Bâtissez votre forteresse contre les menaces avec l’externalisation des sauvegardes sur AWS

Aujourd’hui, les entreprises choisissent de plus en plus les bénéfices d’une approche multi-cloud (ou hybrid cloud) ; notamment pour ses avantages en matière de coûts et de résilience. Mais cela apporte aussi son lot de complexités. Parmi ses défis, la protection des données occupe une place prépondérante. Pour renforcer votre stratégie de modernisation cloud, l’externalisation des sauvegardes sur AWS s’impose. Découvrez pourquoi. 

Stratégie multi-cloud et externalisation des sauvegardes

Le multi-cloud combine l’utilisation de plusieurs infrastructures de façon complémentaire, qu’elles soient privées ou publiques, pour répondre à vos besoins spécifiques d’affaires.  

Cette approche vous permet d’optimiser les coûts ainsi que d’améliorer la disponibilité ou la résilience de vos applications critiques en faisant appel à différents fournisseurs. Par exemple, certains cloud peuvent être plus adaptés à certains types de charges de travail que d’autres. Une combinaison hybride (infrastructures privées on-premises et publiques) est parfois privilégiée, notamment pour garder un meilleur contrôle sur des applications hautement critiques (BCA). 

Et les sauvegardes dans tout cela ? Stocker vos sauvegardes sur un site unique peut présenter plusieurs risques ; en cas d’incident majeur (crash, incendie, etc.), vous pourriez être à risque d’une perte totale des données. C’est ce qui rend l’externalisation aussi cruciale. 

Bien sûr, il existe différentes solutions d’externalisation, mais nous allons nous concentrer dans ce blogue sur les solutions AWS. 

L’externalisation des sauvegardes sur AWS est une solution fiable et durable grâce au service natif de stockage d’objet S3 (Simple Storage Service). Il propose plusieurs fonctionnalités telles que : 

• Une forte résilience (durabilité de 99,999999999 %, statistiquement il s’agit de la perte d’un fichier sur 1 million tous les 10 ans) ;
• L’immutabilité des données avec le verrouillage des objets ;
• La transition vers une classe (tier) de stockage de type glacier (permettant d’optimiser les coûts en cas de besoin de rétention à long terme des sauvegardes) ;
• Un accès sécurisé aux données ;
• Le versioning et la gestion des politiques de rétentions via les règles “S3 Lifecycle” ;
• La réplication intra-régions : AWS réplique automatiquement les données dans toutes les zones de disponibilités (Availability Zones, AZ) de la région ;
• La réplication inter-régions ;
• Le chiffrement des données ;
• Etc. 

Amazon S3 possède une fonctionnalité de MFA (authentification multifacteur) qui vous permet d’ajouter une couche de sécurité supplémentaire, en exigeant une confirmation depuis un appareil tiers avant de pouvoir supprimer un objet. 

Ces caractéristiques en font une solution idéale pour le stockage et la gestion des sauvegardes, mais aussi pour toutes données sensibles de l’entreprise.

L’immutabilité : un bouclier contre les ransomwares 

L’immutabilité du stockage par AWS est un concept basé sur le principe WORM (Write Once, Read Many), qui vous permet de créer des sauvegardes inaltérables. Le S3 Object Lock propose deux types de verrouillage d’objets : 

1. Mode Gouvernance : seuls les utilisateurs disposant de droits spécifiques peuvent modifier ou supprimer les objets.
2. Mode Conformité : personne, pas même AWS, ne peut modifier ou supprimer l’objet pendant la période de rétention définie. 

Cette immutabilité constitue une protection efficace contre les ransomwares (ou rançongiciels). Si bien que ces logiciels malveillants, qui cherchent à chiffrer les données pour exiger une rançon, se trouvent ainsi dans l’impossibilité de venir modifier vos objets verrouillés tels que vos sauvegardes.  

Construire l’architecture : une mise en place minutieuse 

Lorsque nous construisons une architecture pour externaliser les sauvegardes, nous considérons différents points. D’abord, nous établissons si le client possède un compte AWS avec une landing zone connectée à son infrastructure on-premise (cloud hybride). Toutefois si ce n’est pas le cas, nous évaluons les options de connexion, par exemple avec AWS DataSync. 

Ensuite, il est nécessaire de s’assurer que l’interconnectivité réseau soit suffisamment performante. Cela permet le transfert des sauvegardes dans le temps imparti. C’est-à-dire sans impacter les performances du système pendant la sauvegarde et tout en permettant un bon RPO. 

Le choix de la clé de chiffrement est également un point important à prendre en considération. Enfin, nous mettons en place une politique de restriction d’accès stricte (principe du moindre privilège) et des outils d’observabilité (surveillance, rapports…). 

De nombreux outils de sauvegarde sont compatibles avec Amazon S3, notamment Veritas NetBackup, qui vous permet par exemple d’envoyer directement vos sauvegardes sur un bucket S3 via son système de Deduplication Pool (MSDP). D’autres outils tels que Veeam ou Commvault ont également la possibilité de s’interfacer avec ce service de stockage de AWS. 

De nombreux autres services AWS peuvent s’intégrer avec Amazon S3 : 

• IAM : pour la gestion des accès.
• Lambda et S3 Event Notifications : par exemple pour vérifier la cohérence des sauvegardes
  
• CloudWatch : pour l’analyse des métriques et l’alertage.
• CloudTrail : pour enregistrer les activités et analyser les actions.
• Malware Protection for S3 : pour détecter les actions malveillantes.

L’expertise oXya au service de votre stratégie

de notre expertise en hébergement d’applications critiques (BCA) ainsi que de nos connaissances approfondies des hyperscalers, nous sommes votre partenaire idéal pour mettre en œuvre une architecture robuste, avec une prise en charge complète : 

• L’étude de l’architecture AWS la mieux adaptée avec un choix personnalisé des outils et services (AWS DRS pour faciliter la mise en place de plan de reprise d’activité, et autres services natifs).
• L’implémentation de la solution via notre stack de déploiement DevOps et notre méthodologie infrastructure-as-code.
• Des services managés sur le cloud incluant une supervision 24/7, des rapports journaliers et des révisions et consulting FinOps réguliers. 

En combinant les capacités d’AWS avec l’expertise d’oXya, vous construisez une véritable forteresse pour assurer votre résilience. Contactez nos experts pour en savoir davantage.