OVH Community, your new community space.

politique de =?ISO-8859-15?Q?s=E9curit=E9=3A?= quelques travaux en cours


oles@ovh.net
24.06.2009, 17.56
Buon giorno,

Ci avviciniamo a 60'000 server, grazie in particolare al fatto che siete sempre più numerosi a fare virtualizzazione su server da Ovh.
Questo è in parte dovuto alle nostre distribuzioni pronte all'uso, all'IP fail-over, l'IP loadbalancing e tutti i servizi che si propongono in più (il vKVM, la KVM, il firewall), ma soprattutto perchè vi è domanda sul mercato (è bene fare economia).
Tecnicamente parlando, abbiamo dovuto adattare la nostra infrastruttura tecnica per proporvi la virtualizzazione ma oggi noi non siamo più soddisfatti.
Si può fare meglio e si farà meglio.
Perché… perché io valgo!

Esempi di quel che si fa ancora male e come si migliorerà:
- Una macchina virtuale, che funziona su un server, si fa hackare e lancia un attacco, spoofa la rete, ecc.
Attualmente, noi individuiamo che il problema viene dal server fisico e blocchiamo tutto il server anziché bloccare appena la macchina virtuale.
- La rete si protegge contro i server che giocano con il MAC sulla nostra rete.
Dal momento che lo individuiamo, la porta del server si autoblocca (cisco humain network, in fondo io non faccio nulla).
La rete ha isolato il problema tagliando il server e dunque continua a funzionare senza nessun problema. Questo non è il massimo per il server.
Anche nella virtualizzazione possiamo "routare" i pacchetti o giocare giustamente con gli indirizzi MAC. Desideriamo proporre entrambi.

Dunque cambieremo alcune norme di sicurezza sulla rete allo scopo di permettere questi nuovi utilizzi pur mantenendo un livello di sicurezza in modo "paranoiato" (poiché chi non è paranoiato sulla rete ha una speranza di vita molto limitata). Inoltre, dovremo cambiare il 30% dei nostri switchs di baia (più di 400 parti… ha! questo fa meno ridere, ma...non si fanno sushi senza il riso né bistecche senza carne né omelette senza le uova,…!?) per permettere ai nostri clienti della virtualizzazione di essere ancora più felici da Ovh evitando che questi clienti felici facciano sciocchezze agli altri clienti (che sono felici da Ovh ma possono non esserlo quanto quelli della virtualizzazione, non ora, presto…).

Per riassumere tecnicamente l'evoluzione, le comunicazioni tra il server e "il resto" (gli altri server, i routeurs, Internet) sarà blindato e rassicurato in una specie di tunnel per permettere a queste macchine di annunciare in questa specie di tunnel "trucchi strani" senza che questo possa nuocere agli altri server, ai routeurs ed a Internet.

Ma cos'ha detto? Dunque molto tecnicamente parlando,… vi invito a consultare i task dei lavori nella quale si spiegherà quel che facciamo.
Tecnicamente parlando è una presa di testa, occorrono 4 pagine per spiegarlo.

http://travaux.ovh.com/?do=details&id=3187

Certamente, nulla cambia per 99.99% dei nostri clienti. Rischia di cambiare per 2-4 clienti che hanno fatto dei trucchi border Line. E' tutto.
Tutti gli altri clienti saranno soddisfatti poiché si permetteranno più cose, si avrà una rete blindata in cemento armato e senza lamentele (un po' comunque, ma non troppo, se si è inteso il messaggio).

Ecco

Amichevolmente
Octave