Big Data, sécurité, et Power7 chez Bull

Me voici de retour dans le monde des constructeurs, pour une journée en tous cas. Un peu de nostalgie peut-être, et aussi la confirmation qu'il ne restera plus, à terme, que deux Unix sur le marché. HP-UX et Solaris se marginalisent de plus en plus.

 

C'était à l'occasion d'un séminaire organisé par Bull qui présentait de nouveaux serveurs et quelques sujets "dans le vent".

Voici le contenu de mes notes sur quatre sujets qui ont été exposés lors de ce séminaire :

• L’offre de serveurs Escala ;
• La gestion de la sécurité avec Escala sous Aix ;
• L’offre « Storage Shared Pool » ;
• Présentation « Big Data » ;

Où en est Bull ?

Bull en 2011 a fait 1,3 Mds € de chiffre d’affaires avec 4,6 % de croissance sur l’année écoulée. Ce sont aujourd’hui 9000 experts au service des clients.

Bull fête son vingtième anniversaire de partenariat avec IBM sur sa gamme Escala. L’autre partenariat majeur continue avec EMC².

 

La gamme Escala

Parts de marché

Aujourd’hui, l’offre Aix Bull représente 30% du marché français, plutôt en croissance par rapport à HP UX à 15% et Solaris à 15% également.  Au niveau mondial Aix occupe aujourd’hui 50% du marché Unix.

Roadmap CPU Power

• Power6 en gravure 65 nm : Processeur dual-core ;
• Février 2010 Power7 45 nm : Multi-core ;
• À venir  Power7+ 32 nm : C’est l’équivalent du Power7 avec des fonctionnalités de cryptage, de compression de mémoire, et plus de cache. Le Power7+ aura une performance globale de 25% meilleure que le Power7.

Annonce d’octobre 2012

Disponibilité de nouveaux serveurs :

• M6-715 sur Power7+
  • 48 cores maximum sur P7+@4,25 Ghz
  • 64 cores maximum sur P7+@3,76 Ghz
  • 20 VMs par core
• M7-715
  • 64 cores maximum sur P7+@4,25 Ghz
  • 128 cores maximum sur P7+@3,76 Ghz
  • 20 VMs par core
• Évolution du serveur H9 (H9-700)
  • 256 cores maximum sur P7+@4,0 Ghz
  • 128 cores maximum sur P7+@4,25 Ghz
  • 1000 VMs maximum
  • 16 TB max

Gestion de la sécurité sur Escala

On appelle « Vulnerability Disclosure », la publication d’un problème de sécurité qui a été constatée. La personne ou l’organisation qui a découvert la faille de sécurité peut en faire part publiquement soit tout de suite, soit après avoir alerté le fournisseur matériel ou logiciel de telle manière que celui-ci puisse régler le problem avant la publication. Le nombre de « Vulnerability Disclosure » augmente de façon continue.

• 3000 Vulnerability Disclosure en 2002
• 9000 Vulnerability Disclosure en 2012 (Source X-Force)

Conscient de cette hausse, Bull se positionne comme pouvant gérer la sécurité à tous les niveaux de manière coordonnée.

• Niveau Hardware et processeur ;
• Niveau O/S sur Aix ;
• Niveau disque avec les outils EMC.

Niveau Hardware et processeur

Les processeurs Power7 gère le cryptage des données par un co-processeur dédié. L’algorithme de cryptage se base sur un générateur de nombre aléatoire (Random Number Generator) VRAIMENT aléatoire en se basant sur des données électriques relevées en certains points du processeur. Les fluctuations de l’électronique, n’étant pas prévisibles, permettent ainsi de mieux garantir l’initialisation de la clé de cryptage qui, en principe, ne peut pas être retrouvée par programme.

Sécurité avec Aix

Aix propose en standard un grand nombre de packages de sécurité :

• RBAC (Role Base Access Control) : Une norme Unix permettant d’exécuter un grand nombre de tâches d’administration sans passer par le compte root.
• Encrypted File System : Cryptage des données, y compris pour le compte root.
• Trusted Aix Execution : Signature et scellement des exécutables Aix + lock down qui empêche de les modifier.
  • Technique évitant de modifier le nom et le contenu d’un exécutable (Exemple trivial : renommer la commande ls en rm –r ou la remplacer par un script qui fait toute autre chose qu’un listing de fichiers).
• Aix runtime expert : Création et gestion de profils (au format XML) qui peuvent être comparés à un modèle de référence qui aura été préalablement certifié conforme aux normes de sécurité de l’entreprise.
• Aix Security Expert : Profils préconfigurés avec différents niveaux de sécurité.
• Secure by default : Environnement Aix minimal durci, bloquant les points d’entrée les moins sécurisés (telnetd, ftpd, etc..).

Sécurité sur la baie de disques EMC²

• Technologie RSA native sur les baies EMC².
• Symmetrix audit log : Enregistrement de toutes les actions sur la baie Symmetrix en garantissant l’intégrité des fichiers de log.
• Data at Rest Encryption : Protection des données liée à la position physique du disque dans la baie.  Si le disque est sorti de sa baie d’origine, les données deviennent inexploitables et illisibles.

 

Sécurité sur PowerSC

• Trusted Boot : Démarrage de LPAR sur un boot certifié. Toute modification du boot et/ou du kernel  génère un message d’alerte et une demande d’approbation ou de rejet de la séquence de boot.
• Trusted Firewall : Échange sécurisé entre LPAR d’un même châssis à travers les VIOS sans sortir sur le réseau.
• Trusted Logging : Centralisation des syslogs de chaque LPAR sur un seul FileSystem (/var/vio/vlogs/lpar-[01-xxx].
• Trusted network and patch management : Garantie qu’une nouvelle installation respecte bien les règles en cours avant qu’elle puisse se connecter au réseau sécurisé.
• Trusted Surveyor  (option) : Topologie de la correspondance entre les LPARs et les différents VLANs de l’entreprise.

Toutes ces fonctionnalités sont incluses dans PowerSC Standard Edition à l’exception de Trusted Surveyor en option.

Storage Shared Pool

• L’objectif de cette technologie est de permettre aux administrateurs système d’être plus autonomes par rapport aux équipes SAN. Elle permet de s’affranchir des spécificités propres à chaque fournisseur de stockage (EMC², HDS, IBM, NetApp).
• Le Shared Storage Pool est une couche de virtualisation qui utilise des fonctionnalités de Aix Custer Aware en mappant les devices natifs par une arborescence de devices homogènes sous /dev qui masquent la diversité des différents LUNs.
• Le Shared Storage Pool supporte le thin provisionning (Surbooking des ressources disque). En revanche, il ne gère pas la redondance RAID qui reste du domaine des sous-systèmes disque.
• Le Shared Storage Pool facilite le transfert des données (Storage Live Mobility) entre baies de disques en permettant d’apparier en arrière-plan des LUNs de même dimension. Cette fonctionnalité est supportée en baie de disques de différentes origines (IBM vers HDS, ou autre type de combinaison).

Big Data

Une présentation très décevante parce que très confuse. On en retiendra une définition :

Définition

Big Data : Technique qui promet l’analyse de données de toute sorte, structurées et non structurées, avec des promesses de valeur ajoutée

Trois piliers

Le Big Data repose sur trois piliers :

• Reporting : Questions préformatées sans possibilité d’interaction ;
• Analytics : Possibilité de data discovery et de visual Interaction ;
• Statistics : Ce qui caractérise le Big Data par rapport au data mining. Possibilité de travailler sur la totalité des données plutôt que sur un échantillonnage.

Les quatre Vs (ou cinq)

Les 4 Vs : Big Data se caractérise par les 4 Vs :

• Volume important ;
• Variété : Données de toutes sorte, structurée et non structurée ;
• Vélocité : Accès aux données en temps réel ;
• Variabilité : Évolution des données non prévisible ;
• Certains ajoutent un cinquième V qui représente la Valeur apportée par cette technique.

Les technologies

• Technologies traditionnelles sur SQL. C’est LE MESSAGE qui n’a pas cessé d’être martelé. On peut faire du Big Data sur les architectures traditionnelles Aix/Oracle. Visiblement Bull craint que l’on fasse l’association entre Big Data et les nouveaux modes de gestion des données (Hadoop, Map Reduce)
• NOSQL : Not Only SQL et non pas No SQL. Il y a deux types de technologie NOSQL
  • La technique KeyValue/Store à base de clé de hashage permettant d’accélérer l’accès aux données. C’est une technique plutôt orientée OLTP.
  • Le framework Hadoop développé par Google et Yahoo ! Les données sont réparties sur un FileSystem distribué (Google File System devenu HDFS ou Hadoop File System). Par défaut, les données sont triplement répliquées sur des équipements différents.
  • L’algorithme MapReduce découpe la recherche de données en sous-recherches récursives vers les nœuds de l’arbre de recherche puis les remontent au nœud maître.
  • Deux langages de programmation sont associés à cet ensemble :
    • PIG et HIVE