Windows Server 2008 R2 : sécurité et haute disponibilité

Stanislas Quastana & Fabrice MeillonArchitectes InfrastructureMicrosoft Francehttp://blogs.technet.com/windows7

Pourquoi mélanger sécurité et haute disponibilité?

La sécurité sert principalement à répondre à 3 besoins :

Confidentialité

Intégrité

Disponibilité

Quelques rappels

Les nouveautés de

Windows Server

2008 R2

Sécurité

Windows Server

Failover Clustering

Agenda

Windows Server 2008 et la sécuritéObjectifs :

Améliorer la résistance du système par réduction de la surface et des vecteurs potentiels d’attaques.Protéger les données et les informations

Windows Server 2008 et la sécuritéInvestissements

Résilience du système

Fonctions réseauxUser Account Control (UAC)Internet Explorer 7Chiffrement intégral des volumes (BitLocker)Active Directory Right Management ServicesCrypto Next Generation, AD Certificates ServicesNetwork Access Protection (NAP)

Windows Server Failover Clustering

Le cluster de basculement est un groupe d’ordinateurs connectés ensemble pour garantir la disponibilité des applications et des services hébergés.

Windows Server 2008 Aide l’administrateur lors de l’installation d’un cluster de ressourcesRationnalise l’outil d’administration du clusterÉtend les scénarios d’usage

Réseau communication intra cluster

Attachement iSCSI ou FC

NŒUD2NŒUD1

Disque quorumDisques applicatifs

Le cluster de basculementArchitecture de haute disponibilité

Réseau public

Caractéristiques de WSFC dans Windows Server 2008

Jusqu’à 16 nœuds en cluster avec des serveurs x64 Assistant de validation du ClusterAssistant d’installationNouveaux outils d’administrationAméliorations RéseauOutil de migration de MSCS 2003 vers WSFCNouveau modèle de sécuritéNouveau modèle de QuorumMode de maintenance pour les disquesSupport du Géo-Clustering

Quoi de neuf avec Windows Server 2008 R2 ?

Du coté de la sécurité

Un maitre mot : poursuivre les investissements

Protéger les données de l’entreprise……et de l’utilisateurApporter plus de flexibilité aux infrastructures à clés publiques (PKI)Adapter les méthodes d’authentification aux besoinsSimplifier la gestion des comptes de servicesEnrichir l’audit

Protection des données sur les serveurs

Disque préparé par défaut pour BitLocker dès l’installation du système

Sur Windows Server 2008, il faut prévoir cette organisation des volumes sur le disque

Chiffrement des disques internesPartition de BootPartition(s) de données

Protection des données mobiles

Chiffrement des périphériques externesBitLocker To Go ™

Permet de chiffrer intégralement les périphériques amoviblesNe nécessite pas de matériel spécifiqueEst entièrement configurable via stratégies de groupesL’administrateur peut imposer le chiffrement de tout périphérique avant usage

Active Directory Certificates Services dans Windows Server 2008 R2. Objectifs:

Apporter plus de flexibilité lors du déploiement d’une infrastructure PKIOffrir de nouveaux scénariosFournir un meilleur support de NAP

Support des demandes de certificats entre forêtsCertificate Enrollment Web Service et Certificate Enrollment Policy Web ServiceOptimisation de la gestion des certificats à usage temporaire

Adapter les méthodes d’authentification aux besoins

Aujourd’hui il est difficile de déterminer le type d’authentification fournit par l’utilisateur (mot de passe, carte à puce) lorsqu’il accède à des ressources

Exemple: comment contrôler l’accès aux ressources en fonctions d’informations telles que l’utilisation d’une carte à puce ou le fait que le certificat utilisé ait une clé publique de 2048 bit

Objectif : permettre aux administrateurs de contrôler l'accès aux ressources/applications en fonction du type et de la force de la méthode d'authentification

Authentication Assurance

Les administrateurs peuvent faire correspondre différentes propriétés, dont le type d’authentification ou sa force avec une identitéEn fonction des informations fournies lors de l’authentification, ces identités sont ajoutées au ticket Kerberos pour être utilisées par les applicationsFonctionnalité disponible dans le nouveau niveau fonctionnel de domaine Windows Server 2008 R2

User Account Control

Toujours présent Toujours utileMais moins visible

Amélioration de l’expérience utilisateur

Stratégies UACWindows Vista / Server 2008 Windows 7 / Server 2008 R2

Network Access Protection

Multiples configurations du System Health Validator (SHV)

Simplifier la gestion des comptes de service

Bref rappel historiqueLa gestion des comptes de service est souvent source de problèmes / questionsLes opérations de maintenance fréquentes peuvent engendrer des indisponibilités

Exemple: réinitialisation du mot de passe d’un compte de service pour une application critique

La mise en place de la politique de sécurité est rendue plus complexe ou limitée dans son périmètre

Administration simplifiée des comptes de service

« Managed Service Accounts »Une solution d’administration permettant d’adresser les besoins d’isolation des comptes de servicesUn compte de service administré (MSA) par service par machineGestion améliorée des Service Principal Names (SPN) en mode fonctionnel Windows Server 2008 R2 au niveau domaineAmélioration du TCO via une réduction des indisponibilités et de la charge d’administration

Sécuriser DNS

ObjectifsProuver que l’information provient de la bonne sourceProuver que l’information n’a pas été modifiée

Solution : Signatures – Chiffrement à clés publiques

DNSSEC = DNS utilisant des certificats émis par une PKI

Simplifier l'audit

Objectifs :Augmenter le niveau de détail dans l’audit de sécuritéSimplifier la configuration et l’administration des politiques d’audit

Audit globalRegistre et système de fichier

Reporting « Raison de l’accès »Paramètres avancés d’audit

Local Policies\Audit Policy

Sécurité en action

Démo

Windows Server Failover

Clustering

Failover Cluster dans Windows Server 2008 R2

Objectifs :Etendre l’assistant de validationAméliorer l’outil de migrationRendre possible le déplacement de machines virtuelles entre nœuds sans interruption de service au niveau de la machine virtuelle (Live Migration d’Hyper-V)Offrir une administration avancée

Validation des configurationsExtension de la couverture fonctionnelle de l’assistant de validation des configurationsExécution lors de la configuration initiale et/ou après le déploiement (configuration du cluster)Exemples de tests supplémentaires :

Informations de configuration destinées au support et à la documentation pour le service ITConfiguration réseau étendue (bindings, réseaux multiples)Tests n’engendrant pas d’interruption de serviceRecommandations en terme de bonnes pratiques

Exécution à distance ou depuis l’un des nœuds du cluster

Validation de laconfiguration

Démo

Assistant de migrationPermet de migrer la majorité des applications ou services

DFS-N, DHCP, DTC, serveur de fichiers, application générique, script générique, service générique, iSNS, MSMQ, NFS, Terminal Services Connection Broker, WINS

Les autres applications doivent être migrées avec leur propre mécanisme

Services pouvant être mis en œuvre en cluster avec 2008 R2Les nouveaux

DFS-RRemote Desktop Connection Broker

Les plus courantsHyper-VSQL ServerExchange ServerServeur de fichiersServeur d’impression

Tierces partiesDifférents rôles, ex: base de données

Les autresMSMQDTCDHCPDFS-NamespaceNFSiSNSWINS

Les génériquesApplication GénériqueScript GénériqueService Générique

Le cluster de basculementPrincipe de fonctionnementDepuis son origine Windows Server implémente un modèle de cluster de type “share nothing”Dans ce modèle chaque disque est la propriété d’un unique nœud à chaque instant, seul ce nœud est capable d’effectuer des I/O sur le disque

SAN

Stockage partagé

Un seul nœud peut accéder un LUN à un

instant

Cluster Shared VolumeTous les serveurs “voient” le même stockage (LUN)

Activation de CSV

Cluster SharedVolumeMise en oeuvre

Démo

Cluster Shared Volume

Permet à de multiples nœuds d’accéder de manière concurrente à un unique LUN partagéNe nécessite pas de démonter puis de remonter les volumes

ce qui peut engendrer de 500 à 700 ms d’indisponibilité lors de la modification de propriétaire

Fournit aux VM une transparence complète vis-à-vis du nœud propriétaire d’un LUNLes VM peuvent être déplacées sans nécessiter de changement de propriété de LUN

En quoi CSV est-il spécifique ?

CSV est basé sur deux constats: Les requêtes de type lecture/écriture de données sont plus nombreuses que les requêtes d’accès/modification des métadonnées (ex: création de fichier)Des accès concurrents de différents nœuds à un même fichier ne sont pas nécessaires pour des fichiers de type VHD

CSV propose un accès aux fichiers optimisé pour Hyper-V

Cluster Shared VolumeAperçu

Disque

Volume unique

SAN

VHD VHD VHD

VMs effectuant

des I/O directes

Volume propriété d’un seul nœud

«Coordinateur» 

Accès distribué aux fichiers coordonné

via le nœud coordinateur

(modification des métadonnées)

VMs effectuant

des I/O directes

LUN Autre LUN

VMs effectuant

des I/O directes

Cluster Shared VolumeRedirection dynamique des I/O

CSV File System Filter

Les I/O sont dynamiquement redirigées

en fonction de la disponibilité du chemin

Handle virtuel

Cluster Shared VolumeCSV fournit un espace de noms de fichiers unique et cohérent

Les fichiers portent le même nom et chemin quelque soit le nœud du cluster depuis lequel ils sont vusLes volumes CSV sont exposés sous forme de répertoires et sous répertoire du dossier “ClusterStorage”

C:\ClusterStorage\Volume1\<root>C:\ClusterStorage\Volume2\<root>C:\ClusterStorage\Volume3\<root>

Cluster Shared Volume

Apporte une tolérance de panne supplémentaire

Indisponibilité de l’accès au stockage SANIndisponibilité d’un nœudIndisponibilité du réseau

Disponibilité accrue avec CSVTolérance aux indisponibilités de la connexion au stockage SAN

VM active sur le nœud

2 non affectée

Volume monté sur le nœud 1

«Nœud Coordinateur»

Indisponibilité de la connexion au

SAN

VHD

I/O Redirigée via SMB

Les VMs peuvent faire l’objet d’une Live Migration vers un autre nœud sans indisponibilité

SAN

Disponibilité accrue avec CSV Tolérance aux indisponibilités d’un nœud

Bascule du volume vers un nœud en

bonne santé

Queuing des I/O pendant que la

propriété du volume est modifiée

VHD

Défaillance du nœud

VM active sur le nœud

2 non affectée

SAN

Volume monté sur le nœud 1

«Nœud Coordinateur»

Disponibilité accrue avec CSV Tolérance aux indisponibilités du réseau

Indisponibilité de la connexion

réseau

VHD

Mises à jour des Metadata re-routées

vers le réseau redondant

Les connexions TCP tolérantes aux pannes rendent l’indisponibilité transparente

VM active sur le nœud 2 non

affectée

SAN

Volume monté sur le nœud 1

«Nœud Coordinateur»

Indisponibilité de la connexion

réseau

Cluster SharedVolumetolérance aux pannes

Démo

Cluster Shared VolumeCompatibilité avec l’existant

Absence de pré-requis matériels spécifiquesPré-requis identiques aux autres volumes en cluster

Accès au stockage en iSCSI, Fibre Channel, SAS

Absence de limitations liées à la structure des répertoires ou des chemins d’accèsContrairement à d’autres technologies de ce type, CSV ne repose pas sur un nouveau système de fichiers

C’est du NTFS

Usage réservé pour l’instant à Hyper-V v2

Cluster SharedVolumeLive Migration

Démo

Administration via PowerShell

Mode ligne de commande et langage de scriptingDisponible aussi en mode Server Core avec Windows Server 2008 R2Administration simplifiée

Exécution de la validationCréation de clusters & ajout des ressourcesGénération des rapports de dépendance

Hyper-V et Clustered Shared VolumeCréation des VMs, administration VMs, quick migration, live migration

API en lecture seule

Quelques exemples Lister des cmdlets Cluster

Get-Command -Type cmdlet *cluster*

Lister les tests de validation et exécuter un testTest-Cluster -list | ft –autoTest-Cluster -Include "Validate Active Directory Configuration« 

Créer le clusterNew-Cluster -NodeName N01,N022 -Name W2K8R2-cluster

Obtenir le nom du cluster local, lister les nœuds, les ressources

Get-ClusterGet-ClusterNode, Get-ClusterGroup, Get-ClusterResource

Création d'un serveur de fichier HAAdd-ClusterFileServerRole -Storage $FileServerDiskResourceName -Name $FileServerGroupName -StaticAddress $FileServerIP

Type de quorumGet-ClusterQuorum

Synthèse

•BitLocker et BitLocker To Go•PKI

Confidentialité

• UAC• NAP• Managed Service Account• DNSSEC, Audit

Intégrité

•Windows Server Failover Cluster•Windows Shared Volume

Disponibilité

Ressources utiles

Blog

http://blogs.technet.com/windows7

Dans ce blog, cliquez Windows Server 2008 R2 dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

Save the date for tech·days next year!

14 – 15 avril 2010, CICG

Classic Sponsoring Partners

Premium Sponsoring Partners

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED

OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Votre potentiel, notre passion TM