Stockage : Cleondris, un couteau suisse pour NetApp
L’éditeur helvétique Cleondris se dévoile au reste de l’Europe avec une approche plutôt inspirée de la protection des données sur les solutions de stockage OnTap.
Les clients de NetApp non germanophones l’ignorent, mais il existe une boîte à outils d’appoint – un couteau suisse plutôt – pour protéger les baies de stockage OnTap contre les ransomwares et les sauvegarder simplement en cloud. C’est l’offre de l’éditeur suisse Cleondris. Elle se compose des logiciels SnapGuard, qui détecte et bloque les attaques en prenant la main sur les accès vers les baies de disque, et Data Manager, qui manipule les API d’OnTap pour sauvegarder les fichiers vers un système objet S3 tiers.
« Je suis ce dépanneur super réactif que le paquebot NetApp ne peut pas envoyer lui-même pour résoudre une problématique précise chez ses clients. NetApp fournit la technologie, Cleondris écrit les scripts, puis programme les outils qui automatisent des cas d’usage », résume Christian Plattner, le fondateur et PDG de Cleondris.
Christian PlattnerFondateur et PDG, Cleondris
LeMagIT a pu s’entretenir avec lui à l’occasion d’un récent événement IT Press Tour organisé à Lisbonne, dédié aux startups européennes qui innovent dans le stockage. Christian Plattner explique avoir commencé à travailler avec NetApp dès 2010, pour faciliter à l’époque l’intégration d’OnTap avec les couches de virtualisation de VMware. Depuis, la clientèle germanophone de NetApp, constituée de grands comptes dans la finance et l’industrie, s’est montrée très friande de ses outils ingénieux. Aujourd’hui, le petit éditeur helvétique refuse les offres de rachat, mais se sent prêt pour partir à la conquête du reste de l’Europe.
La facilité de Norton Commander
Il suffit de jeter un œil sur les écrans de ses logiciels pour comprendre leur intérêt. Data Manager, par exemple, propose de restaurer les fichiers effacés par erreur depuis une interface similaire à celle de Norton Commander. Ce fameux logiciel des années 80 avait eu l’idée toute simple de présenter deux fenêtres, une pour le répertoire source, l’autre pour le répertoire destination. Avec Cleondris, il n’a jamais été aussi facile de récupérer depuis un service S3 le document qui a disparu du répertoire de travail sur le NAS local.
« Vous vous demandez certainement pourquoi nous proposons un produit de sauvegarde, alors qu’il suffit de conjuguer les fonctions d’administration d’OnTap et celles de VMware pour enregistrer des copies de secours de vos données. Sauf que ce scénario ne fonctionne que sur les toutes petites configurations, avec moins de dix machines virtuelles. Ce n’est pas tant la fonction de sauvegarde que nous apportons. C’est plutôt sa facilité d’utilisation », argumente Christian Plattner.
Tous les autres outils sont à l’avenant. Loin des usines à gaz avec arborescence de menus dans une colonne à gauche – un design qui mine toutes les consoles d’administration depuis l’invention de regedit.exe par Microsoft, en 1992, dans Windows 3.1 – les interfaces de Cleondris ne montrent que les fonctions dont l’utilisateur a besoin.
Une compatibilité plus ascendante, une réactivité dans l’heure
Christian Plattner défend une approche plus maligne, plus agile que les choix habituellement faits dans les outils par défaut. « Laissez-moi vous donner un exemple de l’efficacité de nos produits et de l’agilité de nos développements », lance Christian Plattner.
Christian PlattnerFondateur et PDG, Cleondris
« À un moment, NetApp a annoncé un accord avec AWS pour que ce dernier propose un service de NAS en ligne basé sur OnTap, AWS FSx for OnTap. Ensemble, ils suggéraient que la similitude technique entre les deux offres faciliterait les migrations des entreprises vers un fonctionnement hybride, à cheval entre le cloud et le site. Sauf que les entreprises redoutaient de devoir racheter chez AWS des outils qu’elles possédaient déjà sur site. Une heure à peine après l’annonce, tous nos outils sur site géraient AWS FSx for OnTap. »
Autre exemple, la solution de sauvegarde Cleondris Data Manager est la seule dans l’univers NetApp à rester compatible avec les vieilles versions 7 d’OnTap, celles publiées il y a plus de dix ans. « Les fournisseurs vous expliquent que vous devez déployer les dernières versions de leurs systèmes pour bénéficier de toutes les fonctions. Mais ce n’est pas ainsi que réfléchissent les entreprises. Elles préfèrent garder en production des systèmes qui fonctionnent plutôt que risquer de les changer. Nous répondons à ce besoin », ajoute le fondateur de Cleondris.
Recâbler les fonctions d’OnTap de manière plus ingénieuse
Dans le détail, Cleondris Data Manager, ou CDM, ne réinvente pas la roue. Les sauvegardes qu’il effectue sont en fait les snapshots que le système OnTap crée lui-même. Et ceux-ci sont exportés vers un stockage en cloud en utilisant SnapMirror-Cloud, une autre fonction interne d’OnTap. En revanche, les snapshots sont normalement destinés aux archives sur bandes et SnapMirror sert d’ordinaire à réaliser un PRA (Plan de Reprise d’Activité) avec la copie asynchrone d’une baie en production. Cleondris tape dans les API d’OnTap pour recâbler ses fonctions différemment.
SnapGuard, l’outil contre les ransomwares, se veut tout aussi malin. Le logiciel utilise FPolicy, un moteur interne à OnTap qui permet de surveiller et d’attribuer des droits d’accès au système de fichiers. Sur la base d’une batterie de règles inventée par Cleondris pour détecter les actions suspectes – l’accès très rapide à un grand nombre de fichiers, le fait de renommer les extensions, etc. –, le logiciel émet des alertes via Syslog (qui peut s’interfacer avec des outils de montoring tiers, comme Splunk) et bloque tous les droits en écriture. Il peut aussi générer des snapshots d’urgence pour sauver ce qui n’a pas encore été détruit.
Une fois l’attaque clairement identifiée et bloquée par les équipes, SnapGuard analyse les différences entre les données en production et celles sauvegardées dans les snapshots, afin de ne restaurer que les informations qui ont été abîmées. SnapRestore, l’outil de restauration interne à OnTap, lui, restaure l’intégralité des snapshots, ce qui est systématiquement beaucoup plus lent et peut faire perdre des heures, voire des jours d’activité à une entreprise.
Enfin, SnapGuard et CDM sont proposés ensemble, préinstallés dans une machine virtuelle simplement baptisée Cleondris Appliance. Celle-ci fonctionne sous un CentOS 7.7 minimal et dispose d’une base PostgreSQL qui indexe les ressources de la solution NetApp locale.