Découvrir Datashelter
Technique

Comment Datashelter garantit la sécurité de vos sauvegardes

Malo Paletou

2 min read
Comment Datashelter garantit la sécurité de vos sauvegardes

Chez Datashelter, la sécurité est au cœur de nos préoccupations. C'est pourquoi nous avons designé notre produit pour offrir des garanties fortes et auditables qui nous distinguent sur le marché des services de sauvegarde externalisée.

Cet article détaillera les fonctionnalités principales qu'offre Datashelter pour assurer la sécurité et l'intégrité de vos sauvegardes.

Aucun accès SSH n’est nécessaire

Pour commencer, nous avons pris un contrepied par rapport à la majorité de nos concurrents. Là où la majorité des solutions concurrentes nécessitent un accès SSH à la machine pour planifier vos sauvegardes, cela ne sera jamais demandé chez Datashelter.

Grâce au contrôle que nous avons sur notre CLI snaper, nous avons implémenté un modèle push-only. C’est-à-dire que vos serveurs poussent (ou tirent) des données vers/depuis Datashelter, mais que l’inverse est impossible. En plus de garantir une sécurité maximale “by design”, cela vous permet aussi de ne pas avoir à configurer d’autorisations particulières sur votre pare-feu pour réaliser vos sauvegardes.

Enfin, l’intégralité des communications entre vos serveurs et Datashelter se font au travers d’une API compatible-S3 (protocole standard pour le transfert de fichiers) chiffrée par TLS. En résumé, vous n’avez pas à nous donner l’accès à votre serveur pour réaliser vos sauvegardes !

Chiffrement AES-256

Grâce à ce même outil maison snaper, nous avons implémenté des fonctionnalités natives en matière de protection de données. C’est notamment le cas du chiffrement AES-256 de vos données. Vos données sont chiffrées en AES-256 avec votre propre clé avant même d’être envoyées chez nous.

Nous ne vous mentons donc pas lors que nous vous disons que pas même Datashelter ne peut accéder à vos données.

Segmentation maximale des accès

Par ailleurs, nous avons généralisé un principe essentiel de la sécurité dès l’étape de création de vos serveurs. En effet, nous générons une paire d’identifiants S3 (access & secret key) ainsi qu’un bucket dédié à chacun de vos serveurs configurés sur notre plateforme.

Nous réduisons ainsi au maximum la surface d’attaque potentielle en cas de compromission d’une de vos machines.

Stockage S3 immuable

Pour terminer, je dois vous parler de la manière dont on stocke vos données chez Datashelter.

Nous avons développé une technologie unique permettant d’empêcher toute altération de vos sauvegardes précédentes. Nous parlons de stockage S3 immuable.

Vous l’avez peut-être remarqué, vos serveurs communiquent avec Datashelter au travers d’une passerelle S3 maison. Cette passerelle nous permet d’implémenter des règles de sécurité supplémentaires.

Nous pourrons en citer deux ici:

  • blocage des requêtes de suppression: vous n’avez pas la possibilité de supprimer vos sauvegardes directement. Seules les règles de cycle de vie Datashelter ont la possibilité de le faire
  • prévention contre la réécriture des objets: notre passerelle expose une API S3 standard, tandis que nous utilisons des bucket S3 versionnés en backend. Ainsi si vous tentez de réécrire une donnée (vous ou un attaquant s’étant emparé de vos identifiants S3), nous accepterons la requête mais nous conservons également la version précédente de cet objet (qui pour rappel, ne peut être supprimé).

De cette façon, vous serez en capacité de restaurer vos sauvegardes même en cas de compromission de vos identifiants S3.

Cette étape désormais franchie, vos données sont finalement stockées sur notre infrastructure. Nous reposons actuellement sur l’infrastructure de notre partenaire OVHcloud afin de vous proposer un stockage multi-certifié (ISO 27011, HDS & bientôt SecNumCloud).

Vos données restent donc bien au chaud chez Datashelter, et seront là lorsque vous en aurez le plus besoin !