DDoS sur un service SaaS

Nouvel article dans la série : surveillance des réseaux et services

Rien de tel que des exemples pour illustrer ce qu’apporte un système de suivi des performances comme celui que nous préparons [annonce]. Premier exemple, le fournisseur SaaS qui subit une attaque DDoS.

140404-DoS

Comme souvent cela démarre un lundi matin. Les performances de bases sont déjà moyennes (temps de réponse supérieur à 0,5s car le service est hébergé aux US, et utilise https ce qui ralentit la latence à première connexion) mais les accès deviennent franchement lents ( >1s ) et surtout un certain nombre de requêtes ne trouvent pas de réponse. Rapidement le blog du fournisseur fait état d’une attaque par déni de service, attaque avec demande de rançon. Pour ne pas céder à ce chantage, il décide publiquement de ne pas céder (au prix d’une souffrance des utilisateurs pendant quelques jours).

Le bras de fer durera une semaine avant que la situation redeviendra complètement normale.

Intérêt de la surveillance continue : obliger chaque acteur à la transparence, à savoir rapidement si vous êtes les seuls touchés.

Publié dans Non classé

Quelle est la qualité des réseaux dans vos agences et sites distants ?

Comme conseil spécialisé, nous sommes appelés à étudier & architecturer des réseaux IP, quotidiennement. Et certains constats se répètent.

  • Lorsqu’on interroge les utilisateurs, particulièrement sur sites distants ou en agences, ils se plaignent de lenteurs.
  • Lorsqu’on interviewe les administrateurs réseaux, ils montrent des graphes d’utilisations des liens. Parfois ils grommellent : si les tuyaux n’étaient pas remplis de flux YouTube, il y aurait moins d’incidents ; c’est par manque de budget si les liens sont insuffisamment dimensionnés…

Le problème est qu’il n’est pas facile de faire un lien entre les graphes et les plaintes. Le taux de remplissage est un mauvais indicateur parce qu’on se heurte facilement à des contre-exemples.

  • lorsque la QoS (DSCP) est correctement mise en œuvre (un gros si, il faut en convenir), la ToIP traverse sans peine un WAN, même saturé à ses accès.
  • inversement, si le tri entre flux n’est pas fait, ou l’application sur-réagit à de légers « défauts » du réseau (ils sont en partie intrinsèques puisque TCP détecte la saturation par les pertes de paquets, rappelons-le), on peut avoir des lenteurs majeures pour les utilisateurs avec des tuyaux peu remplis.
  • et pour finir, les lenteurs qu’on attribue au « réseau » – cet « éther » de l’informatique –  sont aussi causées par des limites des serveurs (processeurs, disques), des protocoles (verrous de base de données, non-streamlining des requêtes), voire des postes client (c’est incroyable comment on peut « accélérer » le réseau en remplaçant des PC équipés de disques durs traditionnels, par des PC équipés de SSD !). Il s’ensuit donc un jeu de ping-pong de responsabilité entre équipes ou prestataires qui pourrait être drôle si les utilisateurs n’attendaient pas…

Pour éviter que les redimensionnements se pratiquent par crise, pour que les budgets se mobilisent (ou inversement ne se consument pas en sur-capacité pour rien, car c’est le versant le moins visible de la difficulté de dimensionner sans points de repère), il faut apporter des éléments factuels des performances observées depuis les sites distants. Techniquement des mesures de la latence des services.

Sur le papier, les capacités de métrologie ne manquent pas. Par exemple, les routeurs Cisco peuvent être activés comme sondes de tests. Les fonctions IP-SLA permettent de lancer des requêtes http depuis un site distant, des ping marqués DSCP, de mesure la gigue, etc. Mais je pense que si Cisco avait les moyens comme Microsoft avec Office de mesurer le taux d’usage par fonction embarquée, on ferait le constat qu’IP-SLA est mis en œuvre sur moins de 1% du parc.

Les PC aussi peuvent servir de sonde, comme nous l’avons fait en 2011 avec des scripts mais les déploiements sont malaisés :

  • Les laptops changement de point de connexion avec les réseaux, même les desktops ne sont pas allumés en permanence
  • Les utilisateurs n’ont pas envie d’avoir un agent de plus qui consomme CPU, mémoire, etc.
  • Windows remet à zéro les champs DSCP
  • Etc.

Nous avons donc essayé de réfléchir à un dispositif alternatif pour répondre simplement à ces questions simples :

  • Quelles sont les temps de réponse effectifs depuis mes sites distants pour mes principaux services réseaux ?
  • Est-ce le réseau qui est lent, les systèmes (serveurs, PC) ou mon fournisseur SaaS ?
  • Puis-je avoir un suivi sur la durée, car les problèmes difficiles sont intermittents et les retours utilisateurs ne sont pas immédiats ?

Pour ne pas connaître un aussi faible usage que les moyens précédents, l’idée est de faire aussi simple que le déploiement des box opérateurs. Avec des millions de clients, ils sont devenus extrêmement rodés :

  1. Demande de livraison d’un boîtier sur site et configuration de quelques éléments spécifiques de configuration sur un portail web
  2. A l’arrivée du boitier, connexion plug-and-play sur une prise LAN RJ45 et une prise électrique

Le portail permet ensuite le suivi via graphes et alertes sur performances.

Nous en sommes actuellement à l’état de quelques prototypes. Nous envisageons d’ouvrir une première expérimentation opérationnelle de services en juin et vous tiendrons informé sur ce blog. En attendant, vous pouvez nous contacter si vous voulez influencer le développement, nous indiquer quel serait le coût à ne pas dépasser ou toute autre remarque.

A bientôt.

Publié dans Non classé

Bonus : synthèse des méthodes de déploiements d’applications sur PC Windows

En synthèse, il existe de multiples façons de déployer efficacement des applications.  De façon très synthétique, voici rappelés leurs avantages et inconvénients.

 

Méthode de déploiement d’application Windows Avantages Inconvénients
Application Portable Self Service utilisateurFacilite tous les autres modes de déploiement Effort du développeur pour un couplage faible avec l’OSContrôle quasi-impossible des licences ou d’autorisation d’utilisation d’une application
Installation locales MSI ou EXE Installation standard à laquelle sont habitués les utilisateurs de Windows Les installations ne sont pas toujours automatisables (pas de silent install)Si aucune mesure n’est prise par le développeur / infogéreur, il y a souvent perte des préférences quand l’utilisateur change de machine
Idem précédent + compléments type App Portal + SCCM Self Service utilisateur avec gestion centralisée (des licences notamment) Travail de repackaging
Microsoft App-V, Citrix XenApp, VMware Thin App, Novell Zenwork Centralisation de la gestion des applications (donc des licences et des droits d’utilisation) Travail préparatoire de packaging des applicationsSolution méconnue par rapport au Remote Desktop notamment
Microsoft Remote Desktop & Apps, Citrix XenDesktop Facile à initier par tout administrateur Windows qui l’utilise déjà pour l’administration à distance de ses serveurs Ultra standardisationLicence éditeur pas toujours pensée pour ce cas de déploiementDépendance vis-à-vis du réseauDifficile de faire le tri entre les flux : impression, VoIP, etc.
Microsoft Hyper-V, Citrix VDI-in-a-box, VMware View Capacité à centraliser les applications, même les plus anciennes et les plus mal conçuesUn desktop dédié / personnalisable par utilisateur, tout en étant restaurable à l’identique sur demande Puissance serveur (CPU, stockage)Dépendance vis-à-vis du réseau (certaines solutions chez Citrix permettent de faire tourner la VM sur le poste client !)
Win To Go Fonctionne nativement avec Win8 App Store Ne répond qu’aux objectifs de mobilité ou de reconstruction

 

Remarques bonus

Windows To Go, l’OS portable

Comme vous l’avez peut-être remarqué, le tableau précédent se termine par un nouveau venu dans la galaxie des technologies Microsoft (il existait depuis longtemps dans l’environnement Linux). Avec Windows 8, Microsoft permet d’installer sur une clé USB une copie de son OS, qui embarque les applications Modern achetées sur l’App Store. Cette clé peut être utilisée dans la séquence de boot de n’importe quel PC, sans modifier aucunement le disque dur de celui-ci (le BIOS/EFI doit permettre le boot sur un support externe). Si on imagine bien quelques cas d’usage, nous avons encore un peu de mal à imaginer comment cette fonctionnalité changera la gestion industrielle des postes de travail. Peut-être avez-vous plus d’idées ? N’hésitez pas à nous en faire part [lien contact]

Applications web !

Enfin, en se focalisant sur le déploiement d’applications sur des PC Windows, ces pages risquent de faire manquer « l’éléphant dans le magasin », les tendances structurantes sur le long terme, même si on les perd de vue au quotidien. Pour ne plus être dépendant de Microsoft, éditeurs comme organisations ont poussé pour « webiser » les applications : (web)mail, ERP, CRM sont disponibles sous ce format. Dans cette architecture, le navigateur web n’est pas loin d’être comme un Remote Desktop des applications, avec une plus grand facilité à marier des applications hébergées en interne et celles externalisées. Une des questions à laquelle doit répondre toute réflexion sur un nouveau poste de travail informatique, consiste à savoir quelle place /effort lui accorde-t-on.

Publié dans Non classé

2012 et l’innovation

Suite du bilan qualitatif entamé par l’article précédent mais cette fois avec un focus sur des projets parfois beaucoup plus petits mais dont on peut penser qu’ils seront l’avant-garde du futur.

  • Au sein d’un grand projet traditionnel pour Setec (déménagement du siège d’une grande entreprise), deux pépites d’innovation dans les usages et l’exploitation. Des salles de réunions équipées de boîtiers de gestion fournissant affichage dynamique, détection des occupants et réservation in situ. Une approche nouvelle rendue possible par la multiplication des terminaux à des coûts abordables dans un monde où, par ailleurs, 80 % des nouveaux bureaux sont open space et les salles de réunions des points de contention (cela nous a conduit par la suite à rédiger un état de l’art de la gestion des salles de réunion via le SI).
  • La deuxième pépite se situe à un niveau plus inattendu avec l’implantation de panneaux de brassage intelligents. Outre les alertes sur des connexions / dé-connexions intempestives, ils permettent enfin que n’importe quel technicien du support informatique puisse réaliser des brassages rapides et sans erreur en suivant les instructions du bon de travaux généré par le système.
  • Les services de Secure Web Browsing en mode SaaS étaient l’apanage de quelques innovateurs de niche. L’arrivée de gros acteurs de la Sécurité confirme la pertinence du concept. Moins glamour que le MDM (Mobile Device Management), il peut être plus pragmatique dans la sécurisation des terminaux mobiles de l’entreprise selon le type de risques (il y a encore beaucoup plus de données dans les ordinateurs portables que dans les smartphones). Au passage, cela permet maintenant d’apporter des réponses concrètes aux entreprises qui veulent que leurs collaborateurs accèdent à leurs pages Facebook/YouTube mais pas à l’ensemble du contenu de ces sites, sortant du dilemme du tout ou rien, prévalant souvent aujourd’hui.
  • Toujours dans des projets d’échelle moyenne (1000 à 2000p), preuve a été apportée qu’il devient possible d’envisager un Plan de Continuité de l’Activité pour 90% du SI d’une entreprise à un coût abordable.
  • A l’autre extrémité avec plusieurs centaines de milliers de login, ouverture du bouquet de Contenus éducatifs de l’ENT Rhône-Alpes en mode SaaS

Innovations techniques maintenant.

  • L’année 2012 a été l’occasion de mettre à l’épreuve les solutions de réseaux convergents de datacenter des leaders du marché. Impact structurant sur l’architecture avec les bénéfices attendus mais confirmation que nous sommes face à une première génération.
  • Innovation dans l’organisation également, dans un grand groupe. La dimension internationale impose, en effet, à faire preuve de finesse et d’inventivité dans les moyens de fournir un Service Desk de qualité littéralement aux 4 coins du monde, sans imposer des coûts alignés sur les pays développés aux pays émergents.

Bilan de ce panorama : les DSI des petites et grandes entreprises ne risquent pas de manquer de projets dans les années à venir.

Publié dans Non classé

Salesforce se positionne sur les Communications Unifiées

En tant qu’observateur du SaaS et des Communications Unifiées, nous ne pouvons que noter l’acquisition de DimDim, nouvel entrant sur un marché dominé actuellement par WebEx, GotoMeeting et NetViewer (l‘acteur allemand lui-même acheté récemment par Citrix, maison mère de GotoMeeting).

Après Chatter, Salesforce semble donc vouloir se positionner sur les outils de collaboration. Un choix stratégique qui va le faire entrer en collision avec Google, mais il est vrai que leurs plateformes de développement Force.com et Google App Engine sont déjà concurrentes.

Après la fermeture des services, on peut donc parier sur une nouvelle poussée d’innovations.

Publié dans Non classé

Les puzzles du développement du Cloud et du SaaS

En tant que participant de la transformation SaaS, l’analyse du CIO de O’Reilly Media, l’éditeur bien connu, nous est apparu bien résumer plusieurs difficultés à surmonter dans cette évolution que l’IT traverse. Défis de haut niveau qu’il présente sous forme de puzzles :

  • Puzzle #1: Create flexibility by being less flexible
  • Puzzle #2: Determine the cost of an existing IT solution
  • Puzzle #3: Simplify the environment by introducing more complexity
  • Puzzle #4: Provide assurances of sustainability in a domain of uncertainty
  • Puzzle #5: Maintain security while reducing it

5 cloud computing conundrums

Publié dans Non classé