Sécuriser la virtualisation et virtualiser la sécurité

Le «Cloud Computing» ou environnement IT virtualisé est considéré comme le vecteur de propagation le plus important des cyber-attaques pour 2009 et les années à venir. Une seule machine virtuelle mal configurée peut mettre en péril la sécurité de l’hôte, mais aussi de toutes les autres machines virtuelles présentes sur un système. C’est l’effet domino de la virtualisation.

«Des serveurs et autres systèmes sous-exploités, des coûts d’administration qui ne font que grossir avec le nombre de serveurs, sans parler des coûts énergétiques… Parce que la virtualisation génère des gains bien réels, en termes de coûts et de flexibilité, les entreprises s'y engouffrent parfois un peu vite, sans planification, constate Eric Van Lint, Security Business Unit Manager, NextiraOne. Or, virtualiser n’est ni plus ni moins qu’une nouvelle façon de consolider les applications et les données; il faut préparer l’entreprise, en particulier sur le plan de la sécurité.»

On en serait loin. Selon Gartner, 60% des machines virtuelles en service seraient moins sécurisées que leurs équivalents physiques! Aujourd’hui, confirme les analystes, la couche logicielle utilisée pour mettre en oeuvre la virtualisation, et plus particulièrement les hyperviseurs, représente un système additionnel privilégié qui doit être protégé en tant que tel.

Un sondage récent réalisé par YouGov a mis en évidence le fait que plus de 40% des responsables informatiques ayant mis en place des serveurs virtualisés ont été victimes d’attaques de leurs réseaux IT: ils étaient convaincus, à tort, que la sécurité était incluse dans la solution de virtualisation.

«Parce qu’elle offre de nouveaux points d’attaques et donne accès à un nombre beaucoup plus vaste d’applications que le serveur physique traditionnel, la sécurité de l’environnement virtuel ne peut pas être abordée de la même façon que l’environnement physique, confirme Eric Van Lint. Si la virtualisation ne change pas les bonnes pratiques en matière de sécurité -séparation, identité et contrôle d’accès-, elle oblige à une application plus rigoureuse de celles-ci.»

Il s’agit donc de mettre en oeuvre les mesures adéquates pour obtenir le même niveau de sécurité que pour un environnement physique, également de prendre en considération le fait que l’environnement virtuel est en évolution constante! Avec la multiplication des machines faisant tourner plusieurs OS et applications sur la même plate-forme, on n’a plus droit à l'erreur en matière de sécurité informatique. Sur un serveur physique virtualisé, un problème sur l'un des moteurs d'émulation, dû à l'exploitation d'une faille par exemple, peut en effet entraîner des perturbations au sein des autres instances, voire la mise hors service de l'ensemble de la machine -notamment si la mémoire est saturée.

Selon NextiraOne, il convient de s’intéresser de près à l’hyperviseur, qui constitue certainement la partie logicielle la plus sensible du fait qu’elle établit un lien entre le matériel et les machines virtuelles hôtes. A surveiller, aussi, l’outil d’administration, qui donne un accès privilégié à l’ensemble des instances virtuelles de l’infrastructure. De plus, le danger peut encore venir des puces dédiées aux infrastructures virtuelles: ces plates-formes peuvent être détournées pour accéder aux ressources du système, par exemple au travers d’un «rootkit». Et comme ces attaques exploitent les couches logicielles basses, elles sont particulièrement

Un autre élément est la sécurisation du trafic entre les machines virtuelles.
Pour cela NextiraOne propose le commutateur virtuel Cisco Nexus 1000V ainsi que le firewall Check Point VE qui permettent aux équipes réseau et sécurité de retrouver une visibilité et une capacité d'administration et de contrôle sur l'intégralité du trafic entre machines virtuelles. Co-développé avec VMware, le Nexus 1000V et Check Point VE permettent d'étendre à l'ensemble des machines virtuelles d'un serveur les politiques de sécurité définies pour le data center (VLAN, routage, filtrage firewall); ces solutions offrent aux équipes réseau et sécurité la possibilité d'administrer et de diagnostiquer le réseau virtuel avec les mêmes outils que ce que Cisco et Check Point proposent pour gérer la sécurité sur le réseau.

«En outre, l’intégration entre Cisco et Check Point avec VMware permet, par exemple, de faire suivre automatiquement les règles de sécurité quand on déplace les instances virtuelles d’un serveur VMware ESX à d’autres», complète Eric Van Lint.

Réduire d'au moins 90% le nombre de systèmes de sécurité, mais aussi réaliser une économie d’énergie de plus de 50% et, dans le même temps, faire tomber les frais de gestion…

«Notre expérience dans les plus grands data centers en zone BeLux nous a appris que nous consolidons en moyenne six appareils de sécurisation dans un seul châssis Crossbeam. Cette technologie et nos Managed Security Services, opérés en partenariat avec IBM ISS, permettent à nos clients de réduire leurs frais généraux sans pour autant compromettre la gestion de leur entreprise tout en augmentant le niveau des SLA sur les services de sécurité. Effet induit de la virtualisation, leur facture énergétique a été réduite de moitié!», constate Ingrid De Latte, Managing Director de NextiraOne Benelux

Chez certains clients, c’est par centaines que l’on compte les «appliances» de sécurité (firewalls, IDS/IPS…). Résultat: une complexité accrue du réseau informatique, moins de flexibilité et plus de frais. En consolidant et en virtualisant, on réduit le nombre de firewalls, mais aussi de commutateurs, de répartiteurs de charge… et le câblage.

Au cœur des châssis de Crossbeam, le système d’exploitation XOS. Tout en permettant de faire fonctionner plusieurs serveurs comme une seule unité, il couple des technologies avancées de virtualisation au support «sérialisé» d’applications de sécurité: la capacité de l'infrastructure de sécurisation est augmentée sans qu’il soit nécessaire d’adapter le réseau ou perdre de la performance; le firewall atteint des vitesses de transfert de 40 Gbps, soit une capacité de traitement cinq fois supérieure aux appareils classiques.

Au niveau applicatif (couche haute du modèle OSI), NextiraOne a identifié BIG-IP de F5 Networks pour rationaliser le patrimoine applicatif, réduire les coûts opérationnels et améliorer la productivité. Cette solution unifie sur un même appareil le «firewalling applicatif», l’optimisation et l’accélération des applications, en particulier dans un contexte de virtualisation; elle permet en outre de réduire de moitié les dépenses en termes de matériel, d’énergie, de refroidissement et d’espace. F5 Networks met en avant l’idée de «contextualisation» au niveau d’un utilisateur, d’un appareil, d’un site, des conditions réseaux et du patrimoine applicatif pour s’adapter dynamiquement aux besoins.

La démarche de NextiraOne se veut globale. La force de ses partenariats avec les leaders du marché et son approche Managed Services lui permet d’offrir des solutions de réseau et de sécurité complète aux clients les plus exigeants sur la protection et les performances de leur data center.