NAKIVO > Blog

Qu’est-ce que le stockage de données immuables pour les sauvegardes ?

Publié le: février 14, 2024

Written by: NAKIVO Team

<>Les sauvegardes de données peuvent aider à la récupération de données si une copie principale de production est corrompue ou supprimée. Cependant, compte tenu du risque élevé de cyberattaques et d’autres menaces, les sauvegardes sont également vulnérables.

L’un des meilleurs moyens de protéger les données de sauvegarde contre toute modification ou suppression consiste à utiliser un stockage qui prend en charge l’immuabilité. Découvrez l’immuabilité des données, le fonctionnement du Stockage immuable et les raisons pour lesquelles le Stockage immuable améliore les chances de protection des données et de leur récupération.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Qu’est-ce que l’immuabilité des données ?

L’immuabilité des données est un concept en informatique et en gestion des données qui fait référence aux données qui ne peuvent pas être modifiées après leur création. Dans un modèle de données immuables, une fois les données créées, elles ne peuvent être ni modifiées ni mises à jour ; au contraire, toute modification entraîne la création de nouvelles données, laissant les données d’origine inchangées (si les modifications peuvent être appliquées). Cette approche a des implications et des avantages importants.

Les données immuables ne sont pas toujours le meilleur choix, car il existe des scénarios dans lesquels les données mutables sont plus efficaces ou plus appropriées. Cependant, dans de nombreux cas, en particulier dans les systèmes de sauvegarde, les systèmes concurrents ou distribués, l’immuabilité peut simplifier le développement et améliorer la fiabilité.

Qu’est-ce que le Stockage immuable ?

Le Stockage immuable est un type de stockage de données dans lequel, une fois les données écrites ou stockées, elles ne peuvent être modifiées, altérées ou supprimées pendant une période donnée, voire jamais. Ce concept est souvent utilisé dans le contexte de la conservation, de la protection des données, de la conformité et de la sécurité des données. Les systèmes de stockage immuable sont conçus pour garantir l’intégrité et l’immuabilité des données, généralement pour des raisons juridiques ou réglementaires, ou pour protéger les informations critiques contre toute modification ou suppression non autorisée.

Le Stockage immuable ajoute une couche supplémentaire de sécurité aux données. Une fois les données écrites dans un système de stockage immuable, elles deviennent résistantes aux modifications non autorisées, ce qui les protège contre les cyberattaques et les menaces internes. Le stockage immuable peut être utilisé dans des scénarios où il est essentiel de maintenir une chaîne de conservation sécurisée et ininterrompue, comme le stockage de preuves dans des affaires judiciaires ou le stockage d’enregistrements de transactions financières. Un exemple peut être les images de vidéosurveillance qui sont enregistrées une seule fois et ne peuvent être ni altérées ni supprimées afin d’être utilisées comme preuves lors d’enquêtes sur des activités légales.

Les systèmes de stockage immuables sont déployés pour conserver les données pendant une période spécifique, en garantissant qu’elles restent inchangées et accessibles à des fins d’audit, de conformité ou d’archivage. Cela est crucial dans des secteurs tels que la finance, la santé et le droit, qui sont des domaines soumis à des conditions strictes en matière de conservation des données. Que ce soit pour la protection des données, la conformité réglementaire (par exemple, GDPR) ou le renforcement de la sécurité, le Stockage immuable est un élément essentiel pour garantir l’intégrité des données et leur résilience contre les altérations ou les modifications non autorisées.

Comment fonctionne le Stockage immuable ?

Le stockage immuable fonctionne en mettant en œuvre des mécanismes et des politiques qui empêchent les données d’être modifiées, altérées ou supprimées après avoir été écrites ou stockées. Les méthodes spécifiques permettant d’atteindre l’immuabilité peuvent varier en fonction de la technologie et de l’architecture du système de stockage. Les techniques et principes utilisés dans le stockage immuable sont les suivants :

  • Write-Once-Read-Many (WORM). Le stockage WORM est conçu pour permettre l’écriture des données une seule fois. Une fois écrites, elles ne peuvent être ni modifiées ni écrasées. Ceci est souvent réalisé à l’aide de mécanismes physiques ou logiques qui verrouillent les données après leur écriture, empêchant ainsi toute modification ultérieure.
  • Gestion des versions des données. Certains systèmes de stockage immuables prennent en charge la gestion des versions des données, où chaque modification des données donne lieu à une nouvelle version. Les anciennes versions des données sont conservées, ce qui vous permet d’accéder aux versions historiques tout en garantissant que les données d’origine restent inchangées.
  • Verrouillage et contrôles d’accès. Les systèmes de stockage immuables intègrent souvent des contrôles d’accès et des autorisations afin d’empêcher les utilisateurs non autorisés de tenter de modifier ou de supprimer des données. Seules les personnes ou les processus autorisés peuvent écrire dans le stockage, tandis que les autres ne peuvent que lire les données.
  • Politiques de conservation. Les systèmes de stockage immuables comprennent généralement des politiques de conservation qui spécifient la durée pendant laquelle les données doivent être conservées dans un état inaltéré. Cela vous permet de définir l’immuabilité pour une durée spécifique. Une fois cette période de conservation expirée, les données peuvent être supprimées.
  • Hachage cryptographique. De nombreux systèmes de Stockage immuable utilisent des techniques de hachage cryptographique pour garantir l’intégrité des données. Lorsque les données sont écrites, une valeur de hachage (une chaîne de longueur fixe dérivée du contenu des données) est calculée et stockée avec les données. Toute tentative de modification des données entraînera une valeur de hachage différente, indiquant une altération.
  • Stockage adressable par le contenu. Il s’agit d’une architecture de stockage qui attribue un identifiant unique (généralement un hachage cryptographique) à chaque élément de données. Cet identifiant est utilisé pour récupérer les données plutôt que les chemins d’accès traditionnels aux fichiers. Une fois les données écrites, elles ne peuvent être modifiées sans changer leur identifiant.
  • Pistes d’audit. Afin de garantir la conformité et de suivre toute tentative d’accès ou de modification, les systèmes de Stockage immuable conservent souvent des journaux d’audit détaillés qui enregistrent toutes les interactions avec les données stockées.
  • Mesures de protection matérielles et logicielles. Le stockage immuable peut utiliser des mesures de protection matérielles ou logicielles pour protéger les données contre les menaces physiques et logiques, telles que des scellés inviolables, des modules matériels sécurisés ou des algorithmes de consensus distribués.

Le stockage immuable est souvent utilisé en combinaison avec d’autres technologies telles que la blockchain, les signatures numériques et les horodatages sécurisés afin de renforcer davantage l’authenticité et la sécurité des données. La mise en œuvre spécifique du Stockage immuable peut varier considérablement en fonction des besoins et des conditions à remplir par l’organisation ou le secteur d’activité qu’il dessert.

Air Gap vs Stockage immuable

Un air gap est une mesure de sécurité utilisée en informatique et en gestion des données pour isoler physiquement et logiquement un système ou un réseau d’environnements non sécurisés ou potentiellement compromis. Le terme « air gap » implique qu’il existe un écart littéral ou une déconnexion physique entre le système/les données protégés et les réseaux externes, ce qui rend difficile l’accès, la modification ou la compromission des données par des utilisateurs non autorisés ou des cyberattaques.

Le stockage isolé est un support de stockage physiquement déconnecté d’un ordinateur ou d’un réseau. Les air gaps sont couramment utilisés pour les systèmes hautement sensibles ou critiques, tels que ceux qui traitent des informations classifiées, les systèmes de contrôle des infrastructures critiques et les réseaux gouvernementaux ou militaires sécurisés.

Un air gap offre une couche de sécurité solide en isolant un système ou des données des réseaux externes, mais il ne rend pas intrinsèquement le stockage immuable. L’air gap vise principalement à isoler un système ou un réseau des menaces externes, mais ne garantit pas à lui seul l’immuabilité des données. Les organisations peuvent combiner des environnements isolés avec des mesures de sécurité supplémentaires et des pratiques et politiques d’immuabilité des données afin d’atteindre une résilience cybernétique dans ce contexte isolé et de protéger les données contre toute modification non autorisée.

Exemple de stockage isolé

Les disques durs SAS, SATA ou USB déconnectés d’un serveur ou d’une baie de stockage sont un exemple courant de stockage isolé. Les fichiers stockés sur un tel disque dur (HDD) ne peuvent pas être modifiés, car cette appliance est physiquement déconnectée et hors tension. Elle est inaccessible pour les logiciels. Les données stockées sur ce disque dur déconnecté sont protégées contre les attaques de ransomware et autres modifications indésirables.

Cependant, cette protection n’est pas obtenue par l’utilisation de technologies immuables comme dans le cas du Stockage immuable moderne. Il n’existe pas de commutateurs matériels de protection en écriture ni de logiciel garantissant la protection en écriture d’un disque dur standard à l’état éteint. C’est pourquoi le stockage isolé et le Stockage immuable sont différents, même s’ils sont utilisés à des fins similaires.

Les cartouches de bande sont également considérées comme un stockage isolé. Après avoir écrit une sauvegarde sur la bande, la cartouche éjectée n’est plus accessible par le ransomware et les données de sauvegarde ne peuvent plus être modifiées.

Le stockage isolé nécessite plus d’efforts et de temps pour la gestion que le stockage immuable qui peut être mis en œuvre sur un serveur, dans un cloud local ou public.

Solutions de stockage dans le cloud immuable

Les solutions de stockage dans le cloud immuable désignent les services ou systèmes de stockage de données basés sur le cloud qui offrent l’immuabilité comme fonctionnalité principale. Ces solutions garantissent qu’une fois les données stockées dans le cloud, elles ne peuvent être modifiées, altérées ou supprimées pendant une période déterminée ou conformément à des politiques spécifiques et aux principes du Stockage immuable. Le stockage dans le cloud immuable est particulièrement utile pour les organisations qui cherchent à protéger l’intégrité des données, à respecter les conditions à remplir pour la conformité, à renforcer la sécurité des données et à mettre en œuvre des stratégies de conservation des données dans l’environnement cloud.

Exemples de stockage dans le cloud immuable

Les solutions de stockage dans le cloud immuable sont proposées par divers fournisseurs de cloud et sont conçues pour garantir l’immuabilité des données et les protéger contre toute modification ou suppression non autorisée. Plusieurs fournisseurs de cloud proposent des solutions de stockage dans le cloud immuable dans le cadre de leur portefeuille. Par exemple, Amazon S3 (Simple Storage Service) propose Object Lock, une fonctionnalité qui permet l’immuabilité des données pour les objets S3 (stockage d’objets immuables). Microsoft Azure propose Azure Immutable Blob Storage, qui permet aux organisations de créer et de gérer des données immuables dans Azure Blob. Passons en revue quelques exemples de solutions de stockage dans le cloud immuables proposées par certains des principaux fournisseurs de cloud :

  • Amazon S3 Object Lock. Amazon S3 propose une fonctionnalité appelée Object Lock qui permet aux utilisateurs de créer des objets immuables dans leurs compartiments S3 afin de fournir un stockage d’objets immuables dans le cloud public. Les utilisateurs peuvent choisir entre deux modes : le mode Governance, dans lequel les administrateurs peuvent définir des politiques de conservation, et le mode Compliance, dans lequel une fois qu’un objet est verrouillé, il ne peut être ni supprimé ni modifié avant l’expiration de la période de conservation.
  • Microsoft Azure Immutable Blob Storage. Microsoft Azure fournit le stockage Blob immuable dans le cadre de son stockage Azure Blob service. Le stockage Blob immuable permet aux utilisateurs de définir des politiques de conservation sur leurs conteneurs Blob, empêchant toute modification ou suppression des Blobs jusqu’à l’expiration de la période de conservation.
  • Google Cloud Storage Object Versioning. Google Cloud Storage propose le versionnage des objets comme moyen d’assurer leur immuabilité. Lorsque le versionnage est activé, chaque modification apportée à un objet crée une nouvelle version de cet objet, tout en conservant l’original. Les utilisateurs peuvent configurer des politiques de cycle de vie des objets pour gérer les versions au fil du temps, ce qui peut inclure la définition de périodes de conservation pour l’immuabilité.
  • IBM Cloud Object Lock. IBM Cloud Object Storage fournit Object Lock, une fonctionnalité qui permet aux utilisateurs d’appliquer l’immuabilité à des objets spécifiques dans leurs compartiments. À l’instar d’autres fournisseurs de cloud, Object Lock propose deux modes, Governance et Compliance, pour différents niveaux de contrôle sur la conservation et l’immuabilité des données.
  • Oracle Cloud Storage Service Object Lock. Oracle Cloud Storage Service propose Object Lock, qui permet aux utilisateurs de créer des objets immuables avec des périodes de conservation personnalisables. Cette fonctionnalité est utile pour les organisations soumises à des réglementations en matière de conservation des données ou celles qui exigent une conservation stricte des données.

Ces exemples montrent comment divers fournisseurs de cloud proposent des solutions pour garantir l’immuabilité des données, principalement par la création d’objets immuables ou l’utilisation de politiques de versionnement et de conservation.

Stockage immuable local

Le stockage immuable local désigne le stockage de données physiquement situé sur un appareil ou un système et conçu pour garantir l’immuabilité des données stockées. Contrairement aux solutions de stockage immuable basées sur le cloud, qui reposent sur des serveurs et des services distants, le stockage immuable local fonctionne dans les limites d’un seul appareil, serveur ou infrastructure sur site. Ce type de stockage est particulièrement utile dans les cas où les données doivent être protégées contre toute modification ou suppression non autorisée au niveau local.

Les principales caractéristiques du stockage immuable local sont les suivantes :

  • Protection en écriture basée sur le matériel. Le stockage immuable local peut être réalisé grâce à des mécanismes matériels qui empêchent physiquement les données d’être écrasées ou modifiées. Par exemple, les périphériques ou supports de stockage protégés en écriture, tels que les disques optiques, permettent d’écrire les données une seule fois, puis de les protéger contre toute modification ultérieure.
  • Fonctionnalités du système de fichiers. Certains systèmes de fichiers prennent en charge des fonctionnalités qui peuvent être utilisées pour mettre en œuvre l’immuabilité locale. Par exemple, dans les systèmes d’exploitation de type Linux, vous pouvez utiliser la commande chattr pour définir des attributs tels que «i» (immuable) sur les fichiers, empêchant ainsi leur modification ou leur suppression.
  • Logiciels spécialisés. Il existe des solutions logicielles conçues pour créer des environnements de stockage locaux immuables. Celles-ci s’appuient souvent sur le hachage cryptographique, les signatures numériques et les contrôles d’accès pour garantir l’intégrité et l’immuabilité des données.

Exemples de stockage immuable local

Les exemples de stockage immuable local utilisés dans la pratique sont les suivants :

  • Disques optiques (CD-R, DVD-R, disques Blu-ray): Les disques optiques à écriture unique sont un exemple classique de stockage immuable local. Une fois les données gravées sur ces disques, elles ne peuvent être modifiées ou supprimées sans endommager physiquement le support.
  • Périphériques de stockage protégés en écriture: les cartes flash SD sont équipées de commutateurs de protection en écriture et certains disques durs USB disposent de mécanismes qui empêchent la modification des données une fois la protection en écriture activée.
  • Systèmes de fichiers immuables: Certains systèmes de fichiers spécialisés, tels que les systèmes de fichiers WORM (Write-Once-Read-Many), sont conçus pour garantir l’immuabilité des données au niveau du système de fichiers (par exemple, Sun QFS). Ils empêchent toute modification des données stockées après leur écriture.
  • Bases de données blockchain: Les bases de données blockchain sont une forme de Stockage immuable utilisé pour les applications décentralisées. Dans la blockchain, les données sont stockées dans une série de blocs, chaque bloc contenant un hachage cryptographique du bloc précédent. Cette chaîne de blocs garantit l’immuabilité des données stockées.
  • Modules matériels sécurisés: Certains modules matériels de sécurité (HSM) et enclaves sécurisées offrent des capacités de stockage local immuable en protégeant les clés cryptographiques et les données sensibles contre toute altération ou tout accès non autorisé.

L’utilisation de technologies immuables et de Stockage immuable peut être mise en œuvre sur des périphériques de stockage conventionnels dans l’infrastructure sur site. Les supports optiques tels que les CD-R, DVD-R et Blu-Ray, ainsi que les cartes flash SD, peuvent aider à protéger de petites quantités de données, ce qui peut être pratique pour les utilisateurs individuels en mode manuel. Quant aux organisations et aux environnements de production, un système de fichiers avec configuration WORM et d’autres solutions de stockage évolutif peuvent être mis en œuvre pour une protection des données efficace et automatisée. Les solutions de stockage immuable basées sur le cloud peuvent répondre à un plus large éventail de cas d’utilisation, notamment l’accès à distance et la collaboration.

Les bandes magnétiques sont-elles un support de stockage immuable ?

Le stockage sur bande magnétique peut être utilisé pour fournir une forme de stockage immuable. Le stockage sur bande est un support polyvalent qui permet d’écrire, de réécrire et de supprimer des données comme les autres formes de stockage. Cependant, les organisations peuvent mettre en œuvre des pratiques et des politiques pour que le stockage sur bande se comporte de manière immuable.

Les organisations peuvent utiliser une stratégie d’écriture unique lors du stockage de données sur bande, ce qui est utile pour la sauvegarde sur bande. Cela signifie que les données sont écrites une seule fois sur la bande magnétique, après quoi celle-ci est considérée comme étant en lecture seule. Une fois les données écrites sur une bande magnétique de cette manière, elles ne peuvent être modifiées ou supprimées sans détruire physiquement la bande magnétique. Les cartouches de bande magnétique sont équipées d’un commutateur de protection en écriture. Il existe également des cartouches VolSafe spéciales qui ne peuvent être utilisées qu’une seule fois pour écrire des données.

Cependant, il est important de noter que la maintenance et la gestion du stockage immuable sur bande magnétique peuvent être plus complexes et moins pratiques que l’utilisation de solutions modernes de stockage immuable basées sur le cloud ou sur disque, qui intègrent souvent des fonctionnalités de contrôle d’accès et d’immuabilité des données.

Stockage immuable sur NAS

Certains systèmes de stockage en réseau (NAS), tels que Synology NAS et QNAP NAS, prennent en charge le stockage immuable qui peut être configuré dans l’interface web du système d’exploitation natif du fournisseur installé sur le NAS. Il s’agit d’une option supplémentaire pour configurer un stockage immuable sur site. La configuration de l’immuabilité pour un dossier partagé à écriture unique sur NAS est simple.

Sauvegarde immuable

Une sauvegarde immuable est une sauvegarde qui ne peut être ni modifiée ni supprimée. Sauvegarde immuable est l’un des cas d’utilisation les plus courants du stockage de sauvegardes immuables. Si une période d’expiration est définie, la sauvegarde immuable ne peut être supprimée qu’après l’expiration de cette période. Les sauvegardes immuables sont utilisées par des organisations de tous les secteurs.

Les sauvegardes sont l’une des principales cibles des auteurs d’attaques par ransomware, car ceux-ci savent que le fait de disposer d’une sauvegarde permet à la victime de restaurer ses données sans payer de rançon. Les sauvegardes situées sur un stockage immuable protègent les utilisateurs et les organisations contre le chiffrement, la corruption et la suppression des données dans les sauvegardes.

Lorsque vous utilisez la règle de sauvegarde 3-2-1, qui exige d’avoir au moins 3 copies des données sur au moins 2 supports différents, dont l’un est stocké hors site, il est plus fiable d’avoir une copie des données sur un stockage immuable. Il peut s’agir d’une copie supplémentaire (quatrième) copie des données. Si les copies principales des données sont compromises, il est possible de restaurer les données à partir de la sauvegarde immuable.

Sauvegarde sur un Stockage immuable avec NAKIVO

NAKIVO Backup & Replication est une solution moderne de protection des données qui prend en charge la sauvegarde des données vers des Référentiels de sauvegarde prenant en charge l’immuabilité. Vous pouvez configurer l’immuabilité par un déploiement de référentiel de sauvegarde aux emplacements suivants :

  • Une machine physique ou virtuelle :
    • Un référentiel de sauvegarde avec immuabilité attribué à un Transporteur installé sur une machine Linux
  • Un cloud public avec prise en charge de l’immuabilité :

Backup to storage with data immutability in NAKIVO Backup & Replication

De plus, vous pouvez déployer un appareil virtuel pour VMware vSphere et préconfiguré Amazon Machine Image (AMI) pour Amazon EC2 avec un référentiel de sauvegarde intégré renforcé et l’immuabilité activée.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Protection contre les ransomwares et récupération dans Office 365 : aperçu complet
Picture
Introduction à VMware vCloud Director
Picture
Virus, ransomware et malware : explications sur les différences