OVHcloud dévoile Bare Metal Pod
OVHcloud mise sur la sécurité des infrastructures. Le futur Bare Metal Pod est totalement dans cette cible et vise la certification SecNumCloud même si elle est en sursis comme l'avions expliqué avec une certification européenne à venir.
Isolation physique et logicielle
Pour répondre aux exigences du référentiel SecNumCloud, chaque client de Bare Metal Pod est complètement isolé, tant sur le plan physique que logiciel. Les services du client fonctionnent dans un espace dédié au sein des datacenters d’OVHcloud, avec des serveurs et des équipements réseau qui lui sont exclusivement réservés.
Fort de 25 ans d’expertise, OVHcloud a développé un logiciel de contrôle capable de gérer les cycles de vie des infrastructures dans des datacenters pouvant accueillir jusqu’à 100 000 serveurs. Il a été entièrement réécrit pour pouvoir gérer une isolation logicielle à partir de seulement 8 serveurs. Chaque client utilise son logiciel de contrôle hébergé dans son espace physique, assurant ainsi une gestion autonome et sécurisée, tout en pouvant évoluer à l’avenir jusqu’à 5 000 serveurs par projet.
Sécurité avancée et chiffrement renforcé
Le logiciel de contrôle du Bare Metal Pod intègre des mécanismes de sécurité avancés, conçus pour répondre aux exigences de la qualification SecNumCloud. Chaque client dispose d'une gestion des accès centralisée via le système IAM (Identity and Access Management) garantissant un contrôle granulaire sur tous les accès à son infrastructure. Grâce à la gestion de clefs de chiffrement dans le KMS (Key Management System) du client, le chiffrement des disques est natif via la technologie SED. De plus, le client a l’accès à l’observabilité complète de son infrastructure, centralisant la collecte des logs et des métriques pour une gestion proactive et réactive des services.
Disponibilité dans trois zones géographiques pour une résilience maximale
Pour garantir une continuité de service avec une résilience maximale, le client peut déployer Bare Metal Pod sur 1, 2 ou 3 datacenters OVHcloud en France simultanément. À chaque déploiement, un nouveau Bare Metal Pod est installé avec le logiciel de contrôle indépendant, assurant ainsi une séparation totale entre les différents datacenters. Le réseau chiffré entre les datacenters garantit une redondance géographique complète.
Bare Metal Pod comprend une interface web de management et une API qui permet d’automatiser les opérations avec des outils comme Terraform ou Ansible. L'API respecte les standards d’OpenStack facilitant ainsi la réversibilité et garantissant une flexibilité maximale dans la gestion des infrastructures.
Un développement sur mesure pour SecNumCloud
Le processus de qualification SecNumCloud auprès de l’ANSSI a déjà atteint plusieurs étapes importantes. Le statut J0 a été validé en avril 2024 et le statut J1 a été confirmé. Un audit final est prévu pour la fin de l’année 2024, avec une qualification complète espérée pour début 2025.
L’AIFE, premier client public du Bare Metal Pod d’OVHcloud
L’Agence pour l’Informatique Financière de l’Etat, l’AIFE, rattachée au ministère de l’Économie et des Finances, est devenu le premier client institutionnel utilisant la solution Bare Metal Pod pour ses besoins. Le Portail Public de Facturation (PPF) manipulera des données hautement sensibles et devra faire face à un trafic très important. Forts de ces impératifs, l’AIFE a logiquement sélectionné Bare Metal Pod dans son processus visant à retenir une solution souveraine combinant les serveurs dédiés performants et un environnement qualifié SecNumCloud.
Une feuille de route vers le cloud de confiance
Bare Metal Pod est une nouvelle étape clé de la feuille de route SecNumCloud d’OVHcloud. Désormais, les équipes de Public Cloud d’OVHcloud utilisent le Bare Metal Pod pour porter les 40 produits du Public Cloud ISO 27001 vers le Public Cloud SecNumCloud. Nous visons à déposer une demande de certification du Public Cloud SecNumCloud dans les mois à venir.
Bare Metal Pod est une plateforme hardware et software complète qui peut-être être aussi déployée dans les datacenters des clients. Grâce à la version étendue du logiciel de contrôle, les clients disposent de modules logiciels supplémentaires pour gérer les cycles de vie des serveurs et des équipements réseau dans un datacenter. Ce développement est le résultat de collaborations avec des clients très sensibles du secteur public et des entreprises ayant des besoins élevés en confidentialité, dans leurs datacenters et « at Edge ».
L’offre commerciale Bare Metal Pod, disponible fin 2024, débutera avec des configurations allant dès à présent de 8 serveurs dans une demi-baie, jusqu’à 480 serveurs dans 10 baies, l’ensemble clé en main, le hardware et le software. Elle inclura également CloudStore, une nouvelle solution permettant de déployer et de gérer les cycles de vie de produits comme VMware, Nutanix, OpenStack, MinIO, Ceph, MySQL, PGSQL, et autres. Enfin, le logiciel de contrôle sera open sourcé, afin de faciliter la collaboration avec l’écosystème et de poser les bases d’un standard de gestion du Cloud dans les datacenters.