As IT organizations historically used to utilize traditional backup solution, to meet their RPO objectives, they are turning to other complementary solutions such as VSS Snapshots, replication, continuous data protection (CDP) especially for critical applications and data and more important user groups. 
Doug Hazelman, VP of Product Strategy chez Veeam explains the value added of its technology regarding Continuous Data Protection

Today software suppliers’ strategy for server virtualization (MS, VMware), application virtualization (Oracle), or storage virtualization (Datacore) rely on their capacity to offer within a single solution more and more capabilities including CDP. How can Veeam go on creating added value in this context?

True continuous data (or application) protection at an affordable price has been promised for years. The issue is that even with write once/store many technologies is that the “replica” system is powered off. While the underlying block structure may be exact, taking the server from a powered-off to a powered-on state can cause many issues. For this reason CDP solutions are essentially crash-consistent copies of production systems. At Veeam we take the approach of creating application consistent images (for Microsoft VSS enabled applications), this means that our replicas can be powered on and “know” that they are recovering from a VSS enabled snapshot. This also means that we don’t offer true CDP, but near CDP. Customers have to decide how much they’re willing to pay to protect their data as true CDP solutions provided by the storage layer are typically more expensive than software based solutions.
The other point to consider is that replicas are not backups. So while many storage vendors and even virtualization vendors offer replication, none of them offer both backup and replication in a single package. Veeam has always included both capabilities at 1 price from a single product. This allows companies to both back up and replicate their virtual machines based on the RPO and RTO for each workload.


With its positioning on storage hypervisor, Datacore moves VM data protection to disk storage (synchronous mirroring between v-Disk). How does Veeam react to this CDP positioning on virtual disks?

Synchronous mirroring between disks is fine from a disaster recovery standpoint but what about the “everyday requirements” that are provided by true backup software? While mirroring a disk may allow you to recover an entire VM quickly in the event of a disaster, how do you recover the Excel Spreadsheet from last week for the CEO? How do you recover individual emails or database records? Disaster recovery should not be confused with backup as they are 2 very different use-cases. Fortunately Veeam provides both in 1 solution.


Isn’t Veeam’s positioning on « VM Protection and Backup” becoming to limited ? Will it be able to resist to Software vendors’ offensive (MS with Data Protection Manager 2012 integrated in System Center) trying to gain more and more market shares on every virtualization sides including data protection, the crucial point of cloud computing?

With virtualization being such disruptive technology in the datacenter companies are looking for vendors that can take full advantage of this technology. By focusing first on VMware and now on VMware vSphere and Microsoft Hyper-V, Veeam is positioning itself as the innovation and thought leader in virtualization data protection and disaster recovery. While this may seem limiting at first, only by fully embracing the platforms and exploiting the technologies can we keep this position. As Veeam continues to grow, it’s a very good possibility that we will expand our backup and disaster recovery into other areas besides just virtualization. By focusing on virtualization first we’re not tied to any legacy technology (like support for physical servers) and this enables us to quickly adapt to the fast changing cloud computing future. 

 

Bruno Guiet, Principal Systems Engineer, BROCADE

De l'impact de la virtualisation sur les réseaux



Les projets de virtualisation de serveurs impliquent t-ils de renforcer et de réviser les infrastructures de haute disponibilité existantes pour assurer la qualité de service requise aux métiers ?

B.G: Le mouvement massif vers la virtualisation serveur a un impact important sur les infrastructures réseaux LAN et SAN. Les déplacements des machines virtuelles d’un serveur physique vers un autre génèrent un surcroît de travail pour les administrateurs réseaux. Il s’agit d’un travail important de définition des VLAN, de la qualité de service, des accès stockage, bref de toutes les caractéristiques d’une VM. La surcharge de travail peut être énorme et limiter la souplesse de déplacement et la réactivité aux nouveaux besoins applicatifs. De ce fait, des réseaux adaptés font leurs apparitions, résolvant ces problèmes en prenant à leur charge la gestion des caractéristiques des machines virtuelles et simplifiant ainsi le travail des administrateurs.
D’autre part ces réseaux étant débarrassés des problématiques Spanning Tree, l’utilisation de tous les chemins possibles entre une source et une destination est aujourd’hui possible. L’administrateur se soucie moins de l’emplacement physique vers lequel une machine est déplacée.

La problématique de HA est t-elle forcément corrélée à la mise en œuvre d'un PCA/PCS ?

B.G: Cela est souvent le cas, du fait de la problématique de déplacement des données associées à une machine virtuelle. Les principaux fournisseurs de baie de stockage mettent en œuvre des mécanismes de réplication à distance afin de gérer ces problématiques. De plus, les réseaux de stockage sont construits de manière résiliente et redondante.

Pourquoi, le SAN revient t-il en force au sein de ces nouveaux environnements virtualisés ?

B.G: Principalement pour des questions de performances. La plupart des clients ont commencé à virtualiser des serveurs qui géraient peu d’entrés/sorties stockage avec un ratio faible de VM par serveur physique. Depuis, ce ratio augmente, ce qui se traduit par plus de machines virtuelles par serveur et des machines virtuelles qui opèrent de plus en plus d’entrées/sorties disque. De ce fait, l’accès à la donnée devient le nouveau goulot d’étranglement. Il est donc impératif d’utiliser des technologies SAN à très haut débit type Fibre Channel à 8 Gbits/s.

Selon les experts, les SAN d'ancienne génération ne sont cependant pas adaptés (pour partager complètement les ressources, classifier et migrer automatiquement et facilement le stockage et offrir une protection complète des données). Quelle est votre position ?

B.G: Les SAN actuels savent déjà gérer les machines virtuelles, automatiser leurs déplacements, appliquer les politiques de sécurité et de qualité de service. Cependant, dans une optique de convergence des réseaux, de nombreuses améliorations doivent être apportées, comme la gestion automatisée des profils de ports pour apporter la souplesse nécessaire aux environnements hautement virtualisés et à l’approche Cloud. L’aspect performance est également clé dans ces nouveaux réseaux de convergence et l’usage de nouveaux protocoles comme TRILL va se généraliser.

De la virtualisation d'Applications à la virtualisation de Services


Que ce soit en entreprise, ou au sein de datacenters, que l’on parle de virtualisation d’application ou d’Application Delivery, la préoccupations première des responsables informatiques réside dans la capacité à déployer facilement  applications et services avec des garanties de performances et de haute disponibilité, tout en maîtrisant les coûts associés.

«Réduction du coût du cycle de vie globale de l’application, des temps de tests de régression des applications, de mises à jour des correctifs, des sollicitations du support technique ou encore de la capacité à assurer la continuité métier des applications. C’est à ces niveaux qu’intervient notamment la valeur ajoutée de la virtualisation d’applications" comme le souligne Frédéric Meurgey, responsable avant vente chez Microsoft. Il existe aujourd’hui plusieurs solutions pour optimiser le déploiement et la mise à disposition d’applications en environnement virtuel : Virtualisation d’applications type APP-V (ex SoftGrid) de Microsoft, VMware ThinApp, reposant sur une technique de streaming dynamique. Ici, l’application virtualisée est encapsulée dans une bulle virtuelle totalement indépendante du système et de ses paramétrages. Déployées sur le poste client, ces bulles exécutent le code de l’application en local (.EXE). La bulle applicative n’est donc pas installée mais stockée sur une partition fictive et s’exécute dans un environnement totalement « virtualisé », ne touchant ainsi pas aux paramètres systèmes. Ce procédé résout les problèmes de compatibilités et les conflits d’accès aux DLLs, registres….. Les seuls pré-réquis, en dehors du support de l’OS Windows, résident dans la mise en œuvre d’un serveur de streaming. Pas d’agent à installer côté APP-V sous réserve que l’entreprise utilise SCCM.« L’utilisateur peut streamer l’application sur son poste quand il le désire » souligne Frédéric Meurgey. Attention cependant, car si le streaming en réseau local offre un délai de démarrage moyen de quelques secondes, en WAN, les délais sont plus contraignants. Pour les utilisateurs nomades, l’accès aux applications via Terminal Services semble ainsi plus préconisé, ou alors il faudra bien veiller à déployer la bulle applicative sur le poste en une seule fois. 
La virtualisation de serveurs applicatifs
L’autre alternative repose sur la virtualisation des charges applicatives. Le curseur n’est donc plus placé sur le serveur, mais sur le réseau. Ce type de virtualisation a vu le jour avec les premiers répartiteurs de charge (load balancer) ce qui explique pourquoi la « virtualisation d'application » est souvent utilisée à mauvais escient comme synonyme de répartition de charge. Les outils de répartition de charge élargissent le concept de virtualisation du serveur à un groupe distribué de serveurs. Ce load balancer permet de gérer plusieurs serveurs Web et/ou applications de façon centralisée, comme une seule instance, offrant une topologie plus sûre et plus robuste qu'une architecture donnant aux utilisateurs un accès direct à chaque serveur Web. Il s'agit d'un modèle de virtualisation « one-to-many » qui peut être appliqué à tout type d'architectures et de déploiements applicatifs, avec un serveur représentant plusieurs serveurs accessibles via un reverse-proxy (approche VADI de Radware ).
La Virtualisation de services
Une autre approche plus récente et qui se rapproche de l’IAAS passe par la virtualisation de services. Il s'agit de la consolidation de toutes les approches possibles de virtualisation, via l'association de toutes les composantes servant à la diffusion d'une application sur le réseau, quelle que soit leurs localisations physiques (de l'HTML au réseau de stockage en passant par le serveur applicatif, les outils SOA, les bases de données, etc...). L’application concrète de la virtualisation de services est efficiente au niveau des datacenters.Par définition, les datacenters étaient jusqu’alors des entrepôts de données et d’applications statiques, plus destinés aux projets de production à long terme qu’à la fourniture de services à la demande impliquant une grande réactivité. Aujourd’hui, la donne a changé. Ce modèle n’est plus adapté à l’environnement professionnel dans lequel doivent se débattre les entreprises, aux prises avec un déluge de nouvelles applications, un flot de nouveaux matériels. Résultat, on assiste aujourd’hui à une évolution vers des datacenters dynamiques, capables de délivrer applications et ressources, en fonction de la demande des métiers. C’est aussi le nerf de la guerre de l’IaaS. Les opérateurs télécoms, câblo-opérateurs, en prise directe avec des contraintes d’évolutivité rapide dans la gestion transactionnelle et applicative, sont les premiers à s’être intéressés à la virtualisation de services, pour optimiser la gestion de leurs ressources systèmes et mieux répondre aux charges de travail de leurs applications Web . Pour y parvenir, certains comme eservglobal ont fait le choix de la virtualisation d’application assurée par la fonction de zoning d’Oracle Solaris. Le câblo opérateur belge Telnet a choisi de son côté l’approche contrôleur virtuel de mise à disposition d’application –ADC-Vx pour consolider et virtualiser son datacenter. Objectif : mettre en œuvre une solution qui intègre des fonctionnalités de répartition de charge et de contrôle des performances applicatives. Grâce à un mécanisme de réservation des ressources, cette solution assure la prévisibilité des performances pour toujours respecter les divers SLA de services/applications. En outre, elle permet à Telenet de déployer des nouveaux services à valeur ajoutée haut débit, ou de mettre en place de nouveaux services dans son environnement de test/pré-production, rapidement, facilement et sans risque.
Catherine  Nohra China

Nouveaux enjeux des DSI pour protéger les données stratégiques



D'un côté, Bercy victime d’une attaque informatique inédite avec 150 ordinateurs infiltrés par des hackers. De l'autre, le groupe Renault, qui sur fond d'espionnage industriel, lance un audit interne de la sécurité du système d'information. Les budgets octroyés à la sécurité des systèmes d’information ne sont pas toujours à la hauteur des ambitions. Mettre en place une protection efficace engendre des coûts et une motivation au plus haut niveau des organisations.

L’ensemble des DSI s’entend pour déclarer unanimement que la sécurité de l'information est un de leurs principaux soucis. Cependant, les ressources humaines et financières consacrées à ce poste, demeurent insuffisantes, faute de budgets ! Ou plutôt, faute de considérer cette activité comme primordiale. Autre constatation. En 2008, seules 12 entreprises françaises étaient certifiées ISO 27001, la norme de sécurité IT. La France était à égalité avec l’Islande mais loin derrière le Royaume-Uni qui comptait 400 entreprises certifiées, ou le Japon avec plus de 3000 entreprises certifiées !

Plus de d'insécurité, lié à l'ouverture du SI

Toutes les organisations sont informatisées et travaillent en réseau. L'ouverture à l’internet, le partage des données et l'interactivité croissante ont aussi beaucoup contribué à faciliter l’accès aux informations. S’emparer des données confidentielles, personnelles ou stratégiques devient un jeu d’enfant pour certains. Pourtant, en dépit de l’expansion des pratiques liées à Internet, les mesures de sécurité ne sont pas toujours au rendez-vous, voire négligées. Et, ce n’est pas toujours une affaire d’argent. C’est le plus souvent une question de motivation stratégique et de priorité, au plus haut niveau de l’organisation !
Alors que, certaines entreprises ont intégré la sécurité du système d’information à leurs programmes de gestion des risques, la maigreur des budgets qui y sont consacrés ralentit - voire empêche - la mise en œuvre des moyens techniques, organisationnels, juridiques et humains nécessaires. Victime des négligences et des malveillances, le système entier devient une proie. Sa disponibilité ainsi que l’intégrité et la confidentialité des données sont en danger. L’altération, le vol et la destruction des informations ont des conséquences financières non négligeables. Sans compter l’impact négatif qui touche l’image de l’organisation. Que penser, en effet, d’une entreprise qui ne protège pas ses brevets ou d’une banque qui se laisse voler les coordonnées de ses clients ?
Pour bien se protéger, mettre en place une défense préventive
Lorsqu’un sinistre se produit, l’entreprise s’emploie à le réparer. Mais qui dit réparation ne dit pas forcément suppression des causes. Les organisations privilégient souvent les outils physiques, négligeant d’autres aspects tout aussi importants. La sécurité est globale ; la sécurité physique bien sûr est indispensable, mais il ne faut pas oublier pour autant la sécurité applicative, la sécurité des bases de données, la sécurité des procédures et du comportement des informaticiens, etc.
La mise en application des réglementations comme Sarbanes-Oxley, Bâle III ou la protection des données à caractère privé et personnel ont rendu obligatoire la mise en œuvre de procédures. La conformité des systèmes d’information avec la loi a nécessité la mise en place de process pro-actifs. L’objectif est d’identifier et de cartographier les emplacements contenant des données sensibles (bases de données, systèmes CRM, ERP financiers et comptables, données de géolocalisation, données d’usage d’Internet et télécoms, etc.) au sein du système d’information. On vérifie, teste, mesure et analyse le niveau de sécurité et de protection des données et des accès. La sécurisation et la mise en conformité légale sont établies à partir du constat effectué. Le résultat est une meilleure défense de l’entreprise, de ses clients et des utilisateurs. Il faut une protection pensée en amont, avant d’être attaqué ou volé. En un mot, une défense préventive.
 
Faire face à la dématérialisation

Le patrimoine de l’entreprise devient de plus en plus immatériel. Savoir ce qui se passe sur le système d'informations est impératif pour préserver ce patrimoine et prévenir tous les risques. Mais encore faut-il pouvoir garder une traçabilité des événements pour prouver les dommages subis en cas de poursuite en justice. L’application des process Forensic permet de déterminer ce qui est survenu, quand et comment et qui était impliqué. Les techniques employées doivent permettre la préservation, l'identification, l'extraction, la corrélation et l'interprétation des preuves informatiques.
Pour des raisons essentiellement budgétaires, les entreprises manquent d’une vision globale de la sécurité du système d’information. Alors que la sécurité de l'information tient une place aussi prépondérante, il est impératif de la pérenniser en y consacrant davantage de ressources humaines et financières. L’ordre du jour des comités de direction doit intégrer les rapports des responsables de la sécurité. Les RSSI (Responsables de la Sécurité des Systèmes d’Information), les CISO (Chief Information Security Officer) et les Responsables de Sécurité Opérationnelle vivent cet état de fait. Ils rappellent quotidiennement au sein de leurs entreprises que les risques IT - internes et externes - sont énormes et indépendants du secteur économique et que la sécurité IT doit être un processus transverse, et permanent et primordial !

Théodore-Michel VRANGOS, cofondateur et président d’I-TRACING

Sécuriser son architecture de virtualisation

La virtualisation entraîne une augmentation des risques de sécurité informatique. Une machine supportant plusieurs serveurs virtuels est forcément plus vulnérable qu'un seul serveur physique. DSI et DRSI commencent à en prendre conscience.

Sécurité des accès

Pour faire dialoguer deux serveurs réels, il faut préalablement réaliser des opérations physiques sur les serveurs. On les connecte physiquement à l’aide de câbles réseaux, classiquement par l’intermédiaire de commutateurs. De même, l’ajout d’une carte réseau nécessite d’accéder physiquement au serveur et de la placer dans le châssis. Avec la virtualisation, ces opérations sont faites à distance et de manière logicielle. Le fait qu’il soit beaucoup plus facile (et c’est un véritable atout pour l’administration) d’établir une connectivité entre des VM qu’entre des serveurs physiques, présente un risque supplémentaire en cas d’erreur ou de malveillance de configuration.
Il ne faut pas négliger l'aspect critique des serveurs de virtualisation. Toute personne non autorisée qui obtient l'accès au serveur peut copier des informations sensibles d'une infrastructure. La console est une machine virtuelle, particulièrement sensible puisque les opérations exécutées peuvent impacter l’ensemble des VM supportées. Il est donc indispensable d’en contrôler parfaitement les accès. Des accès illicites peuvent être lourds de conséquences ! 
Un administrateur ayant tous les droits sur l’infrastructure de virtualisation pourrait par exemple, en quelques clics, stopper des VM. Ce qui reviendrait à couper l’alimentation d’une partie d’un data center ! Il lui serait aussi possible de supprimer purement et simplement, tout ou partie des VM. Ce qui reviendrait à détruire des serveurs physiques et les données associées !

Accès aux VM à partir du système hôte
Le système supporte un ensemble de machines virtuelles. De fait, l’administrateur du système hôte peut accéder aux serveurs fonctionnant dans les machines virtuelles. Cependant, être administrateur du système hôte ne veut pas dire être administrateur - au sens système - des serveurs contenus dans les VM (ce qui est d’ailleurs rarement le cas). Toutefois, rien ne l’empêche de récupérer les fichiers des VM ou tenter un accès console.
Certaines failles de la couche de virtualisation et des services associés ou composants annexes, peuvent se traduire par des risques d’élévation de privilèges au sein des serveurs hôtes. Les fonctionnalités d’administration des VM, pourraient être sources de vulnérabilités en favorisant des évasions et des élévations de privilèges au sein des VM.
Suivi des performances et du service
Il est possible pour un programme malicieux d'affecter la charge d'une machine virtuelle et d'impacter l'ensemble des performances des différentes machines.

Indisponibilité des serveurs
Le principe de la virtualisation est de mutualiser un serveur physique pour faire fonctionner plusieurs serveurs réels, dans le sens qu’ils supportent des applications et/ou des services bien réels, s’exécutant au sein de machines virtuelles supportées par ce serveur physique. L’indisponibilité du serveur physique provoque de fait l’indisponibilité de l’ensemble des serveurs supportés et donc des services et applications associés.

Ouverture de l’espace de stockage des VM
Dès lors que des serveurs physiques supportent les mêmes machines virtuelles (en particulier pour gérer la haute disponibilité en cas de panne hardware), il est nécessaire qu’ils accèdent au même espace de stockage. Plus on souhaite mutualiser (et donc optimiser) l’usage de serveurs physiques, plus on doit ouvrir l’accès à l’espace de stockage de ces VM.
Prise de contrôle du système par l’hôte
Un programme exécuté sur une machine hôte peut effectuer des actions sur le système lui-même, voire en prendre le contrôle. Ce type de vulnérabilité est particulièrement critique

Comment réduire les risques liés à la virtualisation ? 
L’entreprise est amenée à respecter certaines règles. Elle doit déterminer les services à virtualiser en intégrant dans sa réflexion, l’analyse des risques pour chaque application et chaque service concerné et l‘interdépendance avec l'infrastructure existante. Il lui faut aussi mesurer l'impact d'un dysfonctionnement ou de l'arrêt du serveur hôte. L’intégration et l’administration des serveurs hôtes dans l'infrastructure sécurisée existante est une sage précaution et la mise en place d’un processus de surveillance de type « sécurité système et applicatif » une impérieuse nécessité.
Etablir une politique des privilèges, définir les processus et rédiger les procédures sont indispensables. Il faut aussi informer et former le personnel. La prise en compte de ces quelques règles apportera des améliorations.

Par Laurent Charvériat, Directeur Technique et cofondateur d’I-TRACING

Les 10 Commandements de la virtualisation

Des règles et pratiques simples à adopter peuvent faire de votre projet de virtualisation une vraie success story, qu'ils s'agissent de la configuration des serveurs, des règles de basculement, de sécurité, liées à la duplication de systèmes hôtes...



1)  Bien estimer CPU, RAM et espace disque
Jusqu'à combien d'invités virtualisés pouvez-vous avoir sur un hôte donné et combien de processeurs ou de cœurs, de RAM et d'espace disque chacun consomme-t-il ? Avez-vous pris en compte les exigences de stockage, en séparant bien le stockage du système, des données et du journal comme vous le feriez pour tout serveur physique ? Vous devez également prendre en compte la sauvegarde, la restauration et le basculement. En réalité, les technologies de basculement pour les systèmes virtuels sont, par bien des aspects, tout aussi puissantes et souples que celles existant pour les systèmes physiques, et peut-être même davantage. Cela dépend vraiment du matériel hôte, du stockage et, par-dessus tout, de la technologie hyperviseur utilisée.

2) Choisir une approche holistique calquée sur les serveurs physiques
Lors de la détermination de la portée des systèmes virtuels, vous devez adopter la même approche de conception que pour vos déploiements de systèmes physiques. Avec des invités virtuels, cela signifie qu'il faut prendre le temps de comprendre vos options de stockage et de serveur, ne pas surcharger un hôte avec trop d'invités ou d'éviter mettre en place des charges de travail conflictuelles dans lesquelles le processeur et le disque dur entrent en conflit.

3)  Appliquer les correctifs
De récentes études mettent en évidence la part de responsabilité significative des disques mémoire flash USB dans la propagation des virus, et toute particulièrement des menaces ciblées. La réalité est que beaucoup trop de systèmes physiques n'ont pas reçu de correctifs et ne sont pas sécurisés. Les systèmes virtuels, et tout particulièrement les systèmes non autorisés, posent une menace encore plus importante. La possibilité d'annuler des changements du système rajoute à la complexité du problème, étant donné qu'elle rend la suppression de correctifs et de signatures de sécurité beaucoup trop simple, même si elle n'est pas intentionnelle.
Restreignez la prolifération des ordinateurs virtuels et assurez-vous de tous les inclure dans vos applications de correctifs, votre gestion et vos infrastructures de sécurité.
Vous ne devez pas traiter les systèmes virtuels d'une manière différente des systèmes physiques. En fait, en ce qui concerne les systèmes non autorisés, vous feriez même mieux de les traiter comme des systèmes hostiles. Ils peuvent servir de tête de pont aux logiciels malveillants pour infiltrer votre réseau.
4) Sauvegardez tôt et souvent
Les systèmes virtuels, tout comme les systèmes physiques, doivent être inclus dans votre régime de sauvegarde. Vous pouvez soit sauvegarder l'ordinateur virtuel dans son intégralité ou les données qu'il contient. Cette dernière approche peut se montrer bien plus avantageuse et beaucoup plus souple. Sauvegarder un ordinateur virtuel intégralement prend un temps considérable et ne vous fournit que peu d'options de restauration rapide. De la même manière que vous protégez vos systèmes physiques essentiels, assurez-vous également que vous avez la capacité de restaurer rapidement et de façon fiable. Bien trop souvent les systèmes sont sauvegardés sans être vérifiés, ce qui se traduit par aucune sauvegarde du tout au bout du compte.
5) Soyez prudent lors de l'utilisation de toute technologie d'« annulation »
Les technologies virtuelles incluent souvent une technologie d'« annulation ». Méfiez-vous. Voici une raison supplémentaire de s'assurer que tous les systèmes virtuels sont bien inclus dans votre travail de gouvernance informatique. Il est beaucoup trop facile de faire restaurer un disque dur d'un jour ou d'une semaine en arrière. Cela risque de rouvrir une vulnérabilité que vous vous étiez empressé de corriger, offrant ainsi un point d'infiltration pour une infection qui pourrait contaminer le reste de votre réseau.
6) Comprendre votre basculement et votre stratégie d'évolution verticale
La virtualisation est souvent considérée comme le moyen permettant d'arriver à un basculement et une évolution verticale parfaits. Cela dépend entièrement du matériel de votre hôte, de l'hyperviseur, du réseau et du stockage. Vous devez travailler avec tous vos fournisseurs pour comprendre comment chaque rôle que vous avez virtualisé peut réussir à évoluer par invité serveur. Vous devez également connaître la qualité du basculement . Spécifiquement, pendant combien de temps des invités peuvent être indisponibles lors d'un basculement, et quelle peut être leur réactivité et leur disponibilité pendant ce basculement ?
7) Contrôlez la prolifération des ordinateurs virtuels
C'est un aspect crucial, et en même temps l'un des plus difficiles à appliquer. Plusieurs hyperviseurs complètement gratuits sont disponibles, et même avec un hyperviseur payant, cela reste bien trop aisé de « cloner » un invité. Cela peut se traduire par une multitude de problèmes :
• Sécurité : De nouveaux systèmes ou des systèmes clonés de manière déviante peuvent devenir des systèmes qui sont incorrectement sécurisés ou qui peuvent causer des conflits avec le système à partir duquel ils ont été «clonés»
• Gestion : Les conflits liés au clonage peuvent mener à des systèmes qui ne sont pas gérés selon la stratégie, auxquels les correctifs ne sont pas appliqués, et se traduire par des conflits ou une instabilité.
8) Eviter la duplication excessive d'invités
Jusqu'à récemment, Windows ne pouvait pas toujours déterminer s'il était en train d'être virtualisé ou, plus important encore, s'il venait d'être dupliqué silencieusement en tant que nouvel invité. Bien trop souvent, il y a eu prolifération d'invités due à la facilité de duplication, et une attitude plus laxiste vis-à-vis du piratage. Cette attitude est dangereuse, et c'est quelque chose que votre équipe informatique doit bloquer en usant au minimum de son pouvoir administratif.
Il est trop facile de cloner des systèmes. Assurez-vous que votre équipe informatique connaît les risques de la duplication d'invité excessive. Ne déployez de nouveaux ordinateurs virtuels qu'en respectant les mêmes stratégies que celles que vous appliquez à vos systèmes physiques.
9) Centralisez votre stockage
Le fait que les hôtes soient physiquement dispersés dans toute votre entreprise est l'une des causes principales de prolifération d'ordinateurs virtuels. Avec les systèmes virtuels, copier l'invité entier (ou deux) est bien trop facile. Cette facilité de duplication est l'une des raisons principales expliquant la prolifération des ordinateurs virtuels. Cela peut aussi se traduire par une perte de données. Si vous êtes dans l'incapacité de sécuriser physiquement vos ordinateurs virtuels, leurs disques virtuels ou physiques doivent être chiffrés pour s'assurer qu'aucune donnée confidentielle ne soit perdue. En plaçant vos hôtes d'ordinateurs virtuels dans des emplacements sûrs et en les regroupant, vous pouvez réduire à la fois la prolifération et les risques potentiels de perte de données.
10) Comprendre votre périmètre de sécurité
Que vous développiez des logiciels ou que vous gériez des systèmes, la sécurité doit faire partie de votre stratégie quotidienne. Quand vous réfléchissez sur la manière de gérer et d'appliquer les correctifs à vos systèmes physiques, pensez également à toujours inclure vos systèmes virtuels. Si vous déployez des stratégies de mot de passe, sont-elles également bien appliquées sur vos systèmes virtuels ? Le risque existe, alors assurez-vous que vous êtes préparé à répondre de la manière dont les systèmes virtuels seront régis, afin que le risque de leur clonage soit minimisé. Vous devez traiter les ordinateurs virtuels comme des ordinateurs hostiles, à moins qu'ils ne fassent partie de votre plan de gouvernance informatique. Beaucoup d'hyperviseurs incluent maintenant soit une version gratuite soit une version d'évaluation d'un logiciel antivirus, à cause des menaces de sécurité potentielles qui peuvent survenir entre l'hôte et les invités.

Passer en toute sécurité au stockage en mode Cloud

Les entreprises restent préoccupées par les questions de sécurité autour du stockage en mode Cloud. Comment le fournisseur de services gère-t-il la protection des données ? Celles-ci sont-elles suffisamment protégées des attaques extérieures ou des utilisateurs en interne? Quels sont les différents SLA ? Comment estimer les coûts cachés du stockage externalisé?

Déterminer le type d’architecture Cloud le plus approprié
La première étape pour une entreprise désireuse d’implémenter une plate-forme Cloud, est de cerner le service dont elle a besoin. Qu'est-ce qui doit être géré ? Quelles sont les limites du service en termes de serveur, réseau, mémoire, système d'exploitation, applications et sécurité des données ? Quel type de Cloud, privé ou public ? Les enjeux ne sont pas les mêmes. Dans le cas de Clouds publics, il est important que le fournisseur de service isole les données, les services de messagerie et les applications de ses clients, en les sécurisant. Cela signifie que chaque client doit être dans l'impossibilité d'accéder aux données des autres utilisateurs, que ce soit en lecture ou en écriture. Lors de l'installation de services de Cloud privés, le fournisseur doit pouvoir effectuer un cloisonnement sûr des données, selon les différentes contraintes et activités commerciales, tout en répondant aux exigences de conformité.

Etre vigileant sur le choix du partenaire
Aux entreprises souhaitant sous-traiter la gestion de leurs données, le stockage en mode Cloud représente une alternative économique à un stockage en interne. L'externalisation des données leur permet de réduire les dépenses informatiques induites notamment par la gestion des niveaux de RAID, l’obsolescence des matériels, la migration des données d’un système stockage à un autre, la maintenance des systèmes et à l'exécution des procédures de réplications, copies, sauvegardes… Autant de tâches qui sont prises en charge par le fournisseur. C'est la raison pour laquelle il faut se montrer vigilant lors du choix du partenaire, et dans la rédaction du contrat de service. En effet,peu de prestataires mentionnent l’ensemble des coûts cachés. Aux simples dépenses de stockage s'ajoutent celles liées à la migration des données ou aux droits d'enregistrement, d'accès aux données et d'utilisation de supports mobiles. Il faut donc être attentif aux termes des contrats de service. De plus, de nombreux fournisseurs proposent des outils susceptibles de générer des surcoûts mensuels. Il ne faut pas hésiter à aborder ce sujet avec les prestataires et identifier clairement le périmètre des offres afin d’éviter tout débordement tarifaire.
Les infrastructures de stockage sont toutes différentes. C'est pourquoi il est important pour les responsables des infrastructures de stockage de poser les bonnes questions à un fournisseur de services potentiel. C'est la seule manière d'évaluer l'impact du changement de mode de stockage sur l'entreprise. Il faut demander, par exemple, si les coûts de service augmenteront avec l'activité des utilisateurs ou s'il est nécessaire de chiffrer les données non utilisées.

Prendre en compte la sécurité
Le Cloud computing doit proposer à l'entreprise non seulement un service flexible et une gestion simplifiée, mais également un niveau de sécurité digne de ce nom. Le Cloud computing fait disparaître les frontières matérielles. Il faut donc au préalable demander au fournisseur de Cloud sa position en terme de sécurité et de protection des données. En effet, quiconque stocke et gère les données d'un tiers peut être amené, selon le droit, à dévoiler ces données, à l'insu et sans l'accord de leur propriétaire.

Ethernet versus Fiber Channel ?
Lorsqu'une entreprise a déjà largement investi dans des réseaux de stockage (SAN) Fibre Channel, elle préfère utiliser ce protocole pour son infrastructure Cloud. Est-ce le bon choix ? Presque tous les grands services de Cloud - chez les fournisseurs de services et dans les entreprises - utilisent le protocole Ethernet, non seulement pour sa grande flexibilité, extensibilité et transparence, mais également parce que, dans la durée, il génère des diminutions de coûts imposés par le surdimensionnement de réseaux spécifiques tels que Fibre Channel. C'est la raison pour laquelle la plupart des services de Cloud utilisent le protocole NFS, même si quelques-uns utilisent le protocole iSCSI et de plus en plus la technologie FcoE (Fibre Channel over Ethernet) . De par les faibles coûts qu'il génère, sa simplicité, l'allocation des ressources à la demande ("Thin Provisioning") et le clonage, ainsi que sa grande adaptabilité du système de fichiers dans le Cloud, NFS est le protocole de choix pour les gros fournisseurs tels que T-Systems, Thomson-Reuters, Oracle et Telstra. Tous ces prestataires de services utilisent NFS pour les bases de données Oracle et leur infrastructure VMware.

S'accorder sur un certain niveau de service SLA
Dans le cadre des accords sur les niveaux de service (Service Level Agreements - SLA), les entreprises doivent être en mesure de définir les prestations qu'elles attendent de leurs fournisseurs. La performance des applications ou des transactions en termes de temps de réponse ou de débits de transmission de données, par exemple, sont des éléments cruciaux à définir. Ces différents niveaux de services doivent être contractualisés avec le fournisseur de Cloud, afin d’être garantis. De même, en matière de conformité, il convient de s'assurer auprès du prestataire qu'il connaît et respectera les réglementations liée au stockage de données spécifiques au secteur d'activité.

Miser sur une collaboration entre tous les services de l’entreprise !
Afin d'exploiter tous les avantages du stockage en mode Cloud, il est nécessaire de prendre les décisions relatives aux directives, standards, exigences en termes de sécurité et achats centralisés en interne, avec les différents services concernés. En effet, le passage à un prestataire de services de type Cloud requiert aussi généralement de nouveaux processus et des modifications organisationnelles qui nécessitent l'aide de tous les niveaux concernés au sein de l'entreprise.

Par Jean François Marie, Président du comité français SNIA Europe (Storage Networking Industry Association)