Photo by Denny MĂŒller on Unsplash
Comment faire une sauvegarde LTR immutable d'un Azure Storage Account ?
La sauvegarde des donnĂ©es critiques est un sujet qui touche tous les projets IT. Suivez le guide dans cet exemple concret đ
Azure Backup Center
Le service Azure Backup Center est une solution native de Microsoft vous permettant d'implémenter vos régles de sauvegardes sur plusieurs services de la plateforme: Machine virtuelle, disques managés, base de données PostgreSQL, stockage de fichier ou de blobs ...
Ce service va vous permettre de gérer de façon centralisée vos sauvegardes et ainsi garder une cohérence par rapport à votre SI local et vos exigences.
Il aidera aussi Ă protĂ©ger vos systĂšmes dâentreprise critiques et donnĂ©es de sauvegarde contre les attaques par rançongiciel en implĂ©mentant des mesures prĂ©ventives et en fournissant des outils qui protĂšgent votre organisation contre toute action que des pirates informatiques effectuent pour infiltrer vos systĂšmes.
Il assure la sécurité de votre environnement de sauvegarde, tant lorsque vos données sont en transit que quand elles sont au repos.
Pour plus de dĂ©tails sur ce service, voici un lien vers la documentation Microsoft d'oĂč est extrait le schĂ©ma ci-dessus: Quâest-ce quâAzure Backup ? - Azure Backup | Microsoft Learn
Mise en oeuvre d'un systĂšme de backup
Nous allons détailler étape par étape comment mettre en oeuvre un mécanisme de sauvegarde centralisée pour les blobs présents Storage Account. Pour accéder au service Backup Center il suffit de vous rendre sur cette page du portail Azure : Backup center - Microsoft Azure
Création d'un Vault
La premiÚre étape dans notre exemple sera la création d'une zone de stockage pour vos backups appelée "Vault":
Cliquer sur l'icone "+ Vault" et séléctionner "Backup Vault":
Sur l'étape suivante nous allons pouvoir choisir un élément important pour nos sauvegardes à savoir leur redondance:
Le stockage globally-redundant offre le plus haut niveau de durabilité des données, suivi du stockage zone-redundant, puis du stockage locally-redundant.
Les coûts sont bien sûr proportionnels aux garanties associés à chaque choix.
Pour vos données critiques, je vous conseille fortement de choisir l'option "Globally-redundant".
Une fois votre choix réalisé, vous pourrez activer les options d'immutabilité et de soft delete ainsi que de spécifier la période de rétention:
Le but dâune sauvegarde immuable est dâĂȘtre inaltĂ©rable et de pouvoir ĂȘtre immĂ©diatement dĂ©ployĂ©e sur les serveurs de production en cas dâattaque de ransomware ou dâune autre forme de perte de donnĂ©es.
Pour vos données critiques je vous conseille fortement de cocher l'option "Enable immutability"
Dans la partie identity du Vault, vous pourrez trouver l'object ID, vous permettant de déléguer les droits nécessaires pour sauvegarder vos storages ou vous pourrez utiliser l'assistant que nous allons découvrir dans le prochaine chapitre.
DĂ©finir une politique de sauvegarde
Depuis votre "Backup Vault" précédement créer vous allez pouvoir configurer votre politique de sauvegarde en cliquant sur le bouton "+ Backup":
Sur le premier Ă©cran "Basics", valider les informations avant de passer Ă l'Ă©tape suivante :
Sur cet Ă©cran, cliquer sur "Create new":
Choisir un nom pour votre nouvelle "policy", "high-critical-blobs" dans l'exemple :
Sur l'Ă©tape suivante, vous pouvez Ă©diter la rĂ©gle par dĂ©faut pour la personnaliser par rapport Ă nos besoins en cliquant sur l'icĂŽne â:
Finaliser la création puis passer à l'étape suivante "3. Datasources":
Cliquer sur le bouton "Add" au milieu de l'écran et séléctionner vos storages accounts à sauvegarder :
AprÚs avoir ajouté vos storages nous allons devoir ajouter les droits pour que le service Backup puisse se connecter pour réaliser les actions nécessaires:
Pour effectuer les sauvegardes vous devez ajouter le rÎle suivant à l'identité du compte de service:
Lets you perform backup and restore operations using Azure Backup on the storage account. | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
Vous pouvez possitionner ce droit sur le scope que vous souhaitez: souscriptions, groupe de ressources ou bien sur la ressource Azure en elle-mĂȘme.
Dans mon cas, je vais possitionner ce rÎle sur tous les groupes de ressources ayant un tag spécifique.
Pour ajouter les permissions sur les storages sélectionnés vous pouvez aussi passer par l'assistant :
Dans ce cas, une popup vous permettra de choisir le scope des droits délégués.
Vous pourrez passer à l'étape suivante qu'une fois les permissions correctement assignées.
Il ne reste plus qu'à valider la configuration mise en place pour finaliser la création, vous aurez alors sur l'overview de votre Vault ceci:
Vous pourrez aussi visualiser le detail du storage avec l'historique des backups :