INTRODUCTION

Les données sont au cœur de toute organisation et leur sauvegarde pour éviter toute perte ou corruption a toujours été une préoccupation essentielle pour les départements IT. D’où l’intérêt d’avoir recours à des services totalement transparents et fiables tels qu’Azure Backup, qui se positionne comme un élément clé dans la stratégie de sauvegarde de données d’une entreprise.

Cette solution externalise la sauvegarde de vos données dans le Cloud de Microsoft, et vise à à être à la fois abordable, performant et sécurisée.

La mise en place d’Azure Backup se fait de la manière suivante :

• Créer un Azure Backup Vault (coffre)
• Télécharger les informations d’identification du coffre, qui ne sont valides que pendant 2 jours
• Télécharger et installer l’agent Azure Backup dans les machines à sauvegarder
• Configurer et planifier la sauvegarde

I. FONCTIONNALITES

Les différentes fonctionnalités offertes par Azure Backup sont les suivantes :

• La protection de vos ressources, peu importe leur localisation : il peut s’agir de vos applications critiques, vos dossiers et fichiers, vos serveurs et clients Windows, et aussi vos machines virtuelles IaaS.
• La gestion automatique de stockage, avec un paiement à l’utilisation
• La possibilité de choisir parmi différentes options de stockage selon vos besoins
• Le transfert de données illimité
• Le chiffrement des données qui garantit la sécurité de transmission et de stockage de vos données dans le Cloud
• La sauvegarde cohérente avec les applications
• La rétention à long terme

Comme le montre la figure ci-dessous, Azure Backup intègre plusieurs composants qui travaillent ensemble pour permettre la sauvegarde et la restauration de bout en bout. Vous pouvez sauvegarder vos dossiers, fichiers et Azure Backup peut également être utilisé avec les systèmes d’exploitation Windows, Microsoft SharePoint, Microsoft SQL Server, les machines virtuelles Hyper-V etc.

II. COMPOSANTS D’AZURE BACKUP

Il y existe 4 composants que l’on peut utiliser avec Azure Backup et chacun d’eux prend en charge différents scénarios de déploiement et de gestion des charges de travail.

a. AGENT AZURE BACKUP

L’agent Azure Backup peut être installé sur n’importe quelle machine virtuelle Windows Server exécutée dans Azure ou localement dans votre infrastructure. Il permet de sélectionner les données sur la machine où il est installé et les envoie directement au coffre Recovery Services, qui est le stockage cible pris en charge. Toutes les données transmises sont cryptées et compressées à la source et Microsoft ne détient pas la phrase secrète pour le déchiffrement … raison pour laquelle vous devez bien garder la phrase secrète pour la récupération de vos données.

b. SYSTEM CENTER DATA PROTECTION MANAGER (DPM)

C’est un outil de gestion centralisée des sauvegardes et restaurations. Les données sauvegardées dans le produit de sauvegarde DPM peuvent être stockées sur disque, dans le coffre Recovery Services ou sur bande.

Il existe 2 types de déploiement possible avec Azure Backup pour ce composant : déploiement en local (serveur physique ou VM), déploiement dans une machine virtuelle Azure.

Lorsqu’on a une solution de sauvegarde en entreprise, on peut utiliser DPM qui va permettre de sauvegarder les applications Windows classiques comme illustré ci-dessous. Les sauvegardes se font toutes les 15 mn (résolution minimale) et DPM va les stocker dans ses différents formats habituels. Et dans ces différents cas, il est possible en plus de la sauvegarde locale, d’envoyer en méthode secondaire dans Azure la sauvegarde de données.

a. AZURE BACKUP SERVER

Les données sauvegardées dans AZURE BACKUP SERVER peuvent être stockées sur disque ou dans le coffre Recovery Services.

b. VM EXTENSION

Les données sauvegardées dans ce composant ne peuvent être stockées que dans le coffre Recovery Services.

 

III. Applications et charges de travail pouvant être protégées

Le tableau ci-dessous récapitule les différentes applications et charges de travail que l’on peut sauvegarder dans les différents composants d’Azure Backup.

IV. Les options de stockage et de rétention

Les options de sauvegarde

La réplication assure la durabilité des ressources stockées dans Azure Backup. Les différents types de réplication sont le stockage localement redondant, le stockage redondant dans une zone, le stockage géo-redondant et le stockage géo-redondant avec accès en lecture (RA-GRS).

a. Stockage localement redondant LRS

Ce type de stockage propose 3 réplicas pour chaque demande adressée aux données de sauvegarde au sein de la même région. Chacun de ces réplicas se trouve dans un domaine d’erreur et de mise à niveau bien défini.

b. Stockage redondant dans une zone ZRS

Ce type de stockage enregistre 3 copies de données sur plusieurs centres de données dans une même région ou même d’autres régions.

c. Stockage géo-redondant (GRS)

Il est identique au stockage LRS avec en plus plusieurs copies asynchrones vers un autre centre de données situé à des centaines de km.

d. Stockage géo-redondant avec accès en lecture (RA-GRS)

Il est identique au stockage géographiquement redondant avec en plus un accès en lecture au centre de données secondaire qui prend le relais en cas de défaillance.

Les options de rétention

La rétention est la durée de sauvegarder des données. Les données sont redondées dans différents datacenters selon le composant de stockage utilisé.

• La fréquence de sauvegarde sur le coffre recovery services varie de 1 à 3 selon le composant qui stocke l’application ou la charge de travail.
• Les différentes options de rétention possible sont les rétentions quotidienne, hebdomadaire, mensuelle et annuelle.
• La période de rétention peut aller jusqu’à 99 ans sur chaque composant ce qui montre la puissance de cumul des sauvegardes que propose Microsoft.
• Les points de récupération sur le disque local, sur Azure Backup et sur bande.

V. La compression

Les données sont compressées côté client pour réduire la quantité d’espace de stockage requise et la bande passante utilisée, mais aussi pour améliorer la vitesse de leur transmission. D’après la figure ci-dessous, on remarque que l’extension de machine virtuelle est le seul parmi les quatre composants à ne pas effectuer de compression. Toutes les données sauvegardées à partir de l’agent Azure Backup, de DPM ou d’Azure Backup Server sont compressées et chiffrées avant d’être transférées à Windows Azure Backup Service.

VI. Le chiffrement

Le chiffrement garantit une sécurité dans la transmission des données à sauvegarder vers le cloud Azure. Il permet de se protéger des risques d’écoute, de vol de disque, d’interception des communications entre autres.

Les données sont donc sécurisées via le chiffrement qu’elles soient au repos ou en transit. Les données au repos sont définies comme étant tout objet de stockage présent de manière statique sur un support physique alors que les données en transit représentent les données transférées via un bus de service sur un réseau ou tout simplement d’un processus d’entrée/sortie de données.

Les différents types de chiffrement sont répertoriés ci-dessous.

a. Azure Disk Encryption

Azure Disk Encryption est une nouvelle fonctionnalité permettant de chiffrer des disques OS et données pour les VM Windows et Linux en s’appuyant respectivement sur BitLocker et DM-Crypt. Il est possible avec Azure Disk Encryption de stocker et de contrôler des clés de chiffrement des disques dans Azure Key Vault (par le client) qui aide à protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud. Ci-dessous, le workflow de chiffrement d’Azure Disk Encryption.

b. Chiffrement du stockage Azure

Le chiffrement du stockage Azure qui est un mécanisme plutôt proposé aux développeurs d’applications qui ont à leurs dispositions soit sous forme de librairies .NET soit sous forme de librairie Java des API qui vont permettre de spécifier la clé de chiffrement de contenu (Content Encryption Key). Cette CEK va elle-même être chiffrée avec une KEK (Key Encryption Key). La clé CEK est générée par la librairie et permet donc de chiffrer par exemple le blob, les tables etc.

c. Azure SQL Transparent Data Encryption

Azure SQL Transparent Data Encryption comme son nom l’indique est transparent. Le chiffrement va se faire sur l’ensemble de la base de données mais aussi au niveau des sauvegardes et des fichiers de transaction. Par défaut, le canal de communication entre le client et le serveur est sécurisé. Par ailleurs, on a 2 types de chiffrement en plus du chiffrement de la communication que sont le chiffrement au repos et le chiffrement de bout-en-bout (permet en tant que développeur d’apporter un chiffrement complémentaire au niveau du client).

Il est très facile de mettre en œuvre le chiffrement sur une base de données SQL dans Azure. Pour ce faire, au niveau du portail Azure, il suffit de cliquer sur votre base donnée, d’aller au niveau des paramètres de sécurité Transparent Data Encryption et de l’activer puis enregistrer.

VII. COMMENT SAUVEGARDER DES FICHIERS ET DOSSIERS AVEC AZURE BACKUP ET LE MODELE DE DEPLOIEMENT RESOURCE MANAGER

Azure Resource Manager permet de travailler avec les différentes ressources de votre application sous forme de groupe. Il est donc possible de regrouper tout ce qui est déploiement, gestion et surveillance de l’infra de votre application au lieu de les gérer individuellement.

Il est très simple d’utiliser Azure Backup pour sauvegarder vos fichiers et dossiers. En cas de perte, il est possible de récupérer les fichiers perdus via l’agent installé sur sa machine locale.

Pour sauvegarder des fichiers ou dossiers avec Azure Backup il faut :

• Avoir un abonnement Azure
• Créer un coffre Recovery Services qui est nécessaire pour la sauvegarde des données
• Installer et inscrire l’agent Recovery Services
• Sauvegarder les fichiers et dossiers

Comme mentionné dans le tableau des applications et charge de travail pouvant être protégés ci-dessus, les fichiers et dossiers sont bien supportés par l’agent Azure Backup. Vous trouverez ci-dessous, un schéma qui illustre le fonctionnement de la sauvegarde de fichiers et dossiers avec Azure Backup.

 

1. Création du coffre Recovery Services

Après avoir souscrit à un abonnement Azure, il faut créer un archivage de Recovery Services et spécifier le mode de réplication du stockage. Le mode de réplication permet d’avoir une durabilité et une haute disponibilité. Il existe 4 options de stockage que sont :

• Stockage localement redondant (LRS)
• Stockage redondant dans une zone (ZRS)
• Stockage géo-redondant (GRS)
• Stockage géo-redondant avec accès en lecture (RA-GRS)

Création du coffre Recovery Services

Pour créer le coffre, il faut cliquer sur l’onglet Autres Services se situant tout en bas du menu vertical. Aussitôt fait, le panneau de Coffre Recovery Services s’affiche et vous devez remplir les différents champs à savoir :

• Le nom d’identification allant de 2 à 50 caractères et ne devant contenir que des lettres, chiffres et traits d’union.
• L’abonnement auquel votre compte professionnel est associé
• Le groupe de ressources permettant de regrouper la gestion de l’infrastructure des applications. Vous pouvez soit créer un nouveau groupe, soit utiliser un groupe qui existe déjà.
• L’emplacement qui définit le lieu où les données sont envoyées.

Après avoir créé le coffre, il va falloir le paramétrer. La redondance du stockage doit être défini et pour ce faire, il faut aller au niveau des paramètres du coffre, cliquer sur Infrastructure de sauvegarde puis Configuration de sauvegarde. Par défaut le type de réplication est géo redondant. Le choix se portera sur ce dernier si Azure est le principal point de terminaison, dans le cas contraire optez pour la réplication localement redondante.

Après avoir spécifié le type de réplication, il faut définir les objectifs de sauvegarde à savoir le lieu d’exécution de la charge de travail et le type de données à sauvegarder, comme le montre la figure-ci-dessous :

Il est nécessaire de télécharger l’agent Azure Recovery Services et aussi le fichier contenant les informations d’identification du coffre permettant d’inscrire le serveur dans le coffre.

Choisir le dossier où l’agent doit être installé

Configuration du proxy

Installation puis, on procède à l’enregistrement

Sélectionner le fichier d’informations d’identification du coffre

Définir la phrase secrète permettant permettant de récupérer des données

Ci-dessous, l’interface de gestion de l’agent Azure Backup

 

Sélectionner les dossiers ou fichiers à sauvegarder

Planifier la sauvegarde

Définir une stratégie de rétention c’est-à-dire la durée de vie des sauvegardes des données quotidienne, hebdomadaire, mensuelle et annuelle. Dans la figure ci-dessous les copies des sauvegardes

• Quotidiennes sont conservées pendant 180 jours
• Hebdomadaire pendant 104 semaines
• Mensuelles pendant 60 mois
• Annuelles pendant 10 ans

Il faut choisir la durée de sauvegarde qui vous convient le plus sachant que la tarification dépend de l’instance protégée et du type de stockage utilisé.

Choisir un type de sauvegarde qui par défaut a la valeur « automatiquement sur le réseau ».Vous pouvez choisir la sauvegarde hors connexion qui permet de charger les données dans Azure à l’aide de disques en mode hors connexion.

Confirmer après avoir vérifié la planification de sauvegarde

Sauvegarder maintenant

Avant de confirmer la sauvegarde, il est possible de modifier les propriétés qui sont : le chiffrement, la configuration du proxy et la limitation.

• Modifier la phrase secrète
• Configurer le serveur proxy pour Azure Backup
• Activer la limitation de la bande passante Internet pour les opérations de sauvegarde.

Il est possible donc via le console monitoring de l’agent de veiller

• Aux tâches effectuées
• Aux alertes
• À la dernière sauvegarde
• À la prochaine sauvegarde
• Aux points de récupération disponibles
• À la dernière récupération
• Au récapitulatif de la sauvegarde planifiée.

Au niveau du portail d’Azure, dans le panneau du coffre configFiles, nous retrouvons bien un élément de sauvegarde de type fichier-dossier.

 

VIII. Récupération des éléments sauvegardés

Les données sauvegardées dans le coffre Recovery Services peuvent être récupérées sur l’ordinateur à partir duquel les sauvegardes ont été effectuées, ou sur n’importe quel autre ordinateur.

Grâce à l’agent Microsoft Azure Backup, il est possible de récupérer les données perdues par inadvertance. Depuis le panneau Actions, il faut cliquer sur le bouton Récupérer les données. Le dossier configFiles contenant des fichiers de logs a été sauvegardé dans le coffre Recovery Services.

Supprimons le contenu du dossier et essayons de récupérer tout ce qui a été sauvegardé.

Pour la récupération, au niveau du panneau Actions de l’agent Microsoft Azure Backup, cliquez sur « Sauvegarder maintenant » et suivre la procédure ci-dessous.

Pour la mise en route, il faut commencer par identifier le serveur sur lequel la sauvegarde a été créé initialement.

Ensuite il faut sélectionner le mode de récupération avec 2 cas possibles : la navigation jusqu’aux fichiers ou la recherche des fichiers.

Le volume et la date d’une sauvegarde à utiliser pour la restauration sont également à définir.

Une arborescence contenant les fichiers à récupérer est affichée. Il suffit de cocher le ou les fichiers à restaurer.

Il faut ensuite spécifier les options de récupération, à savoir: la destination de la récupération, le choix à faire si les éléments de sauvegarde existent déjà dans la destination de récupération et les paramètres de sécurité.

Il faut à la fin confirmer en cliquant sur le bouton récupérer pour restaurer les fichiers dans le dossier de destination.

CONCLUSION

Azure Backup assure la sécurité de vos données et de vos applications les plus critiques. C’est une solution très pratique, économique et fiable pour quiconque envisage de faire des solutions de sauvegarde et de récupération dans le Cloud.

Il alloue et gère automatiquement le stockage, garantit la haute disponibilité des données, propose différentes options de stockage de sauvegarde, chiffre les données pour garantir la sécurité de leur transmission, offre une solution de rétention à long terme.