Virtualisation : Les 10 meilleures pratiques en matière de virtualisation
La virtualisation continue de mûrir en tant que technologie, et les meilleures pratiques visant à son application aussi. Si votre infrastructure virtuelle n'est pas conforme à vos attentes, jetez donc un œil à cette liste de vérification.
Wes Miller
La virtualisation est passée du statut de technologie de laboratoire de test à celui de composant standard dans les centres de données et les infrastructures d'ordinateurs virtuels. En chemin, la virtualisation a reçu de temps à autre une carte « Vous êtes libéré de prison », et les déploiements virtuels n'ont pas été traité avec le même niveau de pratiques informatiques efficaces que celui attendu et appliqué à de véritables ordinateurs physiques. Il s'agit d'une erreur.
Si votre budget était illimité, laisseriez-vous chaque employé de votre entreprise commander un ou deux nouveaux systèmes pour le connecter au réseau ? Probablement pas. Lorsque la virtualisation est apparue pour la première fois, les dangers d'une prolifération illimitée et anarchique ont été maîtrisés par le fait que les applications d'hyperviseur avaient un coût. Cela fournissait une sorte de ligne de défense contre les ordinateurs virtuels non autorisés dans votre infrastructure. Ce n'est plus le cas.
Plusieurs technologies gratuites d'hyperviseur sont disponibles à présent, que ce soit pour les hyperviseurs de type 1 ou de type 2. N'importe qui dans votre entreprise disposant de disques d'installation de Windows et un peu de temps devant lui peut mettre en place un nouveau système sur votre réseau. Lorsque des ordinateurs virtuels sont déployés sans que les équipiers concernés soient mis au courant, cela signifie qu'un nouveau système peut devenir une cible privilégiée pour les toutes nouvelles vulnérabilités, et cela peut entraîner la chute d'autres systèmes de votre réseau qui eux sont capitaux pour votre entreprise.
Les systèmes virtuels ne devraient jamais être sous-estimés ou considérés comme acquis. Les infrastructures virtuelles doivent recevoir les mêmes meilleures pratiques que celles appliquées aux véritables systèmes physiques. Dans ce qui suit, nous allons exposer les 10 meilleures pratiques que vous devez toujours garder à l'esprit lorsque vous travaillez avec des systèmes virtuels.
1. Comprendre à la fois les avantages et les inconvénients de la virtualisation
Malheureusement, la virtualisation est devenue la solution à tous vos maux. Pour recréer des systèmes plus rapidement, vous les virtualisez. Pour rénover de vieux serveurs, vous les virtualisez. À l'évidence, beaucoup de rôles peuvent et doivent être endossés par la virtualisation. Toutefois, avant de migrer tous vos vieux systèmes physiques vers des systèmes virtuels, ou de déployer une nouvelle flotte de serveurs virtuels pour une charge de travail spécifique, vous devez vous assurer de bien comprendre les limites et les réalités de la virtualisation en termes d'utilisation du processeur, de la mémoire et du disque dur.
Par exemple, jusqu'à combien d'invités virtualisés pouvez-vous avoir sur un hôte donné, et combien de processeurs ou de cœurs, de RAM et d'espace disque chacun consomme-t-il ? Avez-vous pris en compte les exigences de stockage, en séparant bien le stockage du système, des données et du journal comme vous le feriez pour tout serveur SQL physique ? Vous devez également prendre en compte la sauvegarde, la restauration et le basculement. En réalité, les technologies de basculement pour les systèmes virtuels sont par bien des aspects tout aussi puissantes et souples que celles existant pour les systèmes physiques, et peut-être même davantage. Cela dépend vraiment du matériel hôte, du stockage et, par-dessus tout, de la technologie hyperviseur utilisée.
2. Comprendre les différents goulots d'étranglement de performances des différents rôles du système
Vous devez prendre en compte le rôle joué par chaque système virtuel lors de son déploiement, comme vous le feriez pour des serveurs physiques. Lorsque vous créez des serveurs pour qu'ils soient des serveurs SQL, Exchange ou IIS, vous n'utilisez pas tout à fait la même configuration pour chacun. Les exigences de processeur, de disque et de stockage sont extrêmement différentes. Lors de la détermination de la portée des systèmes virtuels, vous devez adopter la même approche de conception que pour vos déploiements de systèmes physiques. Avec des invités virtuels, cela signifie qu'il faut prendre le temps de comprendre vos options de stockage et de serveur, de surcharger un hôte avec trop d'invités ou de mettre en place des charges de travail conflictuelles dans lesquelles le processeur et le disque dur entrent en conflit.
3. Vous ne pouvez pas accorder une priorité plus importante à la gestion, l'application de correctifs et la sécurité des systèmes virtuels
Deux nouvelles attaques de virus se sont produites rien que cette semaine. La réalité est que beaucoup trop de systèmes virtuels n'ont pas reçu de correctifs, ou alors tardivement, qu'ils ne sont pas gérés correctement ou qu'ils sont tout simplement ignorés du point de vue de la sécurité. De récentes études mettent en évidence la part de responsabilité significative des disques mémoire flash USB dans la propagation des virus, et toute particulièrement des menaces ciblées. La réalité est que beaucoup trop de systèmes physiques n'ont pas reçu de correctifs et ne sont pas sécurisés. Les systèmes virtuels, et tout particulièrement les systèmes non autorisés, posent une menace encore plus importante. La possibilité d'annuler des changements du système rajoute à la complexité du problème, étant donné qu'elle rend la suppression de correctifs et de signatures de sécurité beaucoup trop simple, même si elle n'est pas intentionnelle. Restreignez la prolifération des ordinateurs virtuels, et assurez-vous de tous les inclure dans vos applications de correctifs, votre gestion et vos infrastructures de sécurité.
4. Traitez vos systèmes virtuels comme vous traitez vos systèmes physiques, à moins d'une absolue nécessité
Le point précédent a dû amorcer le processus de réflexion, mais ça ne fait pas de mal de le répéter. Vous ne devez pas traiter les systèmes virtuels d'une manière différente des systèmes physiques. En fait, en ce qui concerne les systèmes non autorisés, vous feriez même mieux de les traiter comme des systèmes hostiles. Ils peuvent servir de tête de pont aux logiciels malveillants pour infiltrer votre réseau.
5. Sauvegardez tôt et souvent
Les systèmes virtuels, tout comme les systèmes physiques, doivent être inclus dans votre régime de sauvegarde. Vous pouvez soit sauvegarder l'ordinateur virtuel dans son intégralité ou les données qu'il contient. cette dernière approche peut se montrer bien plus avantageuse et beaucoup plus souple. Sauvegarder un ordinateur virtuel intégralement prend un temps considérable et ne vous fournit que peu d'options de restauration rapide. De la même manière que vous protégez vos systèmes physiques essentiels, assurez-vous également que vous avez la capacité de restaurer rapidement et de façon fiable. Bien trop souvent les systèmes sont sauvegardés sans être vérifiés, ce qui se traduit par aucune sauvegarde du tout au bout du compte.
6. Soyez prudent lors de l'utilisation de toute technologie d'« annulation »
Les technologies virtuelles incluent souvent une technologie d'« annulation ». Méfiez-vous. Voici une raison supplémentaire de s'assurer que tous les systèmes virtuels sont bien inclus dans votre travail de gouvernance informatique. Il est beaucoup trop facile de faire revenir un disque dur d'un jour ou d'une semaine en arrière. Cela risque de rouvrir une vulnérabilité que vous vous étiez empressé de corriger, offrant ainsi un point d'infiltration pour une infection qui pourrait contaminer le reste de votre réseau.
7. Comprendre votre basculement et votre stratégie d'évolution verticale
La virtualisation est souvent considérée comme le moyen permettant d'arriver à un basculement et une évolution verticale parfaits. Cela dépend entièrement du matériel de votre hôte, de l'hyperviseur, du réseau et du stockage. Vous devez travailler avec tous vos fournisseurs pour comprendre comment chaque rôle que vous avez virtualisé peut réussir à évoluer par invité serveur. Vous devez également connaître la qualité du basculement ; spécifiquement, pendant combien de temps des invités peuvent être indisponibles lors d'un basculement, et quelle peut être leur réactivité et leur disponibilité pendant ce basculement.
8. Contrôlez la prolifération des ordinateurs virtuels
C'est un aspect crucial, et en même temps l'un des plus difficiles à appliquer. Plusieurs hyperviseurs complètement gratuits sont disponibles, et même avec un hyperviseur payant, cela reste bien trop aisé de « cloner » un invité. Cela peut se traduire par une multitude de problèmes :
- **Sécurité : ** De nouveaux systèmes ou des systèmes clonés de manière déviante peuvent devenir des systèmes qui sont incorrectement sécurisés ou qui peuvent causer des conflits avec le système à partir duquel ils ont été « clonés ».
- Gestion : Les conflits liés au clonage peuvent mener à des systèmes qui ne sont pas gérés selon la stratégie, auxquels les correctifs ne sont pas appliqués, et se traduire par des conflits ou une instabilité.
- Juridique : Jusqu'à récemment, Windows ne pouvait pas toujours déterminer s'il était en train d'être virtualisé ou, plus important encore, s'il venait d'être dupliqué silencieusement en tant que nouvel invité (une ou plusieurs fois). Bien trop souvent, il y a eu prolifération d'invités due à la facilité de duplication, et une attitude plus laxiste vis-à-vis du piratage. Cette attitude est dangereuse, et c'est quelque chose que votre équipe informatique doit bloquer en usant au minimum de son pouvoir administratif.
Il est trop facile de cloner des systèmes. Assurez-vous que votre équipe informatique connaît les risques de la duplication d'invité excessive. Ne déployez de nouveaux ordinateurs virtuels qu'en respectant les mêmes stratégies que celles que vous appliquez à vos systèmes physiques.
9. Centralisez votre stockage
Le fait que les hôtes soient physiquement dispersés dans toute votre entreprise est l'une des causes principales de prolifération d'ordinateurs virtuels. Si vous voyez un employé se diriger vers un serveur physique avec un disque dur externe et un CD à la main, vous risquez de vous demander ce qu'il fabrique. Avec les systèmes virtuels, copier l'invité entier (ou deux) est bien trop facile. Cette facilité de duplication est l'une des raisons principales expliquant la prolifération des ordinateurs virtuels. Cela peut aussi se traduire par une perte de données. Si vous êtes dans l'incapacité de sécuriser physiquement vos ordinateurs virtuels, leurs disques virtuels ou physiques doivent être chiffrés pour s'assurer qu'aucune donnée confidentielle ne soit perdue. En plaçant vos hôtes d'ordinateurs virtuels dans des emplacements sûrs et en les regroupant, vous pouvez réduire à la fois la prolifération et les risques potentiels de perte de données.
10. Comprendre votre périmètre de sécurité
Que vous développiez des logiciels ou que vous gériez des systèmes, la sécurité doit faire partie de votre stratégie quotidienne. Quand vous réfléchissez sur la manière de gérer et d'appliquer les correctifs à vos systèmes physiques, pensez également à toujours inclure vos systèmes virtuels. Si vous déployez des stratégies de mot de passe, sont-elles également bien appliquées sur vos systèmes virtuels ? Le risque existe, alors assurez-vous que vous êtes préparé à répondre de la manière dont les systèmes virtuels seront régis, afin que le risque de leur clonage soit minimisé. Vous devez traiter les ordinateurs virtuels comme des ordinateurs hostiles, à moins qu'ils ne fassent partie de votre plan de gouvernance informatique. Beaucoup d'hyperviseurs incluent maintenant soit une version gratuite soit une version d'évaluation d'un logiciel antivirus, à cause des menaces de sécurité potentielles qui peuvent survenir entre l'hôte et les invités.
Ici maintenant et ici dans le futur
La virtualisation promet de devenir un composant informatique encore plus important dans le futur. La meilleure chose que vous puissiez faire est de trouver une façon de travailler avec et de la gérer dès aujourd'hui, plutôt que de l'ignorer et d'espérer qu'elle se gèrera elle-même. Vous devez appliquer les mêmes stratégies à vos ordinateurs virtuels que celles que vous appliquez déjà à vos systèmes physiques. Sachez où la virtualisation est utilisée dans votre entreprise, et insistez sur les risques auprès de votre équipe que comporterait le fait de lui appliquer un traitement différent de celui des systèmes physiques.
.jpg)
Wes Miller* est responsable de produit chez CoreTrace (CoreTrace.com) à Austin au Texas. Il travaillait auparavant chez Winternals Software et comme responsable de programme chez Microsoft. Vous pouvez le contacter à l'adresse suivante : wm@getwired.com.*