On pourrait penser qu’il n’y a plus de mainframes chez IBM. C’est faux. Si effectivement, la vente de nouveaux mainframes n’a représenté que 3 % du chiffre d’affaires de Big Blue en 2016, selon Bernstein Research, le marché global de ces machines, en englobant les logiciels, la maintenance et les services, compte pour le quart du chiffre d’affaires total d’IBM et pour 40 % de ses bénéfices. C’est encore une vache à lait. Aussi l’annonce du tout nouveau z14, successeur des z13, doit être considérée avec toute l’emphase qu’elle mérite.

La chronologie des séries z d’IBM. Le constructeur est « seul au monde. Personne ne lui fait concurrence.

 

Deux axes : puissance et sécurité

La nouvelle machine d’IBM présente deux caractéristiques principales : elle est sensiblement plus puissante que la précédente, encore qu’il n’y ait pas de différences abyssales entre les deux et surtout elle est conçue, architecturée et organisée, pour donner les meilleures garanties de sécurité à ses utilisateurs.

Commençons par la puissance.

Le z14 est équipé du dernier processeur CMOS de la Compagnie, qui peut comporter jusqu’à 10 PU (Processor Unit), les cores, cadencés à 5,2 Hhz et gravés en 14 nm. Ceci à comparer aux 8 PU, 5 Ghz et 22 nm des processeurs z13.

IBM a conçu sa machine en répartissant les cores en 4 tiroirs, pour le modèle M05 le plus puissant, chaque tiroir pouvant accueillir 49 cores, soit 196 au total.

Seuls 171 de ces cores sont accessibles par les applications, qui peuvent aussi tabler sur 8 TB de mémoire par tiroir, soit 32 GB au total en configuration maximale. De quoi voir venir.

Selon IBM, le z14 serait ainsi plus de 30 % plus rapide qu’un z13, il est vrai limité à … 141 cores.

Comme nous l’avons souligné, c’est certes 1/3 de puissance en plus, mais ce n’est pas pour autant la révolution.

C’est d’ailleurs peut-être dans les détails que les futurs clients trouveront les arguments à se mettre sous la dent.

Chaque core est ainsi assisté par un processeur spécialisé, chargé du chiffrement, dont on sait toute l’importance qu’il a sur z14. Cet assistant est le CPAF (Central Processor Assist for Cryptographic Function), qui par contre, est 6 fois plus rapide que son équivalent z13.

Une autre unité, associée à chacun des cores, est pour sa part dédiée à la compression des données, un autre critère essentiel, dans la mesure où le z14 est une machine « Big Data » et qu’elle a pour vocation de manipuler et transmettre des volumes de données considérables. Alors, autant faire en sorte qu’elles ne prennent pas trop de place…

Par rapport au z13, la compression est aussi 2 fois plus rapide.

Dans le domaine du stockage, IBM a introduit ce que l’on pourrait encore considérer comme un canal, dans la grande tradition du terme, le zHyperLink Express, qui permet de relier un z14 à une baie, par un lien PCIe à 16 voies (8 en full duplex), avec des débits qui peuvent atteindre 8 GB/sec.

La première baie compatible avec ce lien est le DS8000 d’IBM, sur lequel les temps de latence ont été divisés par 10. Autant de gagné pour les applications transactionnelles lourdes, très consommatrices de ce genre d’artefact.

D’autres aspects techniques contribuent à la puissance du z14.

Le module de calcul décimal a été fortement amélioré, de même que les capacités vectorielles des processeurs, sans oublier une intéressante fonction dite « Guarded Storage Facility » qui « booste » la vitesse des applications Java, en intervenant sur les mécanismes de « garbage collector » de la machine virtuelle.

Le z14 tire toute sa puissance cryptographique des processeurs dédiés et même si cela ne veut pas dire grand-chose, IBM aurait consacré 400 % de transistors en plus à cette tâche, par rapport au z13.
Le z14 est une machine sécuritaire

L’aspect le plus important du z14 est le niveau de sécurité qu’il apporte, une véritable obsession si l’on en croit IBM.

En fait, le z14 est une machine entièrement chiffrée et ne rien ne passe ou n’est stocké, s’il n’a pas d’abord été chiffré. La restriction des accès aux clés de déchiffrement étant une manière d’améliorer la robustesse de l’ensemble. En d’autres termes on chiffre tout, mais c’est sur la discrimination de l’accès aux clés qu’IBM porte son effort.

Les droits d’accès sont déclinés en fonction des métiers et IBM applique ici le principe du moindre privilège, c’est-à-dire par exemple, qu’il ne donne pas un droit de déchiffrement à quelqu’un ou à une application, qui n’effectue que des opérations superficielles sur les contenus, les data sets en terminologie IBM. Des copies, des sauvegardes et autres manipulations élémentaires.

De la même manière, quand une application a besoin de déchiffrer un code ou un fichier, elle fonctionne avec un ID spécifique, qui lui donne accès aux clés de déchiffrement, mais ces clés ne seront pas utilisables pour d’autres opérations, pour se connecter au système, entre autre. Précaution qui peut effectivement contribuer à compliquer la tâche des pirates.

La gestion des clés telle que la pratique IBM est conforme au « Federal Information Processing Standards – FIPS » Level 4, alors que le reste de l’industrie, se limite généralement au Level 2.

Puisque tout est chiffré et que pour fonctionner, une application qui intervient sur les contenus, doit d’abord les déchiffrer, on pourrait craindre une forte dégradation des performances.

Qu’on le veuille ou non et IBM ne pourra pas dire le contraire, ce sera effectivement le cas.

Mais pour se défendre, IBM fournit deux arguments qui ne manquent pas d’intérêt.

Il fait d’abord remarquer qu’il a confié à un prestataire, la firme Solitaire Interglobal Ltd, le soin de remonter dans le temps, 21 ans très précisément et de reprendre tous les incidents qui sont intervenus sur ses machines, pour vérifier si l’architecture de chiffrement systématique et la gestion des clés du z14, auraient eu un impact « positif » sur eux.  Selon Solitaire Interglobal, c’est effectivement le cas et pas qu’un peu, puisque d’après lui, le volume de faiblesses aurait été réduit de 92 %. Présenté différemment, on peut penser qu’il y aurait eu 92 % de problèmes en moins.

Pour ce qui est de la dégradation des performances, IBM détourne les inquiétudes de ses clients en comparant son z14 aux serveurs x86, sur le seul plan des fonctions de chiffrement.

Toujours d’après Big Blue, le z14 serait 18 fois plus performant, pour le vingtième du coût d’un système x86. La comparaison se faisant à périmètre applicatif équivalent.

Evidemment, ces chiffres sont à prendre avec les plus grandes précautions, d’autant que’IBM ne semble pas tenir compte des progrès effectués à la fois par Intel et AMD sur les processeurs à grandes performances, des progrès récents mais réels. Tels que ceux du processeur AMD EPYC qui intègre désormais les fonctions de chiffrement des données et de la mémoire.

Pour IBM, le jeu en vaut la chandelle. Car le z14 sera exploité dans des environnements qui nécessitent impérativement que soient parfaitement traitée la confidentialité des données, mais aussi leur intégrité. Et IBM de préciser que l’une des premières applications à bénéficier de cette machine entièrement chiffrée est son propre Cloud, pour le blockchain. Un domaine, il est vrai exemplaire.

Tout cela nous donne décidément une bien belle machine. Qui n’a qu’un défaut, le prix…