La virtualisation d'un serveur signifie-t-elle une autre couche de système d'exploitation à corriger et à mettre à jour, plus de travail et plus de risques?

J'ai fait une recherche et je n'ai rien trouvé qui résout les problèmes concernant les correctifs et les mises à jour du système. J'ai des directives qui disent que les serveurs doivent avoir les correctifs nécessaires. Si j'ai un hôte VM, est-ce une couche supplémentaire à patcher et à mettre à jour - même avec des hyperviseurs nus? Par opposition à avoir un serveur métal? (c.-à-d. plus de travail et de tests et de documentation selon mes directives).

À quelle fréquence les hyper-visières de type 1 / en métal nu sont-elles mises à jour? Est-ce important? Le fait qu'il s'agisse d'une couche logicielle supplémentaire introduit-il plus de complexité et de risques (sécurité et fiabilité)? (par exemple, logiciel sans bug à 99% x logiciel sans bug à 99% = système sans bug à 98%)?

(Mon expérience pratique est avec VMWare Workstation and Server et VirtualBox.)

Oui, des produits comme VMware doivent parfois être corrigés ( les mises à jour sont cumulatives ), mais les correctifs sont moins fréquents qu'un système d'exploitation principal et le vecteur d'attaque potentiel est plus petit - votre hyperviseur ne doit pas être accessible au public .

Je vais utiliser VMware ESXi version 5.0 (pas 5.1) comme exemple ...

ESXi 5.0 a eu le calendrier de mise à jour suivant:

Entre 9/2011 et aujourd'hui, il y a eu TEN mises à jour du produit ESXi 5.0. Parmi ceux-ci, SIX était des mises à jour axées sur la sécurité intégrées dans les ensembles de mises à jour avec des descriptions telles que:

«Vulnérabilité d'analyse du trafic ESXi NFS» - CVE-2012-2448 .

Ces vulnérabilités de sécurité sont réelles, car elles reflètent parfois des bogues de sécurité Linux généraux, mais je pense que la plupart des organisations ne sont pas très sensibles aux risques. C'est à l'ingénieur d'évaluer ce risque. Vos utilisateurs voudraient-ils des temps d'arrêt massifs pour corriger l' exploit suivant ?

"La macro encode_name dans misc / mntent_r.c dans la bibliothèque GNU C (aka glibc ou libc6) 2.11.1 et versions antérieures, telle qu'utilisée par ncpmount et mount.cifs, ne gère pas correctement les caractères de nouvelle ligne dans les noms de point de montage, ce qui permet aux utilisateurs locaux pour provoquer un déni de service (corruption de mtab), ou éventuellement modifier les options de montage et obtenir des privilèges, via une demande de montage spécialement conçue. "

Peut être? Peut être pas.

Je lance Update Manager de VMware , mais seulement tendance à la mise à jour si je suis impacté par un bug ou une amélioration de requiers fonction. Lorsqu'il est exécuté dans une configuration en cluster, l'application de correctifs est facile sans interruption des machines virtuelles en cours d'exécution. Si aucune autre raison urgente n'existe, je m'efforcerai simplement de mettre à jour tous les trimestres. Les hôtes individuels nécessiteront un redémarrage complet, car les correctifs sont fournis sous forme d'images monolithiques.

En guise de remarque, chaque fois que j'hérite d'une configuration VMware ESXi ou que je travaille sur un système que je ne gère pas normalement, je vois souvent des hôtes en cours d'exécution qui n'ont jamais eu de correctifs VMware appliqués. C'est faux!! Mais je peux voir comment les administrateurs pourraient faire cette erreur une fois que les systèmes sont opérationnels.

C'est une assez bonne question si vous êtes nouveau dans la virtualisation avec des hôtes «bare metal». Faire les choses de cette façon nécessite une mentalité différente de l'approche que vous pourriez adopter avec des hyperviseurs qui s'exécutent en tant que service / application au-dessus d'un système d'exploitation conventionnel.

D'après mon expérience, il est probablement juste de dire que ESX et HyperV nécessitent globalement moins de correctifs que les systèmes d'exploitation conventionnels. Cela ne signifie pas qu'ils n'ont pas besoin de correctifs du tout, ou que l'application de certains correctifs ne serait pas bénéfique indépendamment du «besoin», mais cela signifie que les interruptions de vos services pour corriger l'hôte devraient être moins fréquentes et plus sous votre contrôle. Il existe un risque de sécurité potentiel pour les systèmes d'exploitation de l'hyperviseur, comme pour tout autre, et bien que vous puissiez minimiser l'exposition à ce risque (par exemple, exposer uniquement la gestion de l'hyperviseur sur un VLAN isolé qui ne peut logiquement pas être atteint à partir d'un serveur compromis) il serait stupide de prétendre qu'il n'y a aucun risque.

Donc, si vous avez 4 serveurs non virtuels, par exemple, et que vous les déplacez tous vers le même hôte virtualisé individuel, alors oui, vous augmentez le nombre de perturbations qui pourraient être causées par un besoin de patcher le système hôte (ou de gérer un problème de matériel, etc., d'ailleurs).

Bien que je suggère que le risque que ce risque se produise est relativement faible (je parle de la différence entre l'application d'un correctif à un hôte virtuel et le type de correctif qui nécessite un redémarrage que vous auriez à faire de toute façon sur un système autonome ), on ne peut pas échapper au fait que l'impact est élevé.

Alors pourquoi le faisons-nous alors?

Le véritable avantage de la virtualisation vient de la possibilité d'installer plusieurs hôtes et de configurer les hôtes pour qu'ils fonctionnent ensemble, permettant aux invités d'être déplacés d'un hôte à l'autre en cas de défaillance d'un hôte ou de planifier des correctifs sur les systèmes hôtes.

En utilisant cette approche, j'ai réussi à patcher 5 hôtes ESX à tour de rôle sans aucune interruption du tout sur les 40 serveurs virtuels exécutés au-dessus d'eux. C'est simplement une question d'économies d'échelle - une fois que vous avez suffisamment de machines virtuelles invitées potentielles pour qu'il soit utile de construire ce type de configuration complexe et de le gérer avec le genre d'outils que @ewwhite mentionne dans sa réponse, le retour sur investissement pour réduire les risques vous vous inquiétez d'arriver très rapidement.

Un serveur virtuel nécessitera la même maintenance et les mêmes correctifs qu'un serveur physique, les hyperviseurs bare metal nécessiteront des mises à jour, pour des raisons de sécurité, mais aussi pour corriger des bogues et améliorer les performances. Plus vous avez de serveurs, plus vous devrez travailler pour les maintenir à jour, peu importe qu'ils soient physiques ou virtuels.

Sur la base des réponses ci-dessus, il semble: La virtualisation d'un serveur a introduit plus de complexité et de risques en termes de sécurité et de fiabilité, mais ceux-ci doivent être mis en balance avec les avantages de pouvoir réduire les temps d'arrêt en virtualisant un serveur.

Si votre environnement nécessite un audit, des tests et de la documentation, le rapport coût-avantage de la charge de travail supplémentaire d'un environnement virtualisé devra être pris en compte avec le nombre de serveurs et de personnel système dont vous disposez. Dans notre environnement, nous n'avons pas le personnel / le temps du personnel pour maintenir la piste d'audit pour un environnement virtualisé. Dans nos processus commerciaux, nous pouvons prendre un certain temps d'arrêt, mais nous ne pouvons pas manquer une piste d'audit et de la documentation.