Procédé de gestion de services sur un réseau
La présente invention concerne un procédé de gestion de services sur un réseau, comportant :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent.
Les réseaux informatiques de grandes dimensions comprennent généralement plusieurs sites informatiques identiques ou différents disposant chacun de ressources de traitement et de stockage. Chaque site est propre à mettre en œuvre un ou plusieurs services proposés sur le réseau à l'ensemble des sites.
Chaque site est dédié à un ou plusieurs services particuliers de sorte que, en cas de destruction du site, par exemple par une attaque physique ou logique ciblée sur le site dédié, les services hébergés par le site attaqué ne sont plus disponibles sur l'ensemble du réseau.
Afin de résoudre cette difficulté, il est connu de mettre en œuvre deux fois le même service sur deux sites différents, assurant ainsi une redondance permettant de toujours accéder au service même si l'un des sites est détruit.
Cette redondance doit être couplée à des mesures de maintenance préventive et de détection en temps réel, ce qui fait que ce genre de solution s'avère particulièrement coûteux en termes d'infrastructure, de personnel, d'équipement et de conception initiale du système.
Une solution alternative consiste à répartir un même service découpé en plusieurs parties sur plusieurs sites, en prévoyant une redondance de chacune des parties.
Cette solution est encore plus complexe et coûteuse que la précédente.
L'invention a pour but de proposer une solution de gestion des services sur réseau réduisant les risques de perte d'un service en cas de destruction d'un site du réseau, dont le coût de mise en œuvre est réduit.
A cet effet, l'invention a pour objet un procédé de gestion de services, du type précité, caractérisé en ce qu'il comporte le transfert d'au moins un service d'un site de départ vers un site de destination du réseau suivant une chronologie de transfert prédéterminée indépendante de la seule charge du ou de chaque site.
L'invention a aussi pour objet un procédé de gestion de services sur un réseau comportant :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que chaque service est associé à des attributs de sécurité et en ce que le procédé comporte le transfert d'au moins un service d'un site de départ vers un site de destination du réseau suivant un chronologie de transfert prédéterminée qui dépend des attributs de sécurité.
Suivant des modes particuliers de mise en œuvre, le procédé comporte l'une ou plusieurs des caractéristiques suivantes :
- chaque service est associé à des attributs de sécurité et la chronologie de transfert dépend des attributs de sécurité ;
- les attributs de sécurité comportent l'un ou plusieurs des paramètres parmi un niveau de criticité du service, une fréquence minimale de transfert, une fréquence maximale de transfert, un niveau de risque acceptable et une plage horaire de transfert ;
- le procédé comporte, pour chaque transfert, une étape de choix du site de destination en fonction d'une règle prédéfinie ;
- chaque site est associé à des caractéristiques de sécurité et l'étape de choix du site de destination comporte une étape de choix de sites de destination potentiels en fonction des caractéristiques de sécurité des sites constituant le réseau et une étape de choix du site de destination parmi les sites de destination potentiels ;
- les caractéristiques de sécurité comportent, l'une ou plusieurs des caractéristiques parmi les ressources disponibles du site, le niveau de risque physique et logique du site et la qualité du réseau d'accès vers le site ;
- l'étape de choix du site de destination comporte une phase de choix aléatoire parmi des sites du réseau ;
- la chronologie de transfert dépend des caractéristiques de sécurité du site sur lequel le service est mis en œuvre ;
L'invention a également pour objet un réseau caractérisé en ce que chaque site comporte une unité de supervision propre à assurer l'hébergement d'un service sur le site et son transfert vers un autre site suivant ladite une chronologie de transfert.
Ce réseau comporte l'une ou plusieurs des caractéristiques suivantes :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que les moyens de transfert d'au moins un service d'un site de départ vers un site de destination du réseau sont propres à assurer le transfert suivant une chronologie de transfert prédéterminée indépendante de la seule charge du ou de chaque site par mise en œuvre d'un procédé de gestion des services tel que décrit précédemment.
L'invention concerne également un réseau comportant :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que chaque service est associé à des attributs de sécurité et que les moyens de transfert d'au moins un service d'un site de départ vers un site de destination du réseau sont propres à assurer le transfert suivant un chronologie de transfert prédéterminée qui dépend des attributs de sécurité par mise en œuvre d'un procédé de gestion des services tel que décrit précédemment.
L'invention sera mieux comprise à la relecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins sur lesquels :
- la figure 1 est une vue schématique d'un réseau selon l'invention ; et
- la figure 2 est un organigramme du procédé mis en œuvre dans le réseau selon l'invention.
Le réseau représenté sur la figure 1 , est un réseau informatique 10 par exemple destiné à des opérations militaires ou civiles déployées sur un théâtre d'opérations de grande étendue. Ce théâtre d'opérations est par exemple une zone touchée par un tremblement de terre.
Le réseau 10 comporte plusieurs sites de traitement informatique 12, 14, 16, 18 interconnectés les uns aux autres par des liaisons 20 de transmission de données. Les sites sont propres à mettre en œuvre des services offerts à l'ensemble des utilisateurs présents sur le réseau. Ces services sont par exemple un service de fourniture de cartes de la région, un service de planification des opérations, un service de gestion des télécommunications, ou tout autre service permettant de faciliter les opérations.
A un instant donné, chaque service est mis en œuvre sur un unique site du réseau. Selon l'invention, les services sont propres à être transférés d'un site à un autre site suivant un ensemble de règles prédéterminées.
Chaque service est constitué d'un ensemble de programmes de traitement ou de communication, de paramètres de configuration ainsi que de données sur lesquels travaille le service.
Les liaisons 20 sont propres à permettre l'accès depuis n'importe quel point du réseau à chacun des sites pour accéder aux services présents en fonction de règles d'accès prédéterminées. En outre, les liaisons sont propres à assurer le transfert des programmes, paramètres et données constituant chacun des services entre deux sites du réseau.
Les sites informatiques sont distants et indépendants les uns des autres de sorte que ceux-ci peuvent être caractérisés par des niveaux de risque physique et logique qui leur sont propres. Le niveau de risque physique et logique de chaque site est décrit par exemple par un entier compris entre 1 et 10 représentatif de la probabilité que le site soit détruit ou inopérant suite à une attaque physique telle qu'une bombe, une coulée de boue ou un ouragan ou suite à une attaque informatique tel que des virus ou des actions de destructions ou désorganisation des programmes informatiques principaux. Par convention, plus la probabilité d'une destruction du site est grande, plus le niveau de risque physique et logique est fixé à une valeur faible.
Dans le mode de réalisation envisagé, chaque site informatique comporte une ferme de serveurs 32 comportant plusieurs serveurs 32A, 32B, 32C hébergeant chacun plusieurs machines virtuelles 34A, 34B.
Chaque machine virtuelle 34A, 34B est propre à mettre en œuvre un unique service spécifique utilisé par le réseau.
La ferme de serveurs 32 est associée à une unité de stockage 36 propre au site considéré telle qu'une baie de disques durs. Enfin, chaque site comporte une unité de supervision 38 propre au site, cette unité étant encore appelée gestionnaire. Cette unité de supervision est propre à assurer la gestion de la ferme de serveurs, la création et l'utilisation des machines virtuelles qui sont hébergées, ainsi que les transferts bidirectionnels d'informations depuis et vers le site considéré.
A cet effet, l'ensemble des communications assurées par les liaisons 20 entrant ou sortant d'un site donné, s'effectue, au travers de l'unité de supervision 38 du site.
Chaque site informatique 12 à 18 est associé à des caractéristiques de sécurité mémorisées dans l'unité de supervision 38 du site. Ces caractéristiques de sécurité sont des paramètres définissant l'état de risque et les capacités du site. Ces caractéristiques comportent, outre le niveau N de risque physique et logique déjà évoqué, par exemple les ressources disponibles R et la qualité Q du réseau d'accès vers ce site.
En outre, chaque service fonctionnant sur le réseau est associé à des paramètres propres de protection définissant les mesures prises automatiquement pour assurer une préservation suffisante du service sur le réseau. Ces attributs de sécurité sont par exemple le niveau C de criticité du service, la fréquence minimale Fm de transfert du service, la fréquence maximale FM du transfert du service, le niveau NA de risque acceptable pour le service et une plage horaire [T1 , T2] de transfert du service.
Les unités de supervision 38 des sites sont propres à mettre en œuvre collectivement le procédé de gestion des services selon l'invention.
A cet effet, les unités de supervision 38 sont chacune adaptées pour commander le maintien d'un service hébergé sur la ferme de serveurs du site considéré ou commander son transfert vers un autre site lorsque certaines conditions prédéterminées sont vérifiées.
De même, chaque unité de supervision 38 est propre à mobiliser les ressources nécessaires pour accueillir un service qui lui est transféré depuis un autre site et assurer son hébergement et sa mise en route.
Ces unités de supervision 38 comportent, à cette fin, des moyens d'échange d'informations sur les services fonctionnant sur chacun des sites, et les autres caractéristiques de sécurité de chacun des sites, et notamment les ressources actuellement disponibles R sur le site ainsi que le niveau N de risque physique et logique du site.
Sur la figure 2 est représenté l'algorithme du procédé de gestion des services mis en œuvre.
Cet algorithme est propre à assurer un transfert de chaque service d'un site de départ vers un site de destination du réseau suivant une chronologie prédéfinie propre au service qui est indépendante de la seule charge du ou de chaque site. Cette Chronologie propre à chaque service est mémorisée dans les paramètres du service et transmise avec le service.
Suivant un premier mode de réalisation, la chronologie de transferts prédéterminée pour un service donné est définie par une fréquence fixe de transferts donnée. Ainsi par exemple, cette fréquence conduit à un transfert périodique avec une période égale à une semaine.
A l'étape 100, le service est supposé fonctionner sur un site d'hébergement de départ. Afin d'assurer son ébergement, l'unité de supervision 38 crée, pour l'installation du service, une machine virtuelle sur laquelle le service s'est mis en œuvre, lance le service et déclenche simultanément un compte à rebours.
L'expiration du compte à rebours est vérifiée à l'étape 102. Tant que celui-ci n'est pas arrivé à expiration, le service continue à être mis en œuvre sur le site de départ.
A l'expiration du compte à rebours, l'unité de supervision 38 du site de départ communique avec les autres sites distants afin d'obtenir de ceux-ci leurs caractéristiques de sécurité et notamment les ressources R actuellement disponibles et leur niveau N de risque. Ces caractéristiques notées 106 sur la figure 2 sont reçues par l'unité de supervision du site de départ.
A l'étape 108, l'unité de supervision 38 du site de départ détermine à partir d'une règle prédéterminée un ensemble de sites potentiels qui sont susceptibles d'accueillir le service. Cette règle tient compte des attributs de sécurité propres au service à transférer et des caractéristiques de sécurité des autres sites. Par exemple, la règle de sélection est telle que définie ci-dessous :
Les sites sont des sites potentiels si :
le niveau N de risque physique et logique du site est supérieur au niveau NA de risque acceptable pour le service ; et
les ressources R actuellement disponibles du site sont égales ou supérieures à celles actuellement utilisées par le service sur le site de départ.
A l'étape 1 10, l'unité de supervision 38 du site de départ détermine, de manière aléatoire, le site de destination choisi parmi les sites de destination potentiels.
A l'étape 1 12, l'unité de supervision 38 du site de départ commande l'unité de supervision du site de destination de réserver les ressources nécessaires pour le service devant être transféré. Après avoir obtenu confirmation de la réservation des ressources et après avoir arrêté le service, l'unité de supervision 38 du site de départ envoie le service, ainsi que ses attributs de sécurité, à l'unité de supervision du site de destination lors de l'étape 1 14.
Le service est ainsi transféré sous la forme d'une image de la machine virtuelle exécutant le service à protéger notée 1 16 et les attributs de sécurité notés 1 18 sont transférés simultanément.
A l'étape 120, à réception du service à transférer, l'unité de supervision 38 du site de destination reçoit le service ainsi que les attributs de sécurité. Le service est installé sur une machine virtuelle spécifiquement mise en place et un nouveau compte à rebours est déclenché à l'étape 100.
On conçoit qu'avec un tel procédé appliqué à l'ensemble des services présents sur le réseau, les services sont transférés, notamment de manière aléatoire entre les différents sites, rendant ainsi difficile pour un assaillant extérieur de déterminer le site devant être détruit pour rendre inactif un service considéré. L'absence de redondance
dans le fonctionnement du service rend la mise en œuvre du procédé relativement aisée et nécessite seulement des capacités de traitement limitées.
La chronologie des transferts pour un service donné a été décrite comme étant définie par une fréquence constante. En variante, la chronologie des transferts est pseudo-aléatoire. Suivant encore une autre variante, cette chronologie est une fonction des caractéristiques de sécurité des sites et des attributs de sécurité du service.
Ainsi, par exemple la durée de maintien d'un service sur un site est proportionnelle au quotient N/NA du niveau N de risque du site hébergeant le service par le niveau NA de risque acceptable du service.
La mise en œuvre du procédé étant assuré par les unités de supervision propres à chaque site, aucun gestionnaire commun à tous les sites des services n'est mis en œuvre, évitant ainsi que le gestionnaire centralisé ne constitue un risque du fait que sa destruction rendrait le transfert des services impossible.
Le fait que les services changent de site de manière déterministe en fonction d'une chronologie prédéterminée permet d'assurer que chaque service soit difficilement repérable, rendant ainsi difficile la destruction du site l'hébergeant.