Sauvegarde : Inspeere propose de les répartir sur plusieurs sites
La solution Datis de la startup française repose sur un système de peer-2-peer allégé, dans lequel un groupe de plusieurs entreprises se partagent de la capacité de stockage. Elle promet une réduction des coûts et une sécurité renforcée.
Stocker des copies des sauvegardes sur un site de secours, c’est bien. Mais les chiffrer, les compresser et, in fine, les morceler entre plusieurs sites de secours, c’est encore mieux. Telle est l’idée d’Inspeere, une jeune startup française qui se lance sur le marché des logiciels de sauvegarde. Sa solution, baptisée Datis, a l’atout d’une technologie de peer-2-peer inédite, mise au point par Olivier Dalle, professeur en sciences informatiques à l’université de Nice-Sophia Antipolis.
« Pour que ce soit clair : nous ne sommes pas une énième technologie de Peer-2-Peer qui propose de connecter des milliers de systèmes entre eux. Un tel système ne fonctionne pas pour du stockage professionnel, car, en cas d’incident, le temps de reconstruction des données perdues est rédhibitoire. Nous utilisons le peer-2-peer juste comme un palliatif aux protocoles client-serveur », lance le chercheur, lors d’un événement IT Press Tour consacré aux startups européennes qui innovent dans le stockage et qui a eu lieu en fin d’année dernière à Madrid.
Pour autant, l’idée est bien là : avec Datis, différents clients d’Inspeere mettent en commun une partie de la capacité de stockage de leurs NAS pour héberger les sauvegardes des autres. Plus exactement des morceaux de ces sauvegardes. La répartition des morceaux de sauvegardes doit se faire idéalement entre six à neuf sites. C’est selon Olivier Dalle, le compte le plus optimal pour ne pas saturer le système avec des morceaux trop petits tout en maximisant la bande passante entre les sites.
Répartir le stockage des sauvegardes, à la manière du Web3
Ce morcellement sert avant tout à se prémunir contre le risque d’une cyberattaque qui viserait le site de secours d’une entreprise, en partant du principe qu’une cyberattaque ne vise qu’un site à la fois.
Olivier DalleDirecteur technique, Inspeere
« Accessoirement, ce morcellement permet de restaurer des fichiers perdus bien plus rapidement, car un site récupère ses données sauvegardées depuis tous les autres, via des flux parallèles », dit Olivier Dalle. Il fait ici référence aux débits entrants sur un site (où les données arrivent), qui sont généralement plus rapides que les débits sortants (qui font partir les données).
Pour l’heure, Inspeere dénombre 80 clients, notamment des entreprises qui partagent les espaces de stockage entre les NAS de leurs succursales. La startup imagine cependant adresser un pool de prestataires qui vendraient tous un service de sauvegarde hébergé sur leurs propres NAS et protégeraient les données de leurs clients en se les répartissant par morceaux.
« Grâce à notre solution, des prestataires peuvent facilement mettre en place un service de sauvegarde qui soit adapté aux normes de confidentialité et de sécurité auxquelles une entreprise est potentiellement subordonnée » imagine Olivier Dalle, qui officie en tant que directeur technique chez Inspeere.
« Un tel service proposé par des prestataires locaux éviterait aussi aux entreprises de choisir par défaut le service de stockage en ligne d’un cloud public, ce qui reste trop souvent la norme, alors que cela pose généralement un problème de souveraineté », ajoute-t-il. Il pointe a priori les offres des Américains AWS, Azure et autres GCP qui placent les données hébergées sous l’autorité d’une législation extraterritoriale.
L’idée de stocker des données en les répartissant par morceaux entre différents sites n’est pas neuve : c’est sur ce principe qu’était censé reposer le concept de Web3.
Réduire la quantité de stockage à acheter
La solution d’Inspeere est livrée clefs en main sur des appliances, appelées « DatisBox », qui font office de NAS.
« Il s’agit d’un NAS conventionnel, sous Linux. Vous pouvez soit l’utiliser pour stocker directement les données que vous partagez sur le réseau et notre solution Datis sauvegardera son contenu par morceaux ailleurs. Vous pouvez aussi l’utiliser comme un NAS qui héberge les sauvegardes de Veeam ou autres logiciels de backup. Dans ce cas, notre solution servira à morceler la copie de secours de cette sauvegarde » présente le directeur technique de la startup.
« Le point important à retenir est qu’une bonne pratique de sauvegarde consiste normalement à faire une sauvegarde locale, à dupliquer cette sauvegarde sur un site de secours facilement accessible et à disposer d’une troisième copie de cette sauvegarde qui ne soit pas atteignable par les pirates. Cela fait trois systèmes de stockage à acheter. Avec notre solution, qui remplit toutes les fonctions citées, vous n’achetez qu’un seul NAS », argumente-t-il.
La DatisBox repose tout d’abord sur le système de fichiers Open source ZFS. Outre être un système de fichiers élastique – qui sait faire grimper dynamiquement la capacité d’un volume par simple ajout d’unité de stockage, soit localement, soit en réseau –, ZFS sait créer des snapshots réguliers et incrémentaux des contenus, les chiffrer, les compresser et les hacher.
Le chiffrement empêche l’hébergeur d’un snapshot de lire son contenu. La compression sert à économiser de la capacité de stockage et, surtout, à réduire les temps de transferts en réseau. Le hachage, enfin, permet de vérifier l’intégrité des données via un code de parité.
La solution Datis en elle-même repose sur trois composants développés par Inspeere : Split-It morcelle les snapshots de ZFS, Savvy les attribue aux autres sites et DataSmooth optimise la bande passante.
Étendre les capacités de ZFS
Olivier DalleDirecteur technique, Inspeere
« Dans sa version standard, ZFS sait répliquer les données depuis une source vers une seule destination : Par exemple, ce qui se trouve sur le site A à Paris est répliqué à l’identique, de façon incrémentale, sur le site B à Marseille. Bien sûr on peut faire une deuxième copie sur le site C, à Nantes, mais chacune de ces copies finit par prendre beaucoup de place, c’est-à-dire autant qu’à Paris. L’innovation d’Inspeere, c’est d’être capable de diviser les données initiales en plusieurs sous-flux qui peuvent être envoyés vers des destinations différentes, où ils occupent moins de place », détaille Olivier Dalle.
Imaginons que l’on ait sept sites dans un pool, avec un snapshot de départ de 4 To sur l’un d’eux. Split-It demande à ZFS de créer un snapshot en six morceaux de 1 To, qui comprennent chacun un certain quart des données. Ici, chaque morceau intègre des données redondantes avec les autres morceaux, ce qui les rend interchangeables lors de la restauration, pour parer à la destruction de deux morceaux. À date, la technologie d’Inspeere supporte de créer jusqu’à 48 morceaux pour un pool maximal de 49 sites.
Dans notre exemple, Savvy indique ensuite à ZFS d’envoyer chaque morceau vers l’un des six autres sites du pool. Grâce au hachage, chaque ZFS de destination peut vérifier que les données n’ont pas été corrompues lors du transport. En cas de problème, ou en cas de restauration, DataSmooth calcule les chemins les plus optimaux à emprunter.
« Ce découpage améliore encore la sécurité du système. Puisque les données ne sont plus toutes au même endroit, il est encore plus difficile de les voler. Non seulement elles sont toujours chiffrées, mais il faudrait en plus rassembler et recoller les morceaux », ajoute Olivier Dalle.
« Le gros avantage de ZFS est que nous pouvons l’utiliser comme une alternative au système RAID que l’on trouve généralement dans les tiroirs de disques des NAS. Un système RAID reconstruit un disque dur entier quand il y a une défaillance, alors que ZFS ne reconstruit que les données utiles perdues. C’est bien plus rapide, car on passe de quelques jours de restauration, à seulement quelques minutes », argumente encore Olivier Dalle.
De fait, les sauvegardes à restaurer ne sont pas recomposées par les logiciels d’Inspeere, qui ne s’occupent que de la partie réseau en définitive. Elles le sont par ZFS, sur la base de son hachage.