Découvrir Datashelter
Technique

Comment Datashelter garantit la sécurité de vos sauvegardes

Malo Paletou

6 min read
Comment Datashelter garantit la sécurité de vos sauvegardes

Chez Datashelter, la sécurité est au cœur de nos préoccupations. Nous avons construit notre produit de manière à vous offrir des garanties de sécurité fortes et auditables, qui nous distinguent sur le marché des services de sauvegarde externalisée.

Cet article détaillera les fonctionnalités de sécurité développées par Datashelter, qui garantissent une sécurité maximale pour vos sauvegardes de données.

Fonctionnement de Snaper (CLI)

La sécurité des sauvegardes commence au niveau de l'outil en charge de réaliser vos sauvegardes et les envoyer vers Datashelter. Nous avons identifié quatre fonctionnalités majeures permettant de garantir la sécurité du processus:

  • Communications exclusivement via l'API S3
  • Modèle push-only
  • Aucun accès SSH n’est requis
  • Chiffrement AES-256 natif côté client

Communications exclusivement via l'API S3

Comme mentionné dans l'introduction, Snaper est responsable de réaliser les sauvegardes et les envoyer vers Datashelter. De nombreuses questions se sont posées lors de sa conception. Devions-nous communiquer avec notre propre API pour authentifier les serveurs client auprès de Datashelter ? Est-il possible de communiquer exclusivement au travers de protocoles standards tels que S3 ?

En avançant dans nos réflexions, nous avons pris le décision de limiter les communications vers Datashelter à la seule API S3. Cela implique que snaper gère une logique de synchronisation de la configuration au travers de fichiers envoyés avec S3, mais nous permet en même temps de bénéficier de la robustesse du mécanisme d'authentification S3 v4.

Ce mécanisme d'authentification est devenu un standard dans le monde du stockage objet, et sécurise l'accès aux buckets des plus grosses organisations (Dropbox, Netflix, etc...). Autant vous dire qu'en cas de défaut, une immense partie d'Internet est en danger.

Ainsi, aucun appel externe autre que vers notre API respectant le protocole standard S3 ne peut être effectué par Snaper. Cette garantie de sécurité est en plus auditable à tous moment par nos clients. Vous pouvez analyser les trames réseau lors de l'exécution de vos sauvegardes avec des outils tels que Wireshark pour vous en assurer.

Modèle push-only

Par extension, l'implémentation exclusive du protocole de communication S3 impose de suivre un modèle de communication push-only. Vos serveurs accèdent à l'infrastructure de Datashelter par l'intermédiaire de snaper, mais l'inverse est impossible. Datashelter ne peut ouvrir de connexion vers vos serveurs.

Cela nous contraint à adopter certaines ruses pour rendre le parcours de sauvegarde intuitif (tel que vous demander de lancer un commande sur votre serveur pour synchroniser les tâches planifiées). Mais cela nous ouvre aussi de nouvelles portes:

  • Datashelter fonctionne même si votre serveur tourne derrière un NAT
  • Aucune configuration spécifique de pare-feu n'est nécessaire pour utiliser Datashelter

Aucun accès SSH n’est requis

En conséquence du modèle push-only, et à l'inverse de la majorité de nos concurrents, Datashelter ne requiert aucun accès SSH à vos serveurs.

Vous devez, pour la majorité des solutions concurrentes, autoriser leur infrastructure à accéder à vos serveurs au travers d'un accès SSH. Nous observons deux contraintes majeures à cette méthode:

  • vous devez avoir une confiance absolue en votre fournisseur de sauvegarde, étant donné que vous le laissez accéder à vos serveurs
  • vous devez accepter des connexions SSH depuis internet, ce qui peut-être embêtant lorsque votre serveur doit fonctionner dans un réseau privé

Nous sommes convaincus que ce choix de conception présente un risque majeur pour la sécurité des serveurs et des sauvegardes. C'est pourquoi nous avons opté pour une approche différente de celle de nos concurrents.

Chiffrement AES-256 natif côté client

Pour terminer sur les fonctionnalités de sécurité liées à snaper, je dois vous parler du chiffrement natif de vos données avec AES-256. Vos données de sauvegarde sont automatiquement chiffrées avec votre propre clé, par votre propre serveur, sur votre propre serveur (client-side).

Ainsi, toutes les données sortant de votre infrastructure sont chiffrées à l'aide d'un algorithme mondialement reconnu pour sa robustesse, garantissant une confidentialité totale. Personne d'autre que vous, pas même Datashelter, n'est en mesure de lire vos sauvegardes.

Stockage des données chez Datashelter

Maintenant que vous savez comment snaper sécurise vos sauvegardes, focalisons-nous sur les garde-fou que nous avons mis en place sur l'infrastructure qui héberge vos sauvegardes. Nous aborderons la segmentation des accès, le stockage immuable, le processus de suppression de sauvegarde et le stockage physique de vos données.

Segmentation des accès

Comme vous l'avez peut-être déjà constaté par vous-même, chaque serveur sauvegardé avec Datashelter dispose de sa propre paire d'identifiants (Access key/Secret key) et de son propre dépôt de stockage. Ainsi, nous minimisons la surface d'attaque potentielle en cas de compromission d'une de vos machines.

Chacun de vos serveurs est considéré comme un acteur indépendant, dans ses interactions avec l'infrastructure Datashelter.

Stockage S3 immuable

Au delà des accès au support de stockage, voyons ensemble de quelles particularités sont dotés vos stockage de sauvegarde Datashelter, à commencer par le stockage immuable. Le stockage immuable est devenu indispensable pour le stockage des sauvegardes de données. Il vous permet en effet de garantir la sécurité de vos sauvegardes en cas d'attaque par ransomware.

Chez Datashelter, nous avons développé une technologie propriétaire permettant d'empêcher l'altération de vos données sauvegardées. En effet, vos serveurs communiquent avec notre propre passerelle S3, qui dispose de deux mécanismes de protection essentiels. A savoir:

  • Blocage des requêtes de suppression: les requêtes de suppression de fichier (DeleteObject) transmises à notre passerelle S3 sont simplement ignorées. Cela nous permet de garantir qu'aucune donnée ne soit supprimée suite à une compromission de vos serveurs. Vous pouvez lire et écrire des données, mais pas en supprimer
  • Prévention contre la réécriture des objets: le second moyen d'altération de vos données est la réécriture d'un fichier existant. Dans ce cas-là, nous acceptons la requête et re-écrivons le fichier, à la différence que nous conservons la version précédente du fichier afin de pouvoir le restaurer ultérieurement. De cette manière, nous conservons vos données saines afin de garantir l'intégrité de vos sauvegardes.

En résumé, il est impossible au niveau de votre serveur d'altérer des données existantes. Même en cas de compromissions de la clé d'accès utilisée pour vos sauvegardes.

Suppression des sauvegardes

Nous en venons alors à nous demander si la suppression d'une sauvegarde périmée est possible. Si Datashelter offre réellement un stockage immuable, ma consommation de stockage ne va-t-elle pas exploser ?

La réponse à cette question se trouve dans la nuance. Certes, il vous est impossible de supprimer des données en utilisant les accès S3 associés à un serveur. Il est cependant possible de "demander" la suppression d'une sauvegarde (depuis snaper ou votre dashboard).

Nous avons conçu notre infrastructure en considérant que la suppression des sauvegardes devait nécessairement être réalisées par des systèmes automatiques. Ces systèmes appliquent strictement les politiques de rétention définies et font l'objet de tests rigoureux de bout en bout.

Chez Datashelter, la suppression d'une donnée se fait automatiquement, exclusivement dans les deux cas suivants :

  • Demande de suppression manuelle: l'utilisateur a supprimé un "service" avec la commande snaper delete: le service disparaît de l'interface de l'utilisateur mais est conservé pendant 14 jours avant d'être effectivement supprimé par nos systèmes
  • Politique de rétention: la sauvegarde sort de règles de la politique de rétention qui lui est associée. A ce niveau, nous distinguons deux cas différents:
    • Sauvegarde de fichiers: les fonctionnalités de dé-duplication nous permettant d'être très efficient au niveau de l'espace de stockage utilisé, nous retenons l'intégralité des sauvegardes sur une période d'un an
    • Sauvegarde de base de données: la sauvegarde d'une base de données impose de générer un dump pour chacune des sauvegardes. La déduplication au niveau du fichier est inefficiente dans ce cas-là. C'est pourquoi nous appliquons une politique de "downsampling", c'est-à-dire que l'on va supprimer des sauvegardes au fil du temps. Plus le temps passe, moins vos sauvegardes n'ont de chances d'être utiles.
      La règle de conservation définie par défaut chez Datashelter est:
      • 7 sauvegardes par jour pendant 7 jours (1 par jour pendant une semaine)
      • 3 sauvegardes par semaine pendant 1 mois
        • Appliqué sur les sauvegardes non ciblées par la règle précédente, donc antérieures à 7 jours
      • 1 sauvegarde par semaine pendant 3 mois
        • Après un mois, on ne conserve qu'une seule sauvegarde par semaine soit 4 par mois
      • 1 sauvegarde par mois pendant 1 an
        • Après 3 mois, il est très peu probable qu'une restauration soit utile. On ne garde alose plus qu'une sauvegarde par mois "au cas-où"

Stockage multi-certifié (ISO 27001 & HDS)

Pour terminer, nous souhaitions vous donner un peu plus de détails sur la manière dont vos données sont stockées. Nous avons choisi d'établir un partenariat avec OVHcloud pour proposer une offre à un tarif accessible, couvrant différentes zones géographiques, sans avoir à assumer l'intégralité de la gestion de l'infrastructure.

Vos données sont stockées dans une même zone géographique, mais sont répliquées sur plusieurs centres de données distincts. Le stockage que nous utilisons est certifié selon les plus fortes normes de sécurité européenne, à savoir ISO 27001, sont extension HDS pour les données de santé et bientôt SecNumCloud (SNC).

Grâce à ce partenariat, vous avez le choix entre 5 localisations différentes pour héberger vos données (voir plus si vous connectez votre propre bucket):

  • Gravelines (France) 🇫🇷
  • Francfort (Allemagne) 🇩🇪
  • Beauharnois (Canada) 🇨🇦
  • Londres (Royaume-Uni) 🇬🇧
  • Varsovie (Pologne) 🇵🇱

Conclusion

Nous espérons que cet article vous a permis de mieux comprendre comment Datashelter garantit la sécurité de vos sauvegardes à chaque étape du processus. Si vous souhaitez en savoir plus, notre équipe est à votre disposition pour toute demande d'information.

Par ailleurs, nous vous recommandons de lire notre article sur les 6 règles d'or pour des sauvegardes de données fiables, basées sur notre expérience en tant que fournisseur de sauvegarde externalisée.