Comment faire une sauvegarde LTR immutable d'un Azure Storage Account ?

La sauvegarde des donnĂ©es critiques est un sujet qui touche tous les projets IT. Suivez le guide dans cet exemple concret 🛠

·

4 min read

Azure Backup Center

Le service Azure Backup Center est une solution native de Microsoft vous permettant d'implémenter vos régles de sauvegardes sur plusieurs services de la plateforme: Machine virtuelle, disques managés, base de données PostgreSQL, stockage de fichier ou de blobs ...

Ce service va vous permettre de gérer de façon centralisée vos sauvegardes et ainsi garder une cohérence par rapport à votre SI local et vos exigences.

Il aidera aussi Ă  protĂ©ger vos systĂšmes d’entreprise critiques et donnĂ©es de sauvegarde contre les attaques par rançongiciel en implĂ©mentant des mesures prĂ©ventives et en fournissant des outils qui protĂšgent votre organisation contre toute action que des pirates informatiques effectuent pour infiltrer vos systĂšmes.

Il assure la sécurité de votre environnement de sauvegarde, tant lorsque vos données sont en transit que quand elles sont au repos.

Vue d’ensemble du service Sauvegarde Azure

Pour plus de dĂ©tails sur ce service, voici un lien vers la documentation Microsoft d'oĂč est extrait le schĂ©ma ci-dessus: Qu’est-ce qu’Azure Backup ? - Azure Backup | Microsoft Learn

Mise en oeuvre d'un systĂšme de backup

Nous allons détailler étape par étape comment mettre en oeuvre un mécanisme de sauvegarde centralisée pour les blobs présents Storage Account. Pour accéder au service Backup Center il suffit de vous rendre sur cette page du portail Azure : Backup center - Microsoft Azure

Création d'un Vault

La premiÚre étape dans notre exemple sera la création d'une zone de stockage pour vos backups appelée "Vault":

Cliquer sur l'icone "+ Vault" et séléctionner "Backup Vault":

Sur l'étape suivante nous allons pouvoir choisir un élément important pour nos sauvegardes à savoir leur redondance:

  • Le stockage globally-redundant offre le plus haut niveau de durabilitĂ© des donnĂ©es, suivi du stockage zone-redundant, puis du stockage locally-redundant.

  • Les coĂ»ts sont bien sĂ»r proportionnels aux garanties associĂ©s Ă  chaque choix.

Pour vos données critiques, je vous conseille fortement de choisir l'option "Globally-redundant".

Une fois votre choix réalisé, vous pourrez activer les options d'immutabilité et de soft delete ainsi que de spécifier la période de rétention:

Le but d’une sauvegarde immuable est d’ĂȘtre inaltĂ©rable et de pouvoir ĂȘtre immĂ©diatement dĂ©ployĂ©e sur les serveurs de production en cas d’attaque de ransomware ou d’une autre forme de perte de donnĂ©es.

Pour vos données critiques je vous conseille fortement de cocher l'option "Enable immutability"

Dans la partie identity du Vault, vous pourrez trouver l'object ID, vous permettant de déléguer les droits nécessaires pour sauvegarder vos storages ou vous pourrez utiliser l'assistant que nous allons découvrir dans le prochaine chapitre.

DĂ©finir une politique de sauvegarde

Depuis votre "Backup Vault" précédement créer vous allez pouvoir configurer votre politique de sauvegarde en cliquant sur le bouton "+ Backup":

Sur le premier Ă©cran "Basics", valider les informations avant de passer Ă  l'Ă©tape suivante :

Sur cet Ă©cran, cliquer sur "Create new":

Choisir un nom pour votre nouvelle "policy", "high-critical-blobs" dans l'exemple :

Sur l'Ă©tape suivante, vous pouvez Ă©diter la rĂ©gle par dĂ©faut pour la personnaliser par rapport Ă  nos besoins en cliquant sur l'icĂŽne ✏:

Finaliser la création puis passer à l'étape suivante "3. Datasources":

Cliquer sur le bouton "Add" au milieu de l'écran et séléctionner vos storages accounts à sauvegarder :

AprÚs avoir ajouté vos storages nous allons devoir ajouter les droits pour que le service Backup puisse se connecter pour réaliser les actions nécessaires:

Pour effectuer les sauvegardes vous devez ajouter le rÎle suivant à l'identité du compte de service:

Storage Account Backup Contributor

Lets you perform backup and restore operations using Azure Backup on the storage account.

e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1

Vous pouvez possitionner ce droit sur le scope que vous souhaitez: souscriptions, groupe de ressources ou bien sur la ressource Azure en elle-mĂȘme.

Dans mon cas, je vais possitionner ce rÎle sur tous les groupes de ressources ayant un tag spécifique.

Pour ajouter les permissions sur les storages sélectionnés vous pouvez aussi passer par l'assistant :

Dans ce cas, une popup vous permettra de choisir le scope des droits délégués.

Vous pourrez passer à l'étape suivante qu'une fois les permissions correctement assignées.

Il ne reste plus qu'à valider la configuration mise en place pour finaliser la création, vous aurez alors sur l'overview de votre Vault ceci:

Vous pourrez aussi visualiser le detail du storage avec l'historique des backups :

Did you find this article valuable?

Support Antoine LOIZEAU's Blog by becoming a sponsor. Any amount is appreciated!

Â