Azure Backup et la fonction Soft Delete : se protéger contre les suppressions accidentelles ou malveillantes

I. Présentation

Dans ce tutoriel, nous allons tester la fonctionnalité Soft Delete d’Azure Backup dont l’objectif est de lutter contre les suppressions accidentelles de sauvegardes, ainsi que les suppressions malveillantes (une cyberattaque, par exemple). Grâce à cette fonction, les sauvegardes supprimées restent récupérables pendant 14 jours, car elles sont supprimées de façon réversible. Ainsi, la sauvegarde supprimée se retrouve dans un état temporaire qui permet à l’administrateur de faire un retour arrière. On peut parler d’un état applicatif.

Voici le schéma officiel issu du site de Microsoft au sujet de cette fonctionnalité :

Cet article s’inscrit dans la série d’articles au sujet d’Azure Backup, dont voici les premiers épisodes :

II. Azure Backup : supprimer volontairement une sauvegarde

Pour que le test soit réel, nous allons arrêter la sauvegarder sur une machine virtuelle Azure protégée par Azure Backup et demander à ce que toutes les sauvegardes soient supprimées ! Un acte bien méchant s’il n’est pas souhaité… Pour cela, à partir du portail Azure, on va accéder au Centre de sauvegarde puis aux coffres afin de sélectionner le coffre « IT-Connect-BackupVault-VM« .

Dans le coffre, on clique sur « Éléments de la sauvegarde » à gauche puis sur « Azure Virtual Machine« .

Cela va permettre de voir les machines virtuelles Azure sauvegardées dans ce coffre. Ici, on va choisir une victime… Allons-y pour la VM « AZ-ADDS » !

Tout à droit, au bout de la ligne de la VM AZ-ADDS, on clique sur les « … » pour choisir l’option « Arrêter la sauvegarde » comme ceci :

Un assistant s’exécute… On choisit l’option « Supprimer les données de sauvegarde » et on indique le nom de la VM au niveau du champ « Tapez le nom de l’élément de sauvegarde« . Il faut également choisir un motif, ce qui n’a pas de réelle importance.

Une fois que c’est fait, on clique sur « Arrêter la sauvegarde » en bas de la page.

Azure va initier la suppression de l’ensemble des sauvegardes de cette VM ! Il pourrait s’agir d’un véritable acte de sabotage !

III. Récupérer les sauvegardes

Dans la liste des éléments, on constate un statut spécifique pour la VM AZ-ADDS : Supprimé de manière réversible.

Si l’on clique sur la VM, on voit qu’un message nous indique que l’on peut encore récupérer les sauvegardes avant qu’elles soient supprimées totalement. En fait, les sauvegardes sont dans l’état Soft Deleted pendant 14 jours à compter de la date et heure de suppression.

Pour initier la récupération, il faut cliquer sur le bouton « Annuler la suppression« . Une fenêtre va s’ouvrir à droite, il faudra cliquer sur le bouton pour confirmer.

Il suffit d’attendre, car c’est Azure Backup qui va prendre le relais pour rendre de nouveau accessibles l’ensemble des sauvegardes !

Ensuite, il faudra réactiver la sauvegarde sur la VM, car initialement, nous avions arrêté la sauvegarde. Il convient de cliquer sur le bouton « Reprendre la sauvegarde » puis de sélectionner la stratégie de sauvegarde à appliquer.

Voilà, tout est revenu dans l’ordre !

IV. État de l’option Soft Delete ou Suppression réversible

L’option Soft Delete ou Suppression réversible en français est activée par défaut sur les coffres Azure. Toutefois, il peut s’avérer utile de vérifier que c’est bien le cas. Pour cela, accédez à votre coffre à partir du Centre de sauvegarde Azure. Ensuite, cliquez sur « Propriétés » à gauche puis sous « Paramètres de sécurité » cliquez sur « Mettre à jour« .

Ici, on voit le paramètre « Suppression réversible » qui est sur l’état « Activé« . Ceci explique pourquoi, lors de cette démo, j’ai pu récupérer les sauvegardes suite à la suppression volontaire !

Bien sûr, il n’est pas recommandé de désactiver cette option qui apporte une réelle protection supplémentaire contre les cyberattaques ou les erreurs de manipulation. Ceci est d’autant plus intéressant qu’avec la durée de rétention de 14 jours configurée par défaut, il n’y a pas de coût supplémentaire.

Pour le moment, sur la région France d’Azure, il n’y a pas toutes les options pour la fonction Soft Delete. Si l’on accède aux options de configuration d’un coffre créé sur la région « Europe du Nord », on voit que c’est plus complet :

On a la possibilité de choisir une durée de rétention plus importante : de 14 jours à 180 jours, tout en sachant que cela va engendre des coûts supplémentaires, car il n’y a que pour la valeur par défaut (14 jours) où c’est gratuit (vous êtes facturé en fonction du nombre de jours supplémentaires). Enfin, le fait d’activer l’option « Enable Always-on soft delete » permet de s’assurer que l’option Soft Delete est toujours activée et qu’elle ne peut pas être désactivée.

V. Conclusion

La fonction Soft Delete d’Azure Backup est à connaître, et surtout, elle est rassurante vis-à-vis de la pérennité et la sécurité des sauvegardes réalisées dans Azure Backup ! N’hésitez pas à consulter les différents articles sur Azure Backup pour découvrir cette solution.