Title: Comment allier scurit, haute disponibilit, et green IT en matrisant ses dpenses grce la virtualisati
1Comment allier sécurité, haute disponibilité, et
green IT en maîtrisant ses dépenses grâce à la
virtualisation
- Pascal Fuks - Financial Art S.A.
- Network Security Consultant
- Pascal_at_financial-art.be
2Plan de la session
- Présentation de Financial Art
- Qu'est-ce que la virtualisation
- Avantages de la virtualisation
- Les principaux acteurs du marché
- Questions/Réponses
3Présentation de Financial Art s.a.
- Société Belge fondée en 1990.
- Consultants en sécurité et réseaux hétérogènes
(haute disponibilité, sécurité, VoIP,
virtualisation, hébergement,)? - Formations On Site, Off site et chez
TechnofuturTIC - sécurité, firewalls, linux, cisco, VPNs, VoIP,
virtualisation, - Microsoft Certified Partner, LPIC, Checkpoint
Partners, Cisco Partner, Citrix Xen specialists,
CA Affiliate Partner, IBM Partner, Seagate
Partner, Symantec Partner, VMware Sales
Professional, ...
4Présentation de Financial Art s.a.
- Clients en Belgique, Luxembourg, France,
Angleterre, Etats-Unis, etc - Automatic systems (worldwide)?
- Banque CPH
- Caron Vector SEW
- Crosscomm Luxembourg
- Orange Business Services Luxembourg
- I.P.I.
- Photo Hall
- VMS Keytrade
- des sites à haut trafic
- ogone.com, immoweb.be, rendez-vous.be,
rendez-vous.fr, automagazine.be, - ...
55 règles directrices deFinancial Art
- Tout ce qui n'a pas été explicitement autorisé
doit être formellement interdit. - Il n'y a pas de solution offrant une sécurité à
100. Si on affirme le contraire, on se
discrédite. - La remise en question est une philosophie de vie.
Dans les TIC, ce qui était vrai hier n'est
probablement plus vrai aujourd'hui et a encore
moins de chances d'être vrai demain. - Le bon produit est celui qui répond à des besoins
spécifiques , pas celui qui est le plus cher ou
celui qui génère le plus de marge pour nous. - Le monde Open Source regorge de solutions.
6Qu'est-ce que la virtualisation en général
- Concept inventé par IBM dans les années 1960
- mémoire virtuelle
- machines virtuelle
- Les caractéristiques d'une ressource hardware
sont abstraites (conceptualisées), de manière à
pouvoir y accéder d'une manière différente de sa
forme physique...
7La virtualisation en général (2)?
- Utiliser un hardware plus puissant/différent et
généralement une forme de logiciel pour simuler
une autre environnement matériel (ex VLAN). - Cette présentation n'aborde que la virtualisation
système. - Faire tourner plusieurs operating
systems/applications identiques dans un même
hardware en isolant leurs contextes d'exécution.
8La virtualisation en général (3)?
- Desktop Virtualisation
- partage de ressources locales (USB, scanner,
etc..)? - Utilisation d'applications non compatibles avec
OS hôte principal - Server Virtualisation
- Partage de services distribués
- Partages de ressources distribuées
9Les différents types de virtualisation
- Hyperviseur
- Full virtualisation
- Seconde génération
- Paravirtualisation
- Virtualisation hardware
- OS Virtualisation
10Hyperviseur
- Avantages
- les machines présentent toute un hardware
identique aux OS. - Indépendance totale des machines par rapport au
hardware physique. - Possibilité de faire tourner des OS différents.
11Full virtualisation
- La totalité du système est recomposée par
l'hyperviseur. - On peut même parler d'émulation complète du
système. - En basant la machine virtuelle sur un jeu
d'instruction identique à la machine hôte, on
arrive à de meilleures performances que pour les
émulateurs classiques. - Les OS peuvent tourner sans être modifiés sur
tous les hardwares.
12Full virtualisation (2)?
- L'hyperviseur doit monitorer toutes les
instructions qui s'exécutent et intercepter celle
potentiellement dangereuses, puis les traduire en
séquences d'instructions équivalentes dans
l'environnement virtualisé. - Toutes les entrées/sorties, les accès à la
mémoire, ou aux ressources sont gérés par
l'hyperviseur qui traduit les demandes des
différents OS (potentiellement différents) en
requêtes propres au hardware.
13Para virtualisation
- Les systèmes invités (guest) sont modifiés pour
tourner dans l'environnement virtualisé. - Lorsqu'ils ont besoin d'appeler des ressources ou
des fonctions qui auparavant étaient
dangereuses , ils appellent directement les
bonnes routines de l'hyperviseur. - Système beaucoup plus performant que la Full
virtualisation - Principalement Linux et BSD
- Microsoft prévoit une adaptation de Windows 2008
14Hardware virtualisation
- Intel (Intel-VT) et AMD (AMD-V) ont fait des
processeurs acceptant la virtualisation hardware. - L'hyperviseur signale au processeur lorsqu'il
tourne en mode virtualisation hardware . Il
indique les instructions potentiellement
dangereuses et les routines du superviseur à
appeler lors de leur exécution.
15OS Virtualisation
- Un OS Standard est installé spécifiquement au
hardware. On installe par dessus une couche de
virtualisation avec un file system
propriétaire et une couche d'abstraction du noyau
qui isole et sécurise les différents
environnement.
16Avantages?
- Utilisation plus efficace des ressources
- Isolation en cas de crash
- Sécurité accrue
- Installation de nouvelles machines rapide
- Redimensionnement rapide
- Portabilité
17Utilisation plus efficace des ressources
- La puissance des machines est de plus en plus
importante. - Une architecture serveur est plus efficace, plus
performante et plus fiable qu'une architecture
desktop, bien qu'il soit actuellement impossible
d'acheter un serveur peu puissant pour hoster
un seul service (ex un DNS) - On peut plus facilement répartir les ressources
disponibles en fonction de la machine virtuelle
(CPU, Mémoire, espace disque, bande passante,
...)?
18Utilisation plus efficace des ressources (2)?
- En consolidant plusieurs serveurs dans des
machines virtuelles, et en l'associant à du
stockage partagé (shared storage) - diminution de la consommation d'énergie
- diminution de la chaleur dissipée donc de la
climatisation nécessaire - diminution de l'espace occupé
- allocation des espaces disques calqués sur les
besoins, et non pas sur la capacité des disques
19Utilisation plus efficaces des ressources (3)?
- En utilisant des technologies de virtualisation
de desktop, associées à des Thin Clients
branchés sur des switchs PoE, on diminue - la consommation d'énergie
- la chaleur dissipée (même au poste de travail)?
- le temps de setup et de maintenance d'un poste
utilisateur - les coûts liés au poste de travail (matériel,
espace physique)?
20Utilisation plus efficace des ressources (4)?
- Dans les dernières versions des hyperviseurs, on
peut créer des fermes de serveurs partageant
un même stockage. - Certains hyperviseurs démarreront
automati-quement une machine virtuelle sur le
moins chargé des serveurs. - Certains hyperviseurs permettent la re
localisa-tion d'une machine, parfois même en
cours d'utilisation, ce qui permet de la faire
tourner sur la machine la plus adéquate.
21Sécurité accrue
- Règle de base de la sécurité des serveurs
- Un service Une machine
- Le crash d'un service n'impacte pas les autres
services - L'exploitation d'une faille de sécurité dans un
service ne permet pas d'accéder aux autres
services hébergés.
22Sécurité accrue (2)?
- Les demandes (exigences) d'utilisateurs / clients
sortant des bonnes pratiques peuvent être
accordées sans impacter la totalité de
l'infrastructure. - La prise de snapshot avant l'installation
d'une nouvelle version d'OS ou de soft, d'un
patch ou d'un nouveau composant garantit la
possibilité de pouvoir revenir en arrière.
23Sécurité accrue (3)?
- En cas de panne matérielle, on peut réutiliser
l'image (ou le backup d'une image) dans une autre
machine. - Il est plus simple de préparer un PRA (Plan de
Reprise d'Activité) ou DRP (Disaster Recovery
Plan)? - Moins de hardware nécessaire
- Simulation de l'environnement de production
24Sécurité accrue (4)?
- Possibilité de tester de nouvelles procédures sur
un environnement de test, miroir exact de la
production. - Possibilité de former des opérateurs /
administrateurs système / utilisateurs sur un
environnement de test. - La création de clusters peut se faire sans
craindre de sous utiliser les serveurs.
25Autres raisons de virtualiser
- Portabilité
- Simplification et rapidité d'installation de
nouvelles machines - Redimensionnement des ressources allouées
simplifié - Installation d'OS non supporté sur du hardware
moderne - Possibilité P2V et de V2V
26Les principaux acteurs du marché
- Solutions Desktop (emulation)?
- Microsoft Virtual PC
- VMWare Workstation
- VMWare Fusion
- VirtualBox
- ...
- Solutions Serveurs Emulation
- Microsoft Virtual Server
- VMWare Server
- ...
27Les principaux acteurs du marché (2)?
- Hyperviseurs des seconde génération
- Vmware ESX (infrastructure)?
- Citrix Xensource
- Xen
- KVM
- QEmu
- ...
- Virtualisation OS
- Parallels Virtuozzo
- Citrix application servers
- ((Windows Terminal Server))?
28Questions/Réponses
29Références
- http//en.wikipedia.org/wiki/Comparison_of_virtual
_machines - http//www.it20.info/misc/virtualizationscompariso
n.htm