Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Domenico Di Cicco, Majeur 7 : la virtualisation est une aventure qu’il faut entreprendre en toute connaissance de cause

avril 2009 par Marc Jacob

La virtualisation est de plus en plus prisée par toutes les entreprises et en particulier par celles du CAC 40. Toutefois, les écueils sont nombreux en termes de sécurité, mais surtout d’organisation. Pour Domenico Di Cicco, Directeur Associé de Majeur 7, la virtualisation n’est pas une religion, on n’a pas besoin d’y croire. Ce n’est pas non plus une idéologie qu’il faut défendre. Ce serait plutôt une aventure qu’il faut éviter d’entreprendre seul et en toute connaissance de cause.

GS Mag : Pouvez-vous nous présenter le marché de la virtualisation ? Quels sont les types d’entreprises concernés ?

Domenico Di Cicco : La virtualisation est une couche d’abstraction entre le matériel informatique et son utilisation. Dans les temps de crise, la virtualisation constitue le nouveau mantra, sur la route de la consolidation, récupération des ressources sous-utilisées, économies énergétiques ou réduction de coûts.
Tous les fournisseurs de solutions informatiques s’y engouffrent chacun partant de son métier de base : fondeur, système d’exploitation, métier...

Les premières entreprises concernées font partie du CAC 40, ils ont l’obligation de réduire la facture tout en continuant à servir des métiers souvent en développement.
Mais les PME peuvent aussi être attirées par la virtualisation qui leur semble accessible grâce à la vulgarisation de ces dernières années.

GS Mag : Quelles parties du SI peuvent-être virtualisées ?

Domenico Di Cicco : La virtualisation couvre toutes les couches du SI :
• Processeur : Intel, AMD mais aussi PowerPC, Itanium, on parle de paravirtualisation ou microvirtualisation

• Système d’exploitation : Windows, Linux mais aussi AIX, HP-UX et Solaris

• Réseau : VLAN (Virtual Local Area Network), VPN (virtual Private Network)

• Stockage : VSAN (Virtual Storage Area Network), VRAID6 (virtual RAID 6), virtual arrays

• Application : Java Virtual Machine, Low Level Virtual Machine, certains sont faits pour les architectures complexes (SAP Netweaver), d’autres pour les matériels de faible capacité matérielle (Dalvik pour les mobiles).

GS Mag : La virtualisation peut-elle être une solution pour le plan de secours informatique et le site de secours ?

Domenico Di Cicco : Le PCI constitue un axe privilégié de mise en œuvre de la virtualisation, un site de secours virtuel étant nettement plus accessible, financièrement parlant.
Il faut néanmoins noter que la réflexion de PCI (catégorisation des applications, procédures de basculement et retour, plan de tests) est toujours nécessaire, virtualisation ou pas.

GS Mag : La virtualisation peut-elle être une solution pour la séparation entre les environnements de développement et de production ?

Domenico Di Cicco : La séparation des environnements de développement et de production est une nécessitée qui entraîne des duplicats matériels, coûts qu’on peut éviter avec la virtualisation. La virtualisation garantit la séparation des systèmes virtualisés même s’ils coexistent sur la même plate-forme matérielle.

GS Mag : La virtualisation peut-elle être une solution pour déployer les patchs et effectuer les changements de version ?

Domenico Di Cicco : Il est possible d’enregistrer l’état d’une machine virtuelle avant et après un déploiement de patch ou de changement de version. Si une régression est découverte, le retour arrière est rapide et simple. Evidemment, il faut garder suffisamment d’enregistrements de machines virtuelles pour couvrir le temps écoulé entre la mise à niveau et la découverte de la régression.

GS Mag : La virtualisation peut-elle être une solution pour héberger des applications de manière sécurisée dans un système non patchable, comme win95-98 ou win NT ?

Domenico Di Cicco : Un des premiers champs d’application de la virtualisation a été l’hébergement de systèmes en fin de support, qui sont nécessaires pour des applications peu utilisées mais qui doivent être conservées. La virtualisation permet de re-conditionner du matériel et consolider plusieurs serveurs en un.

GS Mag : La virtualisation permet-elle d’améliorer la robustesse et la sécurité du SI ?

Domenico Di Cicco : La virtualisation apporte des mécanismes de haute-disponibilité et de répartition de charge. Elle permet aussi de dé dupliquer les données redondantes. Avoir moins de données facilite leur sécurisation. Il ne faut cependant pas oublier que les solutions de virtualisation dépendent in fine de matériel et sont a priori la cible des attaques. A ce titre, les préoccupations de robustesse et la sécurité du SI persistent avec la virtualisation.

GS Mag : Quels outils techniques permettent de sécuriser les parties du SI virtualisées ?

Domenico Di Cicco : Les hôtes des machines virtuelles embarquent des pare-feux virtuels. Sinon, la virtualisation étant une couche d’abstraction, les outils techniques fonctionnant sur les parties du SI physiques sont opérationnels sur les parties du SI virtualisées.
Dans certains cas, il est possible de virtualiser les outils techniques, l’agent embarqué dans l’hôte pouvant faire l’introspection sur les machines virtuelles sous-jacentes.

GS Mag : Quelles sont les principales attaques à redouter ?

Domenico Di Cicco : La virtualisation ne présente pas plus de vulnérabilité que les systèmes physiques. Les attaques à redouter sont identiques. Par contre, il est vraisemblable qu’une faille dans un hôte impacte toutes les machines virtuelles qu’il héberge

GS Mag : Quels sont les principaux défauts de la virtualisation ?

Domenico Di Cicco : La virtualisation permet d’économiser l’achat de matériels, de mieux exploiter le parc existant mais nécessite une compétence propre. Deux types de coûts cachés ont été relevés :
• Augmentation exponentielle des équipements annexes aux serveurs, stockage ou réseaux, du fait de l’explosion des machines virtuelles, si simples à mettre en œuvre et pouvant répondre aux besoins des projets qui étaient auparavant gelés
• Augmentation exponentielle de la charge d’administration du fait de l’absence de mise à jour des procédures, de la sous-estimation de la complexité induite, etc.

GS Mag : Comment gérer la rupture entre les environnements réels et virtuels ?

Domenico Di Cicco : Une première manière est de garder un couplage faible entre les environnements réels et virtuels, permettant le cas échéant de revenir momentanément sur un environnement réel.
Une seconde manière est de mettre constamment à jour la procédure de migration de l’environnement réel vers le virtuel, afin que la migration et la virtualisation soient transparentes aux utilisateurs du SI.

Le positionnement des données peut rapidement tourner au cauchemar sans préparation en amont

GS Mag : Quels sont les points principaux à ne pas omettre lors des phases de sensibilisation/formations des équipes informatiques ?

Domenico Di Cicco : Le positionnement des données est problématique quand la virtualisation n’a pas été prise de manière complète. Les serveurs sont virtualisés mais leurs données n’ont pas bougé !
A décharge, une solution de virtualisation de bout en bout et neutre de marque est à trouver.

Dans l’idéal, les équipes informatiques doivent pouvoir aborder sereinement la virtualisation :
• Justification, périmètre de couverture, plan de déploiement, risques à couvrir
• Formation, échanges d’expérience, forums

Malheureusement, la réalité est souvent autre et les cauchemars commencent quand : la virtualisation a été pensé par certains (souvent un cabinet externe) et doit être mis en œuvre par d’autres, le périmètre d’évaluation est le système d’exploitation car les applications sont méconnues, quand l’étude a duré un an et il faut tout faire en 6 mois pour rattraper le retard.

GS Mag : Quels sont vos conseils pour déployer un système virtualisé en toute sécurité ?

Domenico Di Cicco : Pour déployer la virtualisation, il faut plus que jamais du pragmatisme et de l’expérience. Il faut commencer petit, garder toutes les options ouvertes pour pouvoir s’étendre plus tard, prendre des décisions rapidement et vérifier si les décisions précédentes sont toujours pertinentes au vu des nouvelles informations tant technologiques, qu’organisationnelles ou stratégiques

GS Mag : Quels sont les principaux pièges à éviter ?

Domenico Di Cicco : La virtualisation n’est pas une religion. On n’a pas besoin d’y croire. Ce n’est pas une idéologie qu’il faut défendre. Il faut avoir l’esprit ouvert pour envisager toutes les offres possibles, chaque fournisseur vantant forcément sa propre solution.
C’est une aventure qu’il faut éviter d’entreprendre seul, sans expérience préalable, en se faisant des raisonnements par analogie sur les serveurs physiques.
D’un autre côté, il ne faut pas abuser d’expertise externe qui peut faire perdre toute l’économie financière de la virtualisation.

GS Mag : Pouvez-vous nous donner un ou deux exemples significatifs de mises en œuvre réussies d’environnements virtualisés ?

Domenico Di Cicco : Les exemples sont nombreux comme cette société des télécoms possède 6000 machines virtuelles et déploie 3000 machines virtuelles par an ou encore une banque d’investissement a virtualisé tous ses postes de développement qui sont utilisés à partir de l’Asie.


Voir les articles précédents

    

Voir les articles suivants