi d’une reprise en heures à une reprise en minutes, un facteur clé lorsque des systèmes de production sont indisponibles.
Pour une restauration complète, accédez à la VM Azure dans Rubrik Security Cloud, sélectionnez un point de restauration dans la chronologie des snapshots, puis choisissez de restaurer vers l’emplacement d’origine, une nouvelle VM, une autre région Azure ou un autre abonnement. La possibilité de restaurer entre différents abonnements est une capacité difficile à mettre en œuvre avec Azure Backup sans opérations manuelles importantes.
Vous pouvez parcourir le système de fichiers de n’importe quel point de restauration directement dans la console Rubrik et télécharger des fichiers ou dossiers individuels sans attacher de disque ou exécuter de scripts. Azure Backup propose une fonctionnalité similaire, mais elle nécessite le téléchargement et l’exécution d’un script de montage sur une VM cible.
Avant la restauration, Rubrik peut analyser les snapshots de sauvegarde afin de détecter des indicateurs de compromission et identifier le dernier point de restauration sain, évitant ainsi de réintroduire un malware dans votre environnement. Azure Backup ne propose pas de fonctionnalité équivalente : le choix du point de restauration se fait uniquement par date, sans visibilité sur son intégrité.
La manière dont vous définissez vos politiques de sauvegarde détermine à la fois votre objectif de point de reprise (RPO) et vos coûts de stockage. Les deux approches diffèrent fondamentalement dans leur capacité à passer à l’échelle.
La solution native Azure Backup s’appuie sur des politiques définies par vault, configurées individuellement pour chaque abonnement et chaque workload. La stratégie Standard prend en charge des sauvegardes quotidiennes. La stratégie Enhanced permet des sauvegardes toutes les heures et l’utilisation du niveau archive du vault pour la rétention à long terme. Les durées de conservation peuvent être définies indépendamment pour les points de restauration quotidiens, hebdomadaires, mensuels et annuels. À l’échelle d’une entreprise, appliquer des politiques homogènes sur des dizaines d’abonnements nécessite de recourir à l’automatisation via Azure Policy ainsi qu’à une maintenance continue afin de garantir que les nouvelles VM sont correctement intégrées.
Le modèle de domaine SLA proposé par Rubrik simplifie tout. Une seule définition de domaine SLA couvre n’importe quel nombre de workloads, sur autant d’abonnements et de plateformes cloud que nécessaire. Lorsqu’une nouvelle VM est provisionnée et associée à un domaine SLA, la protection démarre automatiquement, sans configuration supplémentaire. Les modifications de politique s’appliquent immédiatement à tous les workloads du domaine. C’est ce modèle déclaratif, qui fait défaut au processus natif de sauvegarde des VM Azure, qui rend Rubrik réellement exploitable à l’échelle d’une grande entreprise.
La sauvegarde des VM Azure fait l’objet de bonnes pratiques en constante évolution. Certaines d’entre elles sont axées sur la sécurité, ce qui est logique puisque les données sauvegardées peuvent être une cible intéressante pour les hackers. L’utilisation d’un outil de sauvegarde tiers est également recommandée.
Autrefois, sauvegarder des données consistait à les mettre sur bande et à cacher ces dernières dans une mine de sel. À moins que quelqu’un ne fasse venir un semi-remorque, vos données étaient relativement à l’abri des acteurs malveillants.
Le cloud est différent, c’est le moins que l’on puisse dire. Il est en pleine expansion par rapport aux environnements de stockage conventionnels. Votre entreprise peut disposer de nombreux comptes recouvrant différentes zones géographiques et plateformes cloud. En conséquence, vos données sont exposées à une large surface d’attaque dont la défense nécessite davantage de ressources et d’expertise. (Et, en raison du modèle de sécurité partagée, ces ressources et cette expertise doivent être les vôtres, et non celles du fournisseur de solutions cloud)
Le risque de compromission et d’exfiltration pèse aussi sur les données sauvegardées dans le cloud. Sans protection efficace, votre environnement cloud peut être compromis. Il convient donc d’appliquer aux sauvegardes sur Azure la même sécurité rigoureuse que pour vos autres systèmes critiques.
Concrètement, à un niveau élevé, la sécurité des sauvegardes Azure s’inscrit dans la protection globale des données cloud . La gestion des identifiants représente un facteur clé pour sécuriser les sauvegardes cloud. Le vol ou la fuite accidentelle d’identifiants constituent l’une des principales portes d’entrée pour les attaques par ransomware. L’activation de l’authentification multifacteur (MFA) est également utile, car elle réduit la possibilité pour des acteurs malveillants de se connecter à partir d’appareils inconnus. Autre mesure essentielle, le contrôle d’accès basé sur les rôles (RBAC) simplifie le processus d’attribution et de révocation des privilèges d’accès en basant l’accès sur les rôles dans l’entreprise.
En outre, le chiffrement des données est fortement recommandé pour tous les niveaux de stockage sur Azure. Une bonne pratique consiste à utiliser l’outil intégré Azure Key Vault pour sauvegarder vos clés cryptographiques et autres secrets que vous pourriez utiliser comme contre-mesures en cas de compromission des données.
L’efficacité de la sauvegarde et de la restauration passe par une connaissance constante de l’état des tâches de sauvegarde, de même que des problèmes potentiels (comme les étapes manquées dans les workflows, les pannes ou les cyberattaques). C’est donc une bonne pratique que de s’engager dans un contrôle continu et approfondi de tous les systèmes concernés. La surveillance doit ensuite être suivie d’alertes et de rapports, selon les besoins, afin de garantir une action rapide et appropriée en cas de détection d’un problème.
Il existe de multiples façons de surveiller vos systèmes de sauvegarde et de restauration, et vous pouvez recourir à plusieurs d’entre elles. Il peut être judicieux de configurer Azure Monitor pour surveiller l’utilisation du système et les tâches de sauvegarde. Azure Monitor est une solution plurielle qui collecte, analyse et répond aux données de surveillance des environnements cloud et on-prem. Sa mission : collecter et agréger les données relatives à la sauvegarde et à la restauration. Ainsi Azure Monitor vous informe instantanément des problèmes potentiels relatifs à vos VM et à vos données sauvegardées.
L’examen des rapports et l’analyse du flux de données de surveillance permettent de valider le comportement de l’utilisateur, tout en repérant les activités anormales, signes d’une menace ou d’une attaque en cours. Une attaque par ransomware, par exemple, peut être précédée par la connexion d’utilisateurs depuis des endroits inhabituels ou en dehors des heures de bureau. Si une solution de surveillance détecte ces signaux suspects assez rapidement, elle peut éviter l’attaque ou en limiter le rayon d’action.
Azure propose une fonctionnalité de sauvegarde intégrée. Cependant, une solution de sauvegarde tierce peut s’avérer plus adaptée. Si la sauvegarde intégrée d’Azure présente certains avantages (étendue de la couverture des workloads, relative facilité d’utilisation, la simplicité d’une relation avec un fournisseur unique), elle souffre toutefois de ses propres limites.
Les outils de sauvegarde natifs, tels que ceux d’Azure, peuvent rendre difficile la création d’une sauvegarde de référence (baseline). Il peut être complexe, d’un point de vue opérationnel, de définir des politiques pour plusieurs comptes. Ces outils ont tendance à manquer de visibilité centralisée pour les architectures multicloud, et peuvent conduire à des définitions et à une application incohérentes des politiques. À un niveau plus élevé, les outils de sauvegarde natifs peuvent être peu économiques, en raison d’un manque de hiérarchisation du stockage et une déduplication inefficace, entre autres facteurs de coûts sous-optimaux.
D’où l’utilité d’une solution de sauvegarde tierce pour pallier nombre de ces lacunes. Elle réduit généralement le coût total de possession (TCO), non seulement en simplifiant l’administration de multiples comptes et régions Azure, mais aussi en offrant une gestion unifiée et une vision complète des sauvegardes sur l’ensemble des différents VM multicloud et on-prem. Une solution tierce diminue le TCO en stockant les données de sauvegarde dans un espace de stockage froid dès le premier jour, ce qui est moins coûteux. À l’inverse, Azure Backup exige un stockage à chaud pendant 30 jours, ce qui est deux fois plus coûteux que le stockage froid.
Une solution de sauvegarde tierce, telle que Rubrik Security Cloud, comprend également des fonctions de sécurité telles que l’analyse des menaces sur les données et des sauvegardes immuables qui constituent une mesure de protection contre les ransomwares. La solution de sauvegarde Azure de Rubrik offre des avantages distincts pour l’environnement Azure, à l’instar d’une fonctionnalité de sauvegarde spécialement conçue pour Azure SQL, Azure VMs, Azure NetApp files, etc.
Misez sur un fournisseur de solutions qui propose des fonctionnalités pensées pour les VM Azure et les workloads Microsoft associées, tout en vous permettant de travailler sur une infrastructure multicloud et on-prem grâce à une interface de gestion sur une console. Cette solution doit renforcer la sécurité des sauvegardes grâce à l’immutabilité, au contrôle d’accès basé sur les rôles (RBAC), à l’authentification multifacteur, à la détection des ransomwares et aux sauvegardes par air-gap, sans oublier une restauration accélérée avec des objectifs de point de reprise (RPO) et de temps de restauration (RTO) accélérés. Il est également essentiel de disposer d’une option de stockage froid pour maintenir le TCO au plus bas.
Dans l’idéal, une solution de sauvegarde Azure doit pouvoir simplifier la gestion des sauvegardes grâce à l’automatisation. Elle doit être capable d’automatiser des processus tels que la hiérarchisation des VM Azure et des Managed Disks, par exemple. La découverte automatisée des machines virtuelles Azure est également un atout, en particulier si la solution peut offrir une automatisation basée sur des politiques. L’étiquetage automatisé des ressources dans un groupe de ressources constitue un bon exemple.
En outre, la possibilité de créer des accords de niveau de service (SLA) à l’aide de déclarations est un atout majeur pour un fournisseur de solutions de sauvegarde Azure. Comme l’illustre la structure du domaine SLA de Rubrik, la déclaration s’oppose au mode impératif traditionnel d’adhésion aux SLA. L’approche impérative impose aux administrateurs sécurité une série d’étapes pour respecter un accord de niveau de service de sauvegarde. Face à ce processus qui finit par devenir lourd et inefficace, la déclaration, à l’inverse, fixe un objectif, tel qu’un RTO. Il s’agit d’une méthode facile pour effectuer des sauvegardes dans le respect des accords de niveau de service (SLA). La mise en conformité s’en trouve grandement simplifiée.
En cas de perte de données sur Azure, quelle qu’en soit la nature, une récupération rapide est un impératif absolu. Le meilleur fournisseur de sauvegarde Azure sera celui qui pourra restaurer de manière sélective les VM Azure indispensables et d’autres données à grande échelle. Ainsi, la restauration accélérée récupère en priorité les données critiques, ce qui contribue à une reprise rapide.
Plus précisément, il s’agit d’atteindre le plus vite possible l’objectif RTO, c’est-à-dire le temps qui s’écoule entre le début d’un incident et la restauration des machines virtuelles Azure affectées et des fichiers associés. En outre, la solution doit permettre d’atteindre l’objectif RPO le plus court possible. Le RPO marque le point auquel les données sont perdues en cas de panne (ex. : la transaction la plus récente d’une série). Une solution de sauvegarde Azure efficace permet d’atteindre des RTO et RPO proches de zéro.
Si votre objectif est la conservation à long terme et la restauration des applications, mieux vaut opter pour un fournisseur de sauvegarde Azure qui offre la mobilité des applications. Vous pouvez, par exemple, déplacer une machine virtuelle d’Azure vers Amazon Web Services (AWS), ou déplacer une application de la phase de développement à la phase de test, puis à la phase de production. Ce processus peut impliquer une réplication rapide des données entre les clouds. Le fournisseur doit soutenir ce processus. Une gestion simple et unifiée des nuages est essentielle pour réussir.
Les attaquants s’en prennent-ils à vos VM Azure sauvegardées ? C’est ce qu’une solution efficace de sauvegarde Azure devrait vous aider à découvrir – avant qu’il ne soit trop tard – en vous offrant des capacités d’analyse des menaces liées aux données. La sécurité des données exige une vigilance de tous les instants. Par exemple, votre solution de sauvegarde doit analyser en permanence les données sauvegardées pour détecter les signatures de menaces. Autre fonctionnalité utile, le Threat Hunting permet de rechercher des menaces spécifiques et de ne pas attendre qu’elles se manifestent sous forme d’attaques. Si la solution détecte une menace, elle doit envoyer des alertes aux personnes chargées de la neutraliser.
Une solution de sauvegarde Azure tierce devrait idéalement couvrir les applications SaaS (Software-as-a-Service) telles que Microsoft 365. Cela signifie une protection des données SaaS à grande échelle, y compris sécuriser vos données SaaS par air-gap, avec des sauvegardes à accès contrôlé et une récupération rapide. Une gestion centralisée des sauvegardes et de la restauration, dotée d’un tableau de bord intuitif, permet de concrétiser cette capacité.