Qu’est-ce que le stockage de données immuable pour les sauvegardes ?

Les sauvegardes de données peuvent aider à récupérer des données si une copie principale de production est corrompue ou supprimée. Cependant, avec le risque élevé de cyberattaques et d’autres menaces, les sauvegardes sont également vulnérables.

l’une des meilleures façons de protéger les données de sauvegarde contre toute modification ou suppression est d’utiliser un stockage qui prend en charge l’immuabilité. Apprenez-en davantage sur l’immuabilité des données, le fonctionnement du stockage immuable et pourquoi le stockage de données immuable améliore les chances de protection et de récupération des données.

Qu’est-ce que l’Immuabilité des Données?

L’immuabilité des données est un concept en informatique et en gestion des données qui fait référence aux données qui ne peuvent pas être modifiées après leur création. Dans un modèle de données immuable, une fois que les données sont créées, elles ne peuvent pas être modifiées ou mises à jour ; au lieu de cela, toute modification entraîne la création de nouvelles données, laissant les données originales inchangées (si les modifications peuvent être appliquées). Cette approche a des implications et des avantages importants.

Les données immuables ne sont pas toujours le meilleur choix, car il existe des scénarios où les données mutables sont plus efficaces ou appropriées. Cependant, dans de nombreux cas, notamment dans les systèmes de sauvegarde, les systèmes concurrents ou distribués, l’immutabilité peut simplifier le développement et améliorer la fiabilité.

Qu’est-ce que le Stockage Immutable?

Le stockage immuable est un type de stockage de données où une fois que les données sont écrites ou stockées, elles ne peuvent pas être modifiées, altérées ou supprimées pendant une période spécifiée, voire pas du tout. Ce concept est souvent utilisé dans le contexte de la préservation des données, de la protection des données, de la conformité aux données et de la sécurité des données. Les systèmes de stockage immuable sont conçus pour garantir l’intégrité et l’inaltérabilité des données, généralement pour des raisons légales ou réglementaires ou pour protéger les informations critiques contre les modifications ou suppressions non autorisées.

Le stockage immuable ajoute une couche supplémentaire de sécurité des données. Une fois que les données sont écrites dans un système de stockage immuable, elles deviennent résistantes aux modifications non autorisées, les protégeant contre les cyberattaques et les menaces internes. Le stockage immuable peut être utilisé dans des scénarios où maintenir une chaîne de garde sécurisée et intacte est crucial, comme le stockage de preuves dans des affaires légales ou le stockage de dossiers de transactions financières. Un exemple peut être la surveillance vidéo qui est écrite une fois et ne peut pas être altérée ou supprimée afin d’être utilisée comme preuve lors de l’enquête sur des activités légales.

Les systèmes de stockage immuable sont déployés pour conserver les données pendant une période spécifique, garantissant qu’elles restent inchangées et accessibles à des fins d’audit, de conformité ou d’archivage. Cela est crucial dans des industries telles que la finance, les soins de santé et le secteur juridique, qui sont des domaines avec des exigences strictes en matière de conservation des données. Que ce soit pour la protection des données, la conformité réglementaire (par exemple, le RGPD), ou la sécurité renforcée, le stockage immuable est un composant critique pour garantir l’intégrité des données et la résilience contre les manipulations ou les modifications non autorisées.

Comment fonctionne le stockage immuable?

Le stockage immuable fonctionne en mettant en œuvre des mécanismes et des politiques qui empêchent les données d’être modifiées, altérées ou supprimées après avoir été écrites ou stockées. Les méthodes spécifiques pour atteindre l’immuabilité peuvent varier en fonction de la technologie et de l’architecture du système de stockage. Les techniques et les principes utilisés dans le stockage immuable sont :

• Écrire-Une-Fois-Lire-Beaucoup (WORM). Le stockage WORM est conçu pour permettre aux données d’être écrites une seule fois et une fois écrites, elles ne peuvent pas être modifiées ou écrasées. Cela est souvent réalisé en utilisant des mécanismes physiques ou logiques qui verrouillent les données après leur écriture, empêchant toute modification ultérieure.
• Versionnage des données. Certains systèmes de stockage immuable prennent en charge le versionnage des données, où chaque modification des données entraîne une nouvelle version. Les anciennes versions des données sont conservées, vous permettant d’accéder aux versions historiques tout en garantissant que les données originales restent inchangées.
• Verrouillage et contrôles d’accès. Les systèmes de stockage immuable intègrent souvent des contrôles d’accès et des autorisations pour empêcher les utilisateurs non autorisés de tenter de modifier ou de supprimer des données. Seules les personnes ou les processus autorisés peuvent écrire sur le stockage, tandis que d’autres ne peuvent que lire les données.
• Politiques de rétention. Les systèmes de stockage immuable incluent généralement des politiques de rétention qui spécifient pendant combien de temps les données doivent être conservées dans un état inchangé. Cela vous permet de définir l’immutabilité pour une durée spécifique. Une fois cette période de rétention expirée, les données peuvent être éligibles à la suppression.
• Hashage cryptographique. De nombreux systèmes de stockage immuable utilisent des techniques de hashage cryptographique pour garantir l’intégrité des données. Lorsque des données sont écrites, une valeur de hachage (une chaîne de longueur fixe dérivée du contenu des données) est calculée et stockée aux côtés des données. Toute tentative de modifier les données entraînera une valeur de hachage différente, indiquant une altération.
• Stockage adressable par contenu. Il s’agit d’une architecture de stockage qui attribue un identifiant unique (généralement un hachage cryptographique) à chaque morceau de données. Cet identifiant est utilisé pour récupérer les données plutôt que les chemins de fichiers traditionnels. Une fois les données écrites, elles ne peuvent pas être modifiées sans changer leur identifiant.
• Pistes de vérification. Pour garantir la conformité et suivre toute tentative d’accès ou de modification, les systèmes de stockage immuable maintiennent souvent des journaux d’audit détaillés qui enregistrent toutes les interactions avec les données stockées.
• Sécurités matérielles et logicielles. Le stockage immuable peut utiliser des sécurités matérielles ou logicielles pour protéger les données contre les menaces physiques et logiques, telles que des scellés inviolables, des modules matériels sécurisés ou des algorithmes de consensus distribués.

Le stockage immuable est souvent utilisé en combinaison avec d’autres technologies telles que la blockchain, les signatures numériques et les horodatages sécurisés pour renforcer davantage l’authenticité et la sécurité des données. L’implémentation spécifique du stockage immuable peut varier largement en fonction des besoins et des exigences de l’organisation ou de l’industrie qu’il sert.

Écart d’air par rapport au stockage immuable

Un espace aérien est une mesure de sécurité utilisée dans l’informatique et la gestion des données pour isoler physiquement et logiquement un système ou un réseau des environnements non sécurisés ou potentiellement compromis. Le terme « espace aérien » implique qu’il existe un véritable espace ou une déconnexion physique entre le système/les données protégés et les réseaux externes, rendant difficile l’accès, la modification ou la compromission des données par des utilisateurs non autorisés ou des cyberattaques.

Le stockage à espace aérien est un support de stockage physiquement déconnecté d’un ordinateur ou d’un réseau. Les espaces aériens sont couramment utilisés pour des systèmes hautement sensibles ou critiques, tels que ceux manipulant des informations classifiées, les systèmes de contrôle des infrastructures critiques et les réseaux gouvernementaux ou militaires sécurisés.

Un espace aérien offre une couche de sécurité robuste en isolant un système ou des données des réseaux externes, mais il ne rend pas intrinsèquement le stockage immuable. L’espace aérien se concentre principalement sur l’isolement d’un système ou d’un réseau des menaces externes, mais ne garantit pas à lui seul l’immutabilité des données. Les organisations peuvent combiner des environnements à espace aérien avec des mesures de sécurité supplémentaires et des pratiques et politiques d’immutabilité des données pour atteindre la résilience face aux cyberattaques dans ce contexte isolé afin de protéger les données contre les modifications non autorisées.

Un exemple de stockage à espace aérien

Les disques durs SAS, SATA ou USB déconnectés d’un serveur ou d’un réseau de stockage sont un exemple courant de stockage à espace aérien. Les fichiers stockés sur un tel disque dur (HDD) ne peuvent pas être modifiés car ce périphérique est physiquement déconnecté et éteint. Il est inaccessible pour les logiciels. Les données stockées sur ce disque dur déconnecté sont protégées contre les attaques de rançongiciel et autres modifications non désirées.

Cependant, cette protection n’est pas réalisée en utilisant des technologies immuables comme dans le cas du stockage immuable moderne. Il n’y a pas de commutateurs de protection en écriture matériels et il n’existe aucun logiciel qui garantit la protection en écriture pour un disque dur standard qui est éteint. C’est pourquoi le stockage hors connexion et le stockage immuable sont différents, malgré le fait qu’ils soient utilisés à des fins similaires.

Les cartouches de bande sont également considérées comme un stockage hors connexion. Après avoir écrit une sauvegarde sur bande, la cartouche de bande éjectée ne peut pas être accédée par les logiciels de rançon et les données de sauvegarde ne peuvent pas être modifiées.

Le stockage hors connexion nécessite plus d’efforts et de temps de gestion par rapport au stockage immuable qui peut être mis en œuvre sur un serveur, dans un cloud local ou public.

Solutions de stockage Cloud Immuable

Les solutions de stockage cloud immuable font référence à des services ou systèmes de stockage de données basés sur le cloud qui offrent l’immuabilité comme fonction principale. Ces solutions garantissent qu’une fois les données stockées dans le cloud, elles ne peuvent pas être modifiées, altérées ou supprimées pendant une période spécifiée ou selon des politiques spécifiques et les principes du stockage immuable. Le stockage cloud immuable est particulièrement précieux pour les organisations qui cherchent à protéger l’intégrité des données, à répondre aux exigences de conformité, à renforcer la sécurité des données et à mettre en œuvre des stratégies de rétention des données dans l’environnement cloud.

Exemples de stockage cloud immuable

Les fournisseurs de services cloud offrent diverses solutions de stockage dans le cloud dotées de caractéristiques d’immutabilité, conçues pour protéger les données contre les modifications ou suppressions non autorisées. Plusieurs de ces fournisseurs proposent des solutions d’immutabilité de stockage dans le cloud dans leur portefeuille de services. Par exemple, Amazon S3 (Service de stockage simple) offre le blocage d’objets, une fonctionnalité qui permet de rendre les objets S3 immutables (stockage d’objets immutables). Microsoft Azure propose le stockage de blobs immuable Azure, qui permet aux organisations de créer et gérer des données immuables dans le stockage de blobs Azure. Voyons un aperçu des solutions de stockage de données immuables de certains fournisseurs cloud majeurs :

• Blocage d’objets Amazon S3. Amazon S3 offre une fonction appelée blocage d’objets qui permet aux utilisateurs de créer des objets immuables dans leurs buckets S3, offrant ainsi un stockage d’objets immutables dans le cloud public. Les utilisateurs peuvent choisir entre deux modes : le mode de gouvernance, où les administrateurs peuvent définir des politiques de conservation, et le mode de conformité, où l’objet est bloqué et ne peut être supprimé ou modifié tant que la période de conservation n’est pas expirée.Stockage de blobs immuable Microsoft Azure. Microsoft Azure propose un stockage de blobs immuable en tant que service du stockage de blobs Azure. Le stockage de blobs immuable permet aux utilisateurs de définir des politiques de conservation sur leurs conteneurs de blobs, empêchant toute modification ou suppression de blobs jusqu’à ce que la période de conservation soit écoulée.
• Stockage Blob Microsoft Azure Immutable. Microsoft Azure offre le Stockage Blob Immutable en tant que partie de son service Stockage Blob Azure. Le Stockage Blob Immutable permet aux utilisateurs de définir des politiques de rétention sur leurs conteneurs blob, empêchant toute modification ou suppression de blobs jusqu’à l’expiration de la période de rétention.
• Versionnement des objets Google Cloud Storage. Google Cloud Storage propose le versionnement des objets comme moyen d’atteindre l’immuabilité. Lorsque le versionnement est activé, chaque modification d’un objet crée une nouvelle version de cet objet, préservant l’original. Les utilisateurs peuvent configurer des politiques de cycle de vie des objets pour gérer les versions au fil du temps, qui peuvent inclure la définition de périodes de rétention pour l’immuabilité.
• Verrouillage d’objet IBM Cloud. IBM Cloud Object Storage propose le Verrouillage d’objet, une fonctionnalité qui permet aux utilisateurs d’appliquer l’immuabilité pour des objets spécifiques dans leurs buckets. Comme pour d’autres fournisseurs de cloud, le Verrouillage d’objet offre à la fois des modes Gouvernance et Conformité pour différents niveaux de contrôle sur la rétention des données et l’immuabilité.
• Verrouillage d’objet Oracle Cloud Storage Service. Oracle Cloud Storage Service propose le Verrouillage d’objet, qui permet aux utilisateurs de créer des objets immuables avec des périodes de rétention personnalisables. Cette fonctionnalité est utile pour les organisations soumises à des réglementations sur la rétention des données ou celles qui requièrent une préservation stricte des données.

Ces exemples mettent en évidence comment divers fournisseurs de cloud proposent des solutions pour garantir l’immuabilité des données, principalement par la création d’objets immuables ou l’utilisation de stratégies de versioning et de conservation.

Stockage local immuable

Le stockage local immuable fait référence au stockage de données qui est physiquement situé sur un appareil ou un système et est conçu pour garantir l’immuabilité des données stockées. Contrairement aux solutions de stockage immuable basées sur le cloud, qui reposent sur des serveurs et des services distants, le stockage local immuable fonctionne dans les limites d’un seul appareil, serveur ou infrastructure sur site. Ce type de stockage est particulièrement utile pour les scénarios où les données doivent être protégées contre les modifications ou suppressions non autorisées au niveau local.

Les caractéristiques clés du stockage local immuable sont:

• Protection contre l’écriture basée sur le matériel. Le stockage local immuable peut être réalisé grâce à des mécanismes matériels qui empêchent physiquement les données d’être remplacées ou modifiées. Par exemple, des dispositifs de stockage ou des supports de médias protégés contre l’écriture, tels que des disques optiques, permettent d’écrire des données une fois et de les protéger ensuite contre les changements ultérieurs.
• Fonctionnalités de système de fichiers. Certains systèmes de fichiers prennent en charge des fonctionnalités qui peuvent être utilisées pour mettre en œuvre l’immuabilité locale. Par exemple, dans les systèmes d’exploitation semblables à Linux, vous pouvez utiliser la commande chattr pour définir des attributs comme « immuable » sur des fichiers, les empêchant d’être modifiés ou supprimés.
• Logiciel spécialisé. Il existe des solutions logicielles conçues pour créer des environnements de stockage local immutables. Ces solutions reposent souvent sur le hachage cryptographique, les signatures numériques et les contrôles d’accès pour garantir l’intégrité et l’immuabilité des données.

Exemples de Stockage Local Immutable

Les exemples de stockage local immutable utilisés en pratique sont les suivants:

• Disques optiques (CD-R, DVD-R, disque Blu-ray): Les disques optiques à écriture unique sont un exemple classique de stockage local immutable. Une fois les données gravées sur ces disques, elles ne peuvent être modifiées ou supprimées sans endommager physiquement le support.
• Dispositifs de stockage protégés contre l’écriture: Les cartes mémoire SD sont équipées de commutateurs de protection contre l’écriture et certains disques durs USB ont des mécanismes qui empêchent la modification des données une fois la protection contre l’écriture activée.
• Systèmes de fichiers immutables: Certains systèmes de fichiers spécialisés, comme les systèmes de fichiers WORM (Write-Once-Read-Many), sont conçus pour imposer l’immuabilité des données au niveau du système de fichiers (par exemple, Sun QFS). Ils empêchent les modifications apportées aux données stockées après leur écriture.
• Bases de données blockchain: Les bases de données blockchain sont une forme de stockage local immutable utilisée pour les applications décentralisées. Dans le blockchain, les données sont stockées dans une série de blocs, chaque bloc contenant un hachage cryptographique du précédent. Cette chaîne de blocs garantit l’immuabilité des données stockées.
• Modules de sécurité matériel: Certains modules de sécurité matériel (HSM) et enclaves sécurisés offrent des capacités de stockage local immutable en protégeant les clés cryptographiques et les données sensibles contre la manipulation ou l’accès non autorisé.

L’utilisation de technologies immuables et de stockage immutable peut être implémentée sur des dispositifs de stockage conventionnels dans l’infrastructure sur site. Les supports optiques tels que les CD-R, DVD-R et Blu-Ray, ainsi que les cartes flash SD, peuvent aider à protéger de petites quantités de données qui peuvent être pratiques pour les utilisateurs individuels en mode manuel. En ce qui concerne les organisations et les environnements de production, un système de fichiers avec une configuration WORM et d’autres solutions de stockage évolutives peuvent être mises en œuvre pour une protection efficace avec automatisation. Les solutions de stockage immutable basées sur le cloud peuvent répondre à un éventail plus large de cas d’utilisation, y compris l’accès à distance et la collaboration.

La bande est-elle un support de stockage immutable?

Le stockage sur bande peut être utilisé pour fournir une forme de stockage immutable. Le stockage sur bande est un support polyvalent qui permet d’écrire, de réécrire et de supprimer des données comme d’autres formes de stockage. Cependant, les organisations peuvent mettre en place des pratiques et des politiques pour que le stockage sur bande se comporte de manière immutable.Les organisations peuvent utiliser une stratégie d’écriture unique lors du stockage de données sur bande, ce qui est utile pour la sauvegarde sur bande. Cela signifie que les données sont écrites sur la bande une seule fois, et après cela, la bande est traitée comme en lecture seule. Une fois que les données sont écrites sur une bande de cette manière, elles ne peuvent pas être modifiées ou supprimées sans détruire physiquement la bande. Les cartouches de bande possèdent un bouton de protection en écriture. Il existe également des cartouches VolSafe spéciales qui ne peuvent être utilisées qu’une seule fois pour écrire des données.

Les organisations peuvent utiliser une stratégie d’écriture unique lors du stockage de données sur bande qui est utile pour sauvegarde sur bande. Cela signifie que les données sont écrites sur la bande une seule fois, et après cela, la bande est traitée comme en lecture seule. Une fois que les données sont écrites sur une bande de cette manière, elles ne peuvent être modifiées ou supprimées sans détruire physiquement la bande. Les cartouches de bande ont un interrupteur de protection contre l’écriture. Il existe également des cartouches VolSafe spéciales qui ne peuvent être utilisées qu’une seule fois pour écrire des données.

Cependant, il est important de noter que la maintenance et la gestion de stockage immuable basé sur bande peuvent être plus complexes et moins pratiques que l’utilisation de solutions modernes basées sur le cloud ou sur disque pour le stockage immuable, qui sont souvent dotées de fonctionnalités intégrées pour l’immuabilité des données et le contrôle d’accès.

Stockage immuable sur NAS

Certains systèmes de stockage rattaché au réseau (NAS), tels que Synology NAS et QNAP NAS, prennent en charge le stockage immuable qui peut être configuré dans l’interface web du système d’exploitation natif du fournisseur installé sur le NAS. C’est une option supplémentaire pour configurer le stockage immuable sur site. La configuration de l’immuabilité pour un dossier partagé à écriture unique sur NAS est simple.

Sauvegarde immuable

Une sauvegarde immuable est une sauvegarde qui ne peut pas être modifiée ou supprimée. Sauvegarde immuable est l’un des cas d’utilisation les plus populaires du stockage de données immuables. Si une période d’expiration est définie, la sauvegarde immuable ne peut être supprimée qu’après l’expiration de cette période. Les sauvegardes immuables sont utilisées par des organisations de toutes les industries.

Les sauvegardes sont l’un des principaux objectifs des attaquants de ransomware car les attaquants savent qu’avoir une sauvegarde permet à une victime de restaurer les données sans payer de rançon. Les sauvegardes situées sur un stockage immuable protègent les utilisateurs et les organisations contre l’encodage des données, la corruption des données et la suppression des sauvegardes.

Lors de l’utilisation de la règle de sauvegarde 3-2-1, qui nécessite d’avoir au moins 3 copies de données sur au moins 2 supports différents, dont l’un est stocké hors site, il est plus fiable d’avoir une copie de données sur un support avec immuabilité. Il peut s’agir d’une copie de données supplémentaire (quatrième). Si les copies primaires de données sont compromises, il est possible de restaurer les données à partir de la sauvegarde immuable.

Sauvegardez sur un stockage immuable avec NAKIVO

NAKIVO Backup & Replication est une solution moderne de protection des données prenant en charge la sauvegarde des données vers des référentiels qui supportent l’immutabilité. Vous pouvez configurer l’immutabilité en déployant un référentiel de sauvegarde dans les emplacements suivants :

• A physical or virtual machine:
  • A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
• A public cloud with immutability supported:
  • Amazon S3
  • Azure Blob Storage
  • Wasabi
  • Backblaze B2

De plus, vous pouvez déployer un appareil virtuel pour VMware vSphere et un image machine Amazon (AMI) préconfigurée pour Amazon EC2 avec un référentiel de sauvegarde intégré durci et l’immuabilité activée.