Dans cet article, je veux parler d'un nouvel outil logiciel et de son utilité pour la validation des sauvegardes (Backup Software). De nombreux professionnels qui n'ont pas connu de perte totale de données supposent que le stockage numérique est parfait et que les appareils numériques fonctionnent toujours parfaitement ; cependant, la réalité est très différente. Le stockage devient de plus en plus dense et un disque dur contient plus d'informations que jamais auparavant. Dans le même temps, le taux d'erreur ne diminue pas de façon spectaculaire, de sorte que la probabilité d'une défaillance par dispositif a en fait augmenté ces dernières années. En outre, d'autres menaces de perte de données sont devenues plus courantes. Les rançongiciels, les logiciels malveillants et le vandalisme causé par des employés mécontents, par exemple, sont des causes externes de perte de données, tandis que la pourriture des bits, les défauts des disques et les défauts de la mémoire vive affectent l'appareil lui-même.
Une autre tendance de ces dernières années consiste à utiliser des systèmes de sauvegarde incrémentielle pour accélérer le processus de sauvegarde. Malheureusement, ce que beaucoup de professionnels ne réalisent pas, c'est que les sauvegardes incrémentales introduisent une dépendance à la sauvegarde précédente. Si une sauvegarde dans la chaîne de sauvegardes devient corrompue, pour quelque raison que ce soit, la chaîne entière ou au moins des parties de la chaîne de sauvegarde deviennent illisibles. La véritable raison pour laquelle le schéma incrémentiel est devenu populaire est que, malgré les progrès en matière de volume de stockage, les fabricants de disques durs n'ont pas pu augmenter les vitesses de débit au même rythme, en utilisant la même technologie. Les disques SSD ont un meilleur débit, mais malheureusement aussi un taux d'erreur beaucoup plus élevé, ainsi qu'une usure beaucoup plus rapide. Les cellules à l'intérieur des disques SSD s'usent rapidement et sont remplacées automatiquement par des cellules de rechange à l'intérieur du disque lui-même. Cependant, le processus de détection de la "cellule bientôt défaillante" est généralement reporté jusqu'à ce que la cellule soit effectivement lue, ce qui ne se produit pas souvent avec les disques de sauvegarde (Backup Software for Ransomware).
Vérification des sauvegardes
L'outil ci-dessus offre des options de vérification des fichiers de sauvegarde immédiatement après leur achèvement. Ces fonctions contournent le système de mise en cache de Windows pour s'assurer que le fichier de données est effectivement lu à partir du disque où il a été stocké. L'outil ci-dessus a la particularité de pouvoir faire de même pour le stockage à distance. Les données sont téléchargées à nouveau pour s'assurer que chaque fichier a été traité correctement. Des options supplémentaires permettent de limiter cette étape aux fichiers d'une certaine taille.
Validation des sauvegardes
Les fonctions uniques de validation des sauvegardes de l'outil ci-dessus permettent aux utilisateurs de valider les fichiers longtemps après leur traitement. Considérons le scénario suivant : le serveur de fichiers d'une petite entreprise typique contient plusieurs téraoctets de fichiers et de dossiers, soit environ 10 millions de fichiers ou plus. En général, moins de 1 % de ces fichiers sont modifiés au fil du temps, surtout un mois environ après le dernier traitement. En moyenne, ces fichiers resteront au repos pendant des années sans jamais être consultés. La pourriture des bits, les défauts des disques, les logiciels malveillants, les simples suppressions ou les modifications de fichiers causées par un employé mécontent peuvent passer inaperçus jusqu'à ce que, des années plus tard, les disques du serveur de fichiers tombent complètement en panne et qu'une restauration complète soit nécessaire. Comment valider efficacement un ensemble de données aussi important ?
Le logiciel ci-dessus offre une solution unique à ce problème, où des téraoctets de données sont sauvegardés quotidiennement. Le logiciel utilise une fonction de validation qui permet une validation aléatoire d'un pourcentage de fichiers de sauvegarde à chaque cycle de sauvegarde. Vous pouvez, par exemple, configurer le logiciel pour qu'il ne valide que 1% de tous les fichiers de sauvegarde de votre serveur de fichiers. Si votre serveur de fichiers contient actuellement 1 million de fichiers, cela représente 10 000 fichiers à valider. En validant une sélection aléatoire de 1% de tous les fichiers de sauvegarde, il faudrait 100 cycles en moyenne pour valider chaque fichier. Si la sauvegarde est exécutée 10 fois par jour, il faudrait 10 jours pour valider l'ensemble du jeu de sauvegarde.
Alors que les petits jeux de sauvegarde peuvent être sauvegardés et validés dans leur intégralité en quelques heures, lorsque vous devez traiter des millions de dossiers et des dizaines de téraoctets de stockage, il n'est plus possible de valider l'ensemble du jeu à chaque cycle de sauvegarde, en raison des vitesses de débit limitées de la connexion réseau et de celles des disques durs mécaniques. En guise de compromis, les fonctionnalités de l'outil couvrent l'ensemble du dispositif de sauvegarde en sélectionnant un sous-ensemble aléatoire à chaque cycle de sauvegarde.
La relecture des fichiers de sauvegarde est essentielle car elle rafraîchit toutes les cellules et tous les secteurs du disque. En utilisant l'outil de validation des sauvegardes de l'outil, vos données seront "actualisées" par le disque, ce qui signifie que le disque est obligé de revérifier le secteur et d'effectuer des réparations internes si nécessaire. Si les réparations ne sont plus possibles, le disque enverra un signal à Windows et l'outil enregistrera le problème et enverra des alertes pour vous informer du problème. En outre, le logiciel utilise des sommes de contrôle et/ou effectue une comparaison 1:1 avec le fichier original pour valider le contenu de chaque fichier de sauvegarde. La validation des sauvegardes est donc une "assurance" essentielle : vous avez la preuve répétée que tous les fichiers de votre stockage de sauvegarde sont en fait toujours valides et lisibles.
jeudi 10 juin 2021
Pourquoi investir dans la vérification et la validation du processus de sauvegarde et des données sauvegardées ?
jeudi 3 juin 2021
Comment protéger facilement vos serveurs contre les ransomwares ?
Vous trouverez ci-dessous quelques stratégies pour vous protéger contre les ransomwares en utilisant BackupChain (Windows Server Backup Software).
Les solutions les plus simples comprennent :
La sauvegarde dans le nuage.
La rotation des disques durs externes. Un seul disque doit être connecté à la fois. Configurez les disques durs externes pour qu'ils utilisent la même lettre de lecteur lorsqu'ils sont branchés et évitez de brancher plus d'un lecteur à la fois, car cela amènerait Windows à réorganiser les lettres de lecteur.
Des stratégies de protection contre les ransomwares plus élaborées tournent autour de l'idée de rendre les fichiers de sauvegarde inaccessibles aux ransomwares, qui s'exécutent généralement dans une session utilisateur normale ou dans le LocalSystem :
Créez un compte administrateur dédié et modifiez les paramètres de connexion du "Service BackupChain" de LocalSystem à ce nouveau compte dédié. Ainsi, même si un ransomware pénètre dans la session utilisateur LocalSystem, il n'aura pas accès aux dossiers utilisés par BackupChain.
Isolez les dossiers de sauvegarde (locaux ou sur le réseau) afin que seul le compte administrateur dédié de la CB puisse y écrire.
Si un NAS ou un partage réseau est utilisé, assurez-vous que personne n'a les droits d'écriture sur le dossier de sauvegarde, seulement l'utilisateur BC dédié.
Créez deux scripts au début et à la fin d'une tâche pour attacher et détacher les périphériques de stockage. Il peut s'agir de lecteurs locaux/externes ou iSCSI et ils ne seront visibles dans le serveur que pendant la durée de la tâche de sauvegarde.
Il existe sur le marché des dispositifs de gestion de l'alimentation qui permettent des cycles marche/arrêt contrôlés par ordinateur, un peu comme une carte relais. Avec un tel système, vous pouvez mettre sous tension un NAS ou un disque externe et l'éteindre à la fin de la sauvegarde, avec peut-être un délai de 10 minutes à la fin pour s'assurer que tous les tampons du système de fichiers sont vidés correctement. Il est possible de mettre sous tension ces types de circuits d'alimentation en appelant un exécutable dans l'onglet Options de BackupChain et ainsi mettre sous tension et éteindre le stockage à distance.
La meilleure isolation contre les ransomwares est une déconnexion physique (c'est-à-dire une mise hors tension et un débranchement physique, ce qui protège également contre les surtensions). Les déconnexions logicielles et l'isolation des dossiers ne sont qu'un obstacle qu'un ransomware suffisamment intelligent sera un jour capable de contourner.
N'oubliez pas que les ransomwares contiennent également un cheval de Troie, qui permet aux criminels d'accéder à votre ordinateur et donc à l'ensemble du réseau. Une fois que le ransomware a pénétré dans votre ordinateur, il permet au criminel de se connecter et de commettre tous les crimes "intelligents" qu'il souhaite. Histoire vécue d'un client : le criminel a eu accès à un ordinateur, a parcouru des documents, a trouvé un document contenant les détails d'accès à un compte de sauvegarde en nuage, puis s'est connecté au compte et a supprimé les données en nuage manuellement. Mais comme notre propre système de stockage de sauvegarde en nuage conserve également une copie hors ligne distincte de tous les comptes, notre client a pu restaurer l'ensemble des données du serveur de fichiers de l'usine. Toutes les autres sauvegardes locales ont été perdues.
Recommandations plus générales : limitez l'accès à certains comptes, ne vous connectez pas en utilisant le compte administrateur du domaine et ne restez pas connecté au système lorsque vous n'utilisez pas l'ordinateur. Utilisez des mots de passe distincts pour les différents ordinateurs. N'utilisez pas de lecteurs mappés et supprimez la connexion réseau lorsqu'elle n'est plus nécessaire.
La fonction de sauvegarde de version de BackupChain protège automatiquement contre les écrasements par les ransomwares, car ces derniers chiffrent et renomment généralement un fichier par la suite. Le fichier apparaît donc comme un nouveau fichier et est sauvegardé séparément si le système de sauvegarde est toujours en cours d'exécution. La sauvegarde du fichier original reste intacte.
Notez que le logiciel de sauvegarde BackupChain supprime les connexions réseau qu'il crée lui-même lorsque la sauvegarde est terminée. Cela réduit également la possibilité d'une attaque car les ransomwares plus élaborés vérifient maintenant toutes les connexions de serveurs extérieurs qui sont stockées dans la session de l'utilisateur et les infectent également. En exécutant le processus de sauvegarde dans une session utilisateur isolée, la session utilisateur du système local n'aura pas accès à ces connexions réseau, même si une sauvegarde est en cours.
Les solutions les plus simples comprennent :
La sauvegarde dans le nuage.
La rotation des disques durs externes. Un seul disque doit être connecté à la fois. Configurez les disques durs externes pour qu'ils utilisent la même lettre de lecteur lorsqu'ils sont branchés et évitez de brancher plus d'un lecteur à la fois, car cela amènerait Windows à réorganiser les lettres de lecteur.
Des stratégies de protection contre les ransomwares plus élaborées tournent autour de l'idée de rendre les fichiers de sauvegarde inaccessibles aux ransomwares, qui s'exécutent généralement dans une session utilisateur normale ou dans le LocalSystem :
Créez un compte administrateur dédié et modifiez les paramètres de connexion du "Service BackupChain" de LocalSystem à ce nouveau compte dédié. Ainsi, même si un ransomware pénètre dans la session utilisateur LocalSystem, il n'aura pas accès aux dossiers utilisés par BackupChain.
Isolez les dossiers de sauvegarde (locaux ou sur le réseau) afin que seul le compte administrateur dédié de la CB puisse y écrire.
Si un NAS ou un partage réseau est utilisé, assurez-vous que personne n'a les droits d'écriture sur le dossier de sauvegarde, seulement l'utilisateur BC dédié.
Créez deux scripts au début et à la fin d'une tâche pour attacher et détacher les périphériques de stockage. Il peut s'agir de lecteurs locaux/externes ou iSCSI et ils ne seront visibles dans le serveur que pendant la durée de la tâche de sauvegarde.
Il existe sur le marché des dispositifs de gestion de l'alimentation qui permettent des cycles marche/arrêt contrôlés par ordinateur, un peu comme une carte relais. Avec un tel système, vous pouvez mettre sous tension un NAS ou un disque externe et l'éteindre à la fin de la sauvegarde, avec peut-être un délai de 10 minutes à la fin pour s'assurer que tous les tampons du système de fichiers sont vidés correctement. Il est possible de mettre sous tension ces types de circuits d'alimentation en appelant un exécutable dans l'onglet Options de BackupChain et ainsi mettre sous tension et éteindre le stockage à distance.
La meilleure isolation contre les ransomwares est une déconnexion physique (c'est-à-dire une mise hors tension et un débranchement physique, ce qui protège également contre les surtensions). Les déconnexions logicielles et l'isolation des dossiers ne sont qu'un obstacle qu'un ransomware suffisamment intelligent sera un jour capable de contourner.
N'oubliez pas que les ransomwares contiennent également un cheval de Troie, qui permet aux criminels d'accéder à votre ordinateur et donc à l'ensemble du réseau. Une fois que le ransomware a pénétré dans votre ordinateur, il permet au criminel de se connecter et de commettre tous les crimes "intelligents" qu'il souhaite. Histoire vécue d'un client : le criminel a eu accès à un ordinateur, a parcouru des documents, a trouvé un document contenant les détails d'accès à un compte de sauvegarde en nuage, puis s'est connecté au compte et a supprimé les données en nuage manuellement. Mais comme notre propre système de stockage de sauvegarde en nuage conserve également une copie hors ligne distincte de tous les comptes, notre client a pu restaurer l'ensemble des données du serveur de fichiers de l'usine. Toutes les autres sauvegardes locales ont été perdues.
Recommandations plus générales : limitez l'accès à certains comptes, ne vous connectez pas en utilisant le compte administrateur du domaine et ne restez pas connecté au système lorsque vous n'utilisez pas l'ordinateur. Utilisez des mots de passe distincts pour les différents ordinateurs. N'utilisez pas de lecteurs mappés et supprimez la connexion réseau lorsqu'elle n'est plus nécessaire.
La fonction de sauvegarde de version de BackupChain protège automatiquement contre les écrasements par les ransomwares, car ces derniers chiffrent et renomment généralement un fichier par la suite. Le fichier apparaît donc comme un nouveau fichier et est sauvegardé séparément si le système de sauvegarde est toujours en cours d'exécution. La sauvegarde du fichier original reste intacte.
Notez que le logiciel de sauvegarde BackupChain supprime les connexions réseau qu'il crée lui-même lorsque la sauvegarde est terminée. Cela réduit également la possibilité d'une attaque car les ransomwares plus élaborés vérifient maintenant toutes les connexions de serveurs extérieurs qui sont stockées dans la session de l'utilisateur et les infectent également. En exécutant le processus de sauvegarde dans une session utilisateur isolée, la session utilisateur du système local n'aura pas accès à ces connexions réseau, même si une sauvegarde est en cours.
Inscription à :
Articles (Atom)