Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Options de règle de sauvegarde sur objet

Contributeurs

Avec la sauvegarde et la restauration BlueXP, vous pouvez créer des règles de sauvegarde avec plusieurs paramètres pour vos systèmes ONTAP et Cloud Volumes ONTAP sur site.

Remarque Ces paramètres de règles s'appliquent uniquement au stockage de sauvegarde dans un stockage objet. Aucun de ces paramètres n'affecte vos règles de réplication ou de copie Snapshot. Des paramètres de stratégie similaires pour les instantanés et les réplications seront ajoutés ultérieurement.

Options de planning de sauvegarde

La sauvegarde et la restauration BlueXP vous permettent de créer plusieurs règles de sauvegarde avec des calendriers uniques pour chaque environnement de travail (cluster). Vous pouvez attribuer différentes stratégies de sauvegarde à des volumes ayant différents objectifs de point de récupération (RPO).

Chaque stratégie de sauvegarde fournit une section pour Labels & Retention que vous pouvez appliquer à vos fichiers de sauvegarde. Notez que la règle Snapshot appliquée au volume doit correspondre à l'une des règles reconnues par les fichiers de sauvegarde et de restauration BlueXP, ou les fichiers de sauvegarde ne seront pas créés.

Capture d'écran des paramètres de planification de sauvegarde lors de la création d'une stratégie de sauvegarde.

Il y a deux parties du calendrier : l'étiquette et la valeur de conservation :

  • Le label définit la fréquence à laquelle un fichier de sauvegarde est créé (ou mis à jour) à partir du volume. Vous pouvez sélectionner l'un des types d'étiquettes suivants :

    • Vous pouvez choisir une ou une combinaison de horaire, quotidien, hebdomadaire, mensuel, et calendriers annuels.

    • Vous pouvez sélectionner une des règles définies par le système qui assure la sauvegarde et la conservation pendant 3 mois, 1 an ou 7 ans.

    • Si vous avez créé des règles de protection des sauvegardes personnalisées sur le cluster à l'aide de ONTAP System Manager ou de l'interface de ligne de commandes ONTAP, vous pouvez sélectionner l'une de ces règles.

  • La valeur rétention définit le nombre de fichiers de sauvegarde pour chaque étiquette (délai). Lorsque le nombre maximal de sauvegardes est atteint dans une catégorie ou un intervalle, les anciennes sauvegardes sont supprimées afin que vous ayez toujours les sauvegardes les plus récentes. Cela vous permet également d'économiser de l'espace de stockage, car les sauvegardes obsolètes ne prennent pas toujours de l'espace dans le cloud.

Par exemple, dites que vous créez une stratégie de sauvegarde qui crée 7 sauvegardes hebdomadaires et 12 mensuelles :

  • chaque semaine et chaque mois, un fichier de sauvegarde est créé pour le volume

  • au cours de la 8e semaine, la première sauvegarde hebdomadaire est supprimée, et la nouvelle sauvegarde hebdomadaire est ajoutée pour la 8e semaine (pour un maximum de 7 sauvegardes hebdomadaires).

  • au 13ème mois, la première sauvegarde mensuelle est supprimée, et la nouvelle sauvegarde mensuelle du 13ème mois est ajoutée (en conservant un maximum de 12 sauvegardes mensuelles)

Notez que les sauvegardes annuelles sont automatiquement supprimées du système source après leur transfert vers le stockage objet. Ce comportement par défaut peut être modifié "Dans la page Paramètres avancés" Pour l'environnement de travail.

Options de protection DataLock et anti-ransomware

La sauvegarde et la restauration BlueXP prennent en charge DataLock et la protection contre les ransomwares pour vos sauvegardes de volume. Ces fonctionnalités vous permettent de verrouiller vos fichiers de sauvegarde et de les analyser afin de détecter un ransomware possible sur les fichiers de sauvegarde. Il s'agit d'un paramètre facultatif que vous pouvez définir dans vos stratégies de sauvegarde lorsque vous souhaitez bénéficier d'une protection supplémentaire pour vos sauvegardes de volume d'un cluster.

Ces deux fonctionnalités protègent vos fichiers de sauvegarde. Ainsi, vous disposez toujours d'un fichier de sauvegarde valide permettant de restaurer vos données en cas d'attaque par ransomware sur vos sauvegardes. Il est également utile de respecter certaines exigences réglementaires dans lesquelles les sauvegardes doivent être verrouillées et conservées pendant un certain temps. Lorsque l'option de protection DataLock et anti-ransomware est activée, le verrouillage des objets et la gestion des versions d'objets sont activés dans le compartiment cloud qui est provisionné dans le cadre de l'activation de la sauvegarde et de la restauration BlueXP.

Cette fonction n'assure pas la protection de vos volumes source, uniquement pour les sauvegardes de ces volumes source. Utilisez NetApp "Informations exploitables sur l'infrastructure de données et Cloud Secure" ou une partie du "Protections contre les ransomwares fournies par ONTAP" pour protéger vos volumes source.

Avertissement
  • Si vous prévoyez d'utiliser DataLock et une protection contre les ransomware, vous pouvez l'activer lors de la création de votre première stratégie de sauvegarde et de l'activation de la sauvegarde et de la restauration BlueXP pour ce cluster. Vous pouvez ultérieurement activer ou désactiver l'analyse en cas d'attaque par ransomware à l'aide des paramètres avancés de sauvegarde et de restauration de BlueXP .

  • Lorsque BlueXP analyse un fichier de sauvegarde pour détecter les ransomwares lors de la restauration des données de volume, vous encourez des coûts de sortie supplémentaires de votre fournisseur de cloud pour accéder au contenu du fichier de sauvegarde.

Qu'est-ce que DataLock

DataLock protège vos fichiers de sauvegarde contre toute modification ou suppression pendant un certain temps, également appelé stockage immuable. Cette fonctionnalité utilise la technologie du fournisseur de stockage objet pour le « verrouillage des objets ». La période pendant laquelle le fichier de sauvegarde est verrouillé (et conservé) est appelée période de rétention de DataLock. Elle est basée sur le planning de la stratégie de sauvegarde et le paramètre de conservation que vous avez définis, ainsi qu'une mémoire tampon maximale de 31 jours. Toute stratégie de rétention DataLock inférieure à 31 jours est arrondie à 31 jours minimum.

Notez que les anciennes sauvegardes sont supprimées après l'expiration de la période de rétention de DataLock, et non après l'expiration de la période de conservation de la stratégie de sauvegarde.

Voyons quelques exemples de fonctionnement de cette méthode :

  • Si vous créez un programme de sauvegarde mensuel avec 12 rétentions, chaque sauvegarde est verrouillée pendant 12 mois (plus une mémoire tampon maximale de 31 jours) avant d'être supprimée.

  • Si vous créez une stratégie de sauvegarde qui crée 30 sauvegardes quotidiennes, 7 sauvegardes hebdomadaires et 12 sauvegardes mensuelles, trois périodes de conservation seront verrouillées. Les sauvegardes « 30 quotidiennes » sont conservées pendant 44 jours (30 jours plus une mémoire tampon maximale de 31 jours), les sauvegardes « 7 hebdomadaires » sont conservées pendant 9 semaines (7 semaines plus une mémoire tampon maximale de 31 jours) et les sauvegardes « 12 mensuelles » sont conservées pendant 12 mois (plus une mémoire tampon maximale de 31 jours).

  • Si vous créez un programme de sauvegarde horaire avec 24 rétentions, vous pensez peut-être que les sauvegardes sont verrouillées pendant 24 heures. Toutefois, étant donné que ce délai est inférieur au minimum de 30 jours, chaque sauvegarde sera verrouillée et conservée pendant 44 jours (30 jours plus une mémoire tampon maximale de 31 jours).

    Dans ce dernier cas, si chaque fichier de sauvegarde est verrouillé pendant 30 jours (plus une mémoire tampon maximale de 31 jours), vous obtenez beaucoup plus de fichiers de sauvegarde que ce qui est généralement conservé avec une stratégie de rétention horaire/24. En règle générale, lorsque la sauvegarde et la restauration BlueXP créent le 25e fichier de sauvegarde, il supprime la sauvegarde la plus ancienne pour maintenir le taux de rétention maximal à 24 (en fonction de la règle). Dans ce cas, le paramètre de rétention DataLock remplace le paramètre de conservation de la stratégie de sauvegarde de votre stratégie de sauvegarde. Cela peut affecter vos coûts de stockage car vos fichiers de sauvegarde seront enregistrés dans le magasin d'objets pendant une période plus longue.

Protection contre les ransomwares

La protection par ransomware analyse vos fichiers de sauvegarde pour rechercher la preuve d'une attaque par ransomware. La détection des attaques par ransomware est effectuée à l'aide d'une comparaison des checksums. Si un ransomware est identifié dans un nouveau fichier de sauvegarde par rapport au fichier de sauvegarde précédent, ce fichier de sauvegarde plus récent est remplacé par le fichier de sauvegarde le plus récent ne présentant aucun signe d'attaque par ransomware. (Le fichier identifié comme ayant subi une attaque par ransomware est supprimé 1 jour après son remplacement.)

Les analyses par ransomware se produisent aux points suivants du processus de sauvegarde et de restauration :

  • Lorsqu'un fichier de sauvegarde est créé.

    Vous pouvez également activer ou désactiver les analyses par ransomware.

    Le scan n'est pas effectué sur le fichier de sauvegarde lors de l'écriture initiale sur le stockage cloud, mais lorsque le fichier de sauvegarde Next est écrit. Par exemple, si vous avez défini un programme de sauvegarde hebdomadaire pour mardi, le mardi 14, une sauvegarde est créée. Puis, mardi, une nouvelle sauvegarde est créée. Le scan par ransomware est alors exécuté sur le fichier de sauvegarde depuis le 14.

  • Lorsque vous tentez de restaurer des données à partir d'un fichier de sauvegarde

    Vous pouvez choisir d'exécuter une analyse avant de restaurer les données d'un fichier de sauvegarde ou d'ignorer cette analyse.

  • Manuellement

    Vous pouvez à tout moment exécuter une analyse de protection par ransomware à la demande pour vérifier l'état d'un fichier de sauvegarde spécifique. Ceci peut être utile si vous avez rencontré un problème de ransomware sur un volume en particulier et que vous souhaitez vérifier que les sauvegardes de ce volume ne sont pas affectées.

Options de protection DataLock et anti-ransomware

Chaque stratégie de sauvegarde fournit une section pour DataLock et protection contre les attaques par ransomware que vous pouvez appliquer à vos fichiers de sauvegarde.

Capture d'écran des paramètres DataLock et protection contre les attaques par ransomware pour AWS, Azure et StorageGRID lors de la création d'une stratégie de sauvegarde.

Les analyses de protection contre les ransomware sont activées par défaut. Le paramètre par défaut de la fréquence de balayage est de 7 jours. L'analyse s'effectue uniquement sur la dernière copie Snapshot. Vous pouvez activer ou désactiver les analyses anti-ransomware sur la dernière copie Snapshot à l'aide de l'option de la page Paramètres avancés. Si vous l'activez, les acquisitions sont effectuées tous les 7 jours par défaut.

Vous pouvez modifier ce planning en jours ou en semaines ou le désactiver, ce qui vous permet d'économiser des coûts.

Vous pouvez choisir parmi les paramètres suivants pour chaque stratégie de sauvegarde :

AWS
  • Aucun (par défaut)

    La protection contre les verrous et les attaques par ransomware sont désactivées.

  • Gouvernance

    DataLock est défini sur le mode Governance où les utilisateurs utilisent s3:BypassGovernanceRetention autorisation ("voir ci-dessous") peut écraser ou supprimer des fichiers de sauvegarde pendant la période de rétention. La protection contre les ransomwares est activée.

  • * Conformité*

    DataLock est défini sur le mode Compliance, où aucun utilisateur ne peut écraser ou supprimer des fichiers de sauvegarde pendant la période de rétention. La protection contre les ransomwares est activée.

Azure
  • Aucun (par défaut)

    La protection contre les verrous et les attaques par ransomware sont désactivées.

  • Déverrouillé

    Les fichiers de sauvegarde sont protégés pendant la période de conservation. La période de rétention peut être augmentée ou diminuée. Utilisé généralement pendant 24 heures pour tester le système. La protection contre les ransomwares est activée.

  • Verrouillé

    Les fichiers de sauvegarde sont protégés pendant la période de conservation. La période de rétention peut être augmentée, mais elle ne peut pas être réduite. Respecte les normes en vigueur. La protection contre les ransomwares est activée.

StorageGRID
  • Aucun (par défaut)

    La protection contre les verrous et les attaques par ransomware sont désactivées.

  • * Conformité*

    DataLock est défini sur le mode Compliance, où aucun utilisateur ne peut écraser ou supprimer des fichiers de sauvegarde pendant la période de rétention. La protection contre les ransomwares est activée.

Environnements de travail et fournisseurs de stockage objet pris en charge

Vous pouvez activer la protection des données et des attaques par ransomware sur les volumes ONTAP à partir de plusieurs environnements de travail lorsque vous utilisez le stockage objet dans plusieurs fournisseurs de cloud public et privé. D'autres fournisseurs de cloud seront ajoutés dans les prochaines versions.

Environnement de travail source Destination du fichier de sauvegarde ifdef::aws[]

Cloud Volumes ONTAP dans AWS

Amazon S3 endif::aws[] ifdef::Azure[]

Cloud Volumes ONTAP dans Azure

Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[]

Système ONTAP sur site

Ifdef::aws[] Amazon S3 endif::aws[] ifdef::Azure[] Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[] fdef::gcp[] NetApp StorageGRID

De formation

  • Pour AWS :

    • Vos clusters doivent exécuter ONTAP 9.11.1 ou version supérieure

    • Ce connecteur peut être déployé dans le cloud ou sur site

    • Les autorisations S3 suivantes doivent faire partie du rôle IAM qui fournit au connecteur les autorisations. Ils résident dans la section « backupS3Policy » pour la ressource « arn:aws:s3::NetApp-backup-* » :

      Autorisations AWS S3
      • s3:GetObjectVersionTagging

      • s3:GetBuckeObjectLockConfiguration

      • s3:GetObjectVersionAcl

      • s3:PutObjectTagging

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBuckObjectLockConfiguration

      • s3:GetLifecyclConfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBuckeVersions

      • s3:ListBucket

      • s3:PutBuckeTagging

      • s3:GetObjectTagging

      • s3:PutBuckeVersioning

      • s3:PutObjectVersionTagging

      • s3:GetBucketVersioning

      • s3:GetBucketAcl

      • s3:BipassGovernanceRetention

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

  • Pour Azure :

    • Vos clusters doivent exécuter ONTAP 9.12.1 ou une version ultérieure

    • Ce connecteur peut être déployé dans le cloud ou sur site

  • Pour StorageGRID :

    • Vos clusters doivent exécuter ONTAP 9.11.1 ou version supérieure

    • Vos systèmes StorageGRID doivent exécuter la version 11.6.0.3 ou ultérieure

    • Le connecteur doit être déployé sur votre site (il peut être installé sur un site avec ou sans accès Internet)

    • Les autorisations S3 suivantes doivent faire partie du rôle IAM qui fournit au connecteur des autorisations :

      Autorisations StorageGRID S3
      • s3:GetObjectVersionTagging

      • s3:GetBuckeObjectLockConfiguration

      • s3:GetObjectVersionAcl

      • s3:PutObjectTagging

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBuckObjectLockConfiguration

      • s3:GetLifecyclConfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBuckeVersions

      • s3:ListBucket

      • s3:PutBuckeTagging

      • s3:GetObjectTagging

      • s3:PutBuckeVersioning

      • s3:PutObjectVersionTagging

      • s3:GetBucketVersioning

      • s3:GetBucketAcl

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

Restrictions

  • La fonction de protection DataLock et ransomware n'est pas disponible si vous avez configuré le stockage d'archives dans la stratégie de sauvegarde.

  • L'option DataLock que vous sélectionnez lors de l'activation de la sauvegarde et de la restauration BlueXP doit être utilisée pour toutes les stratégies de sauvegarde de ce cluster.

  • Vous ne pouvez pas utiliser plusieurs modes DataLock sur un même cluster.

  • Si vous activez DataLock, toutes les sauvegardes de volume seront verrouillées. Vous ne pouvez pas combiner des sauvegardes de volume verrouillées et non verrouillées pour un même cluster.

  • La protection des données et des attaques par ransomware est applicable pour les nouvelles sauvegardes de volumes grâce à une stratégie de sauvegarde avec DataLock et protection contre les attaques par ransomware activées. Vous pouvez ultérieurement activer ou désactiver ces fonctions à l'aide de l'option Paramètres avancés.

  • Les volumes FlexGroup peuvent utiliser DataLock et la protection contre les ransomware uniquement avec ONTAP 9.13.1 ou version ultérieure.

Conseils pour réduire les coûts liés à DataLock

Vous pouvez activer ou désactiver la fonction d'analyse anti-ransomware tout en maintenant la fonction DataLock active. Pour éviter des frais supplémentaires, vous pouvez désactiver les analyses par ransomware planifiées. Cela vous permet de personnaliser vos paramètres de sécurité et d'éviter les coûts encourus par le fournisseur de cloud.

Même si la planification des analyses par ransomware est désactivée, vous pouvez toujours effectuer des analyses à la demande si nécessaire.

Vous pouvez choisir différents niveaux de protection :

  • DataLock without ransomware scans : fournit une protection pour les données de sauvegarde dans le stockage de destination qui peuvent être soit en mode gouvernance, soit en mode conformité.

    • Mode gouvernance : offre aux administrateurs la possibilité d'écraser ou de supprimer des données protégées.

    • Mode de conformité : assure une indélébilité complète jusqu'à l'expiration de la période de conservation. Cela permet de répondre aux exigences de sécurité des données les plus strictes dans les environnements où les réglementations sont très strictes. Les données ne peuvent pas être remplacées ou modifiées au cours de leur cycle de vie, offrant ainsi le niveau de protection le plus élevé pour vos copies de sauvegarde.

      Remarque Microsoft Azure utilise à la place le mode Verrouiller et déverrouiller.
  • DataLock with ransomware scans : fournit une couche supplémentaire de sécurité pour vos données. Cette fonctionnalité permet de détecter toute tentative de modification de copies de sauvegarde. En cas de tentative, une nouvelle version des données est créée discrètement. La fréquence d'acquisition peut être modifiée sur 1, 2, 3, 4, 5, 6 ou 7 jours. Si les acquisitions sont définies sur tous les 7 jours, les coûts diminuent considérablement.

De plus, vous pouvez obtenir des estimations du coût associé à DataLock en visitant le "Calculateur de TCO des solutions de sauvegarde et de restauration BlueXP".

Options de stockage d'archives

Lorsque vous utilisez le stockage cloud AWS, Azure ou Google, vous pouvez déplacer les fichiers de sauvegarde plus anciens vers un Tier d'accès ou une classe de stockage d'archivage moins coûteux au bout d'un certain nombre de jours. Vous pouvez également choisir d'envoyer immédiatement vos fichiers de sauvegarde vers le système de stockage d'archivage sans être écrits sur le stockage cloud standard. Il vous suffit d'entrer 0 comme "Archive après jours" pour envoyer votre fichier de sauvegarde directement au stockage d'archives. Cette fonctionnalité est particulièrement utile pour les utilisateurs qui ont rarement besoin d'accéder aux données issues de sauvegardes cloud ou qui remplacent une solution de sauvegarde sur bande.

Les données des niveaux d'archivage ne sont pas accessibles immédiatement en cas de besoin. Leur coût de récupération est donc plus élevé. Il vous faudra donc déterminer la fréquence à laquelle vous devrez restaurer les données à partir des fichiers de sauvegarde avant de décider d'archiver vos fichiers de sauvegarde.

Remarque
  • Même si vous sélectionnez « 0 » pour envoyer tous les blocs de données vers le stockage cloud d'archivage, les blocs de métadonnées sont toujours écrits sur le stockage cloud standard.

  • Le stockage d'archives ne peut pas être utilisé si vous avez activé DataLock.

  • Vous ne pouvez pas modifier la stratégie d'archivage après avoir sélectionné 0 jours (archiver immédiatement).

Chaque politique de sauvegarde fournit une section pour Archival que vous pouvez appliquer à vos fichiers de sauvegarde.

Capture d'écran des paramètres de la politique d'archivage lors de la création d'une politique de sauvegarde.

  • Dans AWS, les sauvegardes commencent dans la classe de stockage Standard et la transition vers la classe de stockage Standard-Infrequent Access après 30 jours.

    Si votre cluster utilise ONTAP 9.10.1 ou version ultérieure, vous pouvez hiérarchiser les anciennes sauvegardes sur le stockage S3 Glacier ou S3 Glacier Deep Archive. "En savoir plus sur le stockage d'archives AWS".

    • Si vous ne sélectionnez aucun Tier d'archivage dans votre première stratégie de sauvegarde lors de l'activation de la sauvegarde et de la restauration BlueXP, S3 Glacier sera votre seule option d'archivage pour les futures stratégies.

    • Si vous sélectionnez S3 Glacier dans votre première règle de sauvegarde, vous pouvez passer au niveau S3 Glacier Deep Archive pour les futures règles de sauvegarde de ce cluster.

    • Si vous sélectionnez S3 Glacier Deep Archive dans votre première règle de sauvegarde, ce niveau sera le seul Tier d'archivage disponible pour les futures règles de sauvegarde de ce cluster.

  • Dans Azure, les sauvegardes sont associées au niveau d'accès Cool.

    Si votre cluster utilise ONTAP 9.10.1 ou version ultérieure, vous pouvez classer les anciennes sauvegardes vers Azure Archive Storage. "En savoir plus sur le stockage des archives Azure".

  • Dans GCP, les sauvegardes sont associées à la classe de stockage Standard.

    Si votre cluster sur site utilise ONTAP 9.12.1 ou une version ultérieure, vous pouvez choisir de transférer les sauvegardes plus anciennes vers un stockage Archive dans l'interface utilisateur de sauvegarde et de restauration BlueXP après un certain nombre de jours pour optimiser les coûts. "En savoir plus sur le stockage des archives Google".

  • Dans StorageGRID, les sauvegardes sont associées à la classe de stockage Standard.

    Si votre cluster sur site utilise ONTAP 9.12.1 ou version ultérieure et que votre système StorageGRID utilise 11.4 ou version ultérieure, vous pouvez archiver les fichiers de sauvegarde les plus anciens dans un stockage d'archivage dans le cloud public.

+ ** pour AWS, vous pouvez hiérarchiser les sauvegardes dans le stockage AWS S3 Glacier ou S3 Glacier Deep Archive. "En savoir plus sur le stockage d'archives AWS".

+ ** pour Azure, vous pouvez transférer les anciennes sauvegardes vers Azure Archive Storage. "En savoir plus sur le stockage des archives Azure".