Au coeur de la Silicon Valley: Sauvegarde fine chez BackBlaze et sécurité pointue de Palo Alto Networks

Après une escale en Floride à Fort Lauderdale pour visiter Datacore, notre première journée dans la Silicon Valley nous a permis de rencontrer BackBlaze, une pure start-up spécialisée dans la sauvegarde en ligne, et Palo Alto Networks, fondée par un jeune vétéran de la sécurité des réseaux, Nir Zuk.

Dans la cour d'un immeuble de San Mateo, un petit escalier mène dans les locaux d'une jeune start-up baptisée BackBlaze. Fondée en 2007 par deux quadras, Gleb Budman (CEO, voir ci-dessous) et Brian Wilson (CTO) qui ont déjà vendu deux autres start-up(Kendara revendue à Excite@Hoem et MailFrontier à SonicWall) , BackBlaze repose sur une idée simple : faciliter et automatiser la sauvegarde en ligne des PC portables et des ordinateurs de bureau des particuliers et des PME-PMI.

Pour ce faire, la start-up a fixé un prix unique de 5$ par mois pour une quantité illimitée de données. Le plus gros client héberge ainsi en ligne pas moins de 10 To. Un cas extrême, mais qui répond bien à la philosophie de la petite entreprise (11 salariés à ce jour) : « nos clients ne doivent pas perdre de données et comme nous ne voulons pas stresser nos clients, ils peuvent tout sauvegarder » précise Gleb Budman. Il faut bien sûr installer un logiciel, un agent système en fait, sur son PC ou son Mac (pas encore de version Linux) qui envoie et synchronise les données sur les serveurs de BackBlaze hébergés dans un datacenter à Fremont. Si BackBlaze ne demande aux utilisateurs de sélectionner les données qu'ils veulent archiver, la start-up élimine les fichiers inutiles comme le système d'exploitation, les applications et les différents caches des logiciels.

Compression et dédup en standard

Les données conservées sont ensuite compressées, dédupliquées et cryptées sur les appliances de BackBlaze. C'est en effet une des particularités de cette start-up. Elle a en effet conçu une appliance baptisée Storage Pod d'une capacité maximale de 67 To avec des disques durs de 2 To. Configuré en RAID 6, ce serveur dédié peut ainsi perdre 1 ou 2 disques durs sans conséquence pour les données des clients. De type distribué, le stockage est réparti sur toutes les appliances animées par une version très allégée de la distribution Linux Debian.

L'architecture distribuée de BackBlaze repose sur une solution baptisée Central Authority qui répartit toutes les données entre les Pod et ce sans faire appel à une base de données. « Avec le temps, les bases de données deviennent gigantesques et ralentissent considérablement l'ensemble de la plate-forme. Nous avons préféré nous affranchir de cette contrainte lors de la conception de notre solution de stockage » précise Gleb Budman.

Une solution développée en interne

Si BackBlaze a fini par accepter de vendre ses Storage Pod - mais sans assurer de support - elle garde la main sur son logiciel. « Nous ne licencions pas notre programme, c'est le coeur de notre solution de sauvegarde » nous a indiqué Brian Wilson. Aujourd'hui, la start-up dispose d'une centaine de Pod avec plus de 2500 disques durs. Soit une capacité de stockage de 10 Pétaoctets. « Nous installons 10 nouveaux Pod tous les mois et remplaçons un ou deux disques durs cramés tous les semaines. »

La solution de sauvegarde incrémentale de cette start-up n'est pas seule sur le marché, mais elle permet de conserver des fichiers d'une taille maximale de 9 Go pendant 30 jours. La restauration est possible via un navigateur web, un DVD (99 $ avec une expédition partout dans le monde) ou un disque dur externe (199$ avec une expédition partout dans le monde). Mais pour restaurer ses données, il est bien sûr nécessaire de sauvegarder ses données. Gleb Budman rappelle pour l'anecdote qu'une de ses clients n'arrivait pas à récupérer ses données en ligne... et pour cause après la création de son compte (une adresse email, un mot de passe et une carte bancaire suffisent), il n'avait jamais installé l'agent système...

[[page]]
Une génie de la sécurité chez Palo Alto Networks

Changement de métier avec Palo Alto Networks. Si la sécurité est encore à l'ordre du jour, la société spécialisée dans la conception de firewall a été créée en mars 2005 par des gens qui pensaient qu'il y avait de graves lacunes dans ce domaine. La tête pensante de cette entreprise installée à Sunnyvale est bien connue dans le petit monde des firewalls : il s'agit du percutant Nir Zuk. Prodige des mathématiques, cet Israélien a fait parti de l'équipe qui a conçu la technologie d'inspection des paquets IP chez CheckPoint Software à la fin des années 90. Depuis il est passé par NetScreen et Juniper avant de fonder Palo Alto Networks à partir d'une idée simple : « toutes les technologies de sécurité utilisaient aujourd'hui pour protéger Internet datent des années 90. Toutes les compagnies utilisent des dérivés de la technologie d'inspection des paquets que j'ai développée pour les firewalls Check Point ».

Mais depuis les usages et les attaques ont bien changé. « Les firewalls ne protègent que le web et les emails et ignorent les autres usages : SalesForce, WebEX ou encore SharePoint. Facebook pose également un problème particulier en terme de sécurité. Les entreprises bloquent ou laissent passer le service avec tous les problèmes. Personne ne sécurise aujourd'hui Facebook tout comme Linkedin ou Viadeo en France. Skype est un autre exemple de bad application. Nous recommandons à tous nos clients de bloquer ce service ainsi que LogMeIn ou Tor mais s'ils le font les utilisateurs trouveront le moyen de contourner le blocage. Il est donc nécessaire de protéger les utilisateurs ».

Suivre les évolutions des usages

Provocateur, Nir Zuk finit toutefois par avouer qu'il ne s'agit plus aujourd'hui de bloquer des services devenus courants dans les entreprises, mais bien de sécuriser les accès. « Il faut reconnaître les nouvelles applications et les bloquer avant d'obtenir leur signature et d'établir une règle. » A l'usage, la société propose des firewalls aux défenses personnalisables et plus seulement périmétriques. Le moteur Pan-OS 4 des boitiers analyse les paquets émis par les applications actives sur le réseau et sur l'exploitation des profils utilisateur contenus dans Active Directory. Cela permet d'appliquer des règles de sécurité au niveau de chacun des utilisateurs en fonction de leur profil. Ce n'est plus l'adresse IP sur laquelle repose la politique de sécurité, mais sur l'identité de l'utilisateur. De plus, ces appliances sont capables d'identifier les applications web actives sur le réseau en analysant les paquets qui y transitent.

Aujourd'hui, Palo Alto Networks possède une base forte de 20 000 signatures qui continue de s'enrichir. Elle propose bien sûr d'utiliser des black listes avec son algorithme baptisé NGFWs Scan. Développé par Nir Zuk, ce dernier équipe les firewalls de nouvelle génération de Palo alto Networks. Très fier de son moteur d'analyse, le fondateur et CTO de la compagnie, précise que ce dernier ne contrôle pas tous les paquets, mais seulement ceux qui lui paraissent suspects. « C'est l'intelligence de notre moteur ». La firme a lancé un firewall 20 Gigabits, le PA-5060, capable d'adresser jusqu'à 100 000 utilisateurs environ et prépare une version 40 Gigabits et même 240 Gigabits (6 x 40 Gigabits en fait dans un même châssis). Ces équipements reposent sur un OS spécifique Pan-OS sur lequel le directeur technique ne désire guère s'attarder. On saura juste qu'une release majeure est proposée tous les six mois et qu'il s'agit d'un OS robuste qui peut sembler ressembler à Linux.