La haute disponibilité, pour toute entreprise consommant des services informatiques hébergés dans le cloud, est un sujet central. Au même titre que pour les fournisseurs cloud les mettant à disposition sur le marché. C’est elle qui garantit la continuité des services et applications informatiques hébergées, face à des interruptions potentielles.
Comment alors, conserver un taux de disponibilité optimal pour des services hébergés dans le cloud ?
C’est ce que nous allons explorer au travers trois types de solutions complémentaires :
- Firewall (pare-feu informatique)
- Sauvegarde et restauration de données
- Connectivité
Le firewall, une protection globale du réseau et des services connectés
Un firewall est un élément clé pour protéger le réseau et les services connectés d’une entreprise contre les cyberattaques et autres menaces. Son rôle est stratégique tant pour une entreprise visant la haute disponibilité des solutions hébergées qu’elle distribue à ses clients, que pour les clients eux-mêmes.
Le firewall permet d’anticiper une perturbation réseau, en protégeant par exemple un service de téléphonie hébergée Centrex, un serveur de messagerie ou encore une application métier déployée sur une machine virtuelle, du monde extérieur.
Les principaux types de firewall
> Le pare-feu matériel : il s’agit d’un dispositif physique installé entre le réseau interne de l’entreprise et Internet. Il sert à protéger le matériel qui compose le réseau de l’entreprise, du monde extérieur, par la surveillance des paquets de données, mais nécessite des compétences spécifiques pour sa configuration et sa maintenance.
> Le pare-feu logiciel : il est installé localement, sur des postes de travail ou des serveurs, soit directement sur des points de terminaisons, il contrôle le trafic entrant et sortant au niveau d’applications spécifiques.
> Le pare-feu dynamique : il surveille l’activité du réseau en temps réel et prend des décisions basées sur le contexte global plutôt que sur l’analyse individuelle des paquets de données.
> Le pare-feu d’application web (WAF) : il protège les applications web en détectant et en bloquant les tentatives d’intrusion qui exploitent les vulnérabilités potentielles d’une application.
Comment choisir le type de firewall à intégrer à son SI ?
Ce sont l’évaluation des besoins en sécurité, de la complexité du réseau et des ressources matérielles en présence qui doivent permettre de définir le type de firewall le plus adapté au besoin de l’entreprise.
Par exemple, une PME spécialisée dans les services financiers, avec des données sensibles et des transactions fréquentes, pourrait choisir un pare-feu de nouvelle génération (NGFW) pour bénéficier d’une inspection approfondie des paquets (DPI) et d’un niveau élevé de prévention des intrusions (IPS).
Ce choix peut être motivé par la nécessité de se protéger face à des menaces complexes et de répondre à des exigences réglementaires et de sécurité de ses clients.
Solution de sauvegarde de données
Les solutions de sauvegarde et de restauration vont être indispensables pour garantir la continuité des services en cas de panne, de cyberattaque ou de catastrophe naturelle. Elles assurent en premier lieu la protection des données ainsi que leur récupération pour relancer un service interrompu.
Il est essentiel d’y faire appel, en complément d’une solution de pare-feu, si l’on cherche à atteindre une haute disponibilité informatique et assurer la résilience de ses applications et services hébergés.
Voici six alternatives de sauvegarde et de restauration à explorer :
1. Sauvegarde complète
La sauvegarde complète consiste à créer une copie conforme de toutes les données à intervalles réguliers (système d’exploitation, bases de données, applications, paramètres, données utilisateurs). Bien que cette méthode nécessite un espace de stockage considérable, elle permet une restauration rapide et complète des données en cas de sinistre, dans la mesure où les données nécessaires sont présentes sur un seul jeu de sauvegarde.
2. Sauvegarde incrémentielle
La sauvegarde incrémentielle ne copie que les données modifiées depuis la dernière sauvegarde. De fait, cette méthode économise de l’espace de stockage, de la bande passante et réduit le temps nécessaire pour effectuer chaque sauvegarde. Cependant une restauration complète peut s’avérer plus complexe dans la mesure où plusieurs sauvegardes doivent être reconstituées pour récupérer l’ensemble des données.
3. Sauvegarde différentielle
La sauvegarde différentielle copie toutes les données modifiées depuis la dernière sauvegarde complète. Cette méthode est un compromis entre la sauvegarde complète et incrémentielle, permettant de raccourcir le temps de sauvegarde et de simplifier la restauration des données.
4. Snapshots (Instantanés)
Les snapshots sont des copies instantanées de l’état d’un système à un moment précis. Contrairement à la sauvegarde qui réalise une copie intégrale des données, le snapshot copie uniquement les paramètres et les métadonnées nécessaires pour restaurer les données en cas d’interruption. Ils sont donc parfaits pour du stockage courte durée et souvent utilisés en complément d’autres méthodes de sauvegarde pour améliorer la résilience, grâce à la rapidité de récupération des données.
5. Réplication de données en temps réel
La réplication de données en temps réel consiste à copier continuellement les données d’un système principal vers un système secondaire. En cas de panne du système principal, le système secondaire peut prendre le relais immédiatement, minimisant ainsi les temps d’arrêt. C’est une méthode de conservation de données particulièrement stratégique pour des applications nécessitant une très haute disponibilité.
6. Plan de reprise d’activité (PRA)
Un PRA inclut un ensemble de procédures détaillées dédiées à la sauvegarde et la redondance des données, à la restauration des services et aux solutions de communication internes à l’entreprise en cas de sinistre.
Il intègre souvent plusieurs méthodes de sauvegarde (complète, incrémentielle, différentielle), des solutions techniques variables selon le contexte et des tests réguliers pour s’assurer de la robustesse du plan de reprise face à différents aléas et cas de figures possibles.
Cependant, un plan de reprise informatique va bien au-delà du choix d’une solution de sauvegarde et de récupération de données. C’est une procédure complète, parfaitement documentée, qui vise à identifier les activités de l’entreprise considérées comme critiques, à déceler l’origine probable de futurs sinistres, à définir les besoins humains et matériels qui soutiendront la mise en œuvre du plan et à estimer son coût.
Mettre en œuvre un PRA est une démarche forte, mais qui demeure très certainement la solution la plus viable à explorer pour atteindre la haute disponibilité.
La haute disponibilité grâce aux solutions de connectivité : FTTO, FTTH & liens de secours
La connectivité, dernier pilier essentiel permettant d’assurer la haute disponibilité, doit venir compléter un dispositif alliant la protection du réseau et la pérennité des données.
Une solution de connectivité, telle que décrite ci-dessous, doit répondre à des impératifs de robustesse et de redondance pour soutenir l’accès à des services hébergés dans le cloud.
Solutions de connectivité réseau
FTTO (Fiber To The Office) : la fibre dédiéeée
Dans sa traduction “fibre optique jusqu’au bureau”, la FTTO est une fibre dédiée aux entreprises dotée d’un débit symétrique qui peut être garanti. Elle est donc associée à des engagements de services comme par exemple une Garanti de Temps de Rétablissement (GTR) en cas de coupure.
Au-delà des débits élevés et de la faible latence qu’elle fournit, c’est une option privilégiée par les entreprises nécessitant une performance réseau optimale pour les applications critiques ou le transfert permanent de données vers un serveur cloud, en autres.
FTTH (Fiber To The Home) : la fibre mutualisée
Par définition un réseau FTTH est un raccordement fibre allant jusqu’à l’intérieur d’un logement depuis le raccordement optique de l’opérateur. Ce type de fibre, malgré son intitulé, ne se destine pas uniquement aux particuliers puisque des PME y ont également recours.
C’est une solution plus économique pour des entreprises de moins de 20 salariés et pour lesquelles la continuité d’activité n’est pas un besoin critique. Intégrée à un réseau mutualisé, le débit d’un lien FTTH peut atteindre jusqu’à 1Gbps, sans que ce débit soit garanti. Le temps nécessaire au rétablissement du service en cas d’incident, lui, n’est pas garanti.
Les liens cuivre : ADSL, VDSL, SDSL
En cas d’inéligibilité à la fibre, les accès de type ADSL et VDSL offrent un haut débit asymétrique, mais non garanti, pouvant atteindre jusqu’à 25Mb pour l’ADSL et 150Mb pour la VDSL. Un lien SDSL garantit un débit stable et symétrique, de 0,5Mb à 20Mb et peut bénéficier également d’une option GTR 4H. Compléter la connectivité de son réseau fibre, avec
Liens de secours 4G/5G
Les connexions 4G et 5G peuvent servir de solutions de continuité de service en cas de panne et d’accès au réseau principal. L’avantage est qu’elles sont rapidement déployables, bien que leur débit soit asymétrique, non garanti et qu’il dépendra de la couverture mobile du lieu d’utilisation.
Solutions additionnelles pour garantir un haut niveau de service
Le MPLS (Multiprotocol Label Switching)
Le MPLS est une technologie qui fonctionne dans un réseau privé virtuel (VPN). C’est une option de mise en réseau évolutive à faible latence permettant d’améliorer la vitesse et l’efficacité du transfert des données au sein de réseaux étendus. En clair, ce type de connectivité, essentielle dans des stratégies de cloud hybride, permet d’obtenir des performances stables au niveau des applications et de l’exploitation
SD-WAN (Software-Defined Wide Area Network)
Le SD-WAN utilise la virtualisation pour optimiser et sécuriser les connexions réseau sur une multitude de sites. Il centralise ainsi le contrôle et la gestion des politiques pour réguler le trafic à destination et en provenance des sites distants de façon fluide.
Le SD-WAN permet aux entreprises de créer des réseaux étendus plus performants à l’aide de matériel standard et d’un accès Internet à moindre coût. Les connexions comme la fibre, l’ADSL ou la 4G/5G sont gérés de manière intelligente et redondante, assurant résilience et haute disponibilité informatique des services hébergés.
BGP (Border Gateway Protocol) avec plusieurs FAI
Autre solution envisageable pour compléter la redondance d’un réseau informatique, le protocole BGP avec plusieurs fournisseurs d’accès internet (FAI). Cette redondance au niveau des FAI permet un basculement automatiquement vers un autre fournisseur en cas de panne, et assure ainsi le maintien de la disponibilité des services hébergés.
Garantir la haute disponibilité de services hébergés nécessite une approche multi-facettes et l’association de différentes solutions telles que présentées jusqu’ici. La protection du réseau via des firewalls, le recours à des solutions de sauvegarde et de restauration de données, couplées à une connectivité robuste et redondante doivent être des sujets centraux de la continuité de services hébergés. Avec en ligne de mire, le maintien de la confiance envers les fournisseurs de services cloud vis-à-vis de leurs clients.