Projets

L'OCDE sécurise ses postes de développement par du VDI

L'OCDE sécurise ses postes de développement par du VDI

L'OCDE a déployé des postes de travail destinés au développement en les virtualisant en mode VDI. Le VDI permet la sécurisation dans un cadre très contraint. L'OCDE a bénéficié du Rapid Deployment Program (RDP) de Microsoft pour déployer avant la sortie commerciale des postes de travail virtuels hébergés sous Windows 2012.

PublicitéLes développeurs travaillant au sein de l'Organisation de Coopération et de Développement Economique (OCDE) utilisent aujourd'hui trois types d'environnement de travail : .Net sous Windows 8, .Net sous Windows 7 et Java sous Windows 8. Une réflexion sur l'architecture informatique proposée à ces développeurs a été initiée dès la fin 2011 car les contraintes, notamment en sécurité, étaient importantes.

L'OCDE a opté pour des postes de travail virtuels (VDI ou Virtual Desktop Environment) hébergés sous des serveurs Windows 2012. Cela n'a été possible que grâce à la mise à disposition des versions préliminaires de ce système d'exploitation et à l'accompagnement par les consultants de l'éditeur, Microsoft, dans le cadre du RDP (Rapid Deployment Program).

L'utilisation de Windows 2012 a été retenue notamment pour sa bien meilleure performance en sécurité, en administration et en temps de connexion que Windows 2008 dans ce type d'architectures.

Trois phases successives

Après la première analyse et la demande de bénéfice du RDP à Microsoft fin 2011, le projet s'est effectivement lancé au printemps 2012. Un premier déploiement limité a été réalisé avec la version béta des systèmes.

Le pilote réalisé en version candidate de Windows 2012 ...



Le pilote réalisé en version candidate de Windows 2012

Dans un deuxième temps, un pilote a été réalisé avec la version Release Candidate. « Cette version était assez stable pour être utilisée en production » se souvient Marius Fodoreanu, chef du projet à l'OCDE. Enfin, le système définitif a été déployé en octobre 2012 après la sortie officielle commerciale en septembre.

Chaque environnement (.Net/Windows 8, .Net/Windows 7 et Java/Windows 8) a fait l'objet d'une image mise à disposition de chacun des postes de travail et des développeurs concernés.

Aujourd'hui, 70 postes virtuels sont déployés. A terme, il s'agira d'au moins une centaine, en attendant un éventuel élargissement du VDI à toute l'OCDE. Un tel déploiement pourrait permettre de disposer de postes de travail complets mais virtuels sur de simples tablettes. Le choix de Windows 2012 autorise un tel déploiement qui n'a pas encore été décidé.

Un problème de sécurité pointu

Les bénéficiaires du VDI sont des développeurs tant internes qu'issus de SSII. Ils sont répartis sur plusieurs sites, éventuellement au sein des locaux de leurs SSII respectives. Or certaines données traitées au sein de l'OCDE sont d'une très haute sensibilité et d'une très grande confidentialité.

Pour pouvoir obtenir et travailler sur ces données, l'OCDE doit prendre des engagements forts en matière de sécurité. Au cours des études, ces données et notamment des chiffres peuvent évoluer. Or ces chiffres et données peuvent avoir une importance politique majeure lors de discussions entre gouvernements ou de sommets internationaux.
Pour pouvoir garantir la sécurité (...)

PublicitéConnexion via un VPN ...



Connexion via un VPN

Pour pouvoir garantir la sécurité des travaux sur des postes par nature fragiles puisque que supportant des développements en cours, donc incomplets et bogués, les développeurs se connectent à leurs postes de travail via un VPN avec des droits très restreints et qui ne permet notamment d'accéder qu'à ces postes virtuels.

Ceux-ci sont hébergés sur des serveurs lames spécifiques reliés au reste de l'informatique de l'OCDE avec des liaisons très cloisonnées et restreintes.

De plus, l'emploi du VDI permet la réplication en temps réel des postes de travail entre plusieurs salles serveurs. L'OCDE garantit ainsi également la haute disponibilité.

Le RDP pour atteindre l'expertise

Le coût du projet n'a pas été communiqué. De même, les clauses contractuelles liées à l'utilisation du RDP sont confidentielles.

Cependant, Marius Fodoreanu souligne : « la participation au RDP constitue un gros investissement en temps humain ». En effet, l'OCDE a mené trois déploiements successifs (versions Béta, Release Candidate et Commerciale).

Le travail s'est fait alors que l'éditeur n'avait pas encore réalisé de véritable documentation. Mais, en retour, être entré autant en profondeur dans le système permet aux experts de l'OCDE de disposer d'une connaissance approfondie des systèmes.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis