Portée par le Cloud et face aux ransomwares, la sauvegarde gagne ses lettres de noblesse

Floppy disks
Jérôme Mollier-Pierret, directeur infogérance SAP chez PASàPAS

Semaine après semaine, l’importance des sauvegardes est mise en lumière par les multiples attaques par ransomwares. Mais, en migrant dans le Cloud, la sauvegarde sort également de son pré-carré voué à la restauration de données, pour se mettre au service de scénarios plus élaborés. Comme l’illustre la solution dédiée aux environnements SAP mise en œuvre par PASàPAS. La migration graduelle vers le Cloud doit pousser les DSI à challenger la question des sauvegardes. Et, au minimum, à ne plus négliger le sujet, une erreur qui peut s’avérer lourde de conséquences comme l’ont illustré les déboires de certaines victimes de la panne d’OVH, entreprises qui n’avaient pas pris leurs précautions en la matière. « Par ailleurs, en passant à une exploitation dans le Cloud, on change la manière de concevoir les sauvegardes, car le socle technologique est totalement différent », observe Jérôme Mollier-Pierret, le directeur de l’infogérance SAP chez PASàPAS.

 

Le passage des très traditionnelles bandes couplées aux robots de sauvegarde à des services appelés par API suppose un certain nombre d’adaptations. Autre évolution notable ces dernières années : la hausse des volumétries, particulièrement sensible dans les environnements SAP depuis la migration vers la base de données In-Memory HANA. « Et il faut gérer ces volumes croissants avec des délais de restauration de plus en plus courts », reprend l’expert. Troisième tendance de fond poussant les entreprises à réexaminer leurs solutions de sauvegarde : les ransomwares et la propension des cybercriminels exploitant ces malwares à cibler en priorité les données sauvegardées pour couper toute possibilité de restauration, et donc forcer leurs victimes à payer la rançon demandée.

Brian Passante, Responsable Cloud & Innovation chez PASàPAS

C’est sur cette toile de fond que PASàPAS a conçu sa solution de sauvegarde pour les environnements SAP hébergés sur le Cloud. Assemblée à partir de standards Open Source, celle-ci permet de dépasser les limites des services proposés par les hyperscalers. Offrant des durées de restauration courtes, ces derniers sont, par contre, inadaptés au contexte applicatif de SAP et souvent dépendant de la plateforme. Comme l’explique Brian Passante, le responsable Cloud & Innovation de PASàPAS : « en pratique, ces solutions, qui fonctionnent en mode snapshot, n’offrent ni garantie en matière d’intégrité des données, ni capacité à restaurer un point précis dans le passé. Par ailleurs, la rapidité de la restauration s’explique par le fait que cette opération ne concerne en réalité que l’index, les fichiers eux-mêmes n’étant restaurés que sur demande. Dans le contexte applicatif SAP, cela se traduit par des performances désastreuses sur les premières transactions suivant une restauration. » Des performances incompatibles avec les engagements que prend le spécialiste des environnements SAP auprès de ses clients.

 

Restaurer rapidement, mais aussi migrer vers le Cloud ou assurer la continuité d’activités

D’où la recherche d’une alternative, répondant à plusieurs critères stricts : vitesse de restauration donc, mais aussi capacité à intégrer la solution dans des chaînes plus complexes (via des API), agnosticité vis-à-vis des grands prestataires de Cloud et coûts d’exploitation optimisés dans une logique FinOps (lire à ce sujet notre article “Maîtriser les coûts du Cloud ? Pensez architecture et dimensionnement au plus juste”). La prise en compte de tous ces éléments a abouti au choix d’un composant socle Open Source, assurant la sauvegarde en mode dédupliqué, autour duquel les équipes de PASàPAS ont construit les fonctionnalités permettant d’assurer la sauvegarde des environnements SAP dans toute leur complexité : backup des systèmes d’exploitation, gestion des logs, ordonnancement, sauvegarde de la base de données, etc. « Cette solution nous permet de restaurer très rapidement un environnement de production sur le Cloud. Ensuite, elle répond à tous nos cas d’usage, y compris le Move-to-Cloud et le PRA as-code (lire à ce sujet notre article “Comment exploiter le Cloud pour assurer la résilience de ses systèmes SAP”) ». Autrement dit, contrairement aux bandes, peu exploitables pour autre chose qu’une restauration, la sauvegarde dans le Cloud permet aussi d’accompagner la transformation de la production IT. « Et, demain, nous y ajouterons le scénario de résilience multi-cloud », ajoute Jérôme Mollier-Pierret.

 

Sur le terrain de la sécurité, la solution fournit nativement une protection contre le chiffrement de données par les ransomwares. « On profite de l’immunité apportée par le stockage en mode blob sur le Cloud, note Brian Passante. Pour chiffrer une donnée, il faudrait la télécharger, la corrompre et ensuite la replacer au même endroit. » Impossible en pratique du fait des droits d’accès, qui reposent sur des jetons à faible durée de vie. « Par ailleurs, là où nombre de solutions fonctionnent encore avec des mécanismes de catalogue, qui constituent un point de faiblesse pour un éventuel cybercriminel, cette approche mise uniquement sur des annuaires locaux, stockés sur chaque machine et qui sont auto-reproductibles ; autrement dit, la sauvegarde embarque un index permettant de reconstituer l’annuaire », précise Jérôme Mollier-Pierret. Enfin, les systèmes d’exploitation, les logs et la base de données proprement dite sont sauvegardés avec des temporalités différentes et peuvent être restaurés indépendamment l’un de l’autre. Le tout est, évidemment, intégré totalement à l’environnement de supervision de PASàPAS.

 

Une approche multi-cloud de la sauvegarde

Exploitée depuis plus de quatre ans auprès de tous les clients Cloud du prestataire, la solution a déjà fait ses preuves. « On est, par exemple, en mesure de restaurer 5 To en une heure et demi, en remontant une base de données totalement opérationnelle. Et ce délai tient encore si on doit restaurer non plus une, mais dix bases de cette taille en parallèle ! Il doit exister une limite aux performances offertes par les hyperscalers, mais nous n’avons pour l’instant jamais réussi à la toucher du doigt », s’amuse le responsable Cloud & Innovation de PASàPAS. La solution est également régulièrement améliorée par les équipes du prestataire. Au gré des versions de SAP HANA ou des évolutions d’AWS, de Microsoft Azure ou de Google Cloud Platform. Mais aussi au fil des améliorations fonctionnelles que propose PASàPAS.

 

Prochaine étape inscrite sur la roadmap : la restauration multi-régions et multi-plateformes Cloud. « Aujourd’hui, c’est techniquement possible, mais insuffisamment automatisé », précise Brian Passante. Un point essentiel. Car l’architecture mise en place par PASàPAS s’appuie sur l’autonomie des différentes machines pour leurs sauvegardes et les opérations de restauration. Ce qui signifie que chaque machine doit être capable de se reconstruire en partant de zéro. Dans un contexte multi-cloud, ce choix débouche sur un grand nombre de cas différents, chaque hyperscaler proposant des instances et des options différentes et imposant des arbitrages technico-économiques propres à sa plateforme. Autant de scénarios qu’il faut automatiser via des scripts (lire à ce sujet notre article “SAP as Code : peut-on réellement automatiser les environnements SAP ?”). « Et on touche aussi à la chaîne d’orchestration qui fonctionne en arrière-plan, relève Jérôme Mollier-Pierret. Donc ce développement a un impact sur de nombreux autres systèmes. » Cette volonté d’intégration illustre bien le changement de statut de la sauvegarde, passée d’une opération à part, greffée en toute fin de projet, voire souvent négligée, à une composante clef au cœur du moteur infogérance, intégrée nativement à la chaîne d’outils de gestion de la production.

 

Pour aller plus loin, découvrez notre offre d’accompagnement Infogérance 4 SAP