La sauvegarde des données cloud devrait constituer un impératif pour toute entreprise moderne. Mais si vous utilisez le cloud Microsoft Azure, comme le font 95 % des entreprises du Fortune 500, la sauvegarde doit figurer en tête de vos priorités. Et ce pour plusieurs raisons :
Azure est probablement l’endroit où vous hébergez certaines de vos données les plus critiques et les plus sensibles
Les données de votre application de productivité Microsoft 365 se trouvent sur Azure, de même que certains (voire la totalité) de vos systèmes Microsoft sont dans le cloud
Si vous perdez vos données Azure, vos activités subiront un coup dur difficile à surmonter
Selon le modèle Azure de partage des responsabilités en matière de sécurité, les sauvegardes vous incombent
Seulement voilà, la sauvegarde complète et sécurisée d’Azure, et plus particulièrement des machines virtuelles (VM), peut constituer un véritable défi. Ce guide de sauvegarde des VM Azure vous livre des bonnes pratiques et recommandations pour libérer tout le potentiel des solutions de sauvegarde tierces. Vous y découvrirez comment sauvegarder Azure en général, et ses machines virtuelles en particulier.
Avantages des sauvegardes tierces pour les instances Azure
Bonnes pratiques en matière de sauvegarde Azure
La sauvegarde des VM Azure fait l’objet de bonnes pratiques en constante évolution. Certaines d’entre elles sont axées sur la sécurité, ce qui est logique puisque les données sauvegardées peuvent être une cible intéressante pour les hackers. L’utilisation d’un outil de sauvegarde tiers est également recommandée.
Sécurité
Autrefois, sauvegarder des données consistait à les mettre sur bande et à cacher ces dernières dans une mine de sel. À moins que quelqu’un ne fasse venir un semi-remorque, vos données étaient relativement à l’abri des acteurs malveillants.
Le cloud est différent, c’est le moins que l’on puisse dire. Il est en pleine expansion par rapport aux environnements de stockage conventionnels. Votre entreprise peut disposer de nombreux comptes recouvrant différentes zones géographiques et plateformes cloud. En conséquence, vos données sont exposées à une large surface d’attaque dont la défense nécessite davantage de ressources et d’expertise. (Et, en raison du modèle de sécurité partagée, ces ressources et cette expertise doivent être les vôtres, et non celles du fournisseur de solutions cloud)
Le risque de compromission et d’exfiltration pèse aussi sur les données sauvegardées dans le cloud. Sans protection efficace, votre environnement cloud peut être compromis. Il convient donc d’appliquer aux sauvegardes sur Azure la même sécurité rigoureuse que pour vos autres systèmes critiques.
Concrètement, à un niveau élevé, la sécurité des sauvegardes Azure s’inscrit dans la protection globale des données cloud . La gestion des identifiants représente un facteur clé pour sécuriser les sauvegardes cloud. Le vol ou la fuite accidentelle d’identifiants constituent l’une des principales portes d’entrée pour les attaques par ransomware. L’activation de l’authentification multifacteur (MFA) est également utile, car elle réduit la possibilité pour des acteurs malveillants de se connecter à partir d’appareils inconnus. Autre mesure essentielle, le contrôle d’accès basé sur les rôles (RBAC) simplifie le processus d’attribution et de révocation des privilèges d’accès en basant l’accès sur les rôles dans l’entreprise.
En outre, le chiffrement des données est fortement recommandé pour tous les niveaux de stockage sur Azure. Une bonne pratique consiste à utiliser l’outil intégré Azure Key Vault pour sauvegarder vos clés cryptographiques et autres secrets que vous pourriez utiliser comme contre-mesures en cas de compromission des données.
Surveillance, alertes et rapports
L’efficacité de la sauvegarde et de la restauration passe par une connaissance constante de l’état des tâches de sauvegarde, de même que des problèmes potentiels (comme les étapes manquées dans les workflows, les pannes ou les cyberattaques). C’est donc une bonne pratique que de s’engager dans un contrôle continu et approfondi de tous les systèmes concernés. La surveillance doit ensuite être suivie d’alertes et de rapports, selon les besoins, afin de garantir une action rapide et appropriée en cas de détection d’un problème.
Il existe de multiples façons de surveiller vos systèmes de sauvegarde et de restauration, et vous pouvez recourir à plusieurs d’entre elles. Il peut être judicieux de configurer Azure Monitor pour surveiller l’utilisation du système et les tâches de sauvegarde. Azure Monitor est une solution plurielle qui collecte, analyse et répond aux données de surveillance des environnements cloud et on-prem. Sa mission : collecter et agréger les données relatives à la sauvegarde et à la restauration. Ainsi Azure Monitor vous informe instantanément des problèmes potentiels relatifs à vos VM et à vos données sauvegardées.
L’examen des rapports et l’analyse du flux de données de surveillance permettent de valider le comportement de l’utilisateur, tout en repérant les activités anormales, signes d’une menace ou d’une attaque en cours. Une attaque par ransomware, par exemple, peut être précédée par la connexion d’utilisateurs depuis des endroits inhabituels ou en dehors des heures de bureau. Si une solution de surveillance détecte ces signaux suspects assez rapidement, elle peut éviter l’attaque ou en limiter le rayon d’action.
Systèmes de sauvegarde natifs vs tiers
Azure propose une fonctionnalité de sauvegarde intégrée. Cependant, une solution de sauvegarde tierce peut s’avérer plus adaptée. Si la sauvegarde intégrée d’Azure présente certains avantages (étendue de la couverture des workloads, relative facilité d’utilisation, la simplicité d’une relation avec un fournisseur unique), elle souffre toutefois de ses propres limites.
Les outils de sauvegarde natifs, tels que ceux d’Azure, peuvent rendre difficile la création d’une sauvegarde de référence (baseline). Il peut être complexe, d’un point de vue opérationnel, de définir des politiques pour plusieurs comptes. Ces outils ont tendance à manquer de visibilité centralisée pour les architectures multicloud, et peuvent conduire à des définitions et à une application incohérentes des politiques. À un niveau plus élevé, les outils de sauvegarde natifs peuvent être peu économiques, en raison d’un manque de hiérarchisation du stockage et une déduplication inefficace, entre autres facteurs de coûts sous-optimaux.
D’où l’utilité d’une solution de sauvegarde tierce pour pallier nombre de ces lacunes. Elle réduit généralement le coût total de possession (TCO), non seulement en simplifiant l’administration de multiples comptes et régions Azure, mais aussi en offrant une gestion unifiée et une vision complète des sauvegardes sur l’ensemble des différents VM multicloud et on-prem. Une solution tierce diminue le TCO en stockant les données de sauvegarde dans un espace de stockage à froid dès le premier jour, ce qui est moins coûteux. À l’inverse, Azure Backup exige un stockage à chaud pendant 30 jours, ce qui est deux fois plus coûteux que le stockage à froid.
Une solution de sauvegarde tierce, telle que Rubrik Security Cloud, comprend également des fonctions de sécurité telles que l’analyse des menaces sur les données et des sauvegardes immuables qui constituent une mesure de protection contre les ransomwares. La solution de sauvegarde Azure de Rubrik offre des avantages distincts pour l’environnement Azure, à l’instar d’une fonctionnalité de sauvegarde spécialement conçue pour Azure SQL, Azure VMs, Azure NetApp files, etc.
Quels sont les critères d’un bon fournisseur de solutions de sauvegarde Azure ?
Misez sur un fournisseur de solutions qui propose des fonctionnalités pensées pour les VM Azure et les workloads Microsoft associées, tout en vous permettant de travailler sur une infrastructure multicloud et on-prem grâce à une interface de gestion sur une console. Cette solution doit renforcer la sécurité des sauvegardes grâce à l’immutabilité, au contrôle d’accès basé sur les rôles (RBAC), à l’authentification multifacteur, à la détection des ransomwares et aux sauvegardes par air-gap, sans oublier une restauration accélérée avec des objectifs de point de reprise (RPO) et de temps de restauration (RTO) accélérés. Il est également essentiel de disposer d’une option de stockage à froid pour maintenir le TCO au plus bas.
Simplifier la gestion des sauvegardes grâce à l’automatisation basée sur des politiques
Dans l’idéal, une solution de sauvegarde Azure doit pouvoir simplifier la gestion des sauvegardes grâce à l’automatisation. Elle doit être capable d’automatiser des processus tels que la hiérarchisation des VM Azure et des Managed Disks, par exemple. La découverte automatisée des machines virtuelles Azure est également un atout, en particulier si la solution peut offrir une automatisation basée sur des politiques. L’étiquetage automatisé des ressources dans un groupe de ressources constitue un bon exemple.
En outre, la possibilité de créer des accords de niveau de service (SLA) à l’aide de déclarations est un atout majeur pour un fournisseur de solutions de sauvegarde Azure. Comme l’illustre la structure du domaine SLA de Rubrik, la déclaration s’oppose au mode impératif traditionnel d’adhésion aux SLA. L’approche impérative impose aux administrateurs sécurité une série d’étapes pour respecter un accord de niveau de service de sauvegarde. Face à ce processus qui finit par devenir lourd et inefficace, la déclaration, à l’inverse, fixe un objectif, tel qu’un RTO. Il s’agit d’une méthode facile pour effectuer des sauvegardes dans le respect des accords de niveau de service (SLA). La mise en conformité s’en trouve grandement simplifiée.
Accélérer la restauration pour minimiser les RTO et RPO
En cas de perte de données sur Azure, quelle qu’en soit la nature, une récupération rapide est un impératif absolu. Le meilleur fournisseur de sauvegarde Azure sera celui qui pourra restaurer de manière sélective les VM Azure indispensables et d’autres données à grande échelle. Ainsi, la restauration accélérée récupère en priorité les données critiques, ce qui contribue à une reprise rapide.
Plus précisément, il s’agit d’atteindre le plus vite possible l’objectif de temps de restauration (RTO), c’est-à-dire le temps qui s’écoule entre le début d’un incident et la restauration des machines virtuelles Azure affectées et des fichiers associés. En outre, la solution doit permettre d’atteindre l’objectif de point de reprise (RPO) le plus court possible. Le RPO marque le point auquel les données sont perdues en cas de panne (ex. : la transaction la plus récente d’une série). Une solution de sauvegarde Azure efficace permet d’atteindre des RTO et RPO proches de zéro.
Privilégier la mobilité des applications, gage d’une conservation rentable à long terme, de la restauration des applications et du test/développement
Si votre objectif est la conservation à long terme et la restauration des applications, mieux vaut opter pour un fournisseur de sauvegarde Azure qui offre la mobilité des applications. Vous pouvez, par exemple, déplacer une machine virtuelle d’Azure vers Amazon Web Services (AWS), ou déplacer une application de la phase de développement à la phase de test, puis à la phase de production. Ce processus peut impliquer une réplication rapide des données entre les clouds. Le fournisseur doit soutenir ce processus. Une gestion simple et unifiée des nuages est essentielle pour réussir.
Rubrik Data Threat Analytics
Les attaquants s’en prennent-ils à vos VM Azure sauvegardées ? C’est ce qu’une solution efficace de sauvegarde Azure devrait vous aider à découvrir – avant qu’il ne soit trop tard – en vous offrant des capacités d’analyse des menaces liées aux données. La sécurité des données exige une vigilance de tous les instants. Par exemple, votre solution de sauvegarde doit analyser en permanence les données sauvegardées pour détecter les signatures de menaces. Autre fonctionnalité utile, le Threat Hunting permet de rechercher des menaces spécifiques et de ne pas attendre qu’elles se manifestent sous forme d’attaques. Si la solution détecte une menace, elle doit envoyer des alertes aux personnes chargées de la neutraliser.
Protéger en natif les workloads virtuels et les applications SaaS sur Azure
Une solution de sauvegarde Azure tierce devrait idéalement couvrir les applications SaaS (Software-as-a-Service) telles que Microsoft 365. Cela signifie une protection des données SaaS à grande échelle, y compris sécuriser vos données SaaS par air-gap, avec des sauvegardes à accès contrôlé et une récupération rapide. Une gestion centralisée des sauvegardes et de la restauration, dotée d’un tableau de bord intuitif, permet de concrétiser cette capacité.