Etat de l'art machines virtuelles et secu

"Fabien LE LEZ" <gramster@gramster.com> wrote in message
news:r9lul193pvd5djpb183pife8tdatsopuva@4ax.com...

Deux commentaires à chaud :
- L'administration d'une machine Windows peut déjà prendre du
temps, alors 20 machines... Bon courage pour s'assurer que les 20
machines sont à jour, n'ont pas de ports inutiles ouverts, etc.

Les 20 machines ils les avaient déjà, avec les problèmes hardware en plus.
Donc pour ce problème de gestion, c'est avantageux.

- Combien de RAM faut-il pour faire tourner tout ça ? 10 Go ?

Dans ce cas ils avaient 10 Go avec 4 CPU Intel Xeon. Effectivement la RAM ne
coûte pas cher. Besoin d'une machine en plus? Hop la license et la RAM et
c'est prêt.

Enfin bon, ça me paraît une méthode particulièrement onéreuse pour
obtenir un système peu stable, étant donné que n'importe laquelle des
20 machines virtuelles peut merder. Comme toi, je suis sur le cul.

D'autres ont parlé de Xen que je connaissais pas. Avec VMWare ESX on peut
apparemment contrôler l'allocation de ressources (CPU etc), mais c'était
trop cher, ils ont pris GSX. Et là on se retrouve avec un VMWare "simple",
et effectivement, il y a une grosse faille de ce côté.

Jerome a exposé le 26/10/2005 :

"Fabien LE LEZ" <gramster@gramster.com> wrote in message
news:r9lul193pvd5djpb183pife8tdatsopuva@4ax.com...

Deux commentaires à chaud :
- L'administration d'une machine Windows peut déjà prendre du
temps, alors 20 machines... Bon courage pour s'assurer que les 20
machines sont à jour, n'ont pas de ports inutiles ouverts, etc.

Les 20 machines ils les avaient déjà, avec les problèmes hardware en plus.
Donc pour ce problème de gestion, c'est avantageux.

- Combien de RAM faut-il pour faire tourner tout ça ? 10 Go ?

Dans ce cas ils avaient 10 Go avec 4 CPU Intel Xeon. Effectivement la RAM ne
coûte pas cher. Besoin d'une machine en plus? Hop la license et la RAM et
c'est prêt.

Enfin bon, ça me paraît une méthode particulièrement onéreuse pour
obtenir un système peu stable, étant donné que n'importe laquelle des
20 machines virtuelles peut merder. Comme toi, je suis sur le cul.

D'autres ont parlé de Xen que je connaissais pas. Avec VMWare ESX on peut
apparemment contrôler l'allocation de ressources (CPU etc), mais c'était trop
cher, ils ont pris GSX. Et là on se retrouve avec un VMWare "simple", et
effectivement, il y a une grosse faille de ce côté.

Bonjour,

Juste un détail : l'OS/400 n'est pas windows et presente une fiabilité
inconnue des serveurs windows, plus une souplesse pour les sauvegardes,
restauration et tests de configuration (entre autres arguments).
Un as/400 (eserver I5 mainentant) ne se reboote qu'exceptionnellement
...

--
Jean-Paul Lescat

Bonsoir,
Aujourd'hui j'ai trouvé un truc hallucinant chez un client: il a remplacé
tous ses serveurs par des machines virtuelles. Il y a le domaine controleur,
le mail serveur interne, des serveurs internes, le mail relay internet, le
web proxy, la management firewall, un serveur d'authentification, un serveur
RAS, des serveurs web et j'en oublie. Il n'y a que le firewall qui est réél
et le routeur internet! Le tout est sur un e-serveur ibm sur os400 qui
tourne une instance de windows serveur 2003 qui tourne VmWare GSX avec une
vingtaines de serveurs virtuels la plupart sous windows 2003. Il y a 6
interfaces réseaux physiques sur le mainframe et elles sont branchées sur
chaque DMZ du firewall. Même plus besoin de switchs, ils sont virtuels!
J'avoue que je n'en reviens toujours pas et je me pose des questions. Je
suis à la recherche d'informations sur ce style d'architecture, sur les
risques et les recommendations. Si vous avez des commentaires n'hésitez pas.

Il ne faut pas s'étonner de ce genre de solution :c'est très courant
dans le monde des ordinateurs départementaux et surtout, celui des
mainframes.

Une petite précision toutefois.
Un iSeries (nouvelle dénomination depuis 6 ans des AS/400) n'est pas un
mainframe mais un ordinateur départemental.
Il est courant, sur les machines de type mainframe justement, de cumuler
les instances de systèmes d'exploitation et ce, depuis les années 80.
Toutefois il faut comparer ce qui est comparable :
un mainframe est un dispositif très segmenté et disposant souvent de
plusieurs coeurs. Le coût est à l'avenant (plusieurs millions d'euros +
1 autre million à l'année pour les faire fonctionner et les bichonner).
Mais ce genre de système ne s'arrête jamais et est constamment sous
surveillance 365,25 jours sur 365,25.
Concernant un ordinateur départemental de type iSeries, les plus gros
tournent également aux alentours du million d'euros.
Ce ne sont pas des machines disposant de beaucoup de puissance pure au
regard de ce que nous connaissons. En revanche comme les tâches sont
assez segmentées la globalité est bien plus puissante qu'un pauvre PC
même équipé de 2 Ahtlon 64 bits.

La démarche a probablement été progressive. La machine étant là il
fallait l'utiliser et entre maintenir des machines (des disques et tout
le reste) et agréger progressivement ces fonctionalités sur une seule
même machine nul doute que cela représentait des économies en terme de
matériel, de place voire de personnel.
D'un autre côté les apsects propres à Windows et au monde de
l'informatique personnelle (disons ce qui est) ont peut-être été
négligés (voir la conclusion).

1. Avec ce type de machine la nécessaire répartition des fonctions pour
des raisons de sécurisation et sûreté physique (ne pas mettre tous ses
oeufs dans le même panier)tombe un peu dans la mesure où ce genre de
machine est TRES stable (je parle de l'OS/400 là pas de W2003) et TRES
suivie (consignes d'exploitation, sauvegardes la plupart du temps
robotisées) et surveillée (en permanence souvent).

Comme toute machine de ce type, le constructeur (IBM en l'occurrence)
dispose d'un accès non restrictif à la machine afin de prévenir tout
sourci, d'appliquer des patches, bref de maintenir.

2. On peut donc légitimement se poser la question de la mise à
disposition à une entreprise extérieure qui n'est pas mandatée pour cela
de données confidentielles (SAM, annuaires, serveur de fichiers, règles
de filtrage, etc).

3. Ensuite, même si chaque machine virtuelle est bien dissociée de ses
copines par l'hyperviseur qui assure la gestion de tout cela (OS/400 et,
plus haut, le Windows 2003) une erreur humaine n'est absolument pas
exclue, raccordant d'un coup toutes les DMZ du firewall. Le temps de
dépanner ...

La situation est d'autant plus critique avec un hyperviseur sous W2003.
En effet, seuls les gens compétents sous OS/400 manipuleront
l'hyperviseur OS/400 et ces gens sont assez rares. Tandis qu'au niveau
W2003, comme c'est connu (soi-disant) n'importe qui disposant des codes
d'accès peut s'amuser à << bricoler >> et foutre tout par terre.
Par nature j'ai bien davantage confiance, techniquement, à l'hyperviseur
OS/400 (qui bénéficie d'une expérience de plusieurs dizaines d'années)
qu'à l'hyperviseur VMWare qui plus est sous Windows.


4. L'administration des différentes machines a peu de chance d'être
réalisée depuis al console de l'iSeries (par défaut un terminal 5250).
En outre l'accès physique à la machine est réservé au personnel compétent.
En général cette administration sera réalisée depuis des postes distants
et ce d'autant plus qu'il y a de machines virtuelles (segmentation des
responsabilités).
Se pose alors la question de la fiabilité des liaisons de commmunication
et leur sécurisation (confidentiailisation) : mettre à jour une machine
virtuelle depuis un poste de travail distant peut occasionner des soucis
si ce dernier plante, si le switch de raccordement se fige, etc.
Clairement ce genre d'évolution se réalise habituellement SUR LA MACHINE
PHYSIQUE.


5. Enfin, effectivement, le système de patch d'un OS/400 n'a rien à voir
avec celui d'un windows : c'est le jour et la nuit. Il est EXTRÊMEMENT
RARE de planter une quelconque application lors de l'application d'un
patch (de toute manière c'est IBM qui applique à distance). Et des
iSeries faisant tourner des applications critiques il y en a des
centaines de milliers de par le monde.
On ne peut pas en dire autant de Windows n'est ce pas ?
Appliquer un correctif sur le w2003 jouant le rôle d'hyperviseur c'est
un CHALLENGE !


En conclusion la démarche n'est ABSOLUMENT pas affolante. Comme je l'ai
décrit, il est courant d'héberger quantité de services sur des machines
de ce type.
Mais si je devais donner 2 conseils :
1. ce serait d'éviter d'y placer les services comportant ou manipulant
des données confidentiels cela va à l'encontre d'une bonne poilitque de
sécurité (pour en revenir au sujet de ce forum).
2. de mettre en place si ce n'est déjà une sacré politique d'application
des patches de sécurité.

db

--

Courriel : usenet blas net

On 27 Oct 2005 11:08:55 GMT, Etienne de Tocqueville
<et-news@teaser.fr>:

je ne comprends pas du tout la valeur ajoutée d'y
mettre des machines virtuelles...

L'idée est que Windows est structurellement instable -- il est courant
qu'une application interfère avec une application qui devrait rester
indépendante, et en empêche le fonctionnement. Donc, ajouter un
cloisonnement supplémentaire n'est pas idiot.
D'autant qu'en théorie, même si un des serveurs est compromis, avoir
des machines virtuelles distinctes permet de s'assurer que cette
compromission ne fera pas tomber les autres serveurs.

Si je devais designer un système entier à base de machines
indépendantes, j'aurais tendance à utiliser un parc de PC[*] (ou
autres petites machines), histoire d'avoir une indépendance physique
(et tant qu'à faire, une indépendance physique des sous-réseau, avec
le firewall à six pattes comme seul lien entre eux), mais comme dit
Dominique, quand on a la grosse machine dès le départ, autant
l'utiliser.

[*] Note que si j'ai 20 PC et 20 serveurs à faire tourner, j'aurais
plutôt tendance à regrouper les 20 serveurs sur 10 machines, histoire
d'avoir 10 machines identiques en backup.


D'autre part, dans le cas d'un serveur unique (sans machine
virtuelle), on est souvent obligé d'installer Windows parce que
certains services n'existent pas sous Unix. Mais tant qu'à avoir des
machines indépendantes, j'aurais sans doute réservé Windows aux seuls
serveurs spécifiques Windows, et un *nix quelconque pour les serveurs
indépendants de Microsoft (firewall, proxy web, etc.)

Eric Masson <emss@free.fr> writes:

Jerome <askme@askmyemail.com> writes:

Le tout est sur un e-serveur ibm sur os400 qui tourne une instance de
windows serveur 2003 qui tourne VmWare GSX avec une vingtaines de
serveurs virtuels la plupart sous windows 2003.

Bah, il aurait pu faire plus drôle encore avec plusieurs instances
os/400 sous LPAR.

Je ne savais pas que la notion de LPAR était présent dans os/400 je
pensais que c'était uniquement au niveau Zseries.

Dans le cas que tu donnes, le 400 a une carte interne optionnelle qui
est un pc dédié à l'exécution d'os ia32 (l'hôte vmware gsx dans le cas
présent)

Ce qui intéresse IBM sur ce point (consolidation de tous les serveurs
sur un as/400) c'est l'upgrade hardware qu'ils peuvent faire. et là
c'est énorme en terme de budget. Voir équivalent à une solution séparé
physiquement.

J'avoue que je n'en reviens toujours pas et je me pose des questions. Je
suis à la recherche d'informations sur ce style d'architecture, sur les
risques et les recommendations.

Sur ZSeries, il est courant de consolider plusieurs machines voir
environnement dans plusieurs LPAR sur un unique Mainframe.

Après se pose les problèmes de sécurité lié aux binaires fournsi par
IBM. En gros lors d'un patch pour le kernel il faut attendre que
l'usine de dev en allemagne rebuild le kernel et te le livre.

C'est du principalement au code du connecteur réseau (module du
kernel) qui est nécessaire pour travailler dans un LPAR.

Pour ma part je suis pas du tout chaud pour ce type de
consolidation. Au niveau sécurité, c'est un pas en arrière.

Regarde du coté de Xen, la 3.0 devrait permettre l'exécution d'os non
paravirtualisés si l'hyperviseur s'exécute sur un Intel avec extensions
VT ou sur un Amd avec extensions Pacifica.
http://www.cl.cam.ac.uk/Research/SRG/netos/xen/

En termes de sécurité, comme le dit Yvan, ce qui importe c'est de ne pas
pouvoir sortir de l'instance virtuelle en cours d'exécution. Iirc, il y
a un dossier sur la détection des environnements virtualisés dans le
dernier MISC, par contre je n'ai rien lu pour le moment sur la capacité
à s'évader d'un système virtualisé au niveau hard.

Pour ce qui est de la sécurité d'un LPAR, de mémoire ça à été validé
par le DoD sous je ne sais plus quelle certification comme étant
proche de la sécurité d'une salle physique.

[...]

a+

--
Loïc

Etienne de Tocqueville wrote:

Une même machine physique peut très bien faire tourner tout ces services
sans faire appel à la notion de machine virtuelle ! Enfin, je ne connais
pas assez Windows pour en être sûr, mais je serais surpris que ça ne
soit pas le cas...

Comment fais-tu une migration ou mise à jour sans interruption avec une
seule machine, physique ou virtuelle ? L'avantage des machines multiples
est de pouvoir basculer les services le temps de l'indisponibilité. Avec
des machines virtuelles, tu peux créer de nouvelles instances, quasiment
à la volée si nécessaire.

On Thu, 27 Oct 2005 11:08:55 +0000, Etienne de Tocqueville wrote:

Une même machine physique peut très bien faire tourner tout ces services
sans faire appel à la notion de machine virtuelle !

Oui, mais c'est contraire aux règles de séparation des tâches (ie. si
ton webserver se fait r00ter, cela n'est pas censé affecter tes services
SMTP, LDAP ou autres).


Nicob

Aujourd'hui j'ai trouvé un truc hallucinant chez un client: il a
remplacé tous ses serveurs par des machines virtuelles.

Ma réponse va sûrment avoir l'air très bête, mais indépendamment des
avantages et inconvénients déjà soulevés dans ce fil d'avoir une ou
plusieurs machines physique, une fois que le choix d'avoir une seule
machine effectué, je ne comprends pas du tout la valeur ajoutée d'y
mettre des machines virtuelles...

Une même machine physique peut très bien faire tourner tout ces
services sans faire appel à la notion de machine virtuelle ! Enfin,
je ne connais pas assez Windows pour en être sûr, mais je serais
surpris que ça ne soit pas le cas...

Tout simplement parce que :
- quand on veut blinder un serveur Web sous Windows, il faut faire de
sacrées coupes dans les services de base.
- intrinsequement, mettre tous ses oeufs dans le meme panier (bases de
comptes, bases de données, messagerie...), ca me semble dangereux voire
suicidaire.
- les diverses applis consomment des ressources variées. Un serveur web tape
sur le CPU et la RAM, un serveur MS Exchange tape sur la RAM et le systeme
disque, un serveur MS SQL nécessite du disque, du CPU, de la RAM. Bref, si
on ne découpe pas, il y a des problemes de concurrences d'accès aux
ressources.

Patrick

Loic Cuguen <loic@cuguen.org> writes:

Je ne savais pas que la notion de LPAR était présent dans os/400 je
pensais que c'était uniquement au niveau Zseries.

Dispo depuis 1999, dans un des dernières releases 4.x de l'os.

Ce qui intéresse IBM sur ce point (consolidation de tous les serveurs
sur un as/400) c'est l'upgrade hardware qu'ils peuvent faire. et là
c'est énorme en terme de budget. Voir équivalent à une solution séparé
physiquement.

Euh, plus cher, normalement :)

Pour ce qui est de la sécurité d'un LPAR, de mémoire ça à été validé
par le DoD sous je ne sais plus quelle certification comme étant
proche de la sécurité d'une salle physique.

Pas trouvé de référence, mais par contre, quelques évaluations critères
communs sont référenceées ici :
http://www-3.ibm.com/security/standards/st_evaluations.shtml
Voir la section :
zSeries Logical PARtitioning (LPAR)

Pour l'iSeries, cela semble être en cours, voir la section :
eServer iSeries running OS/400

Éric Masson

--

Nous recherchons une streap-teaseuse confirmée pour animer des dîners
dansants en région parisienne. Cette offre est sérieuse. Email pour
premier contact : gxxxx@club-internet.fr Tél Philippe : 0142458XXX
-+- PG in Guide du Neuneu Usenet - Le premeir contact sera le bon -+-