# Comment faire une sauvegarde LTR immutable d'un Azure Storage Account ?

# Azure Backup Center

Le service Azure Backup Center est une solution native de Microsoft vous permettant d'implémenter vos régles de sauvegardes sur plusieurs services de la plateforme: Machine virtuelle, disques managés, base de données PostgreSQL, stockage de fichier ou de blobs ...

Ce service va vous permettre de gérer de façon centralisée vos sauvegardes et ainsi garder une cohérence par rapport à votre SI local et vos exigences.

Il aidera aussi à protéger vos systèmes d’entreprise critiques et données de sauvegarde contre les attaques par rançongiciel en implémentant des mesures préventives et en fournissant des outils qui protègent votre organisation contre toute action que des pirates informatiques effectuent pour infiltrer vos systèmes.

Il assure la sécurité de votre environnement de sauvegarde, tant lorsque vos données sont en transit que quand elles sont au repos.

![Vue d’ensemble du service Sauvegarde Azure](https://learn.microsoft.com/fr-fr/azure/backup/media/backup-overview/azure-backup-overview.png align="left")

Pour plus de détails sur ce service, voici un lien vers la documentation Microsoft d'où est extrait le schéma ci-dessus: [Qu’est-ce qu’Azure Backup ? - Azure Backup | Microsoft Learn](https://learn.microsoft.com/fr-fr/azure/backup/backup-overview)

# Mise en oeuvre d'un système de backup

Nous allons détailler étape par étape comment mettre en oeuvre un mécanisme de sauvegarde centralisée pour les blobs présents Storage Account. Pour accéder au service Backup Center il suffit de vous rendre sur cette page du portail Azure : [Backup center - Microsoft Azure](https://portal.azure.com/#view/Microsoft_Azure_DataProtection/BackupCenterMenuBlade/~/overview)

![](https://learn.microsoft.com/fr-fr/azure/backup/media/guidance-best-practices/azure-backup-architecture.png align="center")

## Création d'un Vault

La première étape dans notre exemple sera la création d'une zone de stockage pour vos backups appelée "**Vault**":

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678801583609/118c1b2e-dbbd-4650-9e6b-3852ff6d5d7a.png align="center")

Cliquer sur l'icone "**\+ Vault**" et séléctionner "**Backup Vault**":

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678801718470/21ec97cc-4b5c-4a2e-953e-5c5c091cdce9.png align="center")

Sur l'étape suivante nous allons pouvoir choisir un élément important pour nos sauvegardes à savoir leur redondance:

* Le stockage **globally-redundant** offre le plus haut niveau de durabilité des données, suivi du stockage **zone-redundant**, puis du stockage **locally-redundant**.
    
* Les **coûts** sont bien sûr **proportionnels aux garanties associés** à chaque choix.
    

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678802138346/ee2776ef-0729-4539-8c8c-8735e076ebb5.png align="center")

> Pour vos données critiques, je vous conseille fortement de choisir l'option "**Globally-redundant**".

Une fois votre choix réalisé, vous pourrez activer les options d'immutabilité et de soft delete ainsi que de spécifier la période de rétention:

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678802980908/e73d4fd7-93c5-4879-9cb6-15fd48f507f4.png align="center")

Le but d’une sauvegarde immuable est d’être inaltérable et de pouvoir être immédiatement déployée sur les serveurs de production en cas d’attaque de ransomware ou d’une autre forme de perte de données.

> Pour vos données critiques je vous conseille fortement de cocher l'option "**Enable immutability**"

Dans la partie identity du Vault, vous pourrez trouver l'object ID, vous permettant de déléguer les droits nécessaires pour sauvegarder vos storages ou vous pourrez utiliser l'assistant que nous allons découvrir dans le prochaine chapitre.

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678806265127/d5832dab-7c2c-4f3d-a796-6a430e7e0d9f.png align="center")

## Définir une politique de sauvegarde

Depuis votre "Backup Vault" précédement créer vous allez pouvoir configurer votre politique de sauvegarde en cliquant sur le bouton "**\+ Backup**":

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678803798186/53e3181c-1770-4d3d-9953-a3788001c31f.png align="center")

Sur le premier écran "**Basics**", valider les informations avant de passer à l'étape suivante :

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678803947621/2fbff5da-6e61-45c9-bcca-26b15b4b1531.png align="center")

Sur cet écran, cliquer sur "**Create new**":

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678804011790/b118a355-e086-44bf-990c-dbd1cf2a8cb8.png align="center")

Choisir un nom pour votre nouvelle "**policy**", "***high-critical-blobs***" dans l'exemple :

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678804416014/dee160fc-5d3c-494b-a9c3-f58c9bae26ad.png align="center")

Sur l'étape suivante, vous pouvez éditer la régle par défaut pour la personnaliser par rapport à nos besoins en cliquant sur l'icône ✏:

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678804500809/735ccc0b-1413-47d5-9185-7b77d2213984.png align="center")

Finaliser la création puis passer à l'étape suivante "**3.** **Datasources**":

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678804700550/d26a4441-6fbb-42a2-85a8-4af7126b2891.png align="center")

Cliquer sur le bouton "**Add**" au milieu de l'écran et séléctionner vos storages accounts à sauvegarder :

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678804819181/d3a7c8cc-2e15-498f-b7a8-3b561da6de6f.png align="center")

Après avoir ajouté vos storages nous allons devoir ajouter les droits pour que le service Backup puisse se connecter pour réaliser les actions nécessaires:

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678872646849/e67f3b9a-6997-4bb8-8ccd-95f180ceae53.png align="center")

Pour effectuer les sauvegardes vous devez ajouter le rôle suivant à l'identité du compte de service:

<table><tbody><tr><td colspan="1" rowspan="1"><p><a target="_blank" rel="noopener noreferrer nofollow" href="https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#storage-account-backup-contributor" style="pointer-events: none">Storage Account Backup Contributor</a></p></td><td colspan="1" rowspan="1"><p>Lets you perform backup and restore operations using Azure Backup on the storage account.</p></td><td colspan="1" rowspan="1"><p>e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1</p></td></tr></tbody></table>

Vous pouvez possitionner ce droit sur le scope que vous souhaitez: souscriptions, groupe de ressources ou bien sur la ressource Azure en elle-même.

Dans mon cas, je vais possitionner ce rôle sur tous les groupes de ressources ayant un tag spécifique.

Pour ajouter les permissions sur les storages sélectionnés vous pouvez aussi passer par l'assistant :

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678871547080/d2e5a279-4e1e-44eb-b1d7-46d23f615074.png align="center")

Dans ce cas, une popup vous permettra de choisir le scope des droits délégués.

> Vous pourrez passer à l'étape suivante qu'une fois les permissions correctement assignées.

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678871858396/a19caa37-58d3-45a7-bafb-cdc057c7b08b.png align="center")

Il ne reste plus qu'à valider la configuration mise en place pour finaliser la création, vous aurez alors sur l'overview de votre Vault ceci:

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678871984288/ed39faec-542b-4342-8a17-832d5eda5840.png align="center")

Vous pourrez aussi visualiser le detail du storage avec l'historique des backups :

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1678872576011/0b747069-167a-41a6-980d-fa5ca5777841.png align="center")
