La dernière génération de z System chez IBM inaugure le chiffrement AES (128 ou 256 bits comme le recommande l’Anssi) de bout en bout pour toutes les données associées à une application, un service cloud ou une base de données hébergés sur le mainframe. Le z14 peut exécuter, selon un communiqué de presse de big blue, plus de 12 milliards de transactions chiffrées par jour. Grâce à des unités de traitement dédiées, le dernier Z peut coder jusqu'à 13 gigaoctets de données par seconde avec une puce z14. Gravés en 14 nm, les derniers processeurs CMOS d’IBM (CPU central, Integrated Facility for Linux ou IFL, zIIP, Internal Coupling Facility ou ICF en fonction des besoins) possèdent jusqu’à 10 cœurs cadencés à 5,2 GHz avec plus de mémoire cache que la précédente génération de puces, les z13 lancés en février 2016 (le mainframe et les puces portent le même nom). En haut de gamme, le z14 3906 accueille jusqu’à 170 cœurs configurables avec un maximum de 32 To de mémoire vive. Pour assurer le chiffrement des données, big blue a consacré 400% de silicium supplémentaire aux algorithmes cryptographiques dans les processeurs de ses z14, par rapport au z13. La firme affirme également ainsi que son z14 chiffre les données 18 fois plus rapidement que des serveurs basées sur des puces Intel Xeon E5/E7 et ce pour à 5% du coût.
Avec la multiplication des intrusions et des violations de données, il devient nécessaire de renforcer la sécurité à tous les étages. IBM indique que son dernier Z peut chiffrer toutes les données dans une entreprise, ainsi même en cas d’intrusion, les hackers ne pourront plus exploiter aussi facilement qu’auparavant les informations détournées. L’identification des cibles intéressantes sera en tout cas beaucoup plus ardue. La société d’Armonk a noté qu'en 2016, plus de 4 milliards d'enregistrements de données ont été compromis, soit une augmentation de 556% par rapport à 2015. Sur les 9 milliards de données volées au cours des 5 dernières années, seulement 4% étaient chiffrées. Malgré ces chiffres étonnants, aucun progrès significatif n'a été réalisé pour chiffrer les données sur une échelle massive, a déclaré IBM. Le chiffrement demande des ressources CPU supplémentaires et coûte donc plus cher au final.
Une demande des clients
Ce mainframe vient répondre à ce problème qui a été soulevé par 150 clients d’IBM lors du développement du z14. Le chiffrement est peu répandu dans les datacenters des entreprises et un peu plus dans les plateformes cloud pour répondre à certaines obligations réglementaires. Selon big blue, environ 2% des données sont aujourd'hui cryptées dans les entreprises. En revanche, plus de 80% des données des appareils mobiles sont codées. « Le chiffrement omniprésent intégré et étendu des derniers IBM z Systems s’affiche comme la première solution globale pour contrer les menaces et les violations de sécurité auxquelles nous avons assisté ces 24 derniers mois », a déclaré dans un communiqué Peter Rutten, analyste chez IDC. IBM positionne d’ailleurs sa plateforme comme une réponse à la réglementation GDPR de l'Union européenne pour mieux protéger les données personnelles conservées et exploitées - un jour ou l’autre - par les systèmes bancaires, les organismes de santé, les administrations publiques mais également les sites d’e-commerce, les Gafa et les grands groupes de distribution. Le z14 conserve les données chiffrées, à moins qu'elles ne soient activement traitées et elles ne sont que brièvement déchiffrées au cours des calculs réels, avant d'être cryptées à nouveau.
Le z14 dispose du microprocesseur le plus rapide de l'industrie et d'une nouvelle structure évolutive avec une hausse des capacités de 35% pour les charges de travail traditionnelles et de 50% pour les worldloads Linux par rapport à un z13 de génération précédente. (Crédit: Connie Zhou pour IBM)
Le système de gestion des clés des Z a été conçu pour répondre aux normes de niveau 4 des normes fédérales américaines de traitement de l'information (FIPS), alors que la norme pour la sécurité dans l'industrie américaine est le niveau 2. Les Z peuvent protéger des millions de clés (ainsi que le processus d'accès, de génération et de recyclage). Et pour contrer toute manipulation abusive, les clés sont automatiquement détruites en cas de signes d’intrusions puis reconstituées une fois la sécurité restaurée. La capacité de chiffrement du z14 peut être étendue au-delà du mainframe à d'autres systèmes, tels que les baies de stockage et les serveurs dans le cloud. En outre, la société a déclaré que Secure Service Container protège contre les menaces provenant d’utilisateurs privilégiés - de type Snowden - dans les entreprises.
Les Z s'appuient sur ce que le moteur de transactions d'IBM assure déjà, à savoir 87% de toutes les transactions par cartes de crédit (soit près de huit mille milliards de dollars par an), 29 milliards de transactions ATM chaque année, d'une valeur de près de 5 milliards de dollars par jour; 4 milliards de passagers chaque année et plus de 30 milliards de transactions par jour.