pressmaster - stock.adobe.com
Cisco s'offre un spécialiste de la sécurité des applications
Skyport Systems enferme les applications dans les enclaves sécurisées, basées sur une architecture validée et contrôlée à tous les étages. L'équipementier prévoit d'exploiter sa propriété intellectuelle et son expertise.
Cisco vient d’annoncer le rachat de Skyport Systems. Finaliste de l’Innovation Sandbox de l’édition 2016 de RSA Conference, Skyport Systems s’était présenté sur l’événement avec une implémentation clés-en-main de l’architecture de référence de Microsoft pour Active Directory, dans une perspective de sécurité maximale. Mais sa technologie va plus loin.
Dans un entretien avec la rédaction, Russell Rice, alors directeur produits de Skyport Systems, revendiquait il y a deux ans la construction « d’une architecture zéro-confiance ». Et cela commence au plus bas niveau, dans le matériel. Et pas question de se contenter là d’un environnement d’exécution de confiance apporté par le processeur
Skyport Systems compte sur un module de contrôle dédié, installé sur un contrôleur réseau spécifique embarquant un processeur multicœurs signé Cavium. Ce module est doté de sa propre puce TPM – à l’instar du serveur x86 en lui-même – et fonctionne avec une version allégée de SELinux. Il est garant du respect des politiques de sécurité définies par l’administrateur.
La partie x86 fonctionne avec une version de l’hyperviseur Xen personnalisée. L’idée est élégante : « chaque application est encapsulée dans une machine virtuelle dédiée que l’on aime à considérer comme un conteneur ». Et de là, « toutes les entrées/sorties, tous les accès au système de fichiers, tout le trafic réseau, y compris entre VM » peuvent être surveillés et filtrés. Chaque machine virtuelle dispose son propre pare-feu et de son proxy. Skyport Systems met là à profit les capacités de virtualisation des entrées/sorties SR-IOV des processeurs Intel.
La jeune pousse a poussé l’approche plus loin, en tenant compte du risque de modification physique de la machine dans le transit : le serveur 2U est durci pour résister aux tentatives d’intrusion. Et il se contente d’une connectique limitée au strict minimum nécessaire. A la mise en route, il se connecte à la plateforme Cloud de Skyport Systems pour vérifier sa propre intégrité, télécharger les applications à exécuter, et les règles de sécurité à leur appliquer.
Dans le billet de blog dans lequel il annonce ce rachat, Cisco explique que les équipes de Skyport Systems vont être réparties entre ses divisions Centre de Calcul et Systèmes informatique, et Réseau. Il relève en outre qu’il figurait déjà parmi les investisseurs de Skyport Systems. Ce dernier avait été fondé par deux anciens de Juniper et Cisco. Russell Rice, qui a quitté l’entreprise au printemps 2017, était également issu des rangs de Cisco. Les conditions financières de l’opération n’ont pas été communiquées.