VMware étend le contrôle d’intégrité des micro-services au pare-feu applicatif

VMware poursuit son approche consistant à prévenir, et le cas échéant à détecter, les déviations comportementales de micro-services par rapport à un état sain établi à la conception. L’éditeur vient ainsi de profiter de RSA Conference, qui se déroule cette semaine à San Francisco, pour présenter son Service-defined Firewall, un pare-feu applicatif visant à limiter autant que possible la surface d’attaque exposée en interne par les micro-services applicatifs.

Dans un billet de blog, l’éditeur explique que ce pare-feu vérifie que le comportement réseau applicatif « est bien le comportement sain connu en l’analysant avec le Application Verification Cloud. Enfin, le VMware Service-defined Firewall génère automatique les règles de sécurité nécessaires au respect du comportement sain connu à l’échelle de traitements hétérogènes et d’environnements Cloud publics et privés ».

Pour développer ce pare-feu, VMware a mis à profit NSX et ESXi, faisant de son Service-defined Firewall le prolongement naturel de la technologie AppDefense dévoilée à l’été 2017. Pour mémoire, celle-ci vise à surveiller et valider en continu l’intégrité des machines virtuelles – mais aussi des conteneurs, depuis l’an dernier, en partenariat avec Aqua Security. Fruit de plusieurs années de travail, la technologie s’appuie sur trois piliers : la connaissance de l’état et de la configuration souhaitée des machines virtuelles ; la compréhension des liens qui les unissent dans la fourniture d’applications ; et la surveillance en continu de l’ensemble.

Les outils de provisionnement et d’automatisation sont mis à contribution, de même que les capacités d’introspection d’ESXi. Un algorithme d’apprentissage automatique entre en jeu pour définir un profil applicatif, décliné en manifestes à raison d’un par machine virtuelle impliquée dans l’application considérée. Un service d’attestation vérifie ensuite la conformité des machines virtuelles avec leurs manifestes. En cas de déviation, ESXi et NSX peuvent être mis à contributions pour collecter des données nécessaires à la compréhension de l’incident, voire pour y remédier.

Aujourd’hui, le nouveau micro-pare-feu applicatif de VMware est directement intégré à l’hyperviseur, et permet d’aller au-delà d’une seule micro-segmentation réseau – en couche intermédiaire ou même de niveau 7. L’éditeur revendique ainsi une capacité à protéger contre les attaques venant des services exécutés sur un hôte et visant à compromettre ce dernier, ou d’autres services y étant également produits.