Avec AppDefense, VMware met la virtualisation au service de la sécurité

Jeff Jennings, vice-président de VMware en charge de l’activité réseau et sécurité, avait vendu la mèche mi-juin, à l’occasion de la conférence Evolve 2017 de l’éditeur, à Melbourne, annonçant le lancement, pour le troisième trimestre d’AppDefense. Ce qui apparaissait alors comme une solution de surveillance et de validation en continu de l’intégrité des machines virtuelles vient d’être officiellement confirmé par VMware, à l’occasion de sa grand messe annuelle VMworld, qui se déroule actuellement à Las Vegas.

Le concept peut rappeler, à certains égards, celui des mécanismes de verrouillage des points de terminaison par listes blanches. Tom Corn, vice-président de VMware en charge des produits de sécurité, le dit lui-même : il s’agit de « verrouiller plutôt que courir après ce qui est malicieux ». Mais AppDefense va au-delà. Surtout, les mécanismes de contrôle sont extérieurs aux machines concernées.

Dans une vidéo, Tom Corn explique qu’AppDefense s’appuie en fait sur trois piliers : la connaissance de l’état et de la configuration souhaitée des machines virtuelles, la compréhension des liens qui les unissent dans la fourniture d’applications, et la surveillance en continu de l’ensemble.

L’état souhaité est connu via vCenter ainsi que les outils de provisionnement, comme Puppet ou Chef, par exemple. De quoi savoir ce que les machines virtuelles de l’environnement sont censées exécuter. Mais le cœur d’AppDefense se connecte ensuite aux outils d’automatisation, comme Jenkins ou Ansible, pour découvrir les packages installés sur les machines virtuelles : « on commence à voir quels sont les processus et les profils de communications réseau susceptibles d’être observés », explique Tom Corn. Fort de ces éléments de contexte, un composant d’introspection est activé au sein d’ESXi. De quoi surveiller ce qui se passe effectivement dans les machines virtuelles.

Un algorithme d’apprentissage automatique entre alors en jeu, pour le cas échéant découvrir des choses qui ne sont toujours pas connues à ce stade, mais surtout définir un profil applicatif. Ce profil est alors décliné en manifestes, à raison un par machine virtuelle impliquée dans l’application considérée.

Ces manifestes doivent apporter une réponse au problème dit de l’écart sémantique traditionnellement, l’hyperviseur n’a pas connaissance du contexte dans lequel surviennent certains changements et ne peut pas faire la différence entre un événement légitime et un autre. C’est le modèle Goldilocks théorisé chez VMware depuis plusieurs années et que Tom Corn présentait déjà il y a un an. Un service d’attestation assure la surveillance des machines virtuelles d’un hôte depuis une zone d’exécution dite de confiance, une enclave virtuelle durcie où sont stockés les manifestes.

Derrière, VMware propose ce qu’il appelle un Remediation Broker, qui doit servir de point d’entrée aux actions de réaction aux incidents éventuellement observés, en s’appuyant sur NSX et ESXi. Il doit être ainsi possible de solliciter l’hyperviseur pour suspendre une machine compromise, en réaliser un instantané, ou encore la ré-imager à son état d’origine. NSX permet de son côté de placer une machine virtuelle en quarantaine, de bloquer des flux réseau suspects ou encore de recours à un service tiers pour, par exemple, lancer une capture de paquets réseau complète.

Dans un communiqué de presse, VMware évoque plusieurs intégrations à venir. Et cela commencera par QRadar, le système de gestion des informations et des événements de sécurité (SIEM) d’IBM, mais également RSA NetWitness Suite. Son module Endpoint devra permettre, en s’appuyant sur AppDefense, d’étudier les processus aux comportements suspects. Carbon Black sera également mis à contribution, pour fournir des flux de réputation sur les menaces.

Enfin, SecureWorks prépare une solution mettant à profit AppDefense, dans le cadre de sa gamme Cloud Guardian. Elle doit couvrir l’ensemble du périmètre fonctionnel détection/validation/réponse et exploiter les flux de renseignement sur les menaces produits par les équipes de SecureWorks.