Les RSSI face au défi de la sécurisation des environnements virtuels
Dossier sponsorisé par  et  |
La virtualisation doit-elle conduire à repenser les architectures de sécurité des SI ? Oui... et non. Pour Gérôme Billois, manager de la practice sécurité et gestion du risque du cabinet de conseil Solucom, « dans tous les cas, il faut faire de la sécurité comme on en faisait avant : un serveur, même virtuel, reste un serveur, visible sur le réseau. Même chose pour les postes clients : il ne faut pas oublier les bonnes pratiques. » Le ton est donné : la promesse d’isolation logique des systèmes virtualisés, par l’hyperviseur, ne suffit pas à produire une couche de sécurité suffisante pour renoncer aux méthodes classiques.
Une promesse d’isolation qui a, de toute façon, ses limites, avec le risque de « rebond entre machines virtuelles » pour un code malicieux. Reste que, pour Gérôme Billois, la probabilité associée à ce risque « est assez faible. » Même son de cloche chez l'éditeur Sourcefire, où Martin Roesch, directeur technique et créateur du célèbre système de détection d'intrusion Snort, assure : « le meilleur moyen de sécuriser l’hyperviseur, c’est déjà d’en réduire la taille. ESX, par exemple, ne pèse que 6 Mo. » Pour le reste, si l’hyperviseur concentre toutes les communications – et constitue de facto un nœud particulièrement intéressant pour un pirate –, « il s’agit d'échanges comme tous les autres. C’est donc un problème classique. » Bref, pour écouter du trafic de machines virtuelles, le faire au niveau de l’hyperviseur n’apporte pas grand chose par rapport à la prise de contrôle d’un commutateur.
Commencer par contrôler l’accès à la console d’administration
En fait, pour Gérôme Billois, le meilleur moyen aujourd’hui de protéger l’hyperviseur, c’est d’abord de contrôler finement et sévèrement les droits d’accès correspondant : « si quelqu’un vient à prendre le contrôle de l’hyperviseur, il peut lancer un déni de service massif. Le risque de pertes de données est également très élevé si quelqu’un venait à supprimer les images des machines virtuelles. » Bref, pour lui, la sécurisation d’un environnement virtualisé doit commencer par la protection de l’administration de cet environnement, en démarrant avec les postes permettant l’accès aux consoles d’administration. Vient ensuite la sécurisation du stockage.
Au-delà, pour se protéger des risques liés aux éventuels défaut d’imperméabilité de l’hyperviseur, « il ne faut pas virtualiser ensemble des systèmes aux besoins de sécurité très différents, » estime Gérôme Billois. Selon lui, mieux vaut créer des silos en fonction des contextes de sécurité : « chez nos clients, on considère même l’organisation des datacenters en fonction des besoins en matière de niveaux de sécurité. »
La sécurité s’invite dans l’hyperviseur
Au-delà, et notamment pour associer étroitement fonctions de sécurité et hyperviseur, on flirte avec la découverte d’un nouveau monde. Pour Martin Roesch, « c’est une assez bonne idée que d'ajouter des outils de contrôle d’application des politiques de sécurité au-dessus de l’hyperviseur. » Une idée séduisante qui permet de gérer une partie des questions de sécurité non plus au niveau des machines virtuelles, mais directement au niveau de l’hyperviseur. Mais là, relève Gérôme Billois, « il n’y a que VMware qui permette cela, avec vSafe. C’est un sujet en pleine évolution. CheckPoint travaille dans ce sens, Cisco aussi. » Une perspective qui ne manque pas d’intérêt : « cela permet de couvrir des menaces de bas niveau comme les rootkits (programme pirate permettant de maintenir un accès frauduleux, ndlr), par exemple. Mais aussi, cela ouvre la voie à une simplification, à un assouplissement de l’infrastructure de sécurité. Par exemple, dans le cadre d’un PCA (plan de continuité de l'activité, NDLR), on peut migrer une machine virtuelle d’un serveur à l’autre, tout en préservant son contexte de sécurité. »
| IBM se prepare à lancer ses solutions de sécurité pour vSafe |
| C’est un travail de longue haleine que se prépare à finaliser IBM avec, notamment, l’aide de sa division sécurité ISS. Après avoir lancé, au premier semestre, ses premières appliances virtuelles de sécurité – Proventia Virtualized Network Sécurity Platform, avec notamment détection et prévention d’intrusion et sécurisation des accès Web, ainsi que Proventia Network Mail Security System pour la protection des messageries électroniques – IBM s’apprête, d’ici la fin de l’année, à présenter les premiers fruits de son initiative Phantom. Lancée en avril 2008, Phantom vise à proposer des solutions de protection des machines virtuelles – sans agent résident – et de l’hyperviseur basées sur l’API vSafe de VMware. En particulier, la solution résultant de l’initiative Phantom – dont le nom devrait être Proventia Server for VMware – doit profiter de la visibilité que lui donnera l’API vSafe sur les ressources matérielles partagées par les machines virtuelles pour superviser leur exécution – et leurs échanges – ainsi que le fonctionnement de l’hyperviseur, mais également les interfaces réseau (LAN et VLAN). Le tout devant être intégralement administrable via Proventia SiteProtector. |
Par fadot
Tous les services du MagIT sur