C109_Windows Server 2008 R2 Securite Et Disponibilite_techdays Genf
-
Upload
ben-aissa-taher -
Category
Documents
-
view
25 -
download
0
Transcript of C109_Windows Server 2008 R2 Securite Et Disponibilite_techdays Genf
Windows Server 2008 R2 : sécurité et haute disponibilité
Stanislas Quastana & Fabrice MeillonArchitectes InfrastructureMicrosoft Francehttp://blogs.technet.com/windows7
Pourquoi mélanger sécurité et haute disponibilité?
La sécurité sert principalement à répondre à 3 besoins :
Confidentialité
Intégrité
Disponibilité
Quelques rappels
Les nouveautés de
Windows Server
2008 R2
Sécurité
Windows Server
Failover Clustering
Agenda
Windows Server 2008 et la sécuritéObjectifs :
Améliorer la résistance du système par réduction de la surface et des vecteurs potentiels d’attaques.Protéger les données et les informations
Windows Server 2008 et la sécuritéInvestissements
Résilience du système
Fonctions réseauxUser Account Control (UAC)Internet Explorer 7Chiffrement intégral des volumes (BitLocker)Active Directory Right Management ServicesCrypto Next Generation, AD Certificates ServicesNetwork Access Protection (NAP)
Windows Server Failover Clustering
Le cluster de basculement est un groupe d’ordinateurs connectés ensemble pour garantir la disponibilité des applications et des services hébergés.
Windows Server 2008 Aide l’administrateur lors de l’installation d’un cluster de ressourcesRationnalise l’outil d’administration du clusterÉtend les scénarios d’usage
Réseau communication intra cluster
Attachement iSCSI ou FC
NŒUD2NŒUD1
Disque quorumDisques applicatifs
Le cluster de basculementArchitecture de haute disponibilité
Réseau public
Caractéristiques de WSFC dans Windows Server 2008
Jusqu’à 16 nœuds en cluster avec des serveurs x64 Assistant de validation du ClusterAssistant d’installationNouveaux outils d’administrationAméliorations RéseauOutil de migration de MSCS 2003 vers WSFCNouveau modèle de sécuritéNouveau modèle de QuorumMode de maintenance pour les disquesSupport du Géo-Clustering
Du coté de la sécurité
Un maitre mot : poursuivre les investissements
Protéger les données de l’entreprise……et de l’utilisateurApporter plus de flexibilité aux infrastructures à clés publiques (PKI)Adapter les méthodes d’authentification aux besoinsSimplifier la gestion des comptes de servicesEnrichir l’audit
Protection des données sur les serveurs
Disque préparé par défaut pour BitLocker dès l’installation du système
Sur Windows Server 2008, il faut prévoir cette organisation des volumes sur le disque
Chiffrement des disques internesPartition de BootPartition(s) de données
Protection des données mobiles
Chiffrement des périphériques externesBitLocker To Go ™
Permet de chiffrer intégralement les périphériques amoviblesNe nécessite pas de matériel spécifiqueEst entièrement configurable via stratégies de groupesL’administrateur peut imposer le chiffrement de tout périphérique avant usage
Active Directory Certificates Services dans Windows Server 2008 R2. Objectifs:
Apporter plus de flexibilité lors du déploiement d’une infrastructure PKIOffrir de nouveaux scénariosFournir un meilleur support de NAP
Support des demandes de certificats entre forêtsCertificate Enrollment Web Service et Certificate Enrollment Policy Web ServiceOptimisation de la gestion des certificats à usage temporaire
Adapter les méthodes d’authentification aux besoins
Aujourd’hui il est difficile de déterminer le type d’authentification fournit par l’utilisateur (mot de passe, carte à puce) lorsqu’il accède à des ressources
Exemple: comment contrôler l’accès aux ressources en fonctions d’informations telles que l’utilisation d’une carte à puce ou le fait que le certificat utilisé ait une clé publique de 2048 bit
Objectif : permettre aux administrateurs de contrôler l'accès aux ressources/applications en fonction du type et de la force de la méthode d'authentification
Authentication Assurance
Les administrateurs peuvent faire correspondre différentes propriétés, dont le type d’authentification ou sa force avec une identitéEn fonction des informations fournies lors de l’authentification, ces identités sont ajoutées au ticket Kerberos pour être utilisées par les applicationsFonctionnalité disponible dans le nouveau niveau fonctionnel de domaine Windows Server 2008 R2
User Account Control
Toujours présent Toujours utileMais moins visible
Amélioration de l’expérience utilisateur
Simplifier la gestion des comptes de service
Bref rappel historiqueLa gestion des comptes de service est souvent source de problèmes / questionsLes opérations de maintenance fréquentes peuvent engendrer des indisponibilités
Exemple: réinitialisation du mot de passe d’un compte de service pour une application critique
La mise en place de la politique de sécurité est rendue plus complexe ou limitée dans son périmètre
Administration simplifiée des comptes de service
« Managed Service Accounts »Une solution d’administration permettant d’adresser les besoins d’isolation des comptes de servicesUn compte de service administré (MSA) par service par machineGestion améliorée des Service Principal Names (SPN) en mode fonctionnel Windows Server 2008 R2 au niveau domaineAmélioration du TCO via une réduction des indisponibilités et de la charge d’administration
Sécuriser DNS
ObjectifsProuver que l’information provient de la bonne sourceProuver que l’information n’a pas été modifiée
Solution : Signatures – Chiffrement à clés publiques
DNSSEC = DNS utilisant des certificats émis par une PKI
Simplifier l'audit
Objectifs :Augmenter le niveau de détail dans l’audit de sécuritéSimplifier la configuration et l’administration des politiques d’audit
Audit globalRegistre et système de fichier
Reporting « Raison de l’accès »Paramètres avancés d’audit
Local Policies\Audit Policy
Failover Cluster dans Windows Server 2008 R2
Objectifs :Etendre l’assistant de validationAméliorer l’outil de migrationRendre possible le déplacement de machines virtuelles entre nœuds sans interruption de service au niveau de la machine virtuelle (Live Migration d’Hyper-V)Offrir une administration avancée
Validation des configurationsExtension de la couverture fonctionnelle de l’assistant de validation des configurationsExécution lors de la configuration initiale et/ou après le déploiement (configuration du cluster)Exemples de tests supplémentaires :
Informations de configuration destinées au support et à la documentation pour le service ITConfiguration réseau étendue (bindings, réseaux multiples)Tests n’engendrant pas d’interruption de serviceRecommandations en terme de bonnes pratiques
Exécution à distance ou depuis l’un des nœuds du cluster
Assistant de migrationPermet de migrer la majorité des applications ou services
DFS-N, DHCP, DTC, serveur de fichiers, application générique, script générique, service générique, iSNS, MSMQ, NFS, Terminal Services Connection Broker, WINS
Les autres applications doivent être migrées avec leur propre mécanisme
Services pouvant être mis en œuvre en cluster avec 2008 R2Les nouveaux
DFS-RRemote Desktop Connection Broker
Les plus courantsHyper-VSQL ServerExchange ServerServeur de fichiersServeur d’impression
Tierces partiesDifférents rôles, ex: base de données
Les autresMSMQDTCDHCPDFS-NamespaceNFSiSNSWINS
Les génériquesApplication GénériqueScript GénériqueService Générique
Le cluster de basculementPrincipe de fonctionnementDepuis son origine Windows Server implémente un modèle de cluster de type “share nothing”Dans ce modèle chaque disque est la propriété d’un unique nœud à chaque instant, seul ce nœud est capable d’effectuer des I/O sur le disque
SAN
Stockage partagé
Un seul nœud peut accéder un LUN à un
instant
Cluster Shared Volume
Permet à de multiples nœuds d’accéder de manière concurrente à un unique LUN partagéNe nécessite pas de démonter puis de remonter les volumes
ce qui peut engendrer de 500 à 700 ms d’indisponibilité lors de la modification de propriétaire
Fournit aux VM une transparence complète vis-à-vis du nœud propriétaire d’un LUNLes VM peuvent être déplacées sans nécessiter de changement de propriété de LUN
En quoi CSV est-il spécifique ?
CSV est basé sur deux constats: Les requêtes de type lecture/écriture de données sont plus nombreuses que les requêtes d’accès/modification des métadonnées (ex: création de fichier)Des accès concurrents de différents nœuds à un même fichier ne sont pas nécessaires pour des fichiers de type VHD
CSV propose un accès aux fichiers optimisé pour Hyper-V
Cluster Shared VolumeAperçu
Disque
Volume unique
SAN
VHD VHD VHD
VMs effectuant
des I/O directes
Volume propriété d’un seul nœud
«Coordinateur»
Accès distribué aux fichiers coordonné
via le nœud coordinateur
(modification des métadonnées)
VMs effectuant
des I/O directes
LUN Autre LUN
VMs effectuant
des I/O directes
Cluster Shared VolumeRedirection dynamique des I/O
CSV File System Filter
Les I/O sont dynamiquement redirigées
en fonction de la disponibilité du chemin
Handle virtuel
Cluster Shared VolumeCSV fournit un espace de noms de fichiers unique et cohérent
Les fichiers portent le même nom et chemin quelque soit le nœud du cluster depuis lequel ils sont vusLes volumes CSV sont exposés sous forme de répertoires et sous répertoire du dossier “ClusterStorage”
C:\ClusterStorage\Volume1\<root>C:\ClusterStorage\Volume2\<root>C:\ClusterStorage\Volume3\<root>
Cluster Shared Volume
Apporte une tolérance de panne supplémentaire
Indisponibilité de l’accès au stockage SANIndisponibilité d’un nœudIndisponibilité du réseau
Disponibilité accrue avec CSVTolérance aux indisponibilités de la connexion au stockage SAN
VM active sur le nœud
2 non affectée
Volume monté sur le nœud 1
«Nœud Coordinateur»
Indisponibilité de la connexion au
SAN
VHD
I/O Redirigée via SMB
Les VMs peuvent faire l’objet d’une Live Migration vers un autre nœud sans indisponibilité
SAN
Disponibilité accrue avec CSV Tolérance aux indisponibilités d’un nœud
Bascule du volume vers un nœud en
bonne santé
Queuing des I/O pendant que la
propriété du volume est modifiée
VHD
Défaillance du nœud
VM active sur le nœud
2 non affectée
SAN
Volume monté sur le nœud 1
«Nœud Coordinateur»
Disponibilité accrue avec CSV Tolérance aux indisponibilités du réseau
Indisponibilité de la connexion
réseau
VHD
Mises à jour des Metadata re-routées
vers le réseau redondant
Les connexions TCP tolérantes aux pannes rendent l’indisponibilité transparente
VM active sur le nœud 2 non
affectée
SAN
Volume monté sur le nœud 1
«Nœud Coordinateur»
Indisponibilité de la connexion
réseau
Cluster Shared VolumeCompatibilité avec l’existant
Absence de pré-requis matériels spécifiquesPré-requis identiques aux autres volumes en cluster
Accès au stockage en iSCSI, Fibre Channel, SAS
Absence de limitations liées à la structure des répertoires ou des chemins d’accèsContrairement à d’autres technologies de ce type, CSV ne repose pas sur un nouveau système de fichiers
C’est du NTFS
Usage réservé pour l’instant à Hyper-V v2
Administration via PowerShell
Mode ligne de commande et langage de scriptingDisponible aussi en mode Server Core avec Windows Server 2008 R2Administration simplifiée
Exécution de la validationCréation de clusters & ajout des ressourcesGénération des rapports de dépendance
Hyper-V et Clustered Shared VolumeCréation des VMs, administration VMs, quick migration, live migration
API en lecture seule
Quelques exemples Lister des cmdlets Cluster
Get-Command -Type cmdlet *cluster*
Lister les tests de validation et exécuter un testTest-Cluster -list | ft –autoTest-Cluster -Include "Validate Active Directory Configuration«
Créer le clusterNew-Cluster -NodeName N01,N022 -Name W2K8R2-cluster
Obtenir le nom du cluster local, lister les nœuds, les ressources
Get-ClusterGet-ClusterNode, Get-ClusterGroup, Get-ClusterResource
Création d'un serveur de fichier HAAdd-ClusterFileServerRole -Storage $FileServerDiskResourceName -Name $FileServerGroupName -StaticAddress $FileServerIP
Type de quorumGet-ClusterQuorum
Synthèse
•BitLocker et BitLocker To Go•PKI
Confidentialité
• UAC• NAP• Managed Service Account• DNSSEC, Audit
Intégrité
•Windows Server Failover Cluster•Windows Shared Volume
Disponibilité
Ressources utiles
Blog
http://blogs.technet.com/windows7
Dans ce blog, cliquez Windows Server 2008 R2 dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED
OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Votre potentiel, notre passion TM