vendredi , 19 juillet 2024

Comment HPE Zerto peut-elle promettre une reprise après sinistre en quelques minutes?

L’essor du ransomware accentue le besoin en réplication des données. Zerto de HPE avance une arme fatale: la restauration quasi instantanée. Ben voyons…
Ziv et Oded Kedem, les frères cofondateurs de Zerto
Ziv et Oded Kedem, les frères cofondateurs de Zerto

Avec Zerto, toute entreprise parvient simplement à automatiser et à orchestrer le basculement et la restauration automatique d’un environnement informatique afin de garantir un temps d’arrêt minimal en cas de sinistre.
Sur le marché de la continuité d’activité, sa plateforme propose une protection des données en continu (CDP pour Continuous Data Protection), sur site, dans le cloud (y compris en mode natif) ou en mode hybride. Utile aussi pour migrer un environnement applicatif avec un minimum d’interruption.
Depuis son lancement en 2011 (la société fut créée en 2009 par les frères Ziv et Oded Kedem), la solution de Zerto a rapidement conquis le marché. Son rachat par HPE pendant l’été 2021 a encore accéléré son empreinte et sa visibilité.
«Depuis le rachat par HPE, Zerto est plus visible, mais reste encore peu connu,» reconnait néanmoins Siham Eisele, directrice commerciale Europe du nord chez Zerto. «Le principe est très simple: l’utilisateur indique les VM à répliquer, et Zerto prend en charge ces VMs, quelle que soit leur fonction. En cas d’incident, pas besoin de recopier les VM pour redémarrer. Quand les clients utilisent la solution pour la migration, il suffit de trois clics pour que les VM soient répliquées (en mode haute disponibilité) avec des points de restauration de l’ordre de 5 secondes en moyenne. Réellement en 3 clics ! Et cela est très bluffant lorsque les clients essaient la solution.»

Siham Eisele, directrice commerciale Europe du nord chez Zerto.
Siham Eisele, directrice commerciale Europe du nord chez Zerto.

Si Zerto doit compter avec des concurrents comme Veeam ou VMware vSphere Replication, ces derniers sont aussi ses partenaires. Or, l’écosystème de partenaires est justement une force de l’éditeur, qui a bénéficié du rachat par HPE. «Nous adressons plutôt le mid-market, avec deux cibles principales: les PME/PMI et les MSP (segment en croissance avec des références comme OVH, Antemeta, OBS… ), les PME/PMI. Le réseau HPE nous ouvre un marché de volume, avec une formation dispensée par Zerto et HPE,» rapporte Siham Eisele.
Outre la disponibilité en mode cloud, sur site ou hybride, l’éditeur propose des licences en mode classique (Opex) ou en mode souscription (Capex). Par ailleurs, les MSP proposent une facturation à l’usage. Enfin, la solution est disponible via la formule GreenLake (“pay as you go” en mode hybride, incluant le service) pour le DRaaS -récupération après sinistre sous forme de service, et bientôt pour le Vault -voir plus bas.
Zerto se distingue sur les marchés du DRaaS et de la protection anti-ransomware par ses choix technologiques, sa simplicité (quelques clics) et sa rapidité de reprise après incident (ou de migration).

La technologie de Zerto sait gérer, protéger, restaurer et déplacer les données et applications entre environnement sur site, clouds et en multicloud.
La technologie de Zerto sait gérer, protéger, restaurer et déplacer les données et applications entre environnement sur site, clouds et en multicloud.

Une approche différente et performante.

Les solutions traditionnelles de reprise après sinistre (Disaster Recovery) ont été conçues pour protéger les environnements physiques. Elles utilisent donc une réplication basée sur les équipements de stockage, rendant complexe la réplication d’environnements ou applications sur machines virtuelles (VM). Des solutions complémentaires sont donc apparues pour gérer l’orchestration et l’automatisation des VM sur ces logiciels de stockage. Plus de complexité et de compétences spécifiques…
Positionnés en alternative, les snapshots (instantanés) ont été pensés pour la sauvegarde avant d’être utilisés en réplication. «Souvent peu évolutifs, moins automatisés, et complexes à gérer, ils sont souvent utilisés seulement une ou deux fois par jour, augmentant le risque de perte de données,» affirme Zerto.
Logiciel de protection continue des données (CDP pour Continuous Data Protection), Zerto Disaster Recovery a été conçu pour être évolutif à l’échelle. Sa technologie repose sur une sauvegarde en continue de chaque écriture sur les VM concernées (VMware vSphere Hypervisor ou Microsoft Hyper-V) d’un environnement source vers un environnement cible. Pour prendre en compte tout le périmètre d’une application, l’utilisateur peut définir des Virtual Protection Groups (VPG, voir plus bas).
La solution 100% logicielle fonctionne dans une VM sur site ou dans le cloud: VMware vSphere, Microsoft Hyper-V, Microsoft Azure, Amazon Web Services (AWS), IBM Cloud, ou sur tout cloud via VMware Cloud Foundation. Cette sauvegarde continue de VMs réduirait le RTO à quelques secondes (Recovery Time Objective ou Objectif de Temps de Récupération: temps nécessaire pour restaurer un service) et le RPO à quelques minutes (RPO Recovery Point Objective ou Objectif de Point de Récupération: perte de données acceptable).

Quelques scénarios de migrations avec Zerto Multi-Cloud Mobility
Quelques scénarios de migrations avec Zerto Multi-Cloud Mobility

Trois offres de protection des données sans impact… ou presque

Outre la reprise après sinistre, Zerto a développé Multi-Cloud Mobility et Zerto Cyber Resilience Vault sur sa plateforme de CDP.
Multi-cloud Mobility facilite la migration de données et d’applications d’un environnement vers l’autre avec un minimum d’impact et sans contrainte d’infrastructure matérielle sur site, dans le cloud ou en hybride. Ou encore, vers un prestataire de services ligne proposant l’offre Zerto. Cette migration est réalisée sans arrêter la production. Cerise sur le gâteau: l’entreprise peut tester cette migration pour s’assurer de sa réussite avant d‘effectuer la bascule. Il est aussi possible de migrer entre environnements cloud, ou sur site, et de revenir en arrière. Et tout cela avec la même technologie, les mêmes interfaces et les mêmes compétences.
Zerto for Ransomware Resilience prend en charge la récupération après attaque par ransomware. Pendant la réplication en continu, Zerto sait détecter un chiffrement suspect des données et envoie alors une alerte. Analyse effectuée en temps réel, pas sur les données une fois répliquées. Par ailleurs, l’entreprise peut récupérer un environnement “propre” grâce aux points de restauration séparés en 5 à 15 secondes. La granularité de la récupération permet de restaurer un fichier ou dossier individuel, une machine virtuelle unique, une application multi-machines ou un site virtualisé entier.
Enfin, Zerto Analytics affiche en temps réel des résultats concernant les VM protégées dans les clouds privés, publics et hybrides: RPO moyen, performances réseau, consommation du stockage… Outre la surveillance en temps réel (tendances, détection d’anomalies, résolution de problèmes, etc.), la planification de capacité permet d’anticiper les besoins.

Les Virtual Protection Groups (VPG), l’une des forces de Zerto: répliquer et sauvegarder tout un environnement applicatif, au-delà de la VM.
Les Virtual Protection Groups (VPG), l’une des forces de Zerto: répliquer et sauvegarder tout un environnement applicatif, au-delà de la VM.

Comment ça marche ?

Pour prendre en charge les VM et assurer leur copie et leur protection, plusieurs composants Zerto interviennent au cœur de la solution. «Les VMS de Zerto sont déployées au niveau de l’hyperviseur et non au niveau des VMs à gérer. Et ce déploiement s’effectue sur le site source et sur le site cible,» confirme Siham Eisele. «Les VMs à gérer et à répliquer ne sont pas inventoriées, donc non démarrées sur le(s) site(s) cible(s).»
Pour les applications nécessitant l’exécution de plusieurs VMs, l’éditeur a créé les Virtual Protection Groups (VPG). Zerto ne se contente pas de protéger une VM, mais un ensemble de VM de façon cohérente. En effet, toutes les informations de ces VM sont sauvegardées et ajoutées au Journal (voir plus bas) en temps réel.
Ainsi, même si ces VM s’exécutent sur des hôtes différents, tout point de restauration saura récupérer l’ensemble des informations nécessaires au fonctionnement de l’application.

Zerto offre le tout-en-un pour la récupération après sinistre
Zerto offre le tout-en-un pour la récupération après sinistre

Service Windows installé dans une VM très sécurisée, Zerto Virtual Manager (ZVM) ne gère pas la réplication elle-même, mais tous les éléments nécessaires à cette réplication ou à la restauration des données entre les sites source et cible. Véritable plan de contrôle, il orchestre tout le processus et assure la cohérence des données.
Via l’interface utilisateur de gestion de l’hyperviseur (vCenter Server, par exemple), la ZVM récupère l’inventaire des machines virtuelles, des disques, des réseaux, des hôtes, etc. Les éléments de protection sont paramétrés via l’interface conviviale de la ZVM, qui propose aussi la configuration de workflows de récupération ou de surveillance, entre autres.
Sur chaque hôte (ESXi par exemple), une Virtual Replication Appliance (VRA) assure la réplication des données et stocke les données dans le Journal (voir plus bas). Il s’agit d’une VM Linux très légère (3 Go de Ram et 1 vCPU), sur une architecture évolutive qui s’adapte selon les besoins. Cette VRA prend aussi en charge la détection du chiffrement en ligne en temps réel, souvent signe d’attaque par ransomware.
Pour reproduire ces mécanismes dans le cloud en profitant de l’intégration à AWS et à Azure, l’éditeur a conçu les Zerto Cloud Appliance (ZCA).
L’Azure ZCA est l’équivalent de ZVM sur site. Une appliance ZVM s’exécute sur Azure IaaS et utilise le stockage en mode Block Blob ou Page Blob de la plateforme, économique et performant. La réplication est réalisée par des instances VRA dédiées dans le cloud, évolutives grâce aux technologies Azure. Ces VRA s’ajustent dynamiquement selon les besoins.
L’AWS ZCA regroupe gestion (ZVM) et réplication (VRA) sous forme de services dans une unique VM. Elle s’intègre nativement à la plateforme AWS ouvrant directement l’accès au stockage Amazon S3 pour les informations du Journal Zerto.

La réplication à distance par Zerto dans divers scénarios.
La réplication à distance par Zerto dans divers scénarios.

Un espace temporel plus rapide… ou intouchable

En plus de la réplication d’une VM, le Journal stocke à la volée toutes ses modifications pendant une période prédéfinie par l’utilisateur (une heure à 30 jours). Objectif: une restauration en quelques secondes à partir de tout point de restauration du Journal. Toute écriture sur une VM protégée est répliquée (une ou plusieurs fois) par Zerto sur site ou à distance. En parallèle, elle est aussi copiée dans le journal par la VRA. Et chaque VM a son propre journal. A chaque modification d’une application, tous les journaux des VM concernées sont mis à jour avec un horodatage constituant un point de contrôle (VPG). La restauration peut alors s’appuyer sur ces points de contrôle pour revenir à un état antérieur de l’environnement (non contaminé par exemple).
Outre la restauration d’un environnement avec un minimum de perte de données, la réglementation impose à certaines entreprises une stratégie de protection des données à base de copies immuables.
Zerto Extended Journal Copy se base sur le Journal de Zerto pour stocker les données sur de plus longues périodes (selon les souhaits de l’utilisateur), et copie les données déjà sauvegardées. Le stockage cible peut aussi être délesté en déplaçant les données vers un autre stockage à plus long terme (disque, objet, cloud…), en les marquant éventuellement comme immuables, sans impacter la production. Pour le stockage vers le cloud public (AWS, Azure…) Zerto propose une hiérarchisation des données pour choisir la solution la plus rentable.

Zerto Cyber Resilience Vault combine les technologies Zerto et HPE et le matériel HPE pour lutter contre les ransomwares ou autres cyber-attaques.
Zerto Cyber Resilience Vault combine les technologies Zerto et HPE et le matériel HPE pour lutter contre les ransomwares ou autres cyber-attaques.

Plus loin avec HPE pour la lutte anti-ransomware

Disponible depuis le lancement de Zerto 10 en mai 2023, Zerto Cyber Resilience Vault est une appliance physiquement isolée stockant des copies immuables sur du matériel sécurisé et performant. Il s’agit d’une solution packagée, donc pas 100% logicielle.
«Cette offre combine la technologie Zerto, les baies de stockage HPE Alletra, les serveurs HPE Proliant et les équipements réseau HPE Aruba,» précise Siham Eisele. «Chaque modification de VM est chiffrée, compressée et répliquée sur une architecture de réplication (Proliant/Alletra/Aruba). En colocation sur le même site, une infrastructure Vault similaire (Proliant/Alletra/Aruba) est isolée d’Internet et de tout réseau. Et la réplication entre les deux s’effectue en temps réel via un protocole propriétaire.»
Le Resilience Automation Server (RAS) du Vault est une VM légère interagissant avec les services natifs HPE Aruba et HPE Alletra pour assurer la cyber-résilience. La solution enclenche l’activation/désactivation des ports (“pour assurer une réplication tout en maintenant l’isolation”); la génération de snapshots immuables via la technologie de verrouillage d’HPE Alletra; la récupération des ZVM, journaux et répliques afin de pouvoir “rebâtir un déploiement Zerto propre”, et enregistre les actions du Vault pour un audit éventuel. On notera que dans cette situation, Zerto recourt à la technologie des snapshots.

Bien entendu, la compréhension de cette technologie (plutôt simple) favorise une bonne appréhension de la solution. Toutefois, elle n’est pas indispensable aux utilisateurs métier. En effet, la DSI ou le prestataire en ligne peuvent paramétrer les quelques éléments initiaux, et le fort degré d’automatisation démocratise grandement toutes ces opérations. Cela explique en grande partie le succès de Zerto, et la raison de son rachat par HPE.

S’abonner pour accès illimité 1 an

250,00 HT

Check Also

La Cato MSASE Partner Platform offre la gestion, la supervision, et les recommandations (même pour la vente).

Avec MSASE Partner, Cato veut répandre la bonne parole du SASE

Bien plus qu’une ouverture de son cloud aux partenaires, Cato Networks propose sa MSASE Partner Platform: gestion, supervision et recommandations. 100% gratuite!