X

Protection et sécurité natives

Nutanix intègre de façon native la protection des données et la disponibilité permanente au niveau de la  machine virtuelle. Une large gamme d’options permet de répondre aux objectifs de perte de données maximale admissible (PDMA ou RPO) et de durée maximale d’interruption admissible (DMIA ou RTO) des différentes applications. En termes de sécurité, les plates-formes vont au-delà des exigences requises par le département de la défense des États-Unis.

Rappelons que la durée maximale d’interruption admissible (DMIA), ou Recovery Time Objective (RTO), définit le temps nécessaire à une reprise suite à une panne informatique. La perte de données maximale admissible (PDMA), ou Recovery Point Objective (RPO), définit la quantité maximale de données que vous êtes prêt à perdre.


Options de protection des données proposées par Nutanix.

Sauvegardes locales convergées

Time Stream de Nutanix est capable de créer un nombre illimité de snapshots locaux – avec une cohérence de niveau VM et applicatif – et de récupérer les données instantanément afin de répondre aux multiples exigences de sauvegarde et de protection des données.

Time Stream se fonde sur des snapshots orientés VM afin d’apporter une protection des données de production sans y sacrifier les performances. Nutanix emploie un algorithme de redirection sur écriture (redirect-on-write) qui améliore énormément l’efficacité de la prise des snapshots.

L’intégration de la technologie IntelliSnap de Commvault combine les capacités de sauvegarde de Commvault avec les fonctionnalités de stockage d’entreprise de Nutanix

Sauvegarde distante intégrée et reprise après sinistre

Les capacités de reprise après sinistre et de réplication de Nutanix s’appuient sur une technologie de snapshots. Il est possible de répliquer de façon asynchrone des snapshots de VM ou de les sauvegarder dans un autre datacenter conformément à la planification définie par l’utilisateur. Les topologies de réplication sont souples et bidirectionnelles. Elles autorisent des déploiements un-vers-un, un-vers-plusieurs et plusieurs-vers-plusieurs. Au cours de la réplication, les données sont compressées et répliquées au niveau du sous-bloc pour une efficacité maximale et une consommation réduite de la bande passante du WAN.

L’interface Prism de Nutanix apporte une vue simplifiée de tous les snapshots locaux et distants. Les administrateurs peuvent ainsi restaurer en un seul clic une VM à partir d’un snapshot. En cas de sinistre, le basculement vers le datacenter secondaire se réalise en un seul clic. Notons par ailleurs que le système de protection des données d’Acropolis propose la restauration des fichiers en self-service. Les utilisateurs peuvent ainsi récupérer des fichiers individuels à partir des snapshots de VM sans avoir recours à un administrateur, une autre caractéristique majeure de l’efficacité et de la simplicité des solutions Nutanix.

Cloud Connect

Cette technologie permet aux entreprises d’exploiter les services de cloud public, comme Amazon Web Services (AWS) et Microsoft Azure, en tant que destinations de sauvegardes à long terme pour tous les types d’applications. Ils deviennent une extension logique de leur propre datacenter.
Cloud Connect pour AWS apporte un cluster Nutanix dans le cloud. Il s’exécute sur des instances EC2 et utilise Elastic Block Store pour les métadonnées et un stockage S3 pour les sauvegardes. Dans le cas de Microsoft Azure, le logiciel Nutanix s’exécute sur Azure Compute et le stockage est fourni par Azure Page. Le transfert des données est optimisé pour un WAN, réduisant l’empreinte du stockage et la bande passante réseau de plus de 75 %. La compatibilité avec Amazon Virtual Private Cloud (VPC) et Azure Virtual Network (VNET) autorise le transfert sécurisé des données sur une connexion IP.

Pour les petites & moyennes entreprises, l’une des demandes les plus fréquentes est la possibilité de disposer d’une possibilité de sauvegarde/réplication d’un seul nœud dans le cadre de déploiements légers.  Ceci permet d’utiliser les capacités natives de sauvegarde et réplication de données vers un nœud de stockage plus important qui peut être sur le même site ou un site distant. La version 5.0 d’Acropolis offre cette fonction dans un nœud unique avec 40 To de capacité brute agissant comme destination pour les données sauvegardées ou conservées sous forme d’image.

Metro Availability et réplication synchrone pour les applications critiques

Pour les applications critiques qui nécessitent un PDMA nul et un DMIA proche de zéro, Nutanix propose Metro Availability. Il permet de garantir une disponibilité permanente des données entre différents sites au sein d’un réseau métropolitain. Metro Availability peut être configuré pour un fonctionnement bidirectionnel entre deux sites interconnectés par un réseau métropolitain. La seule contrainte sur le réseau est une latence aller-retour inférieure à 5 ms. Les données sont écrites de façon synchrone sur les deux sites et restent donc disponibles aux applications même si un site tombe en panne ou passe en maintenance. Des machines virtuelles peuvent être déplacées sans interruption entre des sites lors des opérations de maintenance planifiées ou pour d’autres besoins.

Par ailleurs, la fonction Metro Availability Witness offre une solution de réplication synchrone. Il s’agit d’un service très léger qui peut s’activer à n’importe quel endroit afin de permettre une bascule d’un site vers un autre sans interruption de service en monitorant en permanence le statut des deux sites.

Des options de sécurité étendues

Nutanix Acropolis a été renforcé par défaut. Il met en œuvre le principe de moindre privilège et offre un véritable modèle de défense en profondeur. Sa sécurité de référence personnalisée va au-delà des exigences demandées par le département de la défense des États-Unis.

Nutanix combine des fonctionnalités comme l’authentification à deux facteurs et le chiffrement des données entreposées à un cycle de développement de la sécurité. Avec une telle prise en compte tout au long du développement du produit, il est possible de satisfaire aux exigences de sécurité les plus fortes. Les systèmes Nutanix ont obtenu la certification d’un grand nombre de programmes d’évaluation et leur conformité avec les normes les plus strictes est garantie.

Chiffrement des données entreposées

Le chiffrement des données entreposées (data-at-rest encryption) se fonde sur l’utilisation de disques avec autochiffrement (SED, self-encrypting drive), qui équipent d’office les équipements Nutanix. Le chiffrement des données des utilisateurs et des applications, conformément au standard FIPS 140-2 Level 2, permet d’obtenir un niveau de protection élevé. Au lieu de stocker les clés dans le cluster, Acropolis se connecte à des serveurs de gestion de clés tiers par l’intermédiaire du protocole standard KMIP (Key Management Interface Protocol).

Authentification à deux facteurs et confinement de cluster

Dans les environnements qui exigent un niveau de sécurité supplémentaire, les solutions Nutanix imposent aux administrateurs système une authentification à deux facteurs. Dans ce cas, la connexion d’un administrateur nécessite un certificat client et un nom d’utilisateur/mot de passe.
Nutanix offre également Cluster Shield, qui restreint les accès à un cluster dans des environnements soucieux de la sécurité, comme les datacenters gouvernementaux et ceux liés à la santé. Cluster Shield non seulement interdit automatiquement les shells interactifs, mais permet également des accès restrictifs en fonction des clés.

Nutanix met en œuvre un cycle de développement de la sécurité (SecDL, Security Development Lifecycle) unique, parfaitement défini, de façon à inclure la sécurité à chaque étape du processus de développement logiciel, depuis la conception et le développement, jusqu’aux tests et au renforcement. Une modélisation des menaces permet d’évaluer et de réduire les risques clients liés aux modifications du code. Les tests SecDL sont intégralement automatisés pendant le développement et toutes les modifications du code qui concernent la sécurité se font dans des versions mineures afin de réduire les risques.

Le guide d’implémentation technique de la sécurité (STIG, Security Technical Implementation Guide) de Nutanix est rédigé au format XCCDF (eXtensible Configuration Checklist Description Format). Il peut ainsi être lu par différents outils d’évaluation automatisés, comme HBSS (Host Based Security System). Cela permet d’obtenir des informations détaillées sur la manière d’évaluer un système Nutanix et de déterminer sa conformité avec les contraintes du STIG. La durée de certification n’est plus de 9 à 12 mois, mais de quelques minutes.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider