Vous êtes sur la page 1sur 51

A Travel Survival Kit Automation - Storage Scurit

Usage interne IBM uniquement


P. Ram 2009 Tivoli pour les Nuls - Draft 0.25f.doc - 11-06-2009

Page : 1

Table des matires


Prambule ________________________________________________________________________ 4

Contrle et automatisation - Automation _____________________________________________ 5


Surveillance des serveurs et middlewares ________________________________________________ 5 Green Computing___________________________________________________________________ 5 Reporting Gnration dtats_________________________________________________________ 6 Rseau : Dtecter, grer et corriger les problmes rseau____________________________________ 7 Rseau : Suivre et analyser les performances rseau________________________________________ 7 Alertes : Fdrer et grer lensemble des alertes de lentreprise en un point central. ________________ 8 Quen est-il de la perception des utilisateurs ? _____________________________________________ 9 Pilotage Mtier de lIT : Linformatique au service de lentreprise et des utilisateurs _______________ 10 Dcouverte automatique de linfrastructure et des relations entre les composants ________________ 11 Rfrentiel dentreprise la CMDB Configuration Management DataBase ______________________ 12 Gestion de la configuration __________________________________________________________ 13 Gestion des changements ___________________________________________________________ 13 Gestion par Processus ITIL _________________________________________________________ 14 Desktop Management Gestion du poste de travail ________________________________________ 15 HelpDesk et Service Catalog _________________________________________________________ 16 Gestion des actifs informatiques (IT Asset Management) ____________________________________ 17 Une solution unifie de gestion des actifs de lentreprise____________________________________ 18 Gestion des licences logicielles _______________________________________________________ 19 Grer et matriser le cot du service rendu_______________________________________________ 20 Automatisation de la production ______________________________________________________ 21 Haute disponibilit Reprise automatique _______________________________________________ 22 Support la Virtualisation ___________________________________________________________ 23 Solution de virtualisation de serveurs IBM _______________________________________________ 24 Grer la virtualisation sur pSeries _____________________________________________________ 24 Wiki : Cloud Computing _____________________________________________________________ 25 Offre de Cloud Computing ___________________________________________________________ 25

Gestion du stockage - Storage ___________________________________________________ 26


Virtualisation des disques ___________________________________________________________ 26 Sauvegarde et restauration __________________________________________________________ 27 Wiki : Dduplication ________________________________________________________________ 28 Sauvegardes chaud _______________________________________________________________ 29 Le NAS (Network Attached Storage) ____________________________________________________ 29
Page : 2

Le SAN (Storage Area Network) _______________________________________________________ 29 Space Management ________________________________________________________________ 30 Plan de Reprise d'Activit ___________________________________________________________ 31 Hirarchisation des donnes _________________________________________________________ 31 Protection Continue ________________________________________________________________ 32 Combler les lacunes de MS-Exchange __________________________________________________ 32 Protection continue : La sauvegarde des donnes utilisateurs sur les postes de travail_____________ 33

La Scurit __________________________________________________________________ 34
Primtre dfensif - ISS _____________________________________________________________ 34 Lannuaire _______________________________________________________________________ 35 Intgrer de multiples rfrentiels de gestion des utilisateurs _________________________________ 36 Grer les comptes et les accs utilisateurs ______________________________________________ 36 Authentification unique - SSO Single Sign-On sur le poste de travail__________________________ 37 Fdration dIdentits Authentification unique inter-entreprises _____________________________ 39 Contrle daccs et authentification unique pour le Web (Web SSO) ___________________________ 40 Wiki : Proxy / Reverse Proxy : ________________________________________________________ 41 Wiki : SOA Service Oriented Architecture ______________________________________________ 41 Contrler les accs aux donnes en environnements SOA___________________________________ 42 Gestion des Risques/Menaces et de la conformit _________________________________________ 42 Security Compliance Management / Server Compliance Configuration Audit _____________________ 42 Security Information and Event Management _____________________________________________ 42 Garantir la Conformit des serveurs, applications et des postes de travail_______________________ 43 Scuriser les systmes Unix et Linux ___________________________________________________ 44 Grez de faon simple et centralise les cls de chiffrement de vos dispositifs IBM _______________ 44 Security Event Management SEM ____________________________________________________ 45 Scurity Information Management SIM ________________________________________________ 47

Wiki : Normes et lois quelques lments __________________________________________ 49


Sarbanes-Oxley (SOX) ______________________________________________________________ 49 Ble II___________________________________________________________________________ 49 Loi de scurit financire (LSF) _______________________________________________________ 50 Payment Card Industry (PCI) _________________________________________________________ 50 Dcret confidentialit _______________________________________________________________ 50 HIPAA __________________________________________________________________________ 50

IBM : Une vision pour le futur

Agissons maintenant pour une plante plus intelligente ____ 51

Page : 3

Prambule On a souvent reproch loffre Tivoli dtre une offre difficile apprhender, alors quen fait, elle ne fait quapporter des solutions aux problmatiques complexes que doivent grer au quotidien les responsables informatiques daujourdhui. Il est loin le temps o linformatique tait compose uniquement de grands systmes (les mainframes ) gres par des quipes techniques hyper spcialises et matrisant leur domaine technique, le temps o les budgets informatiques taient illimits, le temps o le responsable informatique dcidait de la stratgie quil mettait en uvre et limposait aux utilisateurs. Aujourdhui, le responsable informatique moderne doit faire face un mtier dune incroyable complexit qui lui impose dtre la fois un responsable technique qui garantit le bon fonctionnement des systmes, un gestionnaire amen grer un parc informatique et optimiser les cots, un juriste mme de comprendre les enjeux des rglementations sur son mtier, un communicant au service des utilisateurs et un visionnaire capable de comprendre et dintgrer es nouveaux enjeux du monde daujourdhui tels que la globalisation ou le rchauffement climatique... Tout a une vitesse incroyablement rapide, pour sen apercevoir, il suffit dimaginer quInternet existait peine il y a 10 ans ! Pour rpondre ces problmatiques, Tivoli propose de mettre en place des solutions bases sur des outils et des processus associs. Loffre est rpartie en 3 grands domaines : Le Service lUtilisateur avec la gamme Automation La gestion du Stockage avec la gamme Storage La protection des informations avec la gamme Scurit Il est important de noter que les solutions proposes sont modulaires et indpendantes, chacune pouvant tre mise en uvre sparment, mais que toutes peuvent tre intgres entre elles apportant ainsi une valeur ajoute supplmentaire au fonctionnement fluide dun systme dinformation. Ce document a pour objectif de vous prsenter de faon simple et sans entrer dans les dtails techniques les composants de loffre Tivoli, tout en restant trs pratique et prs du terrain, afin de vous aider comprendre comment et quelles solutions peuvent vous aider adresser les challenges qui sont les vtres. Les descriptions ne sont pas obligatoirement exhaustives et ne satisferont peut-tre pas les plus techniques dentres vous, mais ce nest pas lobjectif de ce document, nhsitez pas nous contacter si vous souhaitez une prsentation plus dtaille dun ou plusieurs composants.

Page : 4

Contrle et automatisation - Automation Surveillance des serveurs et middlewares Comment sassurer du bon fonctionnement de lensemble des composants (OS et Middlewares) dune infrastructure. Comment anticiper un problme et viter de pnaliser les utilisateurs. Selon la citation attribue Lord Kelvin: "If you can not measure it, you can not improve it.", il est ncessaire de pouvoir mesurer la disponibilit et les performances de linfrastructure pour les amliorer.

ITM (IBM Tivoli Monitoring) est une solution de surveillance complte et unifie avec collecte de lensemble des indicateurs disponibles, historisation des donnes et visualisation graphique pour un pilotage centralis Multi- OS (Windows, Unix, Linux, AS 400, z/OS) Multi Middleware (SGBD (DB2, Oracle, MS-SQL, ...), Web (Websphere, Apache, Weblogic,etc... ), Messageries (Lotus & Exchange), Outils (surveillance TSM, auto-surveillance,) Alertes pr-paramtres fournies en standard (Best Practices) vitant le flooding (avalanche dalertes): ROI Ouvert : Permet trs simplement dintgrer de nouveaux composants via un agent universel. De nombreux modules de paramtrages sont proposs gratuitement par IBM sous forme dun site communautaire (mais gr par IBM) : OPAL Open Process Automation Library. Systme de remonte dalertes intgr et organisation graphique des donnes (style boutons rouges qui clignotent) Historisation et reporting intgr Interface pour envois de mails ou SMS, ou autres

Green Computing : Le composant ITM for Energy Management offre la possibilit de surveiller en temps rel la consommation lectrique et de ladapter dynamiquement en fonction de la charge. Les derniers systmes IBM ou compatibles (Alimentation Eaton Powerware par exemple) permettent de mesurer la consommation et la temprature dans un DataCenter au niveau dun systme, dun chssis ou dun rack. ITM est complt par un moteur danalyse de tendances (Performance Analyzer) qui permet des fonctions de Capacity Planning (A quoi ressembleront mes ressources dans les prochains jours, semaines et mois, )

Page : 5

Point forts : Complet, simple, interface graphique (pas de langage, pas de scripts), prt lemploi (pr-paramtr out of the box vs. Les logiciels Open Source type Nagios), mise en uvre rapide (ROI) puissantes fonctions dautomatisation extensible (surveillance dapplication mtier par exemple), Fonctionne avec ou sans agent (agentless). Larchitecture avec agent permet cependant une vision plus complte, une optimisation ou une indpendance par rapport aux problmes rseau). Concurrence: CA Unicenter, HP OpenView, BMC Patrol, Nagios (Open Source)

Reporting Gnration dtats TCR Tivoli Common Reporter est fourni en standard avec de nombreux composants (ITM, ITNM, TSM, TBSM) et permet des fonctions de reporting volus (HTML, PDF, .CSV, etc) TCR est bas sur un moteur Open Source BIRT (Business Intelligence Reporting Tool)

Page : 6

Rseau : Dtecter, grer et corriger les problmes rseau

ITNM (IBM Tivoli Network Manager for IP) est la solution de gestion du rseau et de diagnostique des problmes), bas sur le standard SNMP (Simple Network Management Protocol) Dcouverte automatique du rseau IP et de la topologie avec visualisation graphique Support des rseaux IP au niveau 2 (Ethernet, MPLS) et 3. Inventaire rseau Mcanisme de collecte par polling SNMP Puissantes fonctions danalyse de panne rseau (RCA : Root Cause Analysis) qui permet lors dune panne identifie (je narrive plus accder au serveur) de dtecter llment fautif (un routeur particulier) et de ne conserver quune alerte (la cause du problme) et de clore les trs autres nombreuses autres alertes. Les alertes peuvent tre remontes en standard vers OMNIbus

Points forts : Topologie du rseau, Analyse de la cause dun problme, Gestion des couches 2 et 3 du rseau, interface OMNIbus en standard. Adapt aux configurations entre 50 lments rseau (offre ITNM + OMNIbus dmarrant 15K) jusqu no limit. Concurrence : HP Openview NNM-Network Node Manager, CA

Rseau : Suivre et analyser les performances rseau Netcool Proviso (Performance Manager) permet la collecte et lhistorisation des donnes de performances et de disponibilit des infrastructures techniques (Rseau, Systme, Scurit), ainsi qu lanalyse court, moyen et long terme de ces donnes. Netcool/Proviso permet de gnrer des rapports de synthse sur les performances globales des infrastructures (disponibilit, trending, capacity planning etc.) et permet galement daccder trs simplement en mode "drill-down" aux rapports dtaills (analyse pour un quipement donn, pour une catgorie d'quipements, pour un service ou une organisation interne spcifique etc.). Au travers d'un portail web, ergonomique et personnalisable, toutes les populations d'utilisateurs, qu'elles soient internes ou externes l'entreprise accdent aux diffrents rapports grs par la solution. L'accs aux informations, aux rapports ou aux composants cibls est videmment scuris et dpend du profil de l'utilisateur connect sur le portail. Page : 7

Alertes : Fdrer et grer lensemble des alertes de lentreprise en un point central.

Tivoli OMNIbus est la console de fdration des alertes permettant de piloter et grer lensemble des alertes de lentreprise. Puissantes fonctions de centralisation, corrlation et dduplications pour ne conserver que les alertes pertinentes (vite le flooding , une avalanche dalertes) Gestion complte des alertes (ouverture, fermeture, suivi du traitement de lalerte) Permet dintgrer tout type dalertes : systmes et middleware, rseau, telco (PABX, etc) , avec de trs nombreux collecteurs (probes) disponibles Manager of Manager (MOM) : Fonction permettant une entreprise dintgrer et fdrer un ensemble de solutions disparates (CA, HP, BMC, etc) en un point unique sans remettre en cause lexistant. Interface avec HelpDesk pour ouverture automatique dincidents Points forts : Manager of Manager (MOM), permet de capitaliser sur lexistant en intgrant dautres solutions Nombreux collecteurs en standards, nombreuses rfrences en Telco, Trs performant et capable de grer des volumes trs importants Adapt aux configurations partir de 100 serveurs et 500 quipements rseau. Pour des environnements plus petits, OMNIbus est intgr ITNM dans un bundle dmarrant 15K Concurrence: CA, HP, BMC Page : 8

Quen est-il de la perception des utilisateurs ?

Solution de mesure du temps de rponse tel que vcu par les utilisateurs (gamme ITCAM IBM Tivoli Composite Application Management) et de le dcomposer (rseau, background, etc) De nombreuses technologies disponibles: Robot (robot Rational ou HP-Mercury) : un programme rejoue rgulirement un ensemble de transactions type et valide leur fonctionnement et mesure leur temps de rponse) Agent sur un poste client : un agent est install sur une partie des postes utilisateurs et mesure le temps de rponse en rel et collecte les donnes. Mode web : Pas de possibilit dinstaller un agent bien sr on met un serveur en frontal qui mesure le temps de rponse des utilisateurs intra ou extranet Disponibilit des protocoles : Internet Service Monitoring (ISM) perme de tester et valider le fonctionnement de nombreux protocoles (ftp, dns, http, dhcp, pop3, tcp, etc) Web Services : dcouvertes et analyse du temps de rponses des applications bases sur les Web Services Java : analyse et debugging (fuites mmoires, etc) dapplications. Permet de mesurer le temps de rponse utilisateur (client/serveur ou mode web). Permet dintgrer la vision utilisateur du temps de rponse dans une vision consolide avec les systmes et middlewares (ITM) et de fdrer les alertes remontes dans la console de gestion des vnements Points forts : Multi technologies : Robot, Client-Serveur, Applications Web, Web Services, test de protocoles, etc Architecture identique larchitecture de supervision Concurrence ; HP (ex Mercury), CA (ex Wily)

Page : 9

Pilotage Mtier de lIT : Linformatique au service de lentreprise et des utilisateurs

TBSM (Tivoli Business Service Manager) est la solution de pilotage orient mtier et de suivi en temps rel des engagements de service (SLA) TBSM fonctionne conjointement avec OMNIbus pour dlivrer un modle temps rel qui permet de clairement didentifier comment le rseau, les systmes physiques et logiques oprent entre eux pour supporter les services et applications. TBSM permet danalyser en temps rel limpact mtier des alertes techniques, ainsi que les dgradations sur la qualit des services dlivrs. En sinterfaant avec les fonctions de collecte de la suite Netcool, TBSM supporte nativement plus de 1000 environnements diffrents grce aux quelques 300 collecteurs existants dans OMNIbus. TBSM permet daccder facilement la sant des services critiques grce des vues montrant leur statut explicitement (Rouge critique ; Jaune dgrad ; Vert Optimal). Fonctionnalits : Modlisation du service; Suivi des SLAs en temps rel; Tableaux de bord et vues mtier personnalisables; Statut / tat dun service dtermin par des sources de donne externes; Rgles de calcul avances; Affichage des indicateurs cl de performance dynamiques (KPIs); Modlisation automatique dun service partir dune CMDB, dune base dinventaire ou tout autre source de donnes. Points forts : Prioritisation intelligente des tches : Quand des problmes techniques apparaissent, on peut clairement voir leur impact sur les services. Cela permet au personnel de grer les priorits des problmes techniques en fonction des niveaux associs aux services impacts. Les vues peuvent galement tre fournies la direction afin dindiquer le niveau de conformit avec les SLAs attendus pour un groupe de clients ou de services donn. Amlioration de la qualit de service: A la diffrence des autres applications qui simplement modlisent les services et prsentent leur statut, TBSM fournit un calcul et un suivi en temps rel des niveaux de service et offre une visibilit directe sur la dure de disponibilit du service. Pilotage orient mtier : TBSM fournit une visualisation avance des ressources techniques et de leurs relations avec les fonctions mtiers. Ses vues graphiques permettent aussi aux utilisateurs de voir de manire intelligente comment les services se comportent en fonction des contrats tant historiquement quen temps rel. Concurrence: BMC, HP, CA, Business Bridge, Systar, Managed Objects. Page : 10

Dcouverte automatique de linfrastructure et des relations entre les composants TADDM Tivoli Application Dependency Discovery Manager permet dautomatiser la dcouverte des composants dinfrastructure (rseau, hte, middleware, composant applicatif) et de leur dpendances (en analysant le trafic rseau) Les composants par vues applicatives ou topologiques en fonction du service rendu. TADDM permet deffectuer : des comparaisons entre plusieurs composants de mme type (par exemple quelles sont les diffrences de paramtrage entre ma config de rfrence et ma confi de production) des comparaisons dun mme composant 2 dates diffrentes (par exemple quelles ont t les modifications sur mon application depuis la semaine dernire) Ces fonctions permettent dimplmenter une relle gestion des changements

Les informations collectes seront stockes dans un rfrentiel dentreprise de type CMDB (Configuration Management DataBase) et pourront tre utilises par toutes les applications interfaces avec la CMDB. Concurrence : BMC Discovery/Atrium HP DDM (Dependency Discovery Mapping) BDNA (mais limit linventaire),

Page : 11

Rfrentiel dentreprise la CMDB Configuration Management DataBase Du besoin dune CMDB Force est de constater que le nombre et les types de sources dinformation disponibles dans les Systmes dInformation ne manquent pas. Bien au contraire chacun sest constitu au gr des acquisitions de socits, de la mise en place de solutions, des volutions technologiques, bref au fil de la vie normale dun Systme dInformation, un rfrentiel spcifique, voire personnel, bas sur les multiples outils et rfrentiels tant technologiques quadministratifs, qui lui permet dvoluer dans ses tches personnelles de faon relativement satisfaisante au niveau individuel, bien que pas toujours efficiente au niveau de lorganisation globale et toujours sujette des alas quand la prvisibilit du rsultat ou se reproductibilit. Ceci nest clairement pas un gage de qualit ; Qualit que lon cherche de plus en plus reproduire pour les services rendus, en particulier informatiques Trs souvent ce mode non coordonn (pour ne pas dire semi anarchique parfois) est insuffisant pour permettre les optimisations qui sont demandes lchelle globale de lorganisation. Chacun est arriv au bout des optimisations locales ralisables. Et en effet tel est le cas Et chacun pourra sinvestir autant quil le pourra dans ces conditions le rsultat global ne sera pas amlior dans les proportions attendues et dans des temps acceptables vis--vis des impratifs de concurrence qui dictent ces amliorations. On en arrive des situations humaines o le collaborateur est persuad de donner son meilleur (et cest certainement le cas), sinvestit trs fortement, pour que les rsultats soient au rendez-vous mais rien ny faitles objectifs de plus en plus ambitieux semblent toujours plus impossibles atteindre. Effectivement, si lon raisonne par silo, chacun est plein rgime, sans mme savoir qui fournir le fruit de son travail, de qui obtenir les informations ncessaires ses activits et qui fournir leur rsultat. Il est utile de savoir dans quel dispositif global lon sinscrit, quoi lon contribue, ce quon est en droit dattendre et de qui on peut lobtenir, ce que lon va en retirer personnellement pour mieux effectuer les tches qui nous sont assignes. La collaboration permet de rgler ce problme. La collaboration dans un Systme dInformation doit pouvoir tre contrle et prend la forme de processus permettant de faire agir diverses populations de faon cohrente et coordonne pour fournir des services. Cette collaboration se fait sous forme de partage dinformation fiable et dorganisation des activits menes par chacun pour viter que deux personnes effectuent la mme opration, pour faire en sorte que lenchanement des actions de chacun des acteurs soit optimis (sans trou, sans duplication, ni superposition) afin que les processus IT soient les plus efficients possible. Avant de mettre en place les processus coordonns, il est ncessaire de constituer une base dinformation cohrente sur laquelle sappuyer, la CMDB ou Configuration Management DataBase. Page : 12

Les grandes tapes de la constitution dune CMDB : Dcouvrir et identifier les multiples sources dinformation, dfinir le modle cible. Rconcilier soit standardiser, fusionner et corrler les informations pour les rendre exploitables, valorisables et partageables. Fournir un point daccs unique lensemble des informations (Fdration) Accder, publier, valoriser linformation en alignement avec les processus. Lobjectif de la CMDB est didentifier, de slectionner, fiabiliser les diverses sources dinformation prsentes dans le Systme dInformation. Les objets sont grs sous forme dlments nomms CI (Configuration Item) Une dimension supplmentaire est amene en compltant les donnes avec les informations de dpendance et les relations entre CIs qui permettent de constituer les chanes de dimpact sur les services ou de dterminer les causes dun dysfonctionnement. Gestion de la configuration Lapplication gestion de la configuration permet de modliser et d'auditer les lments de configuration (CIs) stratgiques pour vrifier leur conformit aux principaux standards. Les organisations ont ensuite la possibilit de remdier aux CIs qui ne satisfont pas un audit en apportant la rponse approprie. La gestion de la configuration permet de suivre et de grer les CIs tout au long de leur cycle de vie. Gestion des changements Le processus de gestion des changements permet de grer les changements du SI, de la demande initiale l'analyse finale. Il met en uvre des pratiques recommandes conformes ITIL, associes des rles dfinis. Il permet de dfinir des plans dactivits pour raliser ces changements adapts aux besoins de lentreprise, et comprend une valuation commerciale et technique approprie de l'impact de chaque changement propos. La gestion des changements est intgre la gestion de la configuration et permet donc de choisir les lments de configuration (CI) cibls par un changement.

Revue du/des besoin(s) Clotre / Identification Formulation Du changement des objectifs du plan haut niveau Mise jour Obtention des de la CMDB approbations / base des actifs Mise jour des documentations Revue du ralis par rapport au plan Implmentation du changement en production / Rtablissement du service Point de dcision Go / No Go Dfinition des tches et dpendances

Gestion des changements

Evaluation des risques et plan de retour Identification des critres de succs Obtention de lapprobation de procder

Affectation des ressources et Validation des quipements Des tches Ralisation Planning /matriels des du tches de changement changement

Il est galement possible dvaluer l'impact potentiel du changement sur les autres composants ou les applications mtiers associes ces composants. Lintgration de lensemble de ces fonctions est assure par la solution IBM Tivoli CCMDB Change and Configuration Management DataBase qui assure les fonctions de rfrentiel, gestion des configurations, gestion des changements et de dcouverte automatique des Cis via le moteur de dcouverte intgr TADDM.

Page : 13

Gestion par Processus ITIL Depuis de nombreuses annes, IBM a dfini sa stratgie de Service Management pour accompagner les chantiers de transformation de ses clients, et en particulier la mise en uvre des bonnes pratiques et recommandations ITIL. Cette stratgie sest traduite par de nombreux investissements humains et logiciels et IBM bnficie aujourdhui dun grand nombre de professionnels forte expertise ITIL. De mme les quipes dintgration et de conseil sappuient sur des offres de services et mthodologies rdes dans la mise en place de solution de Service Management. Loffre IBM Service Management est une plateforme ouverte et normalise pour l'intgration des donnes, des workflows et des rgles sur tous les processus de gestion informatique. Elle a t conue et dveloppe ds le dpart sur la base de logiciels leaders du secteur afin d'assurer une gestion volutive et souple des processus. Les modules proposs ont t certifis PinkVerify Service Support Enhanced par lorganisme indpendant Pink Elephant en 2005, soit le plus haut niveau de certification accord par cet organisme. Cette certification porte sur les 7 processus ITIL V2 mesurs par Pink Elephant, savoir : Gestion des Configurations Gestion des Changements Gestion des Incidents Gestion des Problmes Gestion des Mises en Production Gestion des SLA Gestion de la Disponibilit Il sagit l de la garantie dun respect natif des prconisations ITIL, et de la minimisation des paramtrages pour atteindre cette cible. De plus, la version actuelle 7.1 vient de passer avec succs les tests de conformit aux processus (et sous processus) prconiss par ITIL V3 : Incident Management Problem Management Service Catalog Management Change Management Release & Deployment Management Service Asset & Configuration Management VCA Visibility Control Automation En synthse, loffre IBM Service Management permet : La Visibilit permet aux organisations de mieux voir leurs activits. Le Contrle (matrise) aide les organisations grer et scuriser leurs investissements. L'Automatisation permet aux organisations de rendre leurs oprations plus agiles, en rduisant le temps de mise en uvre, les erreurs humaines et matriser ainsi les cots des oprations.

Page : 14

Desktop Management Gestion du poste de travail Fonctions dinventaires, dinstallation dOS et de tldistribution TPM for Software (Tivoli Provisoning Manager for Software) est la solution de gestion intgre de tldistribution, dinventaire, gestion de patch, dploiement de systme dexploitation ou de master. La remonte des informations dans une base de donnes relationnelle et qui permet la consultation des informations. La solution dispose aussi dune fonction de dtection et de mise jour automatiques de l'information sur l'tat en cours de l'environnement. Cette solution peut tre complte par la prise de main distance Tivoli Remote Control Le moteur OS Deployment permet dinstaller des systmes d'exploitation ou un master sur les serveurs, ainsi qu' mettre jour leur systme d'exploitation et les faire migrer vers une autre version. La machine boot sur le rseau via le standard PXE (Pre-boot eXecution Environment) qui permet de charger un code initial qui effectuera le reste de linstallation. TPM for OS Deployment permet galement dinstaller les drivers adapts en fonction de la machine A noter que dans la gamme Storage, TSM Fastback BMR (Bare Metal Restore) offre une fonction de mme type. Concurrence : Microsoft (SMS et WSUS Windows Server Update Service), Symantec (Altiris), LANDesk

Page : 15

HelpDesk et Service Catalog (prcdemment MRO) Ces fonctions sont assures par le composant TSRM Tivoli Service Request Manager (ex Maximo) TSRM offre la fois une solution de gestion des problmes et des incidents (Service Desk) mais galement la fonction de Service Catalog Service Desk Le composant Service Desk comprend sept applications qui aident amliorer le niveau de service permettant de rsoudre rapidement les incidents, et de mesurer le degr de satisfaction des utilisateurs finaux. Utilisation des outils intgrs (prise de main et diagnostique distance, chat intgr, base de connaissance, intgration CTI-Computer Telephony Intgration, etc.) pour laide au diagnostique et la rsolution de problmes. Restauration du service l'aide des processus de gestion des incidents et des problmes bass sur les normes ITIL. Gestion des SLA, Indicateurs intgrs (KPI Key Performance Indicator) pour suivre lefficacit du HelpDesk Mesure du degr de satisfaction des utilisateurs finaux via des mcanismes denqutes intgrs. Mise en uvre rapide grce lutilisation de workflows, rapports, requtes et de modles prconfigurs Personnalisation de l'interface utilisateur, des modules de contrle, des modles, etc. sans codage. Gestion des actifs (assets) et des modifications grce l'intgration avec IBM Tivoli Asset Manager. (TAM for IT) et IBM Tivoli Change et Configuration Management Database (CCMDB) Attribution automatique dune priorit de ticket de service en fonction de l'urgence et de l'impact sur l'entreprise intgration aux produits de gestion oprationnelle (OMP) afin d'optimiser la stabilit et la disponibilit de l'infrastructure informatique.

Catalogue de service Le composant Catalogue de service comprend neuf applications qui permettent de proposer et de grer des offres de services informatiques et d'autres offres de services aux clients internes et externes d lentreprise. Un catalogue de service peut par exemple tre dfini comme la mise disposition dun nouveau poste de travail avec des niveaux de prestation et de prix diffrents. Concurrence : HP (ex Peregrine Asset Center), BMC (ex ARS Remedy), CA, Staff&Line

Page : 16

Gestion des actifs informatiques (IT Asset Management) Avec TAMIT - Tivoli Asset Management for IT (prcdemment MRO) IBM Tivoli Asset Management for IT (TAMIT) apporte les fonctions ncessaires au suivi et la gestion des actifs informatiques tout au long de leur cycle de vie. TAMIT prend en charge les la gestion des quipements informatiques et des licences logicielles sous divers aspects, physique, financier, juridique. Combin avec TLCM pour la gestion des licences et TADDM pour la cartographie de linfrastructure informatique, le moteur de rapprochement automatique entre les actifs autoriss et les actifs rellement dploys permet une conomie sur les cots dachat et de maintenance des quipements et des licences, attnue les risques de non-respect des contrats et des rgles de lentreprise tout en facilitant la planification et la maintenance.

Page : 17

Une solution unifie de gestion des actifs de lentreprise La gestion des actifs informatiques nest quun sous-ensemble dun systme de gestion des actifs de lentreprise. Aujourdhui, Tivoli propose une plate-forme unique de gestion des actifs qui permet doptimiser lensemble des activits de lentreprise Avec les solutions de la gamme IBM Maximo Asset Management, la gestion des actifs franchit un pas de gant en terme de puissance, de performances et de potentialits. Sappuyant sur une seule et mme plate-forme logicielle, les solutions IBM Maximo Asset Management donnent une vision complte des diffrents types dactifs (production, btiments, transports) o quelles se trouvent dans lentreprise. Par cette approche holistique (globale), qui est lessence mme de nos solutions pour la gestion des actifs stratgiques et des services associs, vous visualisez tous vos actifs et en identifiez le potentiel non exploit. Bas sur six modules de gestion cls : gestion des quipements des interventions, des services des contrats des stocks des approvisionnements IBM Maximo Asset Management permet doptimiser les performances de chaque type dquipement et de ressource. Pour maximiser le taux de rendement de lactif. Maximo permet de dvelopper des programmes complets pour la maintenance prventive, prdictive, priodique et non planifie. Ensemble, ces programmes aident atteindre les objectifs en matire de rduction des cots et de prolongement de la dure de disponibilit des quipements. De nombreux modules dj adapts votre cur de mtier sont disponibles : Gouvernement, Industrie pharmaceutique, industrie nuclaire, Transports, Utilities, Service Providers, etc.

Page : 18

Gestion des licences logicielles IBM Tivoli Licence Compliance Manager (TLCM) permet de maintenir jour linventaire des licences logiciels dans les environnements distribus - Microsoft Windows, Linux, UNIX, VMWARE il aide se conformer aux rgles et aux licences des diteurs de logiciels, et ainsi viter des pnalits de conformit. La solution indique les logiciels utiliss et mesure le taux dutilisation. Ces informations permettent de supprimer les logiciels inutiles ou superflus. Amliorer leurs initiatives de mise en conformit avec les contrats logiciels et les rglementations officielles. Rduire les cots des logiciels en optimisant l'utilisation et le dploiement des logiciels dans toute l'entreprise. TLCM produit un rapport des logiciels qui sont installs et non utiliss. Ces logiciels peuvent tre dsinstalls et rutiliss sur dautres postes de travail. Gnrer des conomies de cots en automatisant le traitement manuel de la collecte des donnes permanentes ncessaires la gestion des licences, la planification budgtaire, aux ngociations de contrats et aux renouvellements. Vrifier que les entreprises ne paient effectivement que les logiciels dont elles ont besoin. Augmenter la productivit et, en fonction des connaissances acquises, permettre aux entreprises de planifier les futurs dploiements et mises niveau de logiciels adapts aux ressources. Vrifier la conformit des licences logicielles toujours plus complexes. TLCM fait la diffrence entre un produit simple et un produit complexe. Un produit complexe est un logiciel qui est compos de plusieurs produits.

Page : 19

Grer et matriser le cot du service rendu Pouvoir grer et matriser les cots informatique implique galement de pouvoir dterminer qui utilise quelle ressource est quelle est le cot associ cette utilisation. Jusqu une poque rcente, on pouvait se contenter de faire linventaire des ressources en terme de serveurs ou despace de stockage et den affecter le cot au dpartement utilisateur de la ou les applications installes sur cette ressource. Avec lapparition de la virtualisation, les ressources disques, CPU, I/Os, mmoires, sont partages dynamiquement entre un ensemble dapplications et il devient impossible dassocier le cot dun quipement matriel un utilisateur. Tivoli Usage & Accounting Manager-TUAM est la solution qui va vous permettre de savoir qui consomme quelle ressource et de dterminer ainsi pour chaque application le cot du service qui a t dlivr. TUAM : Mesure la consommation des ressources en environnements multi-plates-formes (Windows, Unix, Linux, Mainframe, VMWare, etc.) sur un ensemble de composants (DB2, Oracle, SQL Server, CICS, Virtualization, Web, E-Mail, Networks, Storage, Print Servers, etc.) via des collecteurs de donnes extensibles Transforme les donnes techniques collectes en donnes financires en intgrant tout ou partie des cots informatiques rels Met disposition des personnes concernes les informations techniques et financires consolides via une interface Web intgre.

Avec TUAM, il est possible de mettre en uvre une vritable gestion des cots informatiques qui va permettre de connatre le cot associ chacun des services fournis par linformatique, den suivre les volutions et ainsi mieux matriser les budgets associs. Green Computing : A lheure o les cots nergtiques augmentent rgulirement, il devient important de pouvoir intgrer la consommation lectrique dans la gestion des cots, ce qui peut tre ralis sur la base des derniers systmes IBM ou des systmes bass sur des alimentations compatibles (Eaton Powerware par exemple).

Page : 20

Automatisation de la production TWS (Tivoli Workload Scheduler) est un automate de production qui permet de planifier (dfinir la date dexcution) et ordonnancer (conditionner les travaux les uns par rapport aux autres) les diffrents travaux ou tches (appels jobs ) au sein de la Production Informatique en fonction des contraintes techniques et mtiers. A titre dexemple, on peut imaginer que le job de calcul de la paye doit sexcuter tout les 25 du mois (planification) sauf si cest un dimanche, cas o il sera excut la veille (planification) et uniquement aprs le calcul des commissions et des congs pays (ordonnancement).

Exemple dordonnancement de traitements

Exemple de calendrier (les jours ouvrables par ex.)

Lunit de traitement est le schedule , cest un enchanement de jobs soumis des contraintes. Pour chaque schedule, on peut dterminer les jours d'excution des tches en combinant des calendriers, un mme calendrier pouvant tre utilis par plusieurs schedules. En outre, il est possible de dfinir certains impratifs de temps la fois pour les jobs et pour les schedules, en spcifiant l'heure laquelle l'excution doit commencer ou aprs laquelle elle ne doit pas tre dclenche. Linitialisation de jobs peut galement dpendre de la bonne excution d'autres jobs et schedules, de l'existence de fichiers requis sur un nud quelconque du rseau, de la rponse d'un utilisateur un message de lordonnanceur ou de la disponibilit de ressources matrielles ou logicielles. Points Forts : Tolrance aux pannes (les traitements continuent mme en cas de coupure rseau) End to End : pilotage centralis zOS et distribu avec la mme ergonomie Scuris (identification et authentification des utilisateurs, agent tolrance de panne, audit des changements, ) Interface graphique utilisateur simple et intuitive pour une mise en route rapide et une interface en ligne de commande pour les manipulations de masse. Pas de cots additionnels en terme de licence pour faire fonctionner la solution, Base de donnes (DB2), serveur dapplication Websphere inclus dans loffre. Une grande richesse fonctionnelle : Reprises automatiques en cas de fin anormale de job Reroutage automatique des travaux en cas de perte dun serveur Substitution de variables Gestion des JCLs Page : 21

Analyse des comptes rendus dexcution des travaux Gestion des ressources Gestion vnementielle (notamment, prsence ou arrive de fichiers) Ouverture automatique de tickets dincidents Interfaces programmables pour communiquer avec des fonctions externes Langage de commandes pour accrotre les possibilits dautomatisation Interface avec les fonctions systme de workload balancing Utilitaires dexport-import pour le portage et clonage dapplications Planification prvisionnelle Interfaces avec les automates systmes Actualisation automatique des donnes de planification (dure des travaux) Support des dcalages horaires Interface externe avec tout diteur de JCL Interface graphique Capacity planning (rapport sur la charge des machines)

Concurrence : CA et BMC (end to end), $Universe, VisualTom, Vega, etc

Haute disponibilit Reprise automatique IBM Tivoli System Automation for Multiplatforms est une solution de haute disponibilit et de reprise aprs incident permettant d'automatiser le dmarrage dapplications complexes en environnements htrognes. Automatisation de bout en bout Tivoli System Automation for Multiplatforms rpond au besoin de haute disponibilit dapplications telles que mySAP, prenant en compte la gestion des ressources et applications dpendantes, par exemple TCP/IP ou DB2. Il intgre un gestionnaire d'automatisation de bout en bout qui utilise des adaptateurs pour analyser les applications et leur statut, ainsi que les ressources, groupes et dpendances qu'il est ncessaire de dfinir. Simplicit des oprations IBM Tivoli System Automation for Multiplatforms gre les dpendances complexes entre les applications et les serveurs, clusters et divers sites afin de confrer une approche globale de la haute disponibilit pour les applications composites. Il fournit un point unique de contrle qui permet aux utilisateurs de surveiller, de grer et d'activer des oprations de haute disponibilit d'un bout l'autre de la topologie des applications composites. IBM Tivoli System Automation for Multiplatforms aide les utilisateurs de System z adopter les meilleures pratiques en terme de haute disponibilit afin de confier la responsabilit des applications z/OS, Linux et AIX une seule et mme quipe pour simplifier le diagnostic et la rsolution des problmes.

Page : 22

Support la Virtualisation Automatisation des oprations dans un environnement complexe et composite : One Button Automation TPM (Tivoli Provisioning Manager) automatise de bout en bout de la mise disposition dun environnement en production. Permet dautomatiser la gestion des serveurs, des units de stockage et du rseau.

TPM Automatise lexcution des tches manuelles Incorpore les bonnes pratiques du Data Center Rduit les erreurs humaines

Concurrence : HP Data Center Automation Center (ex Opsware)

Page : 23

Solution de virtualisation de serveurs IBM Wiki : PowerVM, est la technologie de virtualisation d'IBM sur les serveurs d'architecture processeur IBM POWER (System p, System i et BladeCenter JSxx). Il s'agit d'une combinaison logicielle et matrielle permettant de mettre en uvre les fonctions de virtualisation. PowerVM est compos des modules suivants : Virtual I/O Server (VIOS) Live Partition Mobility Integrated Virtualization Manager (IVM) Partition Load Manager (PLM) Micro-partitionnement (Micro-partitioning) Partage de processeur (Shared Processor LPAR) Capacit ddie partage (Shared Dedicated Capacity) Groupes de processeurs partags multiples (Multiple Shared Processor Pools) Lx86 qui pemet de faire tourner des applications Linux x86 32-bit sur des processeurs d'architecture POWER sans recompilation. PowerVM constitue le savoir faire d'IBM en matire de virtualisation dont les dbuts datent de 1967.

Grer la virtualisation sur pSeries Afin daider la gestion de systmes virtualiss sur pSeries, il existe le dispositif optionnel Management Edition for AIX (ME for AIX) conu sur la base des solutions Tivoli qui offre les fonctions suivantes : Dcouverte de linfrastructure virtualise et des relations entre les diffrents composants middlewares (TADDM) Surveillance de performances des systmes virtualiss (ITM) Mesure de lutilisation et facturation des ressources consommes (TUAM) ME for AIX prend en compte les spcificits des systmes virtualiss et permet une gestion efficace de cette virtualisation.

Page : 24

Wiki : Cloud Computing Bien que nul ne soit cens ignorer le Cloud Computing sous peine de passer pour un ignorant, il faut reconnatre que la dfinition du Cloud Computing peut parfois tre aussi nbuleuse que son nom ne le laisse penser Parmi les grandes ides, on retrouve : Linformatique via internet, principe dans lequel les serveurs sont rpartis gographiquement mais relis entre eux par des liaisons hautes vitesses. Les applications peuvent alors sexcuter indiffremment sur les diffrents serveurs rpartis. La virtualisation comme composante importante puisquelle permet dinstaller de nouveaux serveurs-virtuels sur des serveurs physiques-rels On pourrait ventuellement rsumer le cloud computing en indiquant quil sagit dun mcanisme ou les applications et les donnes ne se trouvent plus sur un serveur clairement identifi, mais plutt rpartis en fonction des besoins, sur un ensemble de serveurs (un nuage) relis par un rseau haut dbit avec des mcanismes automatiques permettant dinstaller/mettre en ligne trs rapidement une nouvelle plateforme et ses composants associs. Le Cloud Computing permet de mettre disposition de faon instantane une infrastructure, on peut alors imaginer mettre disposition des entreprises un service de fourniture dinfrastructure la demande.. Offre de Cloud Computing - TSAM Tivoli Service Automation Manager est la premire solution prte lemploi pour mettre en uvre une offre de cloud computing sur les offres Websphere et DB2 en environnements AIX, Linux ou z/OS, transformant ainsi les classiques oprations techniques dinstallation de systmes, LPAR, storage, logiciels, etc. en une offre de cloud computing. A cet effet TSAM intgre le module de Service Catalog TSRM-Tivoli Service Request Manager, le module de gestion de processus Tivoli Release Process Manager, le module dautomatisation TPM-Tivoli Provisioning Manager et le module de supervision ITM-Tivoli Monitoring dans un ensemble intgr permettant doffrir les fonctions suivantes :
Generic TSAM functionality Base platform for dealing with service templates and service instances Allow integration of manual steps into the execution of any management plan Track task progress and email-based notification on completion of management plan execution Logging of changes (who changed what) Integrated installation of all required components Supports customization (e.g. use customerspecific naming conventions) WebSphere & DB2 service template Customizable deployment & configuration of WAS ND services instances on zLinux and AIX Management of WAS ND service instances on zLinux and AIX Change size of existing WAS ND service instance Start WAS ND service instance Stop WAS ND service instance Terminate WAS ND service instance Customizable, codified best practices for problem analysis and corrective actions (integration of ITM 6.x for monitoring WAS ND resources) Integrated Monitoring of DB2 on z/OS Co-existence with existing ITM 6.x installations System z service template Deployment & Configuration of zOS (on zVM) Deployment & Configuration of DB2 on zOS (on zVM) Deployment & Configuration of Linux on System z (on zVM) Single OS-image deployment & management (RDP) template Integration of SRM service catalog Self-service request for single virtual machine image System p5 / p6: LPAR creation, image deployment + CPU/memory change supported) X86/VMware: Create/delete VM, incl. CPU/RAM allocation. Supports Windows + RH Linux

TSAM met ainsi disposition des entreprises une solution, base sur des processus et des mcanismes automatiques, qui permet de proposer une infrastructure informatique aux lignes de mtiers (LOB) sous forme dun service dun service de type Cloud Computing.

Page : 25

Gestion du stockage - Storage Virtualisation des disques Le SVC : SAN Volume Controller permet de regrouper la capacit de stockage de plusieurs systmes de stockage disque au sein dun seul pool de capacit, lequel peut tre gr partir dune seule et mme interface.

Page : 26

Sauvegarde et restauration La Problmatique des clients :

Les volumes de donnes augmentent de faon exponentielle (nouvelles applications , nouvelles rgulations impliquant de conserver les donnes (auditabilit, traabilit dans tous les secteurs), etc Exemple : limagerie mdicale passe de la 2D la 3D puis la 4D car les donnes doivent tre conserves vie. On estime que le volume de donnes a augment de 1750% entre 2003 et 2006. Malgr cette volution, les donnes doivent pouvoir tre rcupres de faon fiable, simple et extrmement rapide

TSM (Tivoli Storage Manager) TSM est une solution de Sauvegarde, certes mais dabord un outil de protection des donnes de lentreprise et de reprise dactivit. TSM permet de sauvegarder tout type de donnes (fichiers, SGBD, etc) de tout type de plates-formes (Unix, Linux, Windows, AS/400, Mainframe, MacOS, etc) sur tout type de systmes : exemples LTO, VXA, IBM ou autres

Cartouches et lecteurs IBM LTO 4

Cartouches et lecteur IBM VXA 2

La force de TSM est de proposer une solution optimise pour les sauvegardes (dure des sauvegarde, optimisation des cassettes, etc) mais galement optimise et efficace pour les restaurations Pour cela, de nombreuses technologies (dont certaines ont fait lobjet dun brevet) ont t utilises : le Catalogue TSM est un SGBDR. Les autres solutions qui nont pas de base de donnes relationnelle ont un systme qui oblige souvent moins de souplesse au niveau de la gestion des fichiers sauvegards et de leur rorganisation

Optimisation des sauvegardes : La souplesse du catalogue permet notamment TSM dutiliser une mthode de sauvegarde unique: Le Backup Incrmental permanent permet de faire une sauvegarde full la premire fois et de ne travailler ensuite quavec des sauvegardes incrmentales (delta). On ne refait JAMAIS une sauvegarde complte : Bnfice : Gain de temps important lors les sauvegardes Possibilit de sauvegarder sur un cache disque transfr ensuite sur bandes : Gain de temps et paralllisations des sauvegardes Il est galement possible dinterfacer TSM avec des systmes de type VTL (Virtual Tape Library).

Page : 27

Optimisation des restaurations : Mais comment restaure-t-on ? Combien de bandes sont ncessaires ? La force de TSM et de son catalogue permet de rorganiser en permanence et en tche de fond les donnes des cassettes pour les regrouper selon des critres logiques les donnes sur une cassette ou un groupe de cassettes permettant de navoir tous les objets sur une mme bande ou un mme groupe de bande. Les cassettes sont rorganises automatiquement. Cest le mcanisme de collocation. Autre problme, la gruyrisation (des trous partout) avec par exemple la gestion des versions. Si je souhaite conserver 10 versions dun fichier, quarrive-t-il la premire version, elle est certes supprime logiquement mais est toujours prsente sur la bande. Ce phnomne nuit au taux de remplissage et au dbit lors des restaurations (le dbit max est en lecture continue) : Le processus de rclamation recopie les donnes morceles sur une nouvelle bande compacte.

Gains : Les restaurations sont plus efficaces et plus rapides, ce qui est lobjet dune solution de protection des donnes, loppos des solutions orientes sauvegardes. Points Forts : Seul produit offrir le Backup Incrmental Permanent Meilleur produit de sauvegarde (Label Yphise 2001 et 2003) Simplification des Restaurations grce la Rorganisation automatique des cassettes en tche de fond Solution dentreprise, Leader du march, fiable et robuste, multi plates-formes (y compris MacOs), sauvegarde centralise, optimisation de la gestion des bandes (gain sur le cot des bandes) Dduplication (compression par la suppression des donnes redondantes) disponible avec la version 6. Apports pour les clients : Assure une haute disponibilit des applications via la protection des donnes Simplifie ladministration du stockage via une gestion base sur des politiques et des technologies dauto-administration Amliore le ROI via une utilisation efficace des mdias (bandes) de stockage Concurrence : Veritas Netbackup (Symantec), Tina (Time Navigator), CA BrightStor, HP DataProtector Solutions dentre de gamme remplacer: CA-ArcServe, Symantec BackupExe

Wiki : Dduplication La dduplication de donnes consiste supprimer des units de stockages (disques, bandes) les donnes redondantes en ne conservant quune seule copie de la donne et en remplaant les autres par des pointeurs. Lexemple type serait celui dun mail avec une pice attache qui serait envoy 10 personnes, gnrant ainsi 10 copies de la pice attache dans la base mail. En appliquant la dduplication une seule copie de la pice attache sera conserve, conomisant ainsi de faon importante lespace de stockage. La dduplication peut galement tre applique lors de sauvegardes. Dbut 2008, IBM a acquis la socit Diligent Technologies, l'un des spcialistes de la dduplication de donnes dans les oprations de stockage ou archivage et concepteur du dispositif logiciel, "ProtecTIER", qui permett de reprer trs rapidement les doublons parmi les donnes stocker. Page : 28

Sauvegardes chaud Les modules TSM for offrent une interface avec les gestionnaires de bases de donnes du march (Oracle, Informix,, SQL Server) et de messagerie (Domino, Exchange y compris avec restitution individuelle de mail Exchange,voir TSM Fastback). Lagent pour DB2/UDB est intgr en standard avec DB2/UDB.

Ils permettent ainsi la sauvegarde chaud (sans arrt) des bases de donnes et des systmes de messagerie par TSM.

Le NAS (Network Attached Storage) Les NAS sont des units composes de disques et installes sur le rseau et donc disponibles pour un ensemble de serveurs contrairement aux disques classiques attachs directement sur un ordinateur (DAS : Direct Attached Storage). Les NAS utilisent le rseau Ethernet avec un protocole particulier optimis pour les entres/sorties, NDMP (Network Data management Protocol)

IBM ne fabrique plus de NAS mais commercialise en OEM ceux de la socit NetApp, galement nomms NSeries TSM dans sa version EE (Extended Edition) peut utiliser NDMP pour sauvegarder et restaurer des systmes de fichiers stocks sur un serveur de fichiers NAS. Aucun agent nest ncessaire sur le NAS.

Le SAN (Storage Area Network) Le SAN est, comme son nom lindique un rseau spcialis dans le partage de ressources de stockage. Le SAN utilise le protocole Fiber Channel trs rapide (>8Gbits) conu pour offrir de trs hautes performances daccs aux units disques. Lensemble du rseau est appel Fabric

Pour connecter un serveur sur un SAN, on peut utiliser une carte contrleur de type HBA (Host Bus Adapter) , ici lexemple dune carte PCIFiber Channel TSM for SAN permet le LAN Free backup autrement dit la sauvegarde sans utiliser le rseau LAN. Les sauvegardes sont faites directement de disques disques ou de disques bandes sur le SAN et contrles par le serveur TSM.

Page : 29

Pour Surveiller un rseau SAN TPC for Fabric (de la gamme Total Productivity Storage) permet de surveiller le SAN (le rseau)

Pour surveiller les priphriques dun SAN TPC for Disk permet de configurer, surveiller et grer les priphriques SAN partir dune console unique.

Pour grer les services de copies des units ESS TPC for Replication simplifie la gestion des services de copie des ESS (IBM Enterprise Storage Server, voir ci-contre) Il permet de configurer et de grer les fonctionnalits de FlashCopy et de Synchronous Metro Mirror des ESS. Il prend galement en charge les services de rplication des SVC.

Space Management TPC for Data permet doptimiser la gestion de lespace disque Objets grs : o Disques, systmes de fichiers, fichiers, rpertoires, SGBDR (UDB, ORACLE, SQL Server, SYBASE) Support de nombreux OS et architectures (SAN, NAS, DAS) Intgration avec ladministration systme Dploiement rapide et retour sur investissement rapide Facturation

Page : 30

Plan de Reprise d'Activit Cette fonction, disponible sur tous les serveurs Tivoli Storage Manager permet la mise en place d'un vritable Plan de Reprise d'Activits (PRA). Elle s'appuie sur les fonctions de sauvegarde / restauration de la base de donnes et des pools de stockage et fournit un moyen de gnrer automatiquement un plan de reprise. Le but de ce dispositif est de fournir une vritable stratgie de redmarrage permettant de suppler une catastrophe qui dtruirait la fois le serveur TSM et ses clients. Les donnes vitales sont stockes sur un autre site pour permettre le redmarrage. Le PRA est un document (processus) qui dcrit en dtail la procdure et les responsabilits de chacun pour remettre en ligne un site sinistr Le PRA sappuie sur des outils qui permettent de reconstruire un serveur nu (en anglais Bare) via des technologies gnralement nommes BMR Bare Metal Restore. Tivoli sappuie sur plusieurs outils suivant le systme choisi : TSM Fastback BMR pour Windows IBM Sysback pour AIX Cristie Bare Machine Recovery pour dautres systmes

Hirarchisation des donnes Gestion d'espace automatique TSM for Space Management La fonction HSM (Hierarchical Storage Management) permet de dplacer (migrer) les fichiers peu utiliss des disques dorigines vers des supports moins chers (disque plus lent, DVD-ROM, bandes, etc). Pour le systme, le fichier semble toujours prsent et est rapatri automatiquement en cas de besoin. Lobjectif est diminuer les cots de stockage en ne conservant que les donnes utiles sur les units les plus rapides (et donc plus chres) tout en conservant la possibilit dutiliser de faon transparente les donnes migres.

Page : 31

Protection Continue Les demandes en matire de sauvegardes font voluer la sauvegarde traditionnelle vers une notion de protection continue ou CDP Continuous Data Protection. Lobjectif est : de perdre le moins de donnes possibles aprs un crash, quantifi par le RPO Recovery Point Objective, la dure maximale autorise pour la perte de donnes. Concrtement, sur des sauvegardes toutes les 24h, on peut tre amen perdre 24h dtre mme de redmarrer les applications de faon quasi instantane aprs une perte des donnes, qualifi par le RTO Recovery Time Objective qui est la dure maximale dinterruption admissible TSM Fastback (Windows uniquement) fait voluer la sauvegarde en offrant : Une fonction de sauvegarde continue des volumes Windows Une fonction de restauration instantane Concrtement, si je pers ma base Notes protge par TSM Fastback, je ne perdrais que les mises jour les plus rcentes (RPO faible) et je serais capable de redmarrer trs rapidement, avant mme que la restauration des donnes soit complte (RTO rduit). TSM Fastback permet galement de mettre disposition des agences rgionales (Small Offices Branch Offices) sans personnel informatique une solution de sauvegarde simple et fiable et sans manipulation (sauvegardes disque disque), interface avec TSM sur le DataCenter

Combler les lacunes de MS-Exchange Avez-vous besoin de pouvoir restaurer des e-mails individuellement, ou des lments du calendrier ou des contacts ou encore la totalit de la mail-box dun utilisateur Exchange ? TSM Fastback for Exchange, en complment de la sauvegarde continue, vous apporte les fonctionnalits qui manquent MS-Exchange. Contrairement dautres solutions qui utilisent une API non supporte et qui rallongent la dure des sauvegardes, TSM Fastback utilise un mcanisme brevet pour accder aux donnes.

Page : 32

Protection continue : La sauvegarde des donnes utilisateurs sur les postes de travail Comment assurer la sauvegarde des donnes utilisateurs ? Tivoli CDP for Files (Continuous Data Protection for Files) permet de prendre en compte la sauvegarde des postes de travail CDP for Files sinstalle sur le poste de travail et permet, de faon transparente et automatique, deffectuer une copie de chacun des fichiers que vous modifiez. A titre dexemple, lors de la sauvegarde dun document (quelque soit le document), CDP for Files prend la main et effectue une copie sur un autre emplacement qui peut tre une zone ddie sur le disque mais aussi une zone externe (disque externe, clef USB, etc) Point fort : Utilisation simple et transparente Sauvegarde en continue des documents utilisateurs Gestion des versions Possibilit de restaurer un document supprim Mise en cache et transfert sur autre support quand disponible (exemple clef USB) Interface avec TSM pour une sauvegarde dentreprise

Page : 33

La Scurit Mettre en uvre des mcanismes de protection des systmes a toujours t une proccupation importante des Responsables Informatiques Une tude mene pour le compte dIBM en 2006 indique que 70% des personnes interroges considrent que lidentification des failles de scurit est un lment indispensable.
Primtre dfensif

La premire menace qui vient lesprit concerne les virus et les hackers Primtre dfensif - ISS Fermer la porte aux intrus avec: Firewalls Anti-Virus Dtection dintrusion, etc.

Pour ce type de menace qui implique de mettre en uvre un primtre dfensif bas sur des systmes de firewalls, IBM propose une offre valeur ajoute base sur loffre IBM ISS (Internet Service Security). ISS propose 3 types doffre : Une offre de service et daudit avec Processionnal Services (PSS) dans laquelle on retrouve la mise en place de solutions anti-spam, anti-virus (de type Symantec), et les ethical hackers . Une offre produit permettant par exemple de fournir des botiers multifonctions de dtection et blocage des intrusions Une offre de Services Manags (MSS) avec 7 SOC (Security Operation Center) dans le monde mme de grer la scurit chez les clients

Mais on estime que 75% des vols de donnes viennent de lintrieur de lentreprise
les Entreprises sont beaucoup moins protges Un exemple Massive Insider Breach At DuPont A research chemist who worked for DuPont for 10 years before accepting a job with a competitor downloaded 22,000 sensitive documents and viewed 16,706 more in the company's electronic library. By Larry Greenemeier Information Week fvrier 15, 2007 03:00 PM The Delaware U.S. attorney on Thursday revealed a massive insider data breach at chemicals company DuPont where a former scientist late last year pleaded guilty to trying to steal $400 million worth of company trade secrets. He now faces up to a decade in prison, a fine of $250,000, and restitution when sentenced in March. Gary Min worked as a research chemist for DuPont for 10 years before accepting a job with DuPont competitor Victrex in Asia in October 2005. Between August and December of that year, Min downloaded 22,000 sensitive documents and viewed 16,706 more in DuPont's electronic library, making him the most active user of that database in the company, according to prosecutors. 75% of the 40 proprietary and confidential information thefts studied between 1996 and 2002 by Carnegie Mellon's CERT program in a July 2006 study were committed by current employees, says Dawn Cappelli, a senior member of the technical staff at the CERT program at Carnegie Mellon's Software Engineering Institute.

Page : 34

Pour se protger de ces menaces, Il est ncessaire dimplmenter une couche de contrle base sur loffre IAM (Identity & Access Management) : Les questions dans ce cadre : Qui peut entrer ? Que peuvent-ils voir et faire? Accs lis aux rles? Protection de la vie prive?
Primtre dfensif Couche de contrle

Quelques chiffres issus dtudes IBM : 12 jours en moyenne pour crer les accs un nouvel utilisateur 20$ par appel pour la rinitialisation des mots de passe 30 60% des comptes existants sont invalides Jusqu 30% du temps de dveloppement dune nouvelle application peut tre pass dvelopper les mcanismes de contrles daccs LIAM comprend TDS, TDI, TIM et la gamme TAM for, voir ci-dessous Lannuaire

Directory
La premire brique consiste disposer dun annuaire. Un annuaire est une base de donnes spcialise dont la fonction premire est de retourner un ou plusieurs attributs d'un objet grce des fonctions de recherche multi-critres. Contrairement un SGBD, un annuaire est trs performant en lecture mais l'est beaucoup moins en criture. Lannuaire permet de stocker les utilisateurs et les attributs associs (droits daccs par exemple). Un annuaire scurit est interrog et mis jour via le protocole LDAP (Lightweight Directory Access Protocol)
Telephone Directory Application Objects O=IBM CN=John CN=Wolfgang sn (surname): Eckert telephoneNumber=2022 givenName (Firstname): Wolfgang uid (UserID): weckert userPassword: ******** mail (e-mail): wolf@series.ibm.com CN=Tom Web Application

Email Application

Microsoft Active Directory est un des annuaires les plus connus, il est notamment utilis par les produits sous Windows, mais en plus dIBM, on retrouve galement Sun et Novell sur ce march TDS-Tivoli Directory Server est lannuaire LDAP dIBM. TDS est bas sur DB2 et Websphere (Express) et tourne sur de nombreuses plates-formes. TDS est gratuit, seul le support est payant. Il est principalement utilis dans les solutions de scurit Tivoli (TIM, TFIM, etc) IBM utilise son propre annuaire qui stocke environ 500 000 entres (les collaborateurs IBM et des clients) et excute 40 millions doprations par jour. TDS permet dafficher les pages blanches c'est--dire la liste des utilisateurs. Pour afficher les pages jaunes, lorganigramme de la socit par exemple, Tivoli sappuie sur des solutions complmentaires. Concurrence: Microsoft Active Directory, Sun ONE Directory Server, Novell eDirectory,etc

Page : 35

Intgrer de multiples rfrentiels de gestion des utilisateurs IBM Tivoli Directory Integrator (ITDI) Mta-Annuaire, synchronisation de rfrentiels ITDI permet de synchroniser des donnes didentit ou autres entre des rfrentiels quelque soient leur nature technique : annuaire LDAP, bases de donnes, systmes collaboratifs ou de messagerie, des applications de Ressources Humaines ou gestion de la Relation Client, de gestion intgre dentreprises, des systmes de messagerie applicatives (MQSeries), des fichiers plats, Contrairement dautres solutions de mta-annuaire nimpose pas un rfrentiel provisoire pour consolider les donnes. ITDI est utilis pour dvelopper les connecteurs ad hoc dont IBM Tivoli Identity Manager peut avoir besoin pour provisionner ou auditer des comptes sur des applications particulires.

Grer les comptes et les accs utilisateurs Quel est le processus de demande daccs une application (workflow dhabilitation) Comment crer ou supprimer automatiquement les comptes sur les serveurs et middlewares (provisioning) Les comptes actuels crs sur un serveur sont-ils valides (rapports daudit)

IBM Tivoli Identity Manager (TIM ou ITIM) automatise, selon des rgles organisationnelles pr-tablies, la gestion des comptes utilisateurs (cration, destruction, suspension, modification didentifiants et de mots de passe) et de leurs droits daccs aux applications et donnes de lentreprise. Grce une liste de plus de 50 adaptateurs, dont certains gnriques, permettant de se connecter aux systmes, applications et/ou bases de donnes les plus frquemment rencontrs sur le march, ITIM propose la solution la plus complte de lindustrie ce jour. Fonctions de workflow: Approbation/rejet des requtes de gestion dutilisateurs. Les tapes du workflow peuvent tre excutes en srie ou simultanment. Les approbateurs reoivent une notification par email. Les activits du workflow peuvent tre boucles et escalades. Elles sont entirement personnalisables. Les approbateurs peuvent dlguer leur droit de validation. Demande de fourniture dinformations supplmentaires Gestion des mots de passe Cette fonction accessible par une interface web peut tre offerte tous les utilisateurs de lentreprise ou ddie un groupe dutilisateur du serveur dhabilitation (Helpdesk par exemple). Dautre part, les utilisateurs disposent dune fonction Self Service pour la ractivation des mots de passe perdus ou oublis (DPRA : Desktop Password Reset Adapter) Page : 36

Points forts : Provisioning: Gestion centralise et automatise des diffrentes ressources (Unix, Windows, Notes, Exchange, SAP, AD, ..) cration, modification, suspension et suppression Automatise les tches dadministration Gestion et synchronisation des mots de passe: Self service : Rduction du cot pour le Help Desk. Les diffrents mots de passe peuvent devenir identiques et respectent une politique de scurit Rconciliation Comparaison entre les droits daccs thoriques aux systmes de lentreprise et la ralit Dtection automatique des comptes orphelins Offre une synchronisation bi-directionnelle Vrification de la bonne application des rgles de scurit Audit et rapports Faciliter laudit des habilitations Tracer et stocker (SGBD) lhistorique des actes raliss Savoir qui a accs quoi au sein du SI de lentreprise Administration dlgue Flexibilit dadministration, dlgue ou rpartie, Vue par pays, sites, services, Autonomie des responsables Formulaires de saisies configurables graphiquement Architecture Centralisation du rfrentiel dhabilitation et des droits daccs. Gestion par rle (RBAC : Role Based Acces Control) Concurrence: Sun Java System Identity Manager, Novell Identity Manager, CA Identity Manager, BMC Identity Management Suite, Oracle Identity Manager

Authentification unique - SSO Single Sign-On sur le poste de travail TAM for eSSO (Tivoli Acces Manager for Enterprise Single Sign-On) offre les fonctions dauthentification unique (SSO) qui vont permettre lutilisateur daccder lensemble de ses applications en ne sauthentifiant quune seule fois, une seule connexion, un seul mot de passe !

A ne pas confondre !
SIGNATURE UNIQUE (SSO) MOT DE PASSE UNIQUE (Synchro)

Le SSO : je ne mauthentifie et ne saisis mon mot de passe quune seule et unique fois La synchronisation de mots de passe : mon mot de passe est toujours identique mais je mauthentifie pour chaque application.

En fournissant un agent intelligent dploy sur le poste final, TAM eSSO simplifie le processus daccs en automatisant les connexions aux applications grce sa reconnaissance des demandes de Page : 37

connexion. Il mmorise et rejoue les mots de passe de faon scurise la place de lutilisateur pour toutes les applications (Web, MVS, Java Client/Serveur, AS400 ...etc.) La mise en place du mcanisme de connexion automatique aux applications ne ncessite aucune modification des applications ou installation d'un adaptateur spcifique. Lagent sexcutant sur le poste de travail communique avec le serveur centralis TAM eSSO (IMS Server) de manire simple et scurise afin de sauvegarder le portefeuille de compte l'utilisateur. Authentification et scurit renforce : TAM eSSO permet dintgrer des solutions dauthentification renforce telle que : carte puce, cl USB, Badge RFID, One Time Password (le mot de passe vous est envoy via SMS ou email par exemple), etc Il est galement possible de dconnecter un poste automatiquement via un dtecteur de prsence (RFID, Sonar). Automatisation des connexions : Lagent TAM eSSO est capable de drouler un script dautomatisation de connexion une ou plusieurs applications. Gestion de contexte : Il est possible de transfrer une session dun poste un autre. Si on imagine un mdecin qui passe dune chambre dhpital une autre, il est possible pour le mdecin de retrouver sa session dans chacune des chambres. Dautre part, une infirmire aura un accs diffrent du mdecin mme sur un poste identique Password Self Reset : Lutilisateur qui a perdu son mot de passe initial peut le retrouver sans faire appel au Helpdesk en utilisant un mcanisme de type questions/rponses. Points forts : Amlioration de la productivit: Rduction du nombre de mots de passe grer, automatisation des procdures dauthentification par les utilisateurs aux applications, technique dapprentissage automatise, rejeu automatique, gestion du renouvellement et de la rinitialisation du mot de passe. Amlioration de la scurit: Dfinition des politiques de scurit en central et dploiement consistent sur le primtre de postes de travail slectionn. Amlioration de la conformit aux standards: TAM eSSO intgre en standard des fonctionnalits de traabilit et daudit des accs. TAM eSSO aide la conformit aux standards Sarbanes-Oxley, Gramm-Leach-Bliley Act, HIPAA, etc. Rduction des cots de help-desk : Selon une tude du Gartner Group, 40 60 % des appels au Help Desk sont lis une perte de mot de passe, le cot dun appel au Help Desk est compris entre 15 et 20 . Simplifie lintgration et le dploiement: Trs peu de changement sur linfrastructure existante, TAM eSSO est peu intrusif et peut tre dploy en quelques jours/semaines. Gestion centralise des donnes daccs : Existence dun serveur indpendant des annuaires existants mais capable de synchroniser ses donnes avec ces annuaires. Technologie innovante : TAM for eSSO V8 est bas sur une technologie innovante rachete en 2008 (Encentuate) Pas de modifications de la GINA : Comme il nest pas vident que tout le monde connaisse Gina, il suffit de savoir que la gina.dll est le programme Windows qui vous demande de saisir votre user et votre mot de passe Windows lors de la connexion. Certaines solutions du march modifient ou remplacent la gina originale Windows ce qui annule le support Microsoft. Ca nest pas le cas de TAM for eSSO. Interface avec TIM : Capacit mettre jour les accs SSO partir des informations communiques par la solution de gestion des identits TIM. Concurrence : PassLogix (anciennement vendu par Tivoli), Evidian (Bull), CA, Avencis, Novell, Citrix, Imprivata

Page : 38

Fdration dIdentits Authentification unique inter-entreprises (SSO Inter entreprises) Outre la synchronisation ou l'administration des rfrentiels en interne de l'entreprise, les solutions d'IAM traitent dsormais des consquences de l'ouverture du systme d'information des partenaires extrieurs l'entreprise. IBM Tivoli Federated Identity Manager (TFIM) est positionn en prcurseur dans ce domaine. La fonction de fdration d'identit donne l'entreprise la possibilit d'tablir un rseau de confiance avec ces partenaires, en ouvrant l'accs son systme d'information par un dialogue entre annuaires d'authentification. On peut ainsi imaginer se connecter au portal dun oprateur tlphonique via son GSM, puis se connecter directement sur le site dun oprateur commercial (programme TV, site dinformation, site de jeux, etc) sans avoir se r-authentifier. Ainsi on trouve dsormais au sein des entreprises diffrents types de Single Sign On : le SSO poste de travail le Web SSO le SSO fdr qui permet aux internautes de ne plus se r-authentifier pour naviguer dun portail lautre, ds lors que les entreprises partenaires font partie dun mme cercle de confiance et ont tabli des processus de fdration didentits. Wiki : TFIM supporte 3 protocoles qui permettent le SSO et la fdration didentit entre fournisseurs didentit et de services : SAML (Security Assertion Markup Language) bas sur XML (Trs large consortium : IBM, Microsoft, Sun, Oracle, etc) Liberty (Sun, Novell, CA, France Telecom, Verisign, etc) WS-Federation (Microsoft, IBM, BEA, RSA) Point forts: Prise en compte du SSO fdr entre divers partenaires Prise en compte de la mdiation de l'identit pour les web services Support des standards du march pour la transmission de l'identit et de ses attributs (SAML (dont 2.0), Liberty, WS-Federation) Support des standards du march dit centr utilisateur (OpenID, InfoCard) Intgration avec la solution de web SSO de la gamme Tivoli et le serveur d'application WebSphere Concurrence: Sun Federation Manager, Novell Access Manager Active Directory Federation Services

Page : 39

Contrle daccs et authentification unique pour le Web (Web SSO) Tivoli Access Manager for e-business (TAM for eBusiness) constitue un portail de scurit qui permet de mettre en place une infrastructure pour raliser une fonction de type authentification unique (SSO), avec contrle daccs aux applications de type Web et web services. TAM for eBusiness offre les fonctions suivantes : dfinition des rgles de scurit, autorisations et authentification. mise en uvre des rgles de scurit (composants actifs de scurit) trace des accs aux applications (audits scurit) TAM for eBusiness met en uvre les fonctions suivantes : Identification Un annuaire centralis de type LDAP contient la dfinition des utilisateurs et des groupes dappartenance. La gestion des utilisateurs et des groupes est gnralement faite de manire externe, laide dun logiciel de gestion des identits comme IBM Tivoli Identity Manager. Authentification TAM for eBusiness ralise les authentifications en lieu et place des applications WEB. Ceci permet de mutualiser cette fonction et vite des dveloppements plus ou similaires dans les applications. De plus, le changement du mode dauthentification se fait par simple paramtrage TAM for eBusiness sans aucun impact sur les applications protges. De nombreuses technologies peuvent tre utilises pour renforcer lauthentification : Lecteurs dempreintes digitales, Botiers VPN ,Cartes dacclration dauthentification SSL, etc Autorisation Lautorisation est dfinie de manire centralise. Cette base dautorisation contient la dfinition des objets suivant : les ressources (liste des URL protgs sur tous les serveurs Web scuriser), les listes de contrle daccs contenant les noms des utilisateurs et des groupes ainsi que leurs permissions daccs. des groupes de proprits appliques un URL qui permettent par exemple de forcer lcriture dun enregistrement daudit quand la ressource est accde, de ne renvoyer le contenu de la ressource que sur un canal scuris (HTTPS), de forcer la r-authentification de lutilisateur, etc.. les rgles dautorisation permettant de prendre en compte des informations lies lutilisateur pour dterminer plus finement les critres daccs. Propagation de lidentifiant La propagation de lidentification pour raliser la fonction authentification vers les serveurs darrire plan peut se faire selon diffrentes mthodes (LTAP, TAI, entte http, ticket de session EPAC, sso dans un contexte multi domaine, ...) Larchitecture : Un reverse Proxy de scurit (Webseal proxy server) qui intercepte les requtes Web avant de les transmettre vers les serveurs ou applications Web darrire plan. Un annuaire LDAP qui est le rfrentiel de scurit et utilis pour la partie authentification. Les annuaires du march sont supports: IBM Tivoli Directory Server, IBM z/OS LDAP server, Sun ONE Directory Server, Novell eDirectory, Microsoft Active Directory et Lotus Domino Server. Un serveur dadministration (Policy Server) qui sert excuter les requtes de configuration des politiques de contrle daccs faites par les administrateurs

Page : 40

De nombreuses applications sont supportes en standard: Websphere, BEA WebLogic, Oracle Application, Cognos, FileNet, Lotus, MS-Exchange, MS-Sharepoint, Oracle DB et eBusiness, PeopleSoft, SAP NEtweaver, SAP R/3, Siebel, etc

Wiki : Proxy / Reverse Proxy : Un serveur mandataire ou proxy est un serveur intermdiaire qui a pour fonction de relayer des requtes entre un poste client et un serveur. Il est configur ct client et assure notamment les fonctions suivantes : mmoire cache la journalisation des requtes ( logging ) la scurit du rseau local le filtrage et l'anonymat. Le proxy inverse est implment du ct des serveurs Internet. L'utilisateur du web passe par son intermdiaire pour accder aux applications de serveurs internes. Cette technique permet entre autre de protger un serveur web des attaques provenant de l'extrieur. Scurit : Filtrage en un point unique des accs aux ressources Web. Masquage de l'architecture d'un site web interne via la r-criture programmable des URL Acclration SSL : le proxy inverse peut tre utilis en tant que terminateur SSL , par exemple par la biais de matriel ddi, Rpartition de charge : le proxy inverse peut distribuer la charge d'un site unique sur plusieurs serveurs web applicatifs. Selon sa configuration, un travail de r-criture d'URL sera donc ncessaire, cache : le proxy inverse peut dcharger les serveurs web de la charge de pages/objets statiques (pages HTML, images) par la gestion d'un cache local. La charge des serveurs web est ainsi gnralement diminue, Compression : le proxy inverse peut optimiser la compression du contenu des sites.

Wiki : SOA Service Oriented Architecture L'architecture oriente services (Service Oriented Architecture, SOA) est une forme d'architecture qui met en uvre un principe dinteractions entre des composants applicatifs, gnralement des Web Services, communiquant via un format dchange standardis, le plus souvent XML. XML (Extensible Markup Language) langage de balisage extensible est un langage de balisage gnrique. Il sert essentiellement stocker/transfrer des donnes de type texte de faon structure. exemple de balise de type Titre : <title>IBM </title> Web Service : Un Web Service est un programme permettant la communication et l'change de donnes entre applications et systmes htrognes dans des environnements distribus. Il s'agit donc d'un ensemble de fonctionnalits exposes sur internet ou sur un intranet, par et pour des applications ou machines, sans intervention humaine, et en temps rel. WebSphere DataPower : L appliance IBM WebSphere DataPower pour SOA est un priphriques rseau spcialis pour larchitecture oriente services, capable dexcuter la transformation de messages de divers formats (XML, fichiers binaires, fichiers texte, et formats les plus usuels employs dans les applications existantes comme COBOL), tout en tant en mesure de fournir aux messages eux-mmes des fonctions de scurit et de routage. Sa flexibilit permet de linstaller dans diffrents endroits de lentreprise pour dcharger le serveur Web et le serveur de donnes du travail ardu quest llaboration de XML. Page : 41

Contrler les accs aux donnes en environnements SOA Alors quun outil comme TAM for eBusiness permet de contrler laccs aux diffrentes fonctions dune application, TSPM-Tivoli Security Policy Manager permet de grer et contrler laccs aux donnes via la mise en place de politiques de scurit. Exemple dune politique visant autoriser un transfert de fonds: Rle: Lutilisateur doit avoir le rle xfert_approuve_role Attributs du Service: Le montant du transfert doit tre infrieur ou gal au montant maximum autoris pour ce type de transfert Attributs de lUtilisateur: Le montant du transfert doit tre infrieur ou gal au montant maximum autoris pour cet utilisateur Relations de dpendances: Lutilisateur doit avoir la responsabilit de la gestion de ce compte Environnement: Le transfert doit tre ralis durant les heures ouvres Contexte de la session: Lutilisateur doit utiliser une authentification forte (par exemple un mot de passe et une carte puce) Autres: La transaction doit rpondre aux critres minimum du systme de dtection des fraudes. TSPM offre les outils pour crer, publier, appliquer et faire voluer dans le temps ces politiques de scurit en environnements SOA. TSPM est compos de : Dun composant de gestion centralis des politiques de scurit qui permet : o La mise en uvre et la gestion de politique de scurit dans les Web Services de lentreprise (Web Services interfacs et dcouverts automatiquement) o La gestion centralise des fonctions de protection des messages des appliances WebSphere DataPower (chiffrement, signature digitale, Jetons) Dun module Runtime qui fournit la fonction de Security as a Service qui permet : o De rpondre aux demandes dautorisations, authentifications, accs et audit des composants Web Service. o Dappliquer les rgles de scurit pour les systmes interfacs, aujourdhui WAS et DataPower

Gestion des Risques/Menaces et de la conformit (RTM : Risk and Threat Mitigation) Security Compliance Management / Server Compliance Configuration Audit Security Information and Event Management offres de type SIEM, contraction des offres SEM Security Event Management et SIM Security Information Management Loffre Tivoli SIEM comprend 2 composants La Gestion des alertes de scurit (SEM) La Gestion des informations de scurit (SIM)

Primtre dfensif Couche de contrle Gestion des risques/menaces Et de la conformit

Page : 42

Garantir la Conformit des serveurs, applications et des postes de travail On peut estimer que 90% des problmes de scurit pourraient tre vits simplement en garantissant que les rgles de scurit dfinies par lentreprise soient appliques ; par exemple, chaque poste de travail doit avoir un anti-virus jour, chaque serveur AIX doit avoir un niveau de patch donn, des mots de passe appropris, etc. IBM Tivoli Security Compliance Manager TSCM a pour objectif de garantir la conformit des systmes par rapport aux rgles de de scurit de lentreprise mais galement par rapport aux diffrentes rglementations (SOX, Ble II,, PCI, etc) en analysant les lments tels que version dOS, informations systmes, niveau de patch, information des Registres, rpertoires, fichiers, donnes de scurit, etc et en mettant en vidence les systmes non conformes. TSCM permet de : Collecter les paramtres de configuration et de scurit des systmes dexploitation, middleware et applications Stocker dans une base de donnes centrale lensemble de ces paramtres. Analyser les donnes collecte en les comparant avec les rgles de scurit dfinies. Fournir les tats mettant en vidence les failles de scurit ou les points non conformes aux politiques de scurit de lentreprise. Prvenir les quipes appropries en cas de violation dune rgle (ouverture dun ticket dincident par exemple) Prvenir lutilisateur grce une fentre qui saffiche sur lcran pour indiquer les raisons de la violation et lui donner les instructions pour corriger le problme de manire autonome.
Exemple : Critres de contrles de la politique de scurit Windows Desktop Comptes utilisateurs: Restriction du compte utilisateur invit Comptes utilisateurs: Rgles de longueur et de Lotus Notes: Encryption de la base de donnes complexit des mots de passe des emails Comptes utilisateurs: Politique dexpiration des Base de registres: Restriction daccs sur les mots de passe journaux applicatifs Antivirus: Vrification de la prsence, de la version Base de registres: Restriction daccs sur les et de lactivation de McAfee, journaux de scurit Norton/Symantec, Sophos, Trend Micro Antivirus Base de registres: Restriction daccs sur les journaux systmes Antivirus: Vrification de lexcution dun scan hebdomadaire (McAfee, Scurit: Prsence dun mot de passe BIOS Norton/Symantec, Sophos, Trend Micro) Scurit: Prsence dun mot de pass pour le disque dur Antivirus: Vrification de la date de mise jour du fichier de dfinition de virus Scurit: Economiseur dcran protg par mot de passe Audit: Evnements de logon Scurit: Dlai dactivation de lconomiseur Encryption: 128 bits dcran Partage de fichiers: Limitations Services: Vrification de la dsactivation de Partage de fichiers: Permissions services interdits FireWall: Vrification de la prsence, de la version Contrles du nombre de connexions infructueuses et de lactivation dun firewall (Windows, Symantec, ZoneLabs) Lotus Notes: Encryption des bases de donnes

Points forts : Support de trs nombreuses plates-formes et applications : Windows, Unix (IBM, Sun, HP), Linux (RedHat, Suse), AS/400, Novell, Apache, MQ Series, MS-Exchange, SAP, etc Essentiel pour toute entreprise devant rpondre des audits de scurit internes ou rglementaires tels que ceux imposs par SOX, EuroSOX, COBIT, ISO 19977, PCI ou Ble II. Complmentaire loffre TCIM qui analyse le comportement des utilisateurs des systmes dinformation (et notamment les utilisateurs ayant des droits dadministrations ou des accs privilgis) Utilis en interne sur lensemble du parc IBM. TSCM est class N1 en 2007 par Yphise dans la gamme SCCA (Server Configuration Compliance Audit) Page : 43

Scuriser les systmes Unix et Linux Les systmes Unix et Linux imposent pour diverses fonctions systmes lutilisation dun compte administrateur Super User (su ou root) qui dispose dun contrle complet sur la machine et ses donnes avec la possibilit de lire, supprimer ou modifier nimporte quelle donne. Ce compte est difficile protger et sert souvent de point dentre pour dventuels pirates. Il est difficile auditer et ne permet pas de savoir qui a accd au systme. Tivoli Access Manager for Operating Systems TAM OS va permettre de mettre en place une vritable politique de scurit, gre de faon centralise, sur les systmes Unix et Linux via un ensemble de fonctions : Mcanisme de contrle daccs (Access Control List) qui va permettre de restreindre les droits daccs (lecture, criture, suppression) sur les fichiers y compris pour le super user root. Renforcement des mots de passe en imposant des critres minimum pour quun mot de passe soit valid. Traabilit avec lobligation pour les super users de sauthentifier individuellement Auditabilit avec lenregistrement dinformations daudit sur un serveur spar. Gestion centralise de la scurit de lensemble des systmes Unix et Linux

Grez de faon simple et centralise les cls de chiffrement de vos dispositifs IBM IBM Tivoli Key Lifecycle Manager-TKLM , est disponible pour les units de chiffrement automatique la vole disques ou bandes et permet de grer de faon simple et centralise les cls associes aux dispositifs suivants : DS8000 Self-Encrypting Disk Array TS Family (TS-409, TS-509, etc.) ou Self-Encrypting Tape Library DR550 with Self-Encrypting Storage Ce dispositif remplace le dispositif EKM (Encryption Key Management) livr en standard, qui bien que toujours support, nvolue plus fonctionnellement. Cibles Commerciale: les clients EKM deal avec STG

Page : 44

Security Event Management SEM Temps rel IBM Tivoli Security Operations ManagerTSOM est un systme orient temps rel qui permet de dtecter et grer les attaques et menaces contre le systme dinformation. TSOM offre les fonctions dalertes (envoi dun SMS, ouverture dun tiket dincident, script, etc..), danalyses pour investiguer un problme potentiel et de reporting (dashboards). Collecte Larchitectiure de TSOM oriente principalement sans agent permet de superviser et grer des milliers dlments actifs du rseau en rduisant au strict minimum les charges dinstallation et de dploiement. . La collecte des informations de scurit se base sur lanalyse de fichiers Log systmes (plus de 250 types sont reconnus), SNMP, OPSEC (Open Platform for SECurity, standard lead par Checkpoint) ou XML. Si ncessaire, des agents scuriss sont galement disponibles et peuvent tre dploys directement sur les composants superviser. Les donnes collectes sont ensuites normalises au mme format, encryptes et transmises au moteur central ou elles sont corrles, prioritises et stockes. Investigation Une fois lalerte dtecte et classe comme importante, il est ncessaire dinvestiguer et ventuellement dapporter des actions correctrices. TSOM permet de raliser cette vrification en cliquant simplement sur ladresse IP incrimine. Lutilisateur peut ds lors accder au Host Investigation Toolkit qui fou nit toutes les informations et les outils ncessaires aux oprateurs pour faciliter leurs investigations. En standard, la solution propose diffrents scanners (NMAP Port scanners, web scanners, Netbios scanners, RPC scanners), des utilitaires rseaux tels que traceroute, finger, etc.. ou de go-localisation partir des sites de rfrence tels que www.arin.net et www.ripe.net. Tous les outils peuvent tre lancs partir de linterface web et leurs rsultats sont stocks dans la base de donnes et viennent complter les informations associes lquipement en dfaut. Rmdiation Au fur et mesure du paramtrage de la solution et une fois les administrateurs de scurit satisfaits par les alertes remontes par la solution TSOM (limination des faux positifs et des ghosts), des mesures de scurit plus actives peuvent tre implmentes. Ces rponses automatiques peuvent aller dun simple envoi de mail ou de gnration de ticket dincident jusqu' la re-configuration dynamique des rgles dun firewall. Un des plus grands challenges pour les quipes en charge de la gestion oprationnelle de la scurit est de sassurer quen rponse une alerte donne la procdure adapte a bien t suivie et le cas chant, de pouvoir le prouver. A cette effet, la solution embarque un outil de gestion de tickets dincidents totalement intgr. Les tickets peuvent tre cres partir dun vnement ou dun groupe dvnements, affects un utilisateur ou un groupe. De plus, chaque ticket contient un lien hypertexte facilitant laccs Page : 45

aux informations relatives lattaque ayant gnr le ticket. Il est galement possible de coupler la solution avec un systme externe de gestion de tickets dincidents au travers dAPIs. Reporting Un module de reporting est intgr la solution et propose en standard plus de 70 rapports danalyse de tendances, de synthses (Top10 etc.) et des rapports visant mesurer lefficacit de lquipe de scurit (temps moyen dinvestigation), ainsi que la conformit aux principales rglementations en vigueur. Il est galement possible dadapter les rapports existants ou den crer de nouveaux. Concurrence : Exaprotect, CA, Arcsight, NetIQ, Loglogic, Symantec, RSA (EMC), Trigeo

Page : 46

Scurity Information Management SIM Audit et Conformit IBM Tivoli Compliance Insight Manager- TCIM permet de surveiller et d'analyser les activits des utilisateurs au sein de l'entreprise puis de donner la preuve crite, de faon continue et non intrusive, que les donnes et systmes sont grs et utiliss conformment aux politiques de l'entreprise. TCIM, via un tableau de bord convivial, permet : daccder rapidement aux informations sur le comportement des utilisateurs, l'activit des systmes et la scurit, sur tous types de plateformes. de comparer les entres des fichiers journaux avec les politiques de rfrence pour localiser avec prcision et rduire au minimum les problmes lis la scurit. de transmettre des rapports pour rpondre aux demandes de preuves des auditeurs et aux besoins des enqutes des responsables de la scurit sans avoir recours des experts de plateforme travaillant des tarifs levs. de traiter rapidement les incidents lis aux activits des utilisateurs privilgis en prenant les mesures ncessaires et en mettant des alertes tout en laissant les administrateurs faire leur travail. Collecte et gestion des logs Les fonctionnalits de gestion de logs de TCIM sont les suivantes : Collecte performante, indexation permettant une recherche efficace et gestion des logs Tableau de bord de vrification logs : les Auditeurs exigent que les organisations puissent prouver leurs dclarations quant la collecte des logs. La gestion des logs de la solution IBM SIEM fournit aux administrateurs des informations spcifiques et des rapports leur permettant de vrifier que les collectes ont bien lieu selon les priodes dfinies. Rapport d'Historique de collecte des logs : le rapport d'historique montre toutes les collectes, autant concernant les sources d'vnement que les sources d'informations utilisateur qui permettent l'administrateur de maintenir une opration de collecte de logs fiable et fournissent l'aide au diagnostic de problmes survenant dans le processus de collecte. Rapport de Continuit de log : le rapport de continuit de log fait un rapport sur la compltude des donnes collectes, validant que toutes les donnes qui ont t stockes lorigine ont t transfres avec succs au serveur de collecte et sont toujours dans le dpt. Les exemples d'vnements enregistrs incluent (liste non exhaustive) Tentatives fructueuses et infructueuses de login Tentatives fructueuses et infructueuses de login sur des ressources sensibles Tentatives daccs Rejets toutes les ressources Utilisation de comptes utilisateurs privilgis Comptes utilisateurs avec privilges systmes Tous les changements effectus par les administrateurs sur les droits d'accs Toutes les tentatives l'accs aux bases de donnes stockant des donnes sensibles, des mots de passe etc. faisant partie du systme de contrle daccs Normalisation en W7 Les donnes enregistres sont normalises dans un format unique commun, et sont ensuite enregistres dans une base de donnes. La traduction de tous les vnements dans une langue standard unique minimise le niveau de technicit requis pour tre exploits par un auditeur. Les vnements sont traduits/mapps suivant 7 groupes catgoriss par le modle W7 : Qui, Quoi, O, Quand, sur Quoi, d'O et Vers o (Who, What, Where, When, on What, from Where, and Where to).
Secur ity Com pliance & Audit Solutions

Traduire les journaux dans un langage comprhensible

la mthodologie W7
1. Who did

Comprendre

2. What type of action 3. on What file/data

IBM Software Group | Lotus software

4. When did he do it and 5. Where 6. from Where 7. Where to


Nous fa isons le travail deetraduction, Nous faiso ns le tra vail d traduction, votre place! votre place!

IBM Softwar e Group | Tivoli software


32

Page : 47

Corrlation A la suite de la normalisation, les donnes sont corrles soit automatiquement dans des rapports existants, soit par un simple clic de souris lors dune investigation manuelle. La corrlation est possible travers un ou plus des sept W et permet de comparer les vnements une politique, et de fournir les alertes et les rapports d'vnements anormaux ou ncessitant une attention spciale. Par exemple : Corrler les diffrents identifiants d'un mme utilisateur, utiliss sur les plates-formes Corrler partir de l'heure et de l'action (par exemple le changement de groupes d'utilisateur, ou densembles de fichiers prdfinis dans un intervalle de temps donn) Corrler partir des origines (par exemple, des adresses IP ou les noms de plate-forme) Corrler partir des destinations (par exemple, des adresses IP ou des noms de plate-forme) Corrler l'activit (par exemple, tous les scans de port, tous les checs de connexion) Rapports et tableaux de bords Il est trs facile de gnrer des rapports avec la solution car ceuxci sont construits en langage W7 quasi-naturel. Un tableau de bord convivial affichant des rsums des fichiers journaux dans un aperu graphique vous permet de comprendre rapidement ce que font les utilisateurs. Il est possible dobtenir une vue d'ensemble des activits lie la conformit aux exigences de scurit, de comparer les activits des utilisateurs et les vnements de scurit des cadres de rfrence sur les rglementations ou les politiques dutilisation acceptable, et de surveiller les utilisateurs privilgis et les vnements de scurit. Des modules de conformit spcifiques aux rglementations lgislatives telles que Ble II, SOX, PCI, etc. sont galement disponibles. Concurrence : Exaprotect, CA Security Command Center , Arcsight, NetIQ, Loglogic, Symantec, RSA (EMC), Trigeo TCIM est class N1 en 2009 par Yphise

Page : 48

Wiki : Normes et lois quelques lments Sarbanes-Oxley (SOX) - Financier Aux tats-Unis, la loi de 2002 sur la rforme de la comptabilit des socits cotes et la protection des investisseurs est une loi fdrale imposant de nouvelles rgles sur la comptabilit et la transparence financire. Elle fait suite aux diffrents scandales financiers rvls dans le pays aux dbuts des annes 2000, tels ceux d'Enron et de Worldcom. Le texte est couramment appele loi Sarbanes-Oxley, du nom de ses promoteurs les snateurs Paul Sarbanes et Mike Oxley. Ce nom peut tre abrg en SOX, Sarbox, ou SOA. Nouvelles obligations : l'obligation pour les prsidents et les directeurs financiers de certifier personnellement les comptes ; l'obligation de nommer des administrateurs indpendants au comit daudit du conseil dadministration ; l'encadrement des avantages particuliers des dirigeants (perte de lintressement en cas de diffusion dinformations inexactes, interdiction des emprunts auprs de lentreprise, possibilit donne la SEC - Securities and Exchange Commission, l'autorit de rgulation des marchs boursiers amricains - dinterdire tout mandat social pour les dirigeants souponns de fraude). Cette loi oblige aussi mettre en uvre un contrle interne s'appuyant sur un cadre conceptuel. Ble II - Financier Les normes Ble II (le Nouvel Accord de Ble) constituent un dispositif prudentiel destin mieux apprhender les risques bancaires et principalement le risque de crdit ou de contrepartie et les exigences en fonds propres. Ces directives ont t prpares depuis 1988 par le Comit de Ble, sous l'gide de la banque centrale des banques centrales : la Banque des Rglements Internationaux et ont abouti la publication de la Directive CRD. Pilier I : l'exigence de fonds propres Les accords de Ble II ont pour objectif de recommander aux banques de structurer leur bilan d'une certaine faon. Le ratio respecter, appel ratio McDonough (anciennement ratio Cooke) o : Fond propres de la banque > 8% des (risques de crdits (75%) + de march (5%) + oprationnels (20%)) Pilier II : la procdure de surveillance de la gestion des fonds propres Cette ncessit s'appliquera de deux faons : validation des mthodes statistiques employes au pilier 1 (back testing) : La banque devra prouver a posteriori la validit de ses mthodes dfinies a priori en fonction de ses donnes statistiques et cela sur des priodes assez longues (5 7 ans). Elle devra en outre tre capable de "tracer" l'origine de ses donnes. test de validit des fonds propres en cas de crise conomique : La banque devra prouver que sur ses segments de clientle, ses fonds propres sont suffisants pour supporter une crise conomique touchant l'un ou tous de ces secteurs. Pilier III : la discipline de march Des rgles de transparence sont tablies quant l'information mise la disposition du public sur l'actif, les risques et leur gestion. Le processus de ngociation, dnomm Ble II (Ble 2), dur plusieurs annes et a fait couler beaucoup d'encre dans la presse spcialise.

Page : 49

Loi de scurit financire (LSF) - Financier La loi de scurit financire (LSF), aussi appele Loi Mer du nom du Ministre des Finances en poste Francis Mer, a t adopte par le Parlement franais le 17 juillet 2003 afin de renforcer les dispositions lgales en matire de gouvernance d'entreprise. Payment Card Industry (PCI) - Financier Cette nouvelle loi s'applique toutes les socits anonymes ainsi qu'aux socits faisant appel l'pargne publique ; Comme la loi amricaine Sarbanes-Oxley, la loi de scurit financire repose principalement sur: Une responsabilit accrue des dirigeants Un renforcement du contrle interne Une rduction des sources de conflits d'intrt Pour toute entreprise ou organisation amene collecter, stocker ou transmettre les donnes personnelles des titulaires de cartes de paiement, la scurit est vitale Face la multiplication des incidents de scurit le secteur des cartes de paiement (payment card industry, ou PCI) a dcid dinstaurer des standards pour protger les clients contre les dtournements et les escroqueries. En septembre 2006, American Express, Discover Financial Services, JCB, MasterCard Worldwide et Visa International ont fond le PCI Security Standards Council (PCI SSC). La mission de ce comit : tablir des normes de scurisation des donnes de carte de paiement, les perfectionner, les diffuser et faciliter leur mise en application. Cest ainsi quest n PCI Data Security Standard (PCI DSS), qui fixe des exigences standardises pour la protection des donnes des porteurs de cartes. Pour gnraliser PCI DSS, les metteurs incitent les institutions financires et les commerants en les alertant sur les consquences et sanctions du non respect de ce standard. Dcret confidentialit - Sant L'essentiel sur le dcret confidentialit du 15 mai 2007-08-16 La confidentialit des informations mdicales est une condition essentielle de la modernisation des systmes d'information en sant. L'objet du dcret est de dterminer les exigences de confidentialit et de scurit respecter par les professionnels de sant, les tablissements de sant, les rseaux de sant, et tout organisme participant au systme de sant, qui conservent sur support informatique et changent par voie lectronique des donnes de sant caractre personnel. Ces exigences s'appliqueront dans tous les cas et notamment au Dossier Mdical Personnel HIPAA - Health Insurance Portability and Accountability Act Sant (US) (Extract) Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform The Privacy Rule The Transactions and Code Sets Rule The Security Rule The Unique Identifiers Rule (National Provider Identifier) The Enforcement Rule

Page : 50

IBM : Une vision pour le futur

Agissons maintenant pour une plante plus intelligente Nous assistons la progression de problmes lis un monde hyper-connect : La crise financire. Le changement climatique. Les enjeux nergtiques, la logistique de lalimentation Tous ces enjeux montrent que nous sommes tous connects, comme nous ne l'avons encore jamais t, sur le plan conomique, social et technique. Lorsqu'une crise clate en un point du globe, elle a parfois des rpercussions dans une autre rgion, et ce en quelques jours, voire quelques heures peine. Pourtant, ce dfi est aussi une opportunit et le moment est venu dagir. L'humanit tout entire est prte accueillir le changement. Et la plante aussi. Aujourd'hui, nous constatons que l'intelligence est partout, dans tous les systmes et les processus rgissant:

l'laboration, la fabrication, la vente et l'achat des marchandises physiques, la fourniture de services, tous les mouvements, tant humains que montaires, et tous les transports de matires premires, d'nergie et de technologies (ptrole, eau, lectrons), tout ce qui permet des milliards d'tres humains de vivre et de travailler.

Comment est-ce possible ? Trois grands facteurs ont contribu ce nouveau changement: Le monde est en train de s'quiper. En 2010, on dnombrera un milliard de transistors pour chaque tre humain, chaque transistor cotant une somme infime (un dixime de millionime de cent amricain). Le monde est de plus en plus interconnect. Un billion (mille milliards) d'objets sont dsormais en rseau : automobiles, autoroutes, pipelines, appareils, mdicaments, et mme le btail. Le volume d'informations rsultant de leurs interactions connat une croissance exponentielle. Tout est en train de devenir intelligent. Et nous disposons d'algorithmes et de puissants systmes capables d'analyser ces montagnes de donnes et de les transformer en dcisions et en actions utiles qui feront natre un monde meilleur. Et plus intelligent.

Plus dintelligence, pourquoi ? Parce que nous en avons la capacit : la technologie qui le permet existe dj pour un cot peu lev. Parce que nous le devons : les bouleversements subis par une multitude de systmes prouvent que nos stratgies actuelles ne sont pas optimises. Et nous le voulons aussi : IBM prsente ses propositions pour faire progresser notre plante car le besoin de changement dans le monde est immense. Btissons ensemble une plante plus intelligente. En savoir plus Pour une plante plus intelligente, cliquez ici

*** FIN DU DOCUMENT ***

Page : 51