Comment allier scurit, haute disponibilit, et green IT en matrisant ses dpenses grce la virtualisati

1
Comment allier sécurité, haute disponibilité, et
green IT en maîtrisant ses dépenses grâce à la
virtualisation

• Pascal Fuks - Financial Art S.A.
• Network Security Consultant
• Pascal_at_financial-art.be

2
Plan de la session

• Présentation de Financial Art
• Qu'est-ce que la virtualisation
• Avantages de la virtualisation
• Les principaux acteurs du marché
• Questions/Réponses

3
Présentation de Financial Art s.a.

• Société Belge fondée en 1990.
• Consultants en sécurité et réseaux hétérogènes
  (haute disponibilité, sécurité, VoIP,
  virtualisation, hébergement,)?
• Formations On Site, Off site et chez
  TechnofuturTIC
• sécurité, firewalls, linux, cisco, VPNs, VoIP,
  virtualisation,
• Microsoft Certified Partner, LPIC, Checkpoint
  Partners, Cisco Partner, Citrix Xen specialists,
  CA Affiliate Partner, IBM Partner, Seagate
  Partner, Symantec Partner, VMware Sales
  Professional, ...

4
Présentation de Financial Art s.a.

• Clients en Belgique, Luxembourg, France,
  Angleterre, Etats-Unis, etc
• Automatic systems (worldwide)?
• Banque CPH
• Caron Vector SEW
• Crosscomm Luxembourg
• Orange Business Services Luxembourg
• I.P.I.
• Photo Hall
• VMS Keytrade
• des sites à haut trafic
• ogone.com, immoweb.be, rendez-vous.be,
  rendez-vous.fr, automagazine.be,
• ...

5
5 règles directrices deFinancial Art

• Tout ce qui n'a pas été explicitement autorisé
  doit être formellement interdit.
• Il n'y a pas de solution offrant une sécurité à
  100. Si on affirme le contraire, on se
  discrédite.
• La remise en question est une philosophie de vie.
  Dans les TIC, ce qui était vrai hier n'est
  probablement plus vrai aujourd'hui et a encore
  moins de chances d'être vrai demain.
• Le bon produit est celui qui répond à des besoins
  spécifiques , pas celui qui est le plus cher ou
  celui qui génère le plus de marge pour nous.
• Le monde Open Source regorge de solutions.

6
Qu'est-ce que la virtualisation en général

• Concept inventé par IBM dans les années 1960
• mémoire virtuelle
• machines virtuelle
• Les caractéristiques d'une ressource hardware
  sont abstraites (conceptualisées), de manière à
  pouvoir y accéder d'une manière différente de sa
  forme physique...

7
La virtualisation en général (2)?

• Utiliser un hardware plus puissant/différent et
  généralement une forme de logiciel pour simuler
  une autre environnement matériel (ex VLAN).
• Cette présentation n'aborde que la virtualisation
  système.
• Faire tourner plusieurs operating
  systems/applications identiques dans un même
  hardware en isolant leurs contextes d'exécution.

8
La virtualisation en général (3)?

•  Desktop Virtualisation 
• partage de ressources locales (USB, scanner,
  etc..)?
• Utilisation d'applications non compatibles avec
  OS hôte principal
•  Server Virtualisation 
• Partage de services distribués
• Partages de ressources distribuées

9
Les différents types de virtualisation

• Hyperviseur
• Full virtualisation
• Seconde génération
• Paravirtualisation
• Virtualisation hardware
• OS Virtualisation

10
Hyperviseur

• Avantages
• les machines présentent toute un hardware
  identique aux OS.
• Indépendance totale des machines par rapport au
  hardware physique.
• Possibilité de faire tourner des OS différents.

11
Full virtualisation

• La totalité du système est recomposée par
  l'hyperviseur.
• On peut même parler d'émulation complète du
  système.
• En basant la machine virtuelle sur un jeu
  d'instruction identique à la machine hôte, on
  arrive à de meilleures performances que pour les
  émulateurs classiques.
• Les OS peuvent tourner sans être modifiés sur
  tous les hardwares.

12
Full virtualisation (2)?

• L'hyperviseur doit monitorer toutes les
  instructions qui s'exécutent et intercepter celle
  potentiellement dangereuses, puis les traduire en
  séquences d'instructions équivalentes dans
  l'environnement virtualisé.
• Toutes les entrées/sorties, les accès à la
  mémoire, ou aux ressources sont gérés par
  l'hyperviseur qui traduit les demandes des
  différents OS (potentiellement différents) en
  requêtes propres au hardware.

13
Para virtualisation

• Les systèmes invités (guest) sont modifiés pour
  tourner dans l'environnement virtualisé.
• Lorsqu'ils ont besoin d'appeler des ressources ou
  des fonctions qui auparavant étaient
   dangereuses , ils appellent directement les
  bonnes routines de l'hyperviseur.
• Système beaucoup plus performant que la  Full
  virtualisation 
• Principalement Linux et BSD
• Microsoft prévoit une adaptation de Windows 2008

14
Hardware virtualisation

• Intel (Intel-VT) et AMD (AMD-V) ont fait des
  processeurs acceptant la virtualisation hardware.
• L'hyperviseur signale au processeur lorsqu'il
  tourne en mode  virtualisation hardware . Il
  indique les instructions potentiellement
  dangereuses et les routines du superviseur à
  appeler lors de leur exécution.

15
OS Virtualisation

• Un OS Standard est installé spécifiquement au
  hardware. On installe par dessus une couche de
  virtualisation avec un  file system 
  propriétaire et une couche d'abstraction du noyau
  qui isole et sécurise les différents
  environnement.

16
Avantages?

• Utilisation plus efficace des ressources
• Isolation en cas de crash
• Sécurité accrue
• Installation de nouvelles machines rapide
• Redimensionnement rapide
• Portabilité

17
Utilisation plus efficace des ressources

• La puissance des machines est de plus en plus
  importante.
• Une architecture serveur est plus efficace, plus
  performante et plus fiable qu'une architecture
  desktop, bien qu'il soit actuellement impossible
  d'acheter un serveur  peu puissant  pour hoster
  un seul service (ex un DNS)
• On peut plus facilement répartir les ressources
  disponibles en fonction de la machine virtuelle
  (CPU, Mémoire, espace disque, bande passante,
  ...)?

18
Utilisation plus efficace des ressources (2)?

• En consolidant plusieurs serveurs dans des
  machines virtuelles, et en l'associant à du
   stockage partagé  (shared storage)
• diminution de la consommation d'énergie
• diminution de la chaleur dissipée donc de la
  climatisation nécessaire
• diminution de l'espace occupé
• allocation des espaces disques calqués sur les
  besoins, et non pas sur la capacité des disques

19
Utilisation plus efficaces des ressources (3)?

• En utilisant des technologies de virtualisation
  de desktop, associées à des  Thin Clients 
  branchés sur des switchs PoE, on diminue
• la consommation d'énergie
• la chaleur dissipée (même au poste de travail)?
• le temps de setup et de maintenance d'un poste
  utilisateur
• les coûts liés au poste de travail (matériel,
  espace physique)?

20
Utilisation plus efficace des ressources (4)?

• Dans les dernières versions des hyperviseurs, on
  peut créer des  fermes  de serveurs partageant
  un même stockage.
• Certains hyperviseurs démarreront
  automati-quement une machine virtuelle sur le
  moins chargé des serveurs.
• Certains hyperviseurs permettent la  re
  localisa-tion  d'une machine, parfois même en
  cours d'utilisation, ce qui permet de la faire
  tourner sur la machine la plus adéquate.

21
Sécurité accrue

• Règle de base de la sécurité des serveurs
• Un service Une machine
• Le crash d'un service n'impacte pas les autres
  services
• L'exploitation d'une faille de sécurité dans un
  service ne permet pas d'accéder aux autres
  services hébergés.

22
Sécurité accrue (2)?

• Les demandes (exigences) d'utilisateurs / clients
  sortant des bonnes pratiques peuvent être
  accordées sans impacter la totalité de
  l'infrastructure.
• La prise de  snapshot  avant l'installation
  d'une nouvelle version d'OS ou de soft, d'un
  patch ou d'un nouveau composant garantit la
  possibilité de pouvoir revenir en arrière.

23
Sécurité accrue (3)?

• En cas de panne matérielle, on peut réutiliser
  l'image (ou le backup d'une image) dans une autre
  machine.
• Il est plus simple de préparer un PRA (Plan de
  Reprise d'Activité) ou DRP (Disaster Recovery
  Plan)?
• Moins de hardware nécessaire
• Simulation de l'environnement de production

24
Sécurité accrue (4)?

• Possibilité de tester de nouvelles procédures sur
  un environnement de test, miroir exact de la
  production.
• Possibilité de former des opérateurs /
  administrateurs système / utilisateurs sur un
  environnement de test.
• La création de clusters peut se faire sans
  craindre de sous utiliser les serveurs.

25
Autres raisons de virtualiser

• Portabilité
• Simplification et rapidité d'installation de
  nouvelles machines
• Redimensionnement des ressources allouées
  simplifié
• Installation d'OS non supporté sur du hardware
  moderne
• Possibilité P2V et de V2V

26
Les principaux acteurs du marché

• Solutions Desktop (emulation)?
• Microsoft Virtual PC
• VMWare Workstation
• VMWare Fusion
• VirtualBox
• ...
• Solutions Serveurs Emulation
• Microsoft Virtual Server
• VMWare Server
• ...

27
Les principaux acteurs du marché (2)?

• Hyperviseurs des seconde génération
• Vmware ESX (infrastructure)?
• Citrix Xensource
• Xen
• KVM
• QEmu
• ...
• Virtualisation OS
• Parallels Virtuozzo
• Citrix application servers
• ((Windows Terminal Server))?

28
Questions/Réponses
29
Références

• http//en.wikipedia.org/wiki/Comparison_of_virtual
  _machines
• http//www.it20.info/misc/virtualizationscompariso
  n.htm