Sauvegarde : Scality refaçonne son stockage Artesca pour Veeam
La nouvelle version du système de stockage objet que Scality dédie aux sauvegardes se veut plus simple à déployer, spécifiquement adaptée aux fonctions les plus pointues de Veeam et plus solide face aux cyberattaques.
Scality, cet éditeur franco-américain dont le système de stockage objet Ring aurait séduit plus de 2 000 très grandes entreprises dans le monde (banques, opérateurs télécoms…), lance la version 3.0 de son second produit, le système de stockage objet Artesca. Alors que Ring est conçu pour servir très rapidement en données les applications web, Artesca est plus spécifiquement destiné à héberger les sauvegardes.
Cette nouvelle version 3.0 d’Artesca profite d’une multitude de fonctions qui améliorent sa résilience aux cyberattaques. Elle dispose de profils préconfigurés pour les logiciels de sauvegarde (à commencer par Veeam). Elle supporte désormais de gérer jusqu’à 8,7 Po d’espace de stockage pour accueillir les sauvegardes. Et elle se montre globalement beaucoup plus simple d’usage.
« La simplicité, c’est la clé de la réussite de la sauvegarde face à une cyberattaque », lance Jérôme Lecat, le PDG et cofondateur de Scality (en photo), lors d’un entretien avec LeMagIT.
« Dernièrement, je discutais avec le DSI d’un hôpital qui a été sollicité par un chirurgien ; celui-ci ne parvenait plus à accéder aux documents nécessaires pour une opération qui devait avoir lieu le lendemain. Le problème est que les documents en question n’étaient pas dans la sauvegarde. Le chirurgien les avait stockés dans un Google Drive personnel dont il n’avait plus le mot de passe. Et il l’avait fait pour éviter le dispositif interne pour les sauvegardes, qui paraissait à tout le monde trop contraignant. »
« Donc, nous avons réfléchi à rendre le stockage des sauvegardes ultra simple et ultra sécurisé », assure-t-il.
Installer simplement des fonctions complexes
De fait, ce sont surtout les manipulations du service informatique qu’Artesca 3.0 simplifie radicalement. Selon une démonstration à laquelle LeMagIT a pu assister, le logiciel est désormais livré sous la forme d’une VM d’installation. Moyennant la saisie manuelle de l’adresse IP du serveur qui déclenche les sauvegardes (ici, celui exécutant le logiciel Veeam) et celle de la baie de disques devant accueillir les sauvegardes (ici, une Alletra de HPE), cette VM s’occupe de tout configurer automatiquement. Montre en main, il aura fallu moins de soixante minutes pour que la solution soit opérationnelle.
« Dans ce processus, il faut indiquer pour quel logiciel de sauvegarde vous déployez la solution, car nous avons des bibliothèques spécifiques qui vont configurer pour lui l’installation. Dans cet exemple, nous indiquons Veeam pour prendre en charge dans le système de stockage les verrous qu’il pose sur les sauvegardes immuables, sa gestion particulière des capacités (appelée SOSAPI, en anglais Smart Object Storage application programming interface), sa capacité à exécuter des VM directement depuis les sauvegardes ou encore sa faculté à analyser les sauvegardes pour y détecter des malwares », précise le démonstrateur.
« Pour l’heure, tout passe par une ligne de commande. À terme, nous proposerons une interface graphique. Mais cette ligne de commande est déjà très simple. Même nos clients qui ne jurent que par les icônes de Windows savent s’en servir », assure-t-il.
À la fin, la baie de stockage permet toutes les fonctions que Veeam offre d’ordinaire, quand il travaille avec des sauvegardes stockées sur les disques du serveur qui l’exécute. En général, soit le serveur Veeam est limité en capacité de stockage, soit on passe par une baie externe plus capacitive et l’on perd au passage des fonctions nécessaires aux performances et à la sécurité de Veeam. Sauf à se lancer dans des configurations manuelles complexes qui, selon Scality, rebutent tous les administrateurs IT.
S’intégrer complètement avec Veeam
Erwan GirardDirecteur produit, Scality
« Le stockage pour Veeam représente 50 % de nos ventes sur Artesca. C’est donc pour lui que nous avons mis en place en premier un installateur dédié. Nous en avons aussi un pour Commvault. Et nous en aurons pour d’autres logiciels de sauvegarde à l’avenir », intervient Erwan Girard, le directeur produit de Scality.
Plus précisément, Veeam est le premier des éditeurs de logiciels de sauvegardes historiques (comprendre ceux qui, depuis toujours, enregistraient leurs sauvegardes sous la forme de fichiers sur un NAS) à avoir embrassé le stockage objet dans ses moindres détails, à partir des versions 12 de Veeam Backup & Replication et Veeam for Office 365.
Alors qu’un stockage en mode fichiers n’offre que des droits d’accès et un classement par dossiers contenus dans d’autres dossiers, le stockage objet, que Scality revendique implémenter avec plus de performances que ses concurrents, offre moult paramètres pour indexer les contenus, les protéger et les historiser. Et c’est cela qui contribuerait aussi à simplifier radicalement la manipulation des sauvegardes.
Un point intéressant concernant la résilience face aux cyberattaques est qu’un document enregistré sur un stockage objet n’est pas modifiable (chaque mise à jour crée une nouvelle copie), donc non chiffrable par un ransomware. Il faut juste que le logiciel qui écrit pense à verrouiller la version précédente pour qu’elle ne soit pas effacée quand la nouvelle est créée. Ce que fait Veeam avec sa fonction « d’immuabilité ».
« Veeam v12 a été conçu initialement pour les services de stockage objet en cloud public. Mais de plus en plus d’entreprises souhaitent conserver leurs sauvegardes sur site plutôt que les mettre en cloud. Or, sur site, nous revendiquons d’avoir les systèmes de stockage objet les plus performants et, ça, c’est une condition impérative pour que Veeam puisse tenir ses engagements de rapidité », argumente Erwan Girard.
On notera qu’il existe une page non officielle qui répertorie tous les systèmes de stockage objet et les classe selon leur compatibilité avec Veeam Backup & Replication : ceux qui supportent la fonction immuable, ceux qui sont compatibles dans une moindre mesure, ceux qui ne le sont pas complètement.
Une page similaire existe pour Veeam Backup for Microsoft 365. À la connaissance du MagIT, seuls trois systèmes de stockage objet revendiquent prendre en charge toutes les fonctions des versions 12 des logiciels de Veeam : Artesca 3.0, Object First et BackBlaze.
Désormais, des matériels prédéfinis pour Artesca
Erwan Girard donne des chiffres : avec Artesca, Veeam serait capable de sauvegarder complètement 250 VM ou d’en incrémenter 5 000 en 5 heures, avec une vitesse d’écriture de 14,5 To/h. Et il pourrait en restaurer 1 100 en 24 heures, avec une vitesse de lecture de 13,7 To/h. Ces chiffres ont été mesurés sur une baie Alletra de HPE. Lequel compte bien sur Scality pour proposer des baies de sauvegardes alternatives aux DataDomain de Dell.
Outre les Alletra, Artesca peut désormais être vendu préinstallé sur des appliances qui proposent 73 To ou 168 To de capacité dans un seul boîtier 2U, ou alors 377 To sur trois nœuds 2U et un ensemble de switches réseau sur 2U pour les relier (soit 8U).
« Nous avons beaucoup de clients dans les PME et, eux, veulent acheter un équipement de sauvegarde clés en main. D’ailleurs, ce n’est même pas eux, ce sont leurs revendeurs qui nous formulent cette demande. Alors, nous ne nous sommes évidemment pas mis à fabriquer des matériels. En l’occurrence, nous avons défini des caractéristiques : les revendeurs achètent Artesca auprès de nous et le matériel auprès du fabricant que nous lui indiquons », dit Jérôme Lecat.
Le plafond annoncé de 8,7 Po de capacité est en l’occurrence celui d’une baie HPE Alletra comprenant six nœuds, le maximum que puisse gérer Artesca 3.0. « Cela dit, nous devrions bientôt annoncer 11 Po avec l’arrivée des disques durs de 30 To sur Alletra », indique Erwan Girard.
Cinq améliorations pour résister aux cyberattaques
Jérôme LecatPDG et cofondateur, Scality
Concernant la meilleure résilience face aux cyberattaques, elle tiendrait en cinq améliorations :
- Artesca implémente la nouvelle fonction d’Object Locking du protocole S3 qui empêche d’effacer une version précédente d’un document, ce qui revient donc à de l’immuabilité logicielle.
- La levée de l’immuabilité ne peut se faire que par une authentification multifacteur (que seul l’administrateur peut effectuer).
- Le système d’exploitation qui gère chaque nœud de stockage est verrouillé contre les accès distants, au contraire des NAS habituellement utilisés pour les sauvegardes sous la forme de fichiers.
- Quand bien même les attaquants parviendraient au système d’exploitation d’un nœud, ils ne pourraient ni extraire ni détruire les données qui se trouvent sur les disques grâce, d’une part, au système d’Erasure coding qui dilapide les contenus de chaque sauvegarde sur plusieurs nœuds (à condition d’avoir un cluster de plusieurs nœuds), et, d’autre part, grâce à un nouveau chiffrement des données en AES256 au niveau des disques durs.
- Artesca intègre à présent un système de réplication géographique qui copie au fil de l’eau ses contenus vers un autre data center, afin de relancer l’activité depuis un site de secours.
« 30 % de notre R&D est consacrée au développement de fonctions de cybersécurité. En fait, nous discutons avec les éditeurs de sauvegarde pour savoir ce qu’ils souhaiteraient que nous implémentions dans Artesca pour améliorer encore plus la sécurité. Par exemple, nous pourrions valider que les sauvegardes sont saines à la place de Veeam », indique Jérôme Lecat.
« Mais la vérité est qu’ils attendent de nous que nous apportions juste un stockage fiable et intégré aux fonctions qu’ils veulent continuer de développer eux-mêmes », conclut-il.