Protéger Windows Server 2003 : projet vSphere 6, NSX et Deep Security 9.6

Vous le savez, depuis le 14 Juillet dernier, Microsoft a cessé d’assurer le support et la maintenance de Windows Server 2003. Cela s’est accompagné chez nous par la préparation d’un chantier spécifique pour pouvoir mettre en place des solutions de protection dédiées à la sécurisation de la production historique du CHU tournant encore sur cette plate-forme. Malgré la volonté affichée de notre département IT, appuyée par notre RSSI, de procéder dès que possible à la migration des serveurs 2003 vers Windows 2008/2008R2 au minimum et malgré la pression importante mise sur nos fournisseurs, il nous reste encore une masse non négligeable de VMs de ce type encore en production aujourd’hui.

Après pas mal de discussions en interne, nous sommes parti finalement sur la solution Deep Security de Trend Micro. En effet, nous disposons déjà des solutions Trend pour notre Antivirus primaire au sein de notre Intranet, du coup, l’intégration de l’ensemble sera très bonne et les statistiques seront consolidées. Plus généralement, Deep Security existe depuis longtemps sur les environnements VMWare et nous avions eu l’occasion de PoC’er celle-ci il y a quelques années. DS S’appuie sur les API de sécurité des noyaux ESXi pour intercepter l’ensemble des flux de VM sélectionnées et ainsi assurer des fonctions Antivirales et surtout de “Virtual Patching”, la partie la plus intéressante pour nous.

Aujourd’hui il existe 2 versions de Deep Security : DS 9.5 qui s’appuie sur les fonctions sécurité de vSphere 5.5 (vShield EndPoint et dvSwitchs) tandis que DS 9.6 s’intègre aux toutes dernières technologies de filtrage et de SDN de vSphere 6, à savoir NSX 6.1. Evidemment, vous me voyez venir ou pas ? Et bien, oui, nous avons décidé de choisir l’option la plus innovante à savoir vSphere 6/NSX ! Ce chantier va être très intéressant autant techniquement que culturellement chez nous, car nous allons devoir rentrer de plein pied dans le SDN. C’était dans notre roadmap moyen terme depuis quelques temps déjà, mais les contraintes Deep Security nous ont permis d’anticiper les plannings initiaux.

Nous allons donc, avec notre équipe réseau, lancer ce gros chantier, constitué des étapes suivantes :
– Mise à jour vSphere 6 plus vite que prévu (d’ici fin Novembre, début Décembre)
– Création d’un nouveau cluster VMWare basé sur ESXi 6
– Mise place de la couche NSX sur ce cluster spécifique
– Intégration des plug-in Deep Security dans NSX
– Tests et phase de pilote sur quelques VM
– Déménagement des VM 2003 (et certaines Windows XP, ne soyons pas pingres :) ) sur ce nouveau cluster

Finalement, cette fin de maintenance 2003 est une vraie opportunité pour nous pour découvrir la production en mode full SDDC et capitaliser un maximum afin d’être prêts, le moment venu, pour déployer NSX sur l’ensemble de notre production. Evidemment, je ne manquerai pas de vous tenir informé de l’avancement de ce chantier, d’autant que cela démarre sur les chapeaux de roues en ce moment même : la préparation de la migration vSphere 6 est déjà engagé avec une première mise à jour programmée de notre vCloud Director en version 8.0 for SP.

Je file, j’ai du boulot :)
Bon week-end à tous et peut-être à la semaine prochaine, si vous êtes au VMWorld, tweetez-moi !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *