|
 V I R T U A N E W S #4 |
| La référence de la virtualisation |
|
Edition de février 2008
Sécurité : l’union fait la force
Détecteur d’intrusion HIPS : mêmes bénéfices que pour les serveurs physiques, mais en environnement virtuel. Mais puisqu’il faut l’installer sur chaque OS invité, ses faiblesses sont multipliées par le nombre de machines virtuelles…
VLAN : permet de découper le LAN en plusieurs portions plus faciles à maîtriser. Mais en environnement virtuel, si les VLAN sont nombreux, cela peut avoir des conséquences sur la latence. Le design des VLAN peut aussi être rendu difficile si les infrastructures sont à la fois physiques et virtuelles. Cela peut aussi créer des interférences lors des migrations de machines virtuelles. Appliance de sécurité : elle peut protéger les systèmes hôtes comme toute machine physique, mais n’a aucune visibilité sur les liens entre les machines virtuelles, puisqu’elle est extérieure. Sécurité au sein de l’hyperviseur : VMware, en rachetant Determina, travaille sur ce point. L’idée est bonne, en protégeant la couche principale de virtualisation. Mais l’introduction de la sécurité dans l’hyperviseur en augmente la taille. Et tout ajout de code dans l’hyperviseur le rend plus fragile. Appliances virtuelles : combinaison de sécurité traditionnelle et de sécurité au niveau de l’hyperviseur, l’approche a du bon, mais peut consommer trop de ressources. Bases de données : la guerre des hyperviseurs a commencé
C’est à celui qui donnera le plus d’arguments. Qui est le meilleur pour virtualiser une base de données ? VMware ? Oracle ? Xen ? Virtuozzo ? Virtual Iron ? Microsoft ? Certains répondront sûrement « aucun ! ». Et ne toucheront pas à leur sacro-saint gestionnaire de bases de données.
Car en matière de virtualisation, les bases de données, c’est plutôt un sujet tabou. Les directions informatiques, en général, n’aiment pas en parler. Certaines ont effectivement fait le choix de ne pas les virtualiser. D’autres l’ont tenté, souvent en pré production, voire en production (pas trop de sueurs froides ?) et en sont généralement contents, finalement... Bien évidemment, les bases de données sont gourmandes en entrées/sorties et ne tolèrent aucune dégradation de performances. Virtualiser ses bases de données est donc tout de même un challenge. VMware a, pour répliquer à Oracle, détaillé dans un white paper les bonnes raisons de virtualiser Oracle sous ESX. Tandis que des bonnes pratiques fusent sur les bases de données SQL, les meilleures preuves restent les vraies démonstrations. Au rayon des dernières démos, justement, Parallels (ex SWSoft) et SGI ont, lors du salon Oracle Open World de novembre dernier, démontré les performances de Virtuozzo avec une base de données Oracle. Virtuozzo tournait sur un serveur Altix de SGI, hébergeant un cluster de base de données Oracle. Selon Parallels, l’architecture (native) de Virtuozzo est particulièrement adaptée à ces configurations. Le serveur SGI s’appuie sur des processeurs Itanium et Xeon. Virtuozzo est une des seules solutions de virtualisation (hormis celle de HP) à tourner sous Itanium. Une leçon à retenir de cet exemple : les configurations musclées semblent incontournables pour les bases de données, mais on s’en doutait un petit peu. abonnez-vous
Pour recevoir régulièrement toutes les informations du marché de la VoIP, abonnez-vous à notre eletter en cliquant sur ce lien
faites connaitre cette eletter
Faites connaitre le contenu de cette lettre en cliquant sur ce lien
Liens sponsorisEs
Profitez de cette eletter unique sur le segment de la virtualisation afin de communiquer auprès de vos clients.
PrintNews est la référence éditoriale des solutions d'impression optimisées. Cette nouvelle lettre professionnelle d'informations propose des pistes de réflexion et d'actions concrètes pour réduire les coûts et augmenter la productivité des groupes de travail. Découvrez là maintenant !
Toutes les informations de l'impression en temps réel sur le blog de l'eletter PrintNews.
|
Tendances
Sécurité : où en êtes vous avec vos serveurs virtuels ?
Au contact d’une infrastructure virtuelle, la sécurité se détériore. Si la virtualisation a apporté de grandes opportunités pour la réorganisation des infrastructures, elle n’est pas encore préparée aux failles de sécurité de ces mêmes infrastructures.
Kareen Frascaria
Selon un rapport du cabinet Nermetes (nemertes.com) « Practicing Virtual Security », la majorité des entreprises sondées assure ne pas utiliser les serveurs virtuels en production. Pourquoi ? Notamment parce qu’à mesure que les entreprises passent le cap, la sécurité doit être envisagée de manière différente. Et souvent, cela suffit pour reporter ou abandonner le projet de virtualisation. « Lorsqu’on leur demande jusqu’à quel point leurs serveurs virtuels sont sécurisés, les entreprises assurent les traiter aussi bien que les serveurs physiques ! » constate Nermetes. Antivirus, Anti-malware en tous genres, IPS…Tous les recours classiques de sécurité semblent être utilisés, tout en croisant les doigts pour que dans le monde virtuel, cela marche comme dans le monde réel . Cette méthode occulte toute la complexité que la virtualisation apporte aux infrastructures et notamment le peu de visibilité (voire l’opacité) du trafic entre machines virtuelles. « Un serveur, jusque là, n’était qu’une sorte d’entité indivisible, tel un atome. Mais avec la virtualisation, une machine devient un nuage de particules qui cohabitent ensemble » image le rapport de Nemertes. Au cœur des machines virtuelles, vivent désormais des serveurs d’application, des serveurs web, des bases de données… Les solutions classiques ne voient pas les machines virtuelles Les solutions de sécurité traditionnelles restent extérieures à ce fourmillement d’applications internes. Une brèche de sécurité dans n’importe quelle machine virtuelle peut causer beaucoup de dégâts, et voire même passer inaperçue. Pire, parce que les machines virtuelles sont mobiles, et donc peuvent être déplacées en un clic d’un serveur physique vers un autre, aucune solution de sécurité traditionnelle ne peut faire l’affaire. Les outils de sécurité (listes ACL, inspection de contenu, antivirus, chiffrement SSL…) ne peuvent pas suivre les machines virtuelles. Pour résoudre cette équation complexe, les éditeurs sont en ébullition pour fournir des solutions ad-hoc. Peu en fait proposent déjà une approche concrète. Catbird, Reflex Security, entre autres, commencent à communiquer autour de leurs produits. Pour eux, le challenge est important (voir encadré ci-contre "Sécurité : l'union fait la force"), d’autant plus que la majorité des infrastructures combine serveurs virtuels et serveurs physiques. « Plusieurs solutions peuvent être assemblées pour apporter un niveau de sécurité suffisant ». Détecteurs d’intrusion HIPS (pour chaque OS virtuel) et anti-virus, segments virtuels VLAN, plug-ins pour les hyperviseurs, appliances virtuelles et appliances de sécurité doivent donc cohabiter pour assurer le minimum requis. Stockage : le SAN est-il encore vraiment indispensable ?
C’est le monde à l’envers. Le DAS (Direct Attached Storage), que les acteurs de l’industrie du stockage tentent d’enterrer depuis si longtemps à coup de NAS et de SAN, semble reprendre des couleurs, au contact des infrastructures virtuelles. Une approche que tout le monde qualifiait de dépassé !
IDC aurait même déjà baptisé cette nouvelle voie « inside-out SAN ». « Effectivement, on voit deci-delà un hypothétique retour en grâce du DAS » remarque Olivier Parcollet, à la Direction Informatique de la SETAO, société de transports orléanaise. « Mais c’est vrai pour les serveurs isolés, pas pour les vrais besoins d’entreprise : les utilisateurs nous demandent une disponibilité maximale à un coût abordable. On doit donc être capables de supporter le failover et les configurations actives/actives » continue-t-il. Jusque là, la question ne se posait pas. Pour assurer la survie des données de son infrastructure virtuelle, bénis étaient ceux qui avaient un SAN. Et l’on conseillait fortement aux autres d’en bâtir un, avec au choix selon ses envies et son portefeuille, des baies de disques SAS ou SATA, des connexions iSCSI ou Fibre Channel… Selon le secteur visé, les fournisseurs Brocade, NetApp, HDS et EMC entre autres, mettent à jour leurs stratégies pour rendre leur offre compatible avec la virtualisation, surtout celle de VMware. Le DAS serait bien suffisant ? Mais des sociétés comme LeftHand Networks ou Seanodes prônent donc dorénavant l’approche inside-out SAN, une solution de stockage pour environnement virtuel qui réutilise l'espace de stockage contenu dans les serveurs. Platespin, avec sa nouvelle appliance Forge conçue pour le plan de reprise d'activité clé en main, fait de même : en matière de stockage, l'appliance utilise les 2,5 To du serveur Dell au coeur de la solution. Platespin assure d'ailleurs que l’usage du DAS est une bonne nouvelle pour les clients ; cela va les aider à sauter le pas de la virtualisation sans avoir à déployer un réseau de stockage dédié, ce qui, semble-t-il, pouvait encore être un frein. Autre piste : la start-up Thinsy fait parler d’elle avec une solution fondée sur Xen qui effectue la migration à chaud de machines virtuelles… sur du DAS.
Le SAN, lourd à mettre en place, ne serait donc plus nécessaire ? Une question que tous ses promoteurs ont bien du mal à entendre. « Dans ce cas, l’entreprise parie sur la fiabilité de son serveur physique et sur celle des disques. Le SAN apporte plus de souplesse pour l’allocation du stockage, il permet d’effectuer de la redondance sur serveur physique », défend Bruno Guiet, le Directeur Technique de Brocade France. Le SAN rend les migrations de machines virtuelles plus faciles, et il permet d’héberger plus de machines virtuelles sur un serveur physique, sans stress. Et, bien sûr, il garantit des performances sans failles. « Les technologies de clustering des serveurs virtuels telles que VMware HA permettent de faire de la haute disponibilité à un coût abordable, sur des file systems NFS , des SAN iSCSI ou Fiber Channel. D’autant que cette problématique de haute disponibilité rejoint souvent celle du PRA, qui nécessite un stockage dupliqué de manière synchrone, donc difficilement implémentable sur un serveur classique déjà bien occupé » ajoute Olivier Parcollet. DataCore, est du même avis et assure que se passer de la robustesse du SAN serait une erreur. "85% des serveurs virtuels s'appuient sur un SAN, parce qu'il est nécessaire pour sauvegarder les machines virtuelles de manière fiable. Le SAN garantit une haute disponibilité que le DAS n’offre pas : elle est de 98% (60 heures d'arrêt par an) pour le DAS contre 99,9% (1 heure d'arrêt par an) pour le SAN", compare George Texeira, CEO de Datacore. Comme toujours, tout dépend du niveau de haute disponibilité dont le client a besoin : 98% peut être largement suffisant pour une entreprise qui n'a pas envie ou ne peut pas investir dans un SAN. Au final, il semblerait que les deux approches aient un sens et soient complémentaires. |
interviews video
publicité
 publicité |
une publication  |
|
VirtuaNews est une publication conçue et éditée par Speedfire mediArchitects. © 2006 Toute reproduction interdite. redac@speedfire.com pour contacter la rédaction.
|
