Sauvegarde Kubernetes : le point sur les possibilités de Cohesity

L’enjeu de résoudre la complexité des déploiements multicloud

Kubernetes offre de nombreux avantages aux développeurs, leur permettant de déployer rapidement et facilement des applications web légères et dynamiques. Grâce à l’orchestration de containers, il est possible de diviser les applications monolithiques en microservices plus petits et différents, et de les exécuter de manière fiable sur différentes plateformes informatiques. Les nouvelles charges de travail peuvent être insérées dans des environnements informatiques complexes, composés de ressources locales et de cloud privé et public, à une vitesse sans précédent.

Problème, pour sauvegarder ces charges de travail Kubernetes déployées dans un environnement multicloud dynamique, il est essentiel de maîtriser l’ensemble des emplacements d’exécution comme un pool global. Sans l’aide d’un système de sauvegarde adapté à des applications qui sont réparties sur une multitude d’emplacements, les équipes IT doivent investir beaucoup de temps et de ressources pour gérer correctement un puzzle hétéroclite de sauvegardes effectuées à chacun des emplacements.

La très grande difficulté que pose une multitude de sauvegardes est qu’il est presque impossible de savoir si les données sont redondantes, si des données personnelles critiques sont stockées à des endroits risqués ou si certaines ont été oubliées dans le plan de sauvegarde.

La plateforme Data Cloud de Cohesity permet de regrouper les sauvegardes des charges de travail distribuées sur une plateforme unique, éliminant ainsi les silos de données et offrant une visibilité complète sur toutes les données, quelle que soit leur localisation d’origine. Cela permet également de s’assurer que toutes les données sont protégées contre les ransomwares et que des tâches importantes – principalement la restauration rapide en cas de cyberattaque – peuvent être mises en œuvre dans les délais nécessaires pour assurer la continuité de l’activité.

Techniquement, la plateforme Data Cloud de Cohesity regroupe les sauvegardes des charges de travail distribuées sur une plateforme hyperconvergée, facilement évolutive et suivant strictement le modèle de sécurité zero-trust. Cela signifie que les données conservées localement sont stockées de manière immuable (impossible de les modifier avant une date précise) et qu’elles sont fortement chiffrées, même pendant le transport.

L’accès aux sauvegardes n’est accordé qu’aux personnes qui se sont authentifiées par un dispositif multifacteur, via une console unique, avec des rôles et des règles contrôlant les ressources affichables dans la console. Les modifications de configuration ou les processus de suppression sont protégés par des dispositifs qui définissent les manipulations non autorisées dans les domaines hautement sensibles.

Des fonctions pour appuyer la gouvernance des données

Au-delà de la protection des accès, la plateforme Cloud Data de Cohesity apporte une notion de gouvernance des contenus. En cas d’attaque, les pirates veulent voler, chiffrer ou supprimer des données. Les entreprises doivent donc savoir exactement de quelles données elles disposent et quelle est leur valeur. Cela vaut pour toutes les charges de travail qu’il s’agisse de charges de travail Kubernetes ou d’autres plus anciennes. Ce n’est qu’alors qu’elles pourront répondre aux questions de conformité et contrôler, par exemple, que certains types de données ne peuvent pas quitter certains emplacements de stockage.

De tels dispositifs accélèrent le reporting dans le cadre de réglementations telles que NIS-2 ou DORA, avec des comptes-rendus beaucoup plus précis. Au quotidien, cette tâche de reporting est gigantesque, car la plupart des entreprises ont accumulé des montagnes d’informations dont elles ne savent rien ou presque.

Dans ce domaine, les solutions d’IA intégrées à la plateforme de sauvegarde, comme Cohesity Gaia dans le cadre de Cohesity Data Cloud, promettent d’aider et de désamorcer l’un des problèmes les plus complexes en classant automatiquement les données des entreprises. Par exemple, les directions générales peuvent poser des questions directes sur certaines données et Gaia fournit automatiquement une réponse avec une liste de tous les documents concernés.

La solution de Cohesity analyse également automatiquement chaque snapshot à la recherche d’anomalies. Pour ce faire, la plateforme s’appuie sur une série d’algorithmes d’intelligence artificielle et de calcul de sommes de contrôle qui signalent les comportements inhabituels dans les snapshots. Il peut s’agir de sauvegardes anormalement longues, de modèles d’accès étranges ou d’autres comportements anormaux. Tous ces indicateurs peuvent contribuer à la détection précoce d’éventuelles attaques internes et externes, comme les ransomwares, afin que des contre-mesures puissent être prises rapidement.

Dans le cadre de son programme de partenaires Data Security Alliance, Cohesity a en outre conclu des coopérations étroites avec des dizaines de fournisseurs de sécurité informatique comme Palo Alto Networks ou Cisco. L’objectif est d’améliorer l’interaction avec la propre plateforme et les outils de sécurité superposés. Ainsi, les plateformes SOAR (Security Orchestration, Automation and Response) de Cisco et Palo Alto peuvent alimenter les messages d’alerte de la détection d’anomalies de Cohesity.

Cette intégration fournit des alertes automatiques détaillées lorsque la plateforme Helios basée sur l’IA détecte des anomalies dans les données de sauvegarde qui pourraient indiquer une attaque imminente. Dès que les plateformes SOAR de Cohesity sont alertées, elles lancent un playbook automatisé pour évaluer et atténuer l’impact d’une cyberattaque potentielle.

Ces fonctions s’appliquent à toutes les charges de travail et donc également à l’environnement Kubernetes qui y est connecté.

Des fonctions pour restaurer l’activité depuis une salle blanche

Mais même la meilleure stratégie de défense peut échouer. En cas d’attaque réussie, plus rien ne fonctionne. Et, même, plus personne ne pourra contacter son équipe. Il n’y a plus de téléphonie VoIP, pas d’e-mail, pas de portail et encore moins de site web. Les équipes des DSI et des RSSI ne pourront même pas réagir à cette attaque, car tous les outils de sécurité seront hors ligne, les preuves seront chiffrées dans les logs et sur les systèmes.

En revanche, sur la base de la plateforme Data Cloud, les équipes responsables de l’infrastructure et de la sécurité peuvent déployer ensemble une salle blanche isolée dans laquelle se trouve un ensemble d’outils de secours, de données système et de données de production, parmi lesquelles, donc, les sauvegardes Kubernetes.

Cette salle blanche de secours contient tous les outils importants pour les équipes de sécurité afin qu’elles puissent commencer le processus essentiel de réponse aux incidents. Ce processus est également important pour générer des rapports corrects et pertinents sur les violations NIS-2, DORA et DSGVO. Depuis la salle blanche, l’environnement de production, y compris Kubernetes, peut être restauré progressivement, en étroite collaboration avec les équipes d’infrastructure, sur des systèmes renforcés et propres.

Le degré d’intégration avec Kubernetes

La plateforme Data Cloud assure la sauvegarde et la restauration des charges de travail basées sur Kubernetes en produisant et en réhydratant les snapshots au travers des pilotes CSI, lesquels permettent à Kubernetes de gérer son stockage physique.  

Lors d’une restauration par Data Cloud, les Pod (littéralement des objets de déploiement dans Kubernetes, qui contiennent un ou plusieurs containers) sont déployés sur chaque nœud de travail du cluster Kubernetes de manière à maximiser les performances. Ce redéploiement s’accompagne de configurations prédéfinies par des règles pour garantir une protection, une déduplication, une réplication et un archivage automatiques des données. Le but est que le redéploiement soit lui-même sauvegardé pour de futures reprises d’activités après sinistre.

La plateforme Data Cloud dispose en outre de modèles pour restaurer les containers sur différentes variantes de Kubernetes, notamment Red Hat Openshift et VMware Tanzu.

Parmi les caractéristiques de Cohesity Data Cloud liées à Kubernetes, on note :

• Gestion d’une application dans sa globalité : il faut sauvegarder non seulement les données, mais aussi toutes les métadonnées associées, afin que l’application démarre sans étapes supplémentaires lors de la restauration. Un container contient une logique métier et une logique de déploiement ; le logiciel de sauvegarde doit connaître les deux.
• Processus industrialisé : les exigences standard d’une entreprise en ce qui concerne l’automatisation des déploiements restent valables pour les sauvegardes et les restaurations Kubernetes, y compris les possibilités d’effectuer une autodécouverte, une autoprotection et une restauration entièrement fonctionnelle. Ces processus sont essentiels pour respecter les délais des fenêtres de sauvegarde et permettre des restaurations en temps réel pour de grandes quantités de données persistantes.
• Restauration rapide et fiable : la vitesse de restauration est souvent problématique pour les grandes applications d’entreprise (ERP…) et les bases de données qui peuvent atteindre plusieurs téraoctets. Dans d’autres solutions, la création de snapshots et le déplacement des données posent des contraintes de latence, de fiabilité. Cohesity se vante d’avoir mis en place dans sa Data Cloud des fonctions qui permettent de répondre aux exigences de RPO et de RTO des applications.
• Prise en charge des principales distributions : bien que la plupart des distributions Kubernetes respectent les standards, il n’est pas certain qu’une solution de sauvegarde fonctionne de manière similaire avec toutes, dès lors que les applications reposent sur un environnement hybride. Les distributions les plus utilisées sont OpenShift, VMware, Tanzu, Rancher et PKS. Outre ces distributions, les services Kubernetes sont également utilisés dans les clouds publics tels que AWS EKS, Azure AKS et Google GKE. Cohesity prend en charge ces différentes distributions et plateformes.
• Intégration aux outils natifs des containers : lorsqu’il s’agit d’environnements Kubernetes, les outils et les mécanismes utilisés pour le déploiement, la surveillance et la gestion peuvent être très différents de ceux utilisés pour les infrastructures classiques, qu’elles soient virtualisées ou basées sur des serveurs physiques. Helm, Prometheus et Grafana sont des exemples d’outils utilisés dans le cadre de Kubernetes. La connexion entre Cohesity Data Cloud et ces outils facilite les tâches des administrateurs, comme des utilisateurs.