Service-defined Firewall, l’autre vision du pare-feu
VMware présente Service-defined Firewall. Non seulement le pare-feu devient service, mais il est focalisé sur les applications plutôt que sur les infrastructures.
Pour VMware, le firewall périmétrique a vécu. Pour le spécialiste de la virtualisation, qui présente Service-defined Firewall, il est temps de changer le rapport de force entre «attaque» et «défense» et de se focaliser sur les applications plutôt que sur les infrastructures afin de diminuer l’exposition des entreprises au lieu de les pousser à partir à la chasse aux menaces. Les clients pourront ainsi définir les comportements légitimes connus des applications, et réduire considérablement le risque pour les applications critiques, les données sensibles et les utilisateurs.
«L’idée est de permettre à une application de fonctionner de manière cohérente selon un comportement connu et d’effectuer des charges de travail hétérogènes à travers des clouds privés et publics, explique Alex Berger, Product Marketing, VMware. Une fois que le système a enregistré le comportement adéquat de l’application, il peut générer des politiques de sécurité pour le Service-defined Firewall, compatibles Layer 7, et capables d’effectuer une inspection dynamique complète…»
Dans le datacenter moderne, les changements sont constants. Une approche dynamique de la segmentation permet aux clients de suivre le rythme de ce changement, rappelle VMware. Les outils existent. Le portefeuille de solutions logicielles – du cloud aux utilisateurs finaux- de VMware offre aujourd’hui une sécurité intrinsèque à l’infrastructure. Les clients peuvent aisément ainsi définir les comportements légitimes connus des applications… et, ce faisant, réduire considérablement les risques.
La place de VMware sur l’hôte permet au firewall service-defined d’obtenir une connaissance approfondie des applications et de leur centaines ou milliers de microservices au fil du temps. Grâce à l’intelligence artificielle de millions de VM déployées dans le monde entier, l’outil Application Verification Cloud crée une carte précise de l’état légitime idéal de l’application. Ensuite, la solution peut générer des stratégies de sécurité adaptatives pour la couche 7 (couche application), et est capable d’effectuer des inspections avec état (stateful) intégrales.
Protection du système d’exploitation invité : Service-defined Firewall tire parti de son caractère intrinsèque pour inspecter l’application et l’OS invité sans avoir besoin d’y résider. Ainsi, même avec un accès root, les individus mal intentionnés ne peuvent pas contourner la solution. Cette dernière est également capable de détecter et de bloquer le trafic malveillant sur le réseau. Le système peut même inspecter le système d’exploitation invité lui-même, identifier et bloquer tout comportement inapproprié au sein de l’OS ou de l’application lors de son exécution.
Cette fonctionnalité unique constitue une nouvelle approche en matière de firewall et de prévention d’intrusions au niveau de l’hôte.
Un modèle distribué et logiciel : les firewall matériels traditionnels nécessitent une configuration en épingle à cheveux («hairpinning») faisant passer le trafic sortant de l’environnement virtuel par une appliance matérielle afin de l’analyser. Pour VMware, cette approche est inefficace et peut difficilement tenir la charge, en particulier pour les applications d’aujourd’hui, qui réunissent de nombreux composants ou services tournant sur plusieurs serveurs et dans différents clouds.
Entièrement logiciel, le Service-defined Firewall est fortement distribué, ce qui signifie qu’il tourne où les applications sont exécutées, et même dans plusieurs clouds. Les stratégies de sécurité peuvent ainsi être appliquées de façon cohérente, sans hairpinning complexe du trafic entre environnements cloud.
