3 copies des données, 2 supports différents, dont 1 hors site. C’est la stratégie 3-2-1 basique en matière de sauvegarde, qui a été recommandée et efficace durant de nombreuses années.
Aujourd’hui, face aux nouvelles menaces cyber qui pèsent sur les entreprises, il devient nécessaire de préciser un peu cette stratégie et de la pousser un cran plus loin.
Comprendre la stratégie 3-2-1-1-0
Le principe 3-2-1-1-0 repose sur cinq exigences complémentaires pour assurer l’intégrité et la disponibilité des sauvegardes.
Tout d’abord, le « 3-2-1 » classique :
- 3 copies des données : les données originales, les sauvegardes et les copies de sauvegarde.
- 2 supports de stockage différents : par exemple un NAS et un service cloud
- 1 copie externalisée : cloud, datacenter distant, site secondaire…
Auquel on ajoute deux contraintes additionnelles :
- 1 copie immuable : imperméable aux attaques par ransomware.
- 0 erreur : grâce à la vérification des sauvegardes et à des exercices de récupération réguliers.
Immuabilité et intégrité : deux armes face au ransowmare
En ajoutant l’immutabilité et la vérification systématique de l’intégrité des sauvegardes à la stratégie, cette approche renforce la résilience des organisations face au ransomware et aux attaques qui ciblent directement les infrastructures de sauvegarde. Nombre d’organisations, pourtant convaincues d’être protégées, se sont retrouvées incapables de restaurer leurs données après une attaque, faute de copies intactes.
L’ajout d’une copie immuable empêche toute altération ou suppression des données sauvegardées pendant une période définie. Cela garantit que même en cas de compromission de l’environnement de production, une version saine et exploitable des données reste disponible.
La notion de « 0 erreur », elle, impose aux entreprises de ne pas seulement sauvegarder, mais aussi de tester régulièrement les procédures de restauration, afin d’éviter les mauvaises surprises en situation critique.
De nouveaux critères à prendre en compte dans ses choix technologiques
Plus complète donc, la sauvegarde 3-2-1-1-0 n’en est pas pour autant plus complexe à mettre en œuvre. La copie immuable est une fonctionnalité qui est nativement intégrée à certaines technologies de sauvegarde. C’est donc un critère important à prendre en compte lors du choix de son fournisseur.
Idem pour le « 0 erreur ». Il existe des solutions qui vont analyser en continu les sauvegardes pour vérifier leur intégrité, sans qu’une intervention manuelle ne soit nécessaire.
Quant au test régulier des sauvegardes, il implique de pouvoir déployer un environnement de test sur lequel on pourra effectuer une restauration à partir d’une sauvegarde récente. Là encore, certaines solutions de sauvegarde incluent des outils pour simplifier l’opération.
Chez Toyota, une sauvegarde 3-2-1-1-0 pour éviter la sortie de route
Au Vietnam, où il produit plusieurs dizaines de milliers de véhicules chaque année, le constructeur Toyota a mis en place cette stratégie pour protéger ses 50 serveurs physiques et virtuels les plus critiques.
Pour cela, l’entreprise s’est appuyée sur l’appliance Synology ActiveProtect DP7400, qui embarque la solution ActiveProtect Manager. D’un point de vue matériel, l’appliance DP7400 est un serveur 2U sous processeur AMD EPYC 12 cœurs, pouvant accueillir 10 disques durs de 20 To ainsi que 2 supports SSD de 3840 Go pour accélérer les traitements, et pouvant offrir une connectivité jusqu’à 25 GbE. Le DP7400 peut gérer jusqu’à 2 500 serveurs et 150 000 charges de travail (VMware vSphere, Microsoft Hyper-V, Windows, macOS, Linux, NetApp ONTAP, Nutanix Files, Microsoft 365, Oracle Database, Microsoft SQL Server…) dans un cluster. Toyota a donc fait le choix d’en déployer une au siège pour héberger ses sauvegardes et une seconde sur un site distant pour les copies de ces sauvegardes. Ça, c’est pour le « 3-2-1 ».
Pour le « 1-0 », ActiveProtect Manager se charge de l’immuabilité, avec une capacité de stockage WORM (WriteOnce-Read-Many) pour garantir que personne ne peut modifier les données sauvegardées au cours de la période de conservation spécifiée. Les données peuvent également être chiffrées localement avant d’être sauvegardées sur des destinations distantes. Pour renforcer la sécurité, l’entreprise peut également utiliser la fonction de déconnexion du réseau pour isoler l’environnement distant.
ActiveProtect Manager garantit également le « 0 erreur ». La fonctionnalité de réparation spontanée, basée sur les sommes de contrôle du système de fichiers Btrfs, garantit l’absence d’erreurs en réparant les données corrompues via la technologie RAID. Ensuite, pour vérifier la capacité de récupération à partir des données sauvegardées, des exercices de reprise après sinistre peuvent être effectués dans une sandbox, afin de procéder à des tests régulièrement sans affecter la production. Et pour guider les utilisateurs, des vidéos explicatives sont accessibles pour mettre en place simplement un exercice de reprise à des fins d’audit. Un tableau de bord donne aux administrateurs une visibilité continue sur l’état des sauvegardes, les copies de sauvegarde et l’utilisation du stockage.
Tenir le RTO !
En cas de sinistre, les données peuvent être restaurées de manière flexible en fonction de vos objectifs de temps de restauration (RTO).
Toyota peut choisir de restaurer l’ensemble d’une machine ou d’intervenir au niveau des fichiers, et opter pour une méthode physique vers virtuel (P2V) ou virtuel vers virtuel (V2V), afin de restaurer les données bonnes données au bon endroit… et le plus vite possible !