Stockage des sauvegardes : ExaGrid passe à la protection par IA
Le fabricant, qui a la particularité de séparer les sauvegardes du réseau via un sas étanche, va doter ses de baies de disques d’une IA capable de détecter les cyberattaques. Il prévoit aussi un modèle 100% SSD pour des restaurations plus rapides.
L’américain ExaGrid, qui propose des baies de disques uniquement destinées au stockage des sauvegardes, lancera d’ici à la fin de l’année une version de son produit dotée à 100% de SSD et il enrichira bientôt son système d’exploitation d’une IA capable de détecter les cyberattaques contre ses contenus. Telles sont les deux plus importantes annonces du fournisseur parmi toutes celles qu’il a dévoilées en avant-première à l’occasion d’un événement IT Press Tour consacré aux acteurs américains qui innovent dans le stockage.
Également, le dernier grand logiciel de sauvegarde qui n’était pas encore compatible avec les baies ExaGrid, Cohesity, sera supporté dès le début de l’année 2026. En attendant, les baies prennent désormais en charge la fonction Archive Tier de Rubrik, de sorte à pouvoir restaurer depuis le même endroit à la fois les sauvegardes récentes et les plus anciennes. Rappelons que les baies ExaGrid sont communément utilisées avec les logiciels de sauvegarde Veeam, Commvault, NetBackup et, donc, Rubrik.
Enfin, les baies ExaGrid servent aussi de réceptacle aux copies de secours que les moteurs de bases de données génèrent eux-mêmes, via des dumps SQL. Dans cette catégorie, le fournisseur annonce être à présent compatible avec le système de délestage Ops Manager typique de MongoDB. Précédemment, ExaGrid supportait aussi RMAN, le système équivalent des bases de données Oracle.
« Nous avons plus de 4800 clients dans 132 pays qui préfèrent utiliser nos baies spécialisées plutôt que se servir des baies génériques de Dell, HPE, NetApp, Pure Storage, Hitachi Vantara, Huawei ou IBM pour leurs sauvegardes. Pour la bonne et simple raison que nous sommes les seuls à adresser des problématiques spécifiques au stockage des sauvegardes », argumente Bill Andrews, le PDG d’ExaGrid (en photo en haut de cet article).
« Le marché des baies dédiées au stockage des sauvegardes est estimé à 6,8 milliards de dollars par an. Pour les géants des équipements datacenters, c’est une goutte d’eau à se partager. Mais pour nous, c’est une opportunité énorme, qui justifie nos efforts pour avoir la meilleure offre », ajoute-t-il. Il estime aussi que les appliances d’appoint que les éditeurs de sauvegarde proposent de temps à autre – souvent des tiroirs de disques sur lesquels ils se contentent d’apposer leur marque – ne sont pas compétitives.
Une Landing zone pour mettre les sauvegardes à l’abri des cyberattaques
La particularité technique des baies ExaGrid est la même que celle mise en valeur par le système français Oxibox, que LeMagIT a récemment rencontré : il y a un sas étanche entre le réseau d’où arrivent les sauvegardes et les disques sur lesquels elles seront hébergées. ExaGrid parle de Landing zone. Techniquement, le réseau écrit vers ce qu’il croit être le NAS dédié aux sauvegardes. Mais il s’agit en réalité d’un serveur qui réceptionne les données et les transfère, avec ses commandes à lui, vers le stockage définitif qui, lui, n’est pas visible sur le réseau. Ce dispositif permet de bloquer toute commande envoyée depuis le réseau par un malware pour détruire, chiffrer ou voler les sauvegardes.
« Typiquement, un malware ou un pirate va parvenir à capturer le login et le mot de passe d’un compte administrateur sur le système de sauvegarde et va s’en servir pour porter atteinte au contenu de la baie de sauvegarde. Sauf que, dans notre cas, ses actions ne vont impacter qu’un minuscule bout de contenu encore situé sur dans la Landing zone au moment de l’attaque, ce qui ne causera aucun dommage », explique Bill Andrews.
Landing zone et volume de stockage sont en l’occurrence deux machines virtuelles logées sur la même machine physique, la baie ExaGrid. Le système d’exploitation de la Landing zone ne voit ni l’adresse réseau ni les disques de la partie stockage, seul le logiciel d’ExaGrid y a accès via des ordres directs au noyau qui exécute les deux machines virtuelles. Même en dérobant un compte administrateur sur la baie ExaGrid, un attaquant ne pourrait rien y faire avec des commandes standard Linux ou Windows.
Particulièrement efficace contre les cyberattaques, la Landing zone d’ExaGrid a néanmoins été développée dans un tout autre but. Elle sert à dédupliquer les contenus au fur et à mesure qu’ils arrivent, pour économiser de la capacité de stockage.
« Cette réduction de la taille des données au fil de l’eau, que nous appelons Adaptive Deduplication, permet un travail d’écriture en temps réel, alors que tous les autres systèmes de stockage procèdent à cette réduction une fois la sauvegarde complète achevée. L’avantage de notre approche est que vous n’avez pas à attendre pour lancer la prochaine sauvegarde. Concrètement, les fenêtres de sauvegarde sont plus courtes sur nos baies », argumente le PDG.
Il avance aussi que cette technique nécessite moins de capacité de stockage brut dans la baie. Enfin, elle serait totalement compatible avec les efforts de déduplication que peuvent faire les logiciels de sauvegarde à la source, ou encore RMAN d’Oracle. À la fin, la promesse est d’obtenir une sauvegarde stockée dont la taille est quatre fois moindre que les données sources. Cette déduplication est complétée par un chiffrement, qui se fait aussi à la volée.
Évidemment, la partie stockage est elle-même chapeautée par un logiciel qui implémente les bonnes pratiques des sauvegardes. On y trouve notamment les réplications vers des sites distants – dont l’adresse n’est pas non plus connue du réseau sur lequel se propage le malware – ou encore des délais de rétention des données avant leur effacement.
Une IA pour lancer l’alerte et préserver plus longtemps les sauvegardes
La nouvelle fonction d’IA capable de détecter les cyberattaques s’exécute depuis la Landing zone. Son intérêt principal est de faire la différence entre les ordres d’effacement légitimes (par exemple pour supprimer une ancienne sauvegarde) et ceux qui ne le sont pas, par exemple parce qu’ils sont trop nombreux en peu de temps. « Une entreprise n’efface jamais plus de 25% de ses sauvegardes d’un coup », illustre Bill Andrews.
En cas de découverte d’une opération malveillante, l’IA déclenche une alerte qui invite les administrateurs à vérifier la sécurité de leur réseau ; ExaGrid prétend que des entreprises qui ont prétesté la fonction auraient découvert ainsi une cyberattaque que leurs autres systèmes n’avaient pas encore signalée. Elle stoppe aussi la procédure d’effacement automatique des vieilles sauvegardes redondantes, fixée par défaut à dix jours. « Cette mesure consiste essentiellement à pouvoir mener des investigations après coup en analysant les anciennes sauvegardes pour comprendre comment le malware s’est répandu », dit le PDG.
Il précise que cette fonctionnalité est capable, chez un fournisseur de service qui exécute les sauvegardes de tous ses clients vers une seule baie ExaGrid, de différencier les utilisateurs. Ainsi, si seule la sauvegarde d’un client est attaquée, via l’identifiant de ce client, alors le maintien des vieilles sauvegardes ne s’applique qu’à lui. Il en va de même pour les règles de restauration automatique vers un site de secours.
Des SSD pour accélérer les restaurations
Les baies ExaGrid se présentent sous la forme de boîtiers 2U offrant 96 à 432 To de capacité brute sur disques durs, avec des débits allant de 7,9 à 20,3 To/heure. Il est possible de mettre jusqu’à 32 baies en cluster pour augmenter la capacité utile. Ces baies sont conçues pour stocker les sauvegardes les plus récentes et délester les plus anciennes vers un stockage secondaire, dédié aux archives.
Les nouvelles versions à base de SSD n’auront pas vocation à augmenter cet espace de stockage, mais juste à accélérer les accès, pour réduire la durée des sauvegardes et des restaurations.
« En fait, nous n’utiliserons pas de SSD QLC capacitifs. Nous utiliserons des modèles TLC qui offrent moins d’espace de stockage, mais qui s’usent beaucoup moins vite. C’est essentiel dans une solution de sauvegarde, d’autant plus pour une marque comme la nôtre qui se base depuis toujours sur des disques durs, lesquels ont une longévité extraordinaire », lance Bill Andrews.
Dans les faits, les disques durs reposent sur des moteurs qui peuvent casser lors des écritures intensives sur des blocs éparpillés, ce qui n’est jamais le cas lors des sauvegardes. Les SSD sont quant à eux composés de cellules de NAND dont les résistances électriques s’abîment au fur et à mesure, quelle que soit l’intensité des écritures. Un SSD TLC contenant trois bits par cellule, il s’use entre 25 et 30% moins vite qu’un SSD QLC qui contient 4 bits par cellule.
« À capacité égale, les SSD coûtent six fois plus cher que des disques durs. Cependant, on nous a demandé d’en équiper nos baies pour trois raisons. La première est pour accélérer les délais de restauration en cas d’urgence. La seconde est pour économiser de l’électricité, car ils sont moins énergivores que les disques durs. La troisième est purement idéologique. Certaines entreprises ne veulent plus de disques durs dans leur datacenter », conclut Bill Andrews.
À ce stade, il ne se prononce par encore sur le gain de vitesse apporté par ses futures baies basées sur des SSD.
Pour approfondir sur SAN et NAS
-
![]()
Sauvegarde : le Français Oxibox a une solution cyber-sécurisée
Par: Yann Serra
-
![]()
Stockage : Synology part à la conquête des grandes entreprises
Par: Yann Serra
-
![]()
Stockage : Quantum ou la frénésie d’annoncer des produits
Par: Yann Serra
-
![]()
NetApp : « nous voulons devenir l’un des principaux acteurs du stockage SAN »
Par: Yann Serra
