Optimiser votre stratégie de protection des données : Les avantages de Veeam Backup & Replication pour la sauvegarde, la réplication et l'archivage, et l'architecture recommandée

Dans le paysage numérique actuel, la protection des données est une priorité absolue pour les entreprises de toutes tailles. Face aux menaces croissantes comme les ransomwares, aux défaillances matérielles, aux erreurs humaines, et aux catastrophes naturelles, disposer d'une solution de sauvegarde et de reprise après sinistre fiable est essentiel pour assurer la continuité de l'activité. Veeam Backup & Replication s'est imposé comme l'une des solutions leaders dans ce domaine, offrant des capacités complètes de sauvegarde, de réplication et d'archivage. Cet article explore les avantages de l'adoption de Veeam et propose une vue d'ensemble de l'architecture recommandée.

Qu'est-ce que Veeam Backup & Replication ?

Veeam Backup & Replication est un logiciel qui permet la sauvegarde et la restauration de diverses ressources, qu'elles soient virtuelles (Hyper-V, VMware, Nutanix) ou physiques (via des agents Veeam pour Windows ou Linux). Il peut également protéger les données ou offrir une solution de récupération après un sinistre. Au-delà de la sauvegarde, Veeam Backup & Replication assure également la fonctionnalité de Plan de Reprise d'Activité (PRA) et de Plan de Continuité d'Activité (PCA) grâce à ses capacités de réplication.

Les Avantages Clés de Veeam Backup & Replication

La mise en place de Veeam offre une multitude d'avantages pour garantir la résilience et la disponibilité de vos données :

1. Protection Complète et Polyvalente Veeam est capable de protéger un large éventail de ressources. Cela inclut les machines virtuelles hébergées sous VMware vSphere, Microsoft Hyper-V ou Nutanix AHV, ainsi que les VM présentes dans les instances cloud comme AWS EC2 ou Microsoft Azure. Il prend également en charge les ressources physiques sous Windows, Linux et macOS via l'utilisation d'agents. En plus des machines, Veeam protège aussi les applications et les données qu'elles hébergent, comme les bases de données SQL Server, Oracle et PostgreSQL, l'annuaire Active Directory, le serveur de messagerie Microsoft Exchange, et les données dans OneDrive et SharePoint. La Veeam Data Platform étend cette couverture aux environnements hybrides, multicloud et SaaS, y compris des solutions spécifiques pour Microsoft 365, Salesforce, Kubernetes, AWS, Azure, et Google Cloud.

2. Réduction Significative des RTO et RPO Un objectif majeur de la protection des données est de minimiser les Objectifs de Temps de Restauration (RTO) et les Délais Optimaux de Reprise d'Activité (RPO). La virtualisation, prise en charge nativement par Veeam, permet de réduire considérablement les RTO en permettant une restauration rapide des systèmes et des applications, souvent en quelques minutes. Grâce à des technologies comme le suivi des blocs modifiés (CBT) et la réplication intégrée, Veeam aide à atteindre des RPO ambitieux, minimisant la perte de données. L'approche de Veeam tire parti de la réplication pour déplacer rapidement et sûrement les données d'un site à l'autre, optimisant la vitesse de transfert.

3. Capacités de Restauration Flexibles et Rapides La restauration est au cœur d'une stratégie de sauvegarde efficace. Veeam offre diverses options pour répondre à différents scénarios. Il permet la restauration de machines virtuelles complètes vers l'emplacement d'origine ou un nouvel emplacement. Des restaurations plus granulaires sont possibles, comme la restauration de fichiers individuels à partir du système d'exploitation invité ou la restauration au niveau des éléments spécifiques pour Microsoft Exchange, SharePoint et Active Directory. La restauration des bases de données Oracle et SQL Server est possible au niveau des transactions. L'une des fonctionnalités puissantes est la restauration instantanée (Instant VM Recovery), qui permet de démarrer une VM directement depuis un fichier de sauvegarde.

4. Sécurité Renforcée La sécurité des données est primordiale. Veeam intègre plusieurs fonctionnalités pour protéger vos sauvegardes et vos données. L'inaltérabilité (Immutability) des sauvegardes, introduite dans la v11 et améliorée dans la v12, empêche la modification des fichiers de sauvegarde pendant une période déterminée, offrant une excellente protection contre les ransomwares et les cryptolockers. Le chiffrement est utilisé pour sécuriser les données, que ce soit pour les sauvegardes (chiffrement au repos et en transit) ou pour la configuration de Veeam. Veeam prend également en charge l'authentification multifactorielle (MFA) et promeut des solutions Zero-Trust pour la sécurité des données.

5. Efficacité et Optimisation Veeam optimise l'utilisation des ressources et la vitesse des opérations. Le rôle de Backup Proxy assure le traitement des travaux, y compris la compression et la déduplication des données pour réduire l'espace de stockage requis. L'accélération WAN intégrée permet un transfert plus rapide des données et des répliques vers des sites distants, même sur des connexions lentes.

6. Gestion Simplifiée et Centralisée L'administration de Veeam Backup & Replication s'effectue depuis une console unique. Cette console permet de coordonner les opérations (sauvegarde, restauration, réplication), de contrôler la planification des travaux et de gérer les ressources allouées. La gestion centralisée simplifie l'administration des plans de reprise d'activité.

Focus sur la Réplication

La réplication est une technologie clé pour assurer la reprise d'activité rapide. Elle crée une copie exacte d'une VM, prête à être démarrée en cas de sinistre. La réplication se distingue de la sauvegarde traditionnelle par sa capacité à assurer des RPO et RTO plus faibles, car elle met à jour en continu les changements apportés aux données.

Veeam Backup & Replication intègre la réplication pour permettre aux entreprises d'atteindre leurs objectifs de restauration rapidement. Les fonctionnalités clés incluent :

• Réplication intégrée avec compression variable et suivi des blocs modifiés (CBT) pour optimiser le transfert.
• Accélération WAN pour les transferts hors site.
• Création de réplicas à la demande sur des hôtes de réserve VMware vSphere ou Hyper-V.
• La possibilité de s'appuyer sur des partenaires pour le DRaaS (Disaster Recovery as a Service) via Veeam Cloud Connect Replication, évitant aux entreprises les coûts et la complexité de la mise en place d'un site secondaire.
• L'orchestration de la DR avec Veeam Disaster Recovery Orchestrator, qui permet d'automatiser les plans de basculement.

L'Archivage avec Veeam

Au-delà de la sauvegarde opérationnelle et de la réplication pour le PRA, Veeam propose également des solutions pour l'archivage et la rétention longue durée.

• La sauvegarde sur bande est une fonctionnalité intéressante pour avoir une copie des données hors ligne, offrant une protection supplémentaire contre les attaques informatiques. Un Tape Server, qui peut être un serveur Windows ou Linux, fait le relais entre le serveur Veeam et le lecteur de bande.
• Le Scale-out Repository permet d'étendre la capacité de stockage des sauvegardes horizontalement. Il peut inclure un "capacity tier" permettant d'effectuer une libération (offload) des extents vers un stockage froid dans le cloud (archivage des données), comme S3, Azure blob, etc..
• L'inaltérabilité peut également être appliquée aux copies de sauvegarde pour Microsoft 365 stockées dans un stockage objet (Azure blob, Amazon S3 Glacier ou compatible S3), offrant une protection durable pour l'archivage contre les ransomwares.

Architecture Recommandée pour Veeam Backup & Replication

Une architecture Veeam se compose de plusieurs éléments clés, dont l'optimisation est essentielle pour les performances et l'efficacité :

1. Serveur de Sauvegarde (Backup Server) : C'est le cœur de l'infrastructure Veeam, gérant toutes les opérations d'administration et coordonnant les travaux. Il s'installe sur un serveur Microsoft Windows Server (virtuel ou physique), idéalement une version récente (2019 ou 2022). Les prérequis minimum incluent au moins quatre cœurs, 4 Go de RAM plus 500 Mo par job concurrent, et un espace disque suffisant (hors fichiers de sauvegarde) sur la partition système, avec la possibilité de stocker le cache et le catalogue sur une partition de données.

   • Base de données de Configuration : Veeam utilise une base de données SQL pour stocker sa configuration (jobs, sessions, etc.). En production, il est recommandé d'utiliser SQL Server Standard (versions 2012 et ultérieures supportées, 2019 ou 2022 recommandées) ou PostgreSQL (supporté depuis la v12). La version Express de SQL Server est réservée aux très petites infrastructures et aux tests.
   • Le serveur de sauvegarde nécessite le .Net Framework 4.7.2 et PowerShell 5.1.

2. Backup Proxy : Ce composant gère le traitement des travaux de sauvegarde et la gestion du trafic. Il se situe entre le serveur de sauvegarde et les autres composants. Il est responsable de la récupération des données des machines virtuelles, de la compression, de la déduplication et du chiffrement. Un serveur (Microsoft ou Linux) peut se voir attribuer ce rôle. Différents modes de transport sont disponibles (Direct Storage Access, Virtual Appliance, Réseau), avec des modes supplémentaires développés par Veeam (Backup from Storage Snapshots, Direct NFS). Le Backup Proxy utilise le Veeam Data Mover pour le traitement et le transfert des données.

3. Backup Repository : C'est l'espace de stockage où Veeam stocke ses fichiers de sauvegarde (.vbk, .vib) et les métadonnées des réplicas. Il existe plusieurs types :

   • Direct Attached Storage (DAS) : Un serveur (Microsoft ou Linux) avec du stockage local. Pour les petites infrastructures, cela peut être une partition de données sur le serveur Veeam lui-même, mais jamais sur la partition système.
   • Network Attached Storage (NAS) : Un partage SMB (CIFS) ou NFS.
   • Appliances de stockage dédupliquées : Appareils dédiés (Dell EMC Data Domain, Exagrid, HPE StoreOnce, Quantum DXi) optimisés pour la déduplication.
   • Stockage Objet : Services cloud (S3, Azure blob, etc.) pour l'externalisation et l'archivage. Il est recommandé d'utiliser un repository physique quand c'est possible. Pour les serveurs hébergeant ce rôle, Veeam recommande un minimum de deux cœurs CPU et 8 Go de RAM. L'activation de l'inaltérabilité sur le repository est fortement conseillée pour se protéger contre les ransomwares.

4. Gateway Server : Ce composant agit comme un relais entre le serveur de sauvegarde et certains types de repositories (partage réseau, Dell EMC Data Domain, HPE StoreOnce) qui ne peuvent pas héberger le service Data Mover cible. Il héberge le Veeam Data Mover nécessaire pour établir la connexion et transporter les données. Il peut être installé sur un serveur Microsoft ou Linux, virtuel ou physique.

5. Scale-out Repository : Pour une évolutivité horizontale et une gestion simplifiée, le Scale-out Repository agrège un ou plusieurs repositories physiques ("capacity extents"). Il permet d'ajouter facilement de l'espace en cas de besoin et supporte tous les types de cibles de sauvegarde (Windows/Linux server, DAS, partage réseau). Il peut également offload vers un stockage froid dans le cloud pour l'archivage.

6. Tape Server : Nécessaire pour les sauvegardes sur bande, il fait le relais entre le serveur Veeam et le lecteur de bande. Il peut être installé sur un serveur Windows ou Linux.

Permissions Requises

La sécurité étant importante, il est nécessaire d'accorder les droits minimaux nécessaires. Lors de l'installation de Veeam, un compte utilisateur (Active Directory) est configuré ; il doit être ajouté au groupe administrateur local du serveur Veeam. Le compte utilisateur configuré pour la base de données SQL doit avoir la permission CREATE ANY DATABASE et le rôle db_owner. Des droits plus élevés sont nécessaires pour la sauvegarde de certaines applications spécifiques comme Active Directory (membre du groupe Administrateurs Built-in), Exchange (administrateur local), SharePoint (administrateur de la ferme), Oracle (administrateur local + ORA_DBA sur Windows, root sur Linux), et PostgreSQL (superuser).

Mise en Œuvre et Bonnes Pratiques

La mise en place de Veeam commence par la vérification des prérequis et l'installation du logiciel sur un serveur Windows configuré. L'installation inclut la configuration de la base de données. Une fois installé, il faut ajouter les composants d'infrastructure (hôtes, proxies, repositories).

Quelques bonnes pratiques issues des sources :

• Tester régulièrement les sauvegardes et les plans de restauration/DR est crucial. Veeam propose des outils comme SureBackup et Recovery Orchestrator pour automatiser ces tests. Une sauvegarde non testée est une sauvegarde non fiable.
• Automatiser les sauvegardes pour qu'elles ne soient pas oubliées.
• Pratiquer la redondance en ayant plusieurs copies sur différents supports, dont au moins une hors site et inaltérable. La règle du 3-2-1-1-0 est recommandée (trois copies, deux supports différents, une hors site, une hors ligne/inaltérable, zéro erreur après tests).
• Chiffrer les sauvegardes, surtout si elles contiennent des données sensibles.
• Sauvegarder la configuration de Veeam régulièrement, surtout avant une mise à jour ou une migration, pour pouvoir la restaurer facilement en cas de problème.
• Maintenir Veeam à jour en appliquant les patches et les nouvelles versions. Une mise à jour a notamment résolu des problèmes de sauvegarde pour certains utilisateurs.
• Former l'équipe informatique aux outils et procédures de reprise après incident.

Conclusion

Veeam Backup & Replication est une solution puissante et polyvalente qui répond aux besoins complexes de protection des données des entreprises modernes. Ses capacités natives de sauvegarde, de réplication et d'archivage, combinées à une architecture flexible basée sur des rôles distribués (serveur, proxy, repository, gateway) et des fonctionnalités avancées comme l'inaltérabilité, l'optimisation WAN et l'orchestration, en font un choix stratégique pour assurer la résilience de l'activité face aux menaces et aux sinistres. En suivant les bonnes pratiques de mise en œuvre et en testant régulièrement vos procédures, vous pouvez avoir l'assurance que vos données sont protégées et que vous êtes prêt à rétablir rapidement votre activité en cas d'urgence.

Amadou Lamine DIOUF
Expert consultant formateur et auditeur de systèmes d'information

www.truetechnologie.com

lamine.diouf@truetechnologie.com

+221778562766