Pour Sourcefire, vShield peut encore progresser

Le support des environnements virtualisés par les IDS et IPS de Sourcefire n’est pas une nouveauté. Mais, fin mars dernier, l’éditeur a franchi un nouveau pas avec celui des API vShield, spécifique aux environnements VMware. A la clé, des capacités d’automatisation qui font la différence par rapport aux environnements Xen.

Apporter aux environnements virtuels des capacités de sécurisation réseau au moins comparables à celles des environnements physiques. C’est l’ambition des spécialistes de la protection réseau et la plupart ont commencé à développer des offres adaptées aux environnements virtualisés avec Xen et ESX, notamment. Yann Le Borgne, directeur technique Europe du Sud de Sourcefire rappelle d’ailleurs que «toutes nos sondes existent en mode virtuel, pour faire de la prévention et de détection d’intrusions sur les réseaux virtuels. On peut amener toutes nos fonctionnalités dans ce monde-là et, en plus, y faire de la découverte passive du réseau». Un élément bienvenu selon lui, car «les administrateurs de systèmes oublient parfois qu’avec la virtualisation, les équipes de sécurité perdent en visibilité ». Mais fin mars, l’éditeur a annoncé l’intégration avec les API vShield de VMware. Pour faire quoi, de plus ? «Pour gagner une capacité à agir : les sondes virtuelles remontent de l’information sur le réseau et les administrateurs peuvent écrire des règles de conformité à partir de ces informations. A partir un événement, il est ainsi possible de bloquer le service ou le flux réseau alors qu’il vient de démarrer.» Concrètement, lorsque l’IPS détecte une violation de règles - comme l’utilisation d’applications non autorisées ou de ports réseau non-standards ou encore un accès imprévu à un service critique, les API de VMware permettent de configurer dynamiquement vShield App (pour la protection des applications) ou vShield Edge (pour le contrôle des accès au réseau) pour bloquer l’activité non conforme. 

Richard Park, chef de produit senior chez Sourcefire, précise encore : «les API vShield nous permettent d’offrir une nouvelle couche d’application des règles de conformité et de contrôle des applications dans les environnements virtuels. L’industrie a eu beaucoup de mal avec ça.» Et si Sourcefire supporte aussi les environnements Xen, vShield apporte bien «des capacités d’administration supplémentaires» : «il manque à Xen certaines API qui permettraient de superviser le trafic réseau au niveau de l’hyperviseur et d’appliquer des règles de contrôle automatiquement.» Pour Yann Le Borgne, «sans vShield, il serait sans doute possible de réaliser le même type d’opérations, mais au travers de développements particuliers et avec une problématique de maintenance importante ».

Mais vShield est encore loin d’être parfait et deux points figurent en tête de la liste de voeux de Richard Park : «une granularité bien plus fine sur le contrôle du trafic, pour qu’il ne se limite pas à la périphérie du centre de calcul [avec vShield Edge, NDLR], mais qu’il s’étende au trafic entre machines virtuelles. Et nous souhaitons aussi plus de flexibilité, plus de contrôle sur les règles de pare-feu. Mais nous avons une communication très étroite avec VMware.» 

En complément :

- VMware : les API vSafe enfin mises à profit

- Matt Northam, VMware : «vSafe permet d’inspecter le trafic avant qu’il n’arrive à la machine virtuelle.»

- Bruno Picard, NetApp : «il n’y a pas de limite à notre architecture pour datacenters virtuels.»

Pour approfondir sur Sécurité réseau

Close