Comment AvePoint améliore la sécurité pour les clients Azure BYOS

De nombreux produits AvePoint permettent aux clients d’utiliser un modèle BYOS (« Bring-Your-Own-Storage », Apportez votre propre stockage) pour répondre à leurs besoins opérationnels et de sécurité. Nous conseillons fortement aux clients qui utilisent le stockage Azure comme support BYOS d’utiliser la même région Azure qu’AOS pour une performance optimale.


En savoir plus :


Les contrôles de sécurité comprennent souvent un pare-feu pour une sécurité renforcée. Nous publions donc nos adresses IP connues pour vous fournir un point de terminaison connu, afin de pouvoir travailler dans le cadre des paramètres définis de votre pare-feu.

Cette approche pose problème lorsque l’on se situe à la croisée de ces deux solutions. Du fait de la manière dont Microsoft Azure gère le trafic au sein d’une même région, l’accès depuis les services AvePoint vers le stockage Azure situé dans la même région sera acheminé via les adresses IP internes d’Azure pour une meilleure performance. Par conséquent, les clients possédant cette configuration ne peuvent pas utiliser les pare-feux basés sur IP.

Mais nous avons une bonne nouvelle ! Le réseau virtuel de Microsoft Azure (VNet) possède désormais une fonctionnalité qui permet d’autoriser les règles de pare-feu de stockage Azure basées sur le paramétrage de point de terminaison VNet. Les clients BYOS d’AvePoint pourront désormais utiliser le stockage Azure dans la même région tout en conservant les normes de sécurité pour garantir la sécurité du trafic sur le réseau. Nous publierons une mise à jour de notre plateforme cloud AOS en novembre 2021 pour y intégrer VNet. Les restrictions d’adresse IP existantes devront alors être mises à jour afin que cela n’ait pas de répercussion sur les opérations de sauvegarde.

Qui est concerné ?

Ce changement sera transparent pour la plupart des clients. Toutefois, les clients qui utilisent le BYOS avec des pare-feux basés sur IP devraient lire la suite ! À partir de janvier 2022, le point de terminaison de stockage VNet sera activé à l’échelle mondiale pour les produits suivants :

  • Cloud Backup : les clients qui configurent leur propre stockage pour accueillir les données de sauvegarde au lieu d’utiliser le stockage par défaut d’AvePoint.
    • Cloud Backup pour Microsoft 365
    • Cloud Backup pour Dynamics 365
    • Cloud Backup pour Google Workspace
    • Cloud Backup pour Salesforce
    • Classic Backup (anciennement appelé DocAve Online, Exchange Online et Granular Backup).
  • Cloud Archiver : les clients qui configurent un stockage personnalisé. Cela comprend les clients de Cloud Records qui utilisent Cloud Archiver.
  • Cloud Governance : les clients qui ont configuré leur propre stockage Blob Azure dans « Emplacement d’exportation des rapports ».
  • AvePoint Online Services pour les partenaires : les partenaires qui configurent leur propre stockage lorsqu’ils utilisent la fonctionnalité « Service de démarrage » pour Cloud Backup pour M365 et Cloud Backup pour G-suite.
  • AvePoint Online Services : les clients qui utilisent « Collection de données de rapport » pour enregistrer les journaux d’audit dans leur propre stockage. Cette configuration fonctionne généralement pour Policies pour Microsoft 365, la fonctionnalité Report Center dans Cloud Management et Cloud Insights.

Ce changement programmé sera transparent pour la majorité de nos clients. Il se peut cependant qu’il ait des répercussions pour un très petit nombre de clients. Par exemple :

  1. Vous avez souscrit à AvePoint Online Services dans le centre de données East US avec le BYOS activé. Si votre stockage se trouve dans Azure West US et si vous avez activé les pare-feux basés sur IP, alors ce changement vous concerne ! (West US est la région Azure couplée avec East US.)
  2. Vous avez souscrit à AvePoint Online Services dans le centre de données East US avec le BYOS activé. Si votre stockage se trouve dans Azure Central US et si vous avez activé les pare-feux basés sur IP, alors ce changement sera SANS CONSÉQUENCE pour vous ! (Central US n’est pas la région Azure couplée avec East US.)

Le tableau suivant dresse la liste des scénarios pour savoir si vous risquez d’être impacté :

Tableau de couplage entre les régions Azure et les centres de données AOS :

Très bien, je suis concerné. Et après ?

Si cela vous concerne (encore fois, cela ne concerne qu’une petite minorité de clients), vous devrez ajouter des règles de pare-feu basées sur le réseau virtuel Azure (VNet) à votre stockage Azure BYOS. Nos équipes d’assistance et de succès client sont là pour vous aider à le faire dès que vous serez prêts. Nous vous conseillons de programmer cette démarche lors de la sortie de notre mise à jour en novembre.

Pour résumer, voici ce que devrons faire les clients qui utilisent le BYOS avec le stockage Azure et qui ont besoin d’activer un pare-feu pour le stockage :

  • Si le stockage Azure est dans la même région Azure ou région de couplage qu’AOS, il faudra ajouter des règles de pare-feu basées sur VNet.
    • Nous conseillons également d’ajouter une règle de pare-feu basée sur IP pour une meilleure flexibilité.
  • Si le stockage Azure se trouve dans d’autres régions Azure, vous devrez ajouter un pare-feu basé sur IP.

Cette modification devra être effectuée juste après la mise à jour d’AOS en novembre, qui sera effective à partir du 07/11/2021 à 9 heures (heure UTC).

Produits AvePoint

Vous cherchez à assurer une protection optimale de vos données ? AvePoint vous propose Cloud Backup qui vous offre une grande tranquillité d’esprit en cas de catastrophe et récupère rapidement le contenu perdu ou corrompu à partir de vos sauvegardes.


Pour recevoir tous nos articles sur AvePoint, abonnez-vous à notre blog !