NouveauPVE/PBS : Datastores immuables
remote-backups.comremote-backups.com
Contact illustration
Connexion
Mot de passe oublié ?
Pas encore de compte ?S'inscrire
À partir de €3/To/mois* · Facturation à l'usage

Sauvegardes immuables

Une copie en lecture seule de vos sauvegardes que personne ne peut modifier ni supprimer. Ni vous, ni un script malveillant, ni un ransomware. Protégé par la séparation des credentials et des tâches de synchronisation contrôlées.

Activer les sauvegardes immuablesComment ça fonctionne

Trois menaces, une solution

Les sauvegardes immuables créent un datastore séparé qui synchronise automatiquement depuis votre principal. Les suppressions ne se propagent pas. Les credentials sont isolés. Vos données survivent.

Ransomware

Un attaquant qui compromet vos credentials PBS peut supprimer des snapshots via l'API. Votre copie immuable est contrôlée par une tâche de synchronisation séparée avec des credentials séparés que vous ne détenez pas. Même une compromission complète des credentials laisse les données immuables intactes.

Erreur humaine

Une tâche de prune mal configurée pour conserver 3 au lieu de 30 snapshots. Une suppression en masse sur le mauvais datastore. Un script pointant vers la production au lieu du staging. Les sauvegardes immuables maintiennent leur propre rétention, indépendamment de votre principal.

Conformité

Les cadres SOC 2, ISO 27001 et RGPD attendent des copies de sauvegarde qui ne peuvent pas être modifiées par les mêmes credentials utilisés pour les opérations quotidiennes. Les sauvegardes immuables fournissent exactement cela : une séparation du contrôle où la copie de sauvegarde est hors de portée des accès opérationnels normaux.

Comment fonctionnent les sauvegardes immuables

Le mécanisme est simple : une tâche de synchronisation copie vos sauvegardes vers un second datastore avec remove-vanished désactivé. Les suppressions sur votre datastore principal ne se propagent pas.

1

Activez dans les paramètres de votre datastore

Définissez votre délai de changement (1–90 jours), choisissez votre politique de rétention et cliquez sur Activer. Le délai de changement verrouille la durée pendant laquelle toute modification future doit attendre avant de prendre effet.

2

Nous créons un datastore immuable dédié

Un second datastore PBS est créé sur le même serveur. Une tâche de synchronisation copie vos sauvegardes avec remove-vanished désactivé.

3

La première synchronisation s'exécute immédiatement

Vos sauvegardes existantes sont copiées immédiatement vers le datastore immuable. Les synchronisations suivantes s'exécutent selon votre planning choisi.

4

Vous recevez un token de restauration en lecture seule

Un token API dédié avec des permissions DatastoreReader. Vous pouvez parcourir les snapshots et restaurer, mais pas modifier ni supprimer.

Flux de données

Votre Proxmox
Source de sauvegarde
Datastore principal
Vos credentials
Datastore immuable
Lecture seule pour vous · Écriture via tâche de synchronisation uniquement

La tâche de synchronisation s'exécute avec des credentials admin auxquels vous n'avez pas accès. Votre token de restauration n'a que des permissions DatastoreReader.

Ce qui le rend immuable

Les suppressions ne se propagent pas

La tâche de synchronisation utilise remove-vanished: false. Lorsque vous supprimez un snapshot de votre datastore principal, il survit dans la copie immuable.

Séparation des credentials

Vous détenez un token DatastoreReader. Toutes les écritures se font via une tâche de synchronisation exécutée sous des credentials admin auxquels vous n'avez pas accès.

Rétention indépendante

Le datastore immuable a son propre planning de prune. Conservez 7 journaliers sur votre principal mais 30 journaliers et 12 mensuels sur la copie immuable.

Accès en lecture seule

Votre token de restauration vous permet de parcourir et restaurer. Vous ne pouvez pas écrire, modifier ou supprimer quoi que ce soit sur le datastore immuable.

Restaurer depuis les sauvegardes immuables

Mêmes outils, même workflow. La seule différence est la chaîne de connexion au dépôt.

proxmox-backup-client restore <snapshot> <target> \
    --repository user-<id>@pbs!restore@<host>:<datastore>-imm

Votre tableau de bord affiche les détails de connexion complets avec des boutons de copie pour chaque champ : hôte, nom du datastore, nom du token et secret du token.

Votre token de restauration peut :
  • Parcourir les snapshots
  • Télécharger et restaurer des données
  • Lister le contenu du datastore
Votre token de restauration ne peut pas :
  • Supprimer des snapshots
  • Modifier des données
  • Changer les paramètres de rétention ou de prune

Tarification à l'usage

€3 par To par mois*, facturé par Go par heure. Vous payez pour les octets réellement consommés par vos snapshots immuables, pas la taille allouée de votre datastore principal.

€3*

Par To/mois

Basé sur l'utilisation réelle
Par Go

Granularité de facturation

Pas par tranches de 100 Go
Horaire

Intervalle de facturation

Payez uniquement ce que vous utilisez

Exemples de coûts

Datastore principalUtilisation immuableCoût mensuel
500 GB~400 GB~€1.20*
2 TB~1.5 TB~€4.50*
5 TB~4 TB~€12*

L'utilisation immuable réelle dépend de vos paramètres de rétention et du taux de déduplication. Si votre principal fait 2 To mais que seulement 800 Go de données uniques sont synchronisées, vous payez pour 800 Go.

Limitations & ce qu'elles ne couvrent pas

Les sauvegardes immuables traitent un problème spécifique. Comprenez ce qu'elles ne font pas.

Pas la géo-réplication

Votre copie immuable se trouve sur le même serveur que votre datastore principal. Elle protège contre la suppression logique et la compromission des credentials, pas contre la défaillance physique du serveur.

Ajouter la géo-réplication pour la protection physique →

Pas du stockage WORM

Il n'y a pas d'application write-once au niveau du système de fichiers avec des verrous de rétention conformes. L'immuabilité provient du contrôle d'accès : vous avez un accès en lecture seule, les écritures se font via une tâche de synchronisation contrôlée.

Lire l'analyse technique complète →

Pas une protection au niveau du serveur

Un accès root au serveur physique pourrait théoriquement atteindre le datastore immuable. Pour ce niveau d'isolation, combinez les sauvegardes immuables avec la géo-réplication vers un serveur séparé.

Voir la stratégie 3-2-1-1-0 →

Délai de changement configurable

Lorsque vous activez les sauvegardes immuables, vous définissez un délai de changement (1 à 90 jours, défaut 1). Chaque changement sensible à la sécurité, qu'il s'agisse de mettre à jour les paramètres de rétention ou de désactiver entièrement l'immuabilité, est mis en file d'attente et n'est appliqué qu'après l'expiration de cette période.

Définissez-le à 7 jours et un attaquant qui compromet votre tableau de bord vendredi ne peut pas affaiblir votre rétention ou supprimer l'immuabilité avant que vous ne le remarquiez lundi. Vous recevez un e-mail pour chaque changement, et vous pouvez annuler les changements en attente à tout moment.

  • Délai de 1 à 90 jours
    Vous choisissez la période d'attente lors de l'activation de l'immuabilité
  • E-mail pour chaque changement
    Notifié quand les changements sont mis en file d'attente et quand ils sont appliqués
  • Annulation possible
    Arrêtez une désactivation en attente avant l'expiration du délai
  • Verrouillé après activation
    Le délai lui-même ne peut pas être raccourci sans attendre son propre délai
  • Protection contre la suppression
    Le datastore ne peut pas être supprimé tant que l'immuabilité est active

Construisez une pile de protection complète

Chaque couche traite une menace différente. Ensemble, elles couvrent les ransomwares, les erreurs humaines et les catastrophes régionales.

Datastore principal

Votre cible de sauvegarde active avec des tâches de prune quotidiennes.

Inclus

Sauvegardes immuables

Copie en lecture seule qui survit à la suppression et à la compromission des credentials.

€3/TB/month*

Géo-réplication

Séparation géographique qui survit aux catastrophes physiques.

€4/TB/copy*

Points de présence edge

Jusqu'à 13x plus rapide sur les liens à haute latence.

Inclus
En savoir plus sur la stratégie de sauvegarde 3-2-1-1-0 →

Activer en moins d'une minute

Les sauvegardes immuables sont disponibles maintenant pour tous les datastores.

  1. Ouvrez votre datastore dans le tableau de bord
  2. Accédez à Paramètres > Sauvegardes immuables
  3. Définissez votre délai de changement (1–90 jours) et la politique de rétention
  4. Cliquez sur Activer

Votre première synchronisation démarre immédiatement. Le tableau de bord affiche l'état de vos sauvegardes immuables, l'heure de la dernière synchronisation, l'utilisation du stockage et les credentials de restauration.

Questions fréquentes

Non. Les sauvegardes immuables protègent contre les suppressions intentionnelles et les ransomwares. La géo-réplication protège contre les pannes régionales. Les deux s'adressent à des menaces différentes et fonctionnent bien ensemble.

Non. La désactivation prend effet après le délai de changement configuré. Cela empêche un attaquant (ou une erreur de configuration) de désactiver la protection et d'attendre que les sauvegardes expirent.

Le datastore immuable reste intact. Les credentials séparés signifient que la suppression du datastore principal ne peut pas affecter le datastore immuable.

Oui. Utilisez le token de restauration en lecture seule avec n'importe quel client PBS compatible pour parcourir les snapshots et restaurer des VM, conteneurs ou fichiers individuels.

Les tâches de prune sur votre datastore principal n'affectent pas le datastore immuable. Remove-vanished est désactivé, donc les suppressions ne se propagent pas. La rétention immuable est configurée séparément.

Oui. PBS déduplique les chunks lors de la synchronisation. Le datastore immuable peut être significativement plus petit que votre datastore principal si plusieurs sauvegardes partagent des données communes.

Oui. Vous pouvez activer les deux fonctionnalités sur le même datastore. Les sauvegardes immuables créent une copie locale protégée contre les suppressions. La géo-réplication crée des copies dans d'autres régions. Ensemble, ils offrent une protection complète.

Les nouvelles synchronisations échoueront si le datastore immuable manque d'espace. Vous recevrez des notifications par e-mail avant que cela ne se produise. La taille du datastore immuable est autoscalée indépendamment de votre datastore principal.

Protégez vos sauvegardes contre la suppression

Les sauvegardes immuables créent une copie en lecture seule que les ransomwares, les erreurs humaines et les credentials compromis ne peuvent pas affecter. À partir de €3/To/mois*.

Activer les sauvegardes immuablesVoir tous les plans

* = TVA en sus éventuelle