politique de sécurité : quelques travaux en cours

Bonjour,
Nous nous approchons de 60’000 serveurs, grâce notamment au fait que
vous êtes de plus en plus nombreux à faire de la virtualisation sur les
serveurs chez Ovh. C’est en partie dû à nos distributions prêtes à
l’emploi, les IP fail-over, les IP loadbalancing et tous les services
qu’on propose en plus (le vKVM, le KVM, le firewall), mais surtout parce
qu’il y a de la demande sur ce marché là (c’est bien de faire les
économies). Techniquement parlant, nous avons dû adapter notre infrastructure
technique pour vous proposer de la virtualisation mais aujourd’hui nous
ne sommes plus satisfaits de ce qu’on vous propose. On peut faire mieux et
on va faire mieux. Parce que ... parce que je le vaux bien ! :)

Exemples de ce qu’on fait encore mal et comment on va faire bien :
- Une machine virtuelle, qui fonctionne sur un serveur, se faire hacker
et lance une attaque, spoof le réseau, etc. Actuellement, nous détectons
que le problème vient du serveur physique et on bloque tout le serveur
au lieu de bloquer juste la machine virtuelle.
- Le réseau se protège contre les serveurs qui jouent avec les MAC sur
notre réseau. Dés qu’on le détecte, le port du serveur s’autobloque
(cisco humain network, enfin je fais rien). Le réseau a isolé le
problème en coupant le serveur et donc continue à fonctionner sans
aucun problème. Ce n’est pas top pour le serveur par contre. Aussi
dans la virtualisation on peut "router" les packets ou jouer justement
avec les adresses MAC. On souhaite proposer les 2.

Nous allons donc changer quelques règles de sécurité sur le réseau afin
de permettre ces nouvelles utilisations tout en maintenant un niveau de
sécurité en mode "parano" (car celui qui n’est pas parano sur le net
a une espérance de vie très limitée). Aussi, nous allons devoir changer
30% de nos switchs de baie (plus de 400 pièces ... aie ! ça fait moins
rire d’un coup, mais bon on ne fait pas des sushis sans le riz ni du
bifteck sans viande ni de l’omelette sans les oeufs, ... !?) pour permettre
à nos clients de la virtualisation d’être encore plus heureux chez Ovh tout
en évitant que ces clients heureux fassent de bêtises aux autres clients
(qui sont eux aussi heureux chez Ovh mais peut être pas autant que ceux de
la virtualisation, pas maintenant, sous peu ...).

Pour résumer techniquement l’évolution, les communications entre le serveur
et "le reste" (les autres serveurs, les routeurs, l’internet) vont être blindées
et sécurisées dans un espèce de tunnel afin de permettre à ces machines
d’annoncer dans cet espèce de tunnel du "bruit" et "des trucs louches" sans
que ce "bruit" là ne puisse nuire aux autres serveurs, aux routeurs et à l’internet.

Mais qu’est-ce qu’il dit ? Donc très techniquement parlant, ... je vais vous
inviter à consulter le task de travaux dans lequel on va expliquer ce
qu’on fait. Techniquement parlant c’est une prise de tête, et il faut
4 pages pour l’expliquer.

http://travaux.ovh.com/?do=details&id=3187

Bien sûr, rien ne change pour 99.99% de nos clients. Ça risque de changer
pour 2-4 clients qui ont peut être fait de trucs border line. C’est tout.

Tous les autres clients vont adorer car on va permettre plus de choses,
on va avoir un réseau blindé en béton armé et sans qu’ils râlent (beaucoup
un peu quand même, mais pas trop, on a entendu le message).

Voilà :)

Amicalement
Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter