Au sommaire de cet article :
Google Drive et OneDrive
Solution #2 : NAS
Le NAS (Network Attached Storage) correspond à un serveur de stockage physique en réseau. Cette solution consiste à installer sur le NAS une application de synchronisation, à savoir Google Drive Desktop pour un environnement Google Workspace et OneDrive pour un environnement O365, afin de synchroniser régulièrement les disques partagés (Google Drive) et sites Sharepoint (OneDrive) régulièrement et d'effectuer des sauvegardes sur les disques du NAS. Il est également possible d'utiliser certains types de RAID pour améliorer la sécurité ou la tolérance aux pannes des disques du NAS.
Solution #3 : Espace de stockage AWS/Azure
Azure (Microsoft) et AWS (Amazon) proposent des espaces de stockage Cloud abordables afin de conserver des sauvegardes. L'idée est de transférer régulièrement l'ensemble des données des environnements Google Drive et OneDrive vers un de ses espaces de stockage, manuellement ou automatiquement à l'aide d'un script et d'une machine souscrite à l'un de ces environnements. En effet, plusieurs outils gratuits sont développés et souvent mis à jour, à savoir rclone et duplicity, destinés à permettre ce genre de transfert.
Azure
Sauvegardes immuables Azure
Les sauvegardes Azures peuvent être de 2 types, Backup Vault ou Recovery Services, dépendant de vos modèles de données :
- Vérifier que la fonctionnalité Soft Delete soit bien activée. Par défaut, le Soft Delete est activé sur les Azure Recovery Services vault. Cette fonctionnalité protège les sauvegardes des délétions accidentelles ou malicieuses sur une durée de 14 jours sans couts additionnels. Si les sauvegardes sont supprimées et que le Soft Delete n'est pas activé, ni vous ni Microsoft ne peuvent récupérer les données supprimées. Il est nécessaire d'implémenter la protection suivante afin d'éviter le scénario suivant :
- Compromission du tenant Azure et des Vault ;
- Désactivation du Soft Delete ;
- Suppression des sauvegardes ;
- Restauration ;
- Suppression définitive.
- Utiliser le Multi User Authorization (MUA) sur la fonctionnalité Soft Delete. Le MUA pour Azure Backup utilise une nouvelle ressource appelée Resource Guard pour garantir que les opérations critiques, telles que la désactivation du Soft Delete, l'arrêt et la suppression des sauvegardes ou la réduction de la rétention des stratégies de sauvegarde, sont effectuées uniquement avec l'autorisation applicable. Afin de comprendre le processus, il faut comprendre 2 rôles qui doivent etre définis dans l'organisation Azure :
- Administrateur des sauvegardes: Propriétaire du Vault Recovery Services ou du Backup Vault qui effectue des opérations d'administration et de gestion sur ceux-ci ;
- Administrateur sécurité: Propriétaire du Resource Guard, il agit comme un gardien des opérations critiques sur le vault. Par conséquent, l'administrateur de sécurité contrôle les autorisations dont l'administrateur de sauvegarde a besoin pour effectuer des opérations critiques sur le vault.
- Vérifier que Resource Guard et Azure Recovery Services Vault soient dans la même région Azure ;
- Vérifier que l'administrateur des sauvegardes ne dispose pas des droits de contributeur sur Resource Guard. Vous pouvez avoir Resource Guard dans une autre Souscription du même Tenant ou bien dans un autre Tenant ;
- Suivre la procédure officielle Azure.
- Recovery Services :
- Protège les données contre l'effacement ;
- Empêche la modification ou la suppression de la politique de sauvegarde afin de réduire la durée de conservation des données.
- Backup Vaults :
- Protège les données contre l'effacement
- Connectez vous a votre Portail Azure et cherchez Recovery Services Vaults, Backup Vaults ou bien le coffre fort que vous souhaitez protéger :
- Cliquez sur l'onglet Propriétés pour activer le coffre-fort immuable et verrouiller le coffre-fort pour la durée de la politique de sauvegarde :
Note : cette étape ne peut pas être annulée, à utiliser avec précaution pour les données sensibles. - Répétez cette opération pour les autres chambres fortes nécessaires à la continuité des activités de l'entreprise.
AWS
Solution dégradée (sans droits SCP)
Note : La première étape doit être reproduite pour chaque compartiment S3 contenant des données sensibles ou techniques qui peuvent être nécessaires à la production.
- Créez une politique de compartiment S3 qui interdit la suppression des versions du compartiment S3.
- Dans votre console de gestion S3, cliquez sur le compartiment souhaité, puis l'onglet Autorisations :
- Sous la section Politique de compartiment, cliquez sur Modifier.
- Remplacez la politique de compartiment existante (le cas échéant) par la politique JSON suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyVersionDeletion",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteObject*",
"Resource": "arn:aws:s3:::my-bucket-stoik/*"
}
]
}Note : Remplacez your-bucket-name par les noms ARN de votre compartiment S3.
- Dans votre console de gestion S3, cliquez sur le compartiment souhaité, puis l'onglet Autorisations :
- Créez un mécanisme d'alerte pour détecter toute modification ou suppression de ce compartiment.
- Tout d'abord, vous devez activer CloudTrail s'il ne l'est pas déjà.
- Accédez à la console CloudWatch, cliquez sur Événements > Règles.
-
Ensuite, cliquez sur Créer une règle, sélectionnez le service CloudTrail dans le menu déroulant et AWS API Call via CloudTrail comme type d'événement.
- Enfin, cliquez sur Opérations spécifiques et ajoutez :
- PutBucketPolicy
- DeleteBucketPolicy
- DeleteBucketLifecycle
- DeleteBucketPublicAccessBlock
- PutBucketPublicAccessBlock
- DeleteBucket comme opérations pour lesquelles nous voulons être alertés.
- Ajoutez le code JSON suivant pour configurer l'alerte :
{
Note : vous devez remplacer my-bucket-stoik par le nom du compartiment que vous souhaitez protéger.
"source": ["aws.s3"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["s3.amazonaws.com"],
"eventName": ["DeleteBucket", "DeleteBucketLifecycle", "DeleteBucketPolicy", "PutBucketPolicy", "DeleteBucketPublicAccessBlock", "PutBucketPublicAccessBlock"],
"requestParameters": {
"bucketName": ["my-bucket-stoik"]
}
}
}
- La dernière étape consiste à configurer l'alerte cible. Vous pouvez choisir un sujet SNS pour envoyer une notification à un sujet SNS, ou choisir une fonction Lambda pour déclencher une fonction Lambda.