Bien que basées sur la transformation numérique actuelle, les données sont devenues l’actif principal des entreprises. Cependant, compte tenu de l'évolution constante des menaces réseau, ainsi que des pannes matérielles et des erreurs de fonctionnement humaines, une solution de sauvegarde unique n'est pas en mesure de répondre aux besoins de continuité des activités. Plusieurs solutions de sauvegarde reposent sur la génération de plusieurs copies de données dans différents emplacements et supports pour créer un système de défense en profondeur et réduire efficacement le risque de perte permanente de données. C'est la pierre angulaire de la stratégie d'assurance des données d'une entreprise.
Pourquoi les entreprises ont besoin de plusieurs stratégies de sauvegarde
La sauvegarde traditionnelle repose souvent sur un seul support ou emplacement, comme la simple sauvegarde des données sur une bande locale ou sur un seul stockage cloud. Dans ce modèle, dès qu’une attaque de ransomware entraîne le chiffrement du stockage local ou qu’une catastrophe naturelle régionale provoque la paralysie du centre de données, l’entreprise sera confrontée à une situation difficile d’interruption d’activité et de données irrécupérables. Par conséquent, la création d’une architecture de sauvegarde à plusieurs niveaux couvrant les opérations locales, hors site et dans le cloud peut propager les risques depuis la source.
La clé pour inclure plusieurs sauvegardes réside dans les fonctionnalités de « redondance » et d’« isolation ». Cela nécessite non seulement l'existence de plusieurs copies de données, mais nécessite également que ces copies soient placées dans différents emplacements physiques et sur différents supports de stockage, tout en maintenant une isolation logique les unes des autres. Par exemple, une copie se trouve sur un disque local pour une récupération rapide, une copie se trouve sur une bibliothèque de bandes hors site pour un archivage à long terme et une autre copie est chiffrée et stockée sur un cloud public isolé de l'environnement de production. De cette manière, un point de défaillance unique ne rendra pas toutes les sauvegardes inefficaces.
Comment choisir le bon support de sauvegarde
L'objectif de temps de récupération (RTO), l'objectif de point de récupération (RPO), le coût et la période de conservation des données doivent être pris en compte de manière exhaustive pour sélectionner les supports de sauvegarde. Pour les données professionnelles critiques qui doivent être restaurées rapidement, les disques SSD haute vitesse ou les périphériques de sauvegarde dédiés sont de bons choix. Ils peuvent réduire le temps de récupération du système de quelques heures à quelques minutes. Ce type de support est généralement utilisé pour la sauvegarde locale afin de garantir une restauration rapide en cas d'erreurs logiques ou de pannes mineures.
Il existe d’énormes quantités de données non structurées et de données qui doivent être archivées pour une conformité à long terme, là où le stockage sur bande ou sur objets est plus rentable. Les supports sur bande sont stockés hors ligne et sont naturellement immunisés contre les cyberattaques, tandis que leur durée de stockage peut atteindre des décennies. Le stockage objet dans le cloud offre une évolutivité et une redondance géographique presque illimitées. Une stratégie judicieuse utilise généralement une combinaison de ces supports, en plaçant les données chaudes sur des supports rapides et en déplaçant les données froides vers des supports moins chers afin d'atteindre un équilibre entre coût et efficacité.
Comment combiner sauvegarde cloud et sauvegarde locale
La sauvegarde purement locale sera limitée par la sécurité physique et la capacité, mais si vous comptez entièrement sur la sauvegarde dans le cloud, elle peut être limitée par la bande passante du réseau et les coûts de sortie. La meilleure pratique consiste à utiliser un modèle hybride. La sauvegarde locale est chargée de gérer les tâches quotidiennes de sauvegarde et de récupération rapides, telles que la sauvegarde incrémentielle sur le stockage local connecté au réseau, également appelé NAS, afin de garantir que lorsqu'un employé supprime accidentellement un fichier, il peut être restauré immédiatement à partir de la copie locale.
Dans le même temps, les données de sauvegarde dans le stockage local sont synchronisées avec le cloud de manière incrémentielle et continue selon un cycle fixe (comme chaque semaine). Les fournisseurs de services cloud tels qu'AWS S3 et Azure Blob fournissent des fonctions de contrôle de version et de stockage immuable, qui peuvent empêcher efficacement le chiffrement ou la falsification malveillante des données de sauvegarde. Une telle variante de la règle « 3 – 2 – 1 » – c'est-à-dire qu'il existe 3 copies de données, utilisant 2 supports différents, dont l'un est hors ligne (ou stockage cloud hors site), est devenue une norme largement acceptée dans l'industrie.
Comment vous protéger contre les ransomwares en chiffrant vos sauvegardes
Les ransomwares ont évolué pour avoir la capacité de rechercher et de chiffrer activement des fichiers de sauvegarde sur des lecteurs mappés en réseau. La sécurité du système de sauvegarde lui-même est donc cruciale. Premièrement, un contrôle strict des autorisations et une authentification multifacteur doivent être mis en œuvre pour les comptes de gestion des sauvegardes afin d'empêcher les attaquants de supprimer des sauvegardes avec des informations d'identification volées. C'est le premier. Deuxièmement, « écrire une fois, lire plusieurs », c'est-à-dire WORM ou technologie de stockage immuable, doit être utilisé pour verrouiller les données de sauvegarde pendant la période de conservation définie afin qu'elles ne puissent pas être modifiées ou supprimées.
Séparez le réseau de sauvegarde logiquement isolé du réseau de production, utilisez des VLAN indépendants ou mettez en œuvre une isolation physique pour garantir que le serveur de sauvegarde ne peut pas accéder directement au serveur de production ; de même, le serveur de production ne peut pas accéder directement au serveur de sauvegarde et seul l'agent de sauvegarde est autorisé à communiquer via les ports nécessaires avec des autorisations minimales. Des exercices réguliers de vérification et de récupération des données de sauvegarde sont également absolument indispensables pour garantir que la sauvegarde est complète et utilisable en cas d'urgence, plutôt que certains fichiers invalides qui ont été cryptés.
Méthodes régulières de test et de vérification des données de sauvegarde
De nombreuses entreprises découvrent seulement que les sauvegardes ne peuvent pas être restaurées en cas de sinistre. Il est donc très important de mettre en place un processus de test systématique. Les scripts de tests automatisés peuvent régulièrement sélectionner de manière aléatoire des tables ou des fichiers de bases de données clés à partir des sauvegardes pour effectuer des tests de vérification d'intégrité et de récupération, et générer des rapports. Pour les sauvegardes de machines virtuelles, la technologie de montage instantané peut être utilisée pour démarrer l'image de sauvegarde sans récupération complète afin de vérifier si le système peut démarrer normalement et exécuter les services clés.
Un exercice complet de reprise après sinistre doit être effectué au moins une fois par trimestre pour simuler une perte totale du centre de données. L'exercice doit couvrir toute la chaîne de récupération des données à partir du stockage dans le cloud ou des bibliothèques de bandes hors site, la reconstruction de l'infrastructure, la restauration des applications et la vérification des fonctions commerciales. Les résultats de l'exercice doivent détailler le temps passé sur chaque étape de récupération et le comparer avec le RTO établi afin d'optimiser en permanence le processus et le manuel de récupération.
Développer des politiques de conservation des sauvegardes conformes à la réglementation
Différents secteurs et différentes régions ont des exigences réglementaires différentes en matière de conservation des données, telles que le « droit à l'oubli » du RGPD et les réglementations sur la conservation des enregistrements des transactions dans le secteur financier. Les politiques de conservation des sauvegardes doivent être alignées sur ces exigences. Cela nécessite souvent de classer les données et de définir différentes périodes de conservation et niveaux de cryptage pour différentes catégories telles que les informations personnelles identifiables (PII), les données financières et les e-mails.
En termes de mise en œuvre technique, la stratégie de gestion du cycle de vie des données du logiciel de sauvegarde peut être utilisée pour sauvegarder les données de sauvegarde quotidiennement pendant les 30 premiers jours, puis les convertir en conservation hebdomadaire pendant 12 mois, et enfin en rétention mensuelle, puis migrer vers un niveau de stockage moins coûteux pendant 7 ans pour répondre aux exigences de conformité. De plus, toutes les opérations de conservation, d'archivage et de destruction doivent disposer de journaux d'audit détaillés pour fournir des preuves lors de l'examen réglementaire.
Lorsque vous planifiez une stratégie de sauvegarde pour votre entreprise ou votre équipe, le plus grand défi est-il confronté à la complexité technique, au contrôle des coûts ou aux difficultés d'exécution de l'équipe ? N'hésitez pas à partager vos difficultés spécifiques ou vos expériences de réussite dans l'espace commentaire. Votre cas réel peut être une source d’inspiration importante pour d’autres lecteurs. Si cet article vous est utile, n'hésitez pas à l'aimer et à le partager.
Laisser un commentaire