VMware prépare l’arrivée de l’introspection des machines virtuelles pour ESXi

Rattraper le retard

Ce problème, Xen y répond depuis sa version 4.6, lancée mi-octobre 2015. L’hyperviseur libre a notamment profité là des travaux des équipes de recherche et développement de Bitdefender, qui commercialise depuis la fin mai sa solution de sécurité pour environnements XenServer sans agent résident, en s’appuyant sur les capacités d’introspection des machines virtuelles offertes par l’hyperviseur présentes depuis un an.

Aujourd’hui, VMware s’apprête donc à combler son retard et à concrétiser une ancienne promesse. Ainsi, dès 2010, Matt Northam, alors expert technique sécurité et conformité chez VMware pour l’Europe du Nord, depuis passé chez Nutanix, évoquait des capacités d’introspection pour les API vSafe d’ESX.

Mais à l’occasion d’un entretien téléphonique, en août 2015, Rares Stefan, de Bitdefender, expliquait que si l’inspection du stockage est bien là, sans agent, avec ce qui s’appelle désormais vShield Endpoint, et l’introspection du trafic réseau a été répliquée dans NSX, pour « l’introspection de la mémoire vive et des tâches, il n’y a jamais eu d’API de lancée ». Rares Stefan n’est pas étranger au domaine : il travaillait chez Third Brigade avant son rachat en mai 2009 par TrendMicro. Third Brigade venait alors d’annoncer une solution de sécurisation des environnements virtualisés tirant profit des API vSafe.

En fait, ce que vient de décrire Jeff Jennings renvoie au modèle Goldilocks théorisé chez VMware depuis plusieurs années. Tom Corn, vice-président sénior de VMware en charge du groupe de produits de sécurité, le présentait encore à l’occasion de l’édition 2016 de WMworld.

Une vieille promesse

Ce modèle s’appuie sur la collecte d’informations relatives au contexte nominal d’une machine virtuelle à partir d’outils de provisionnement et d’automatisation – « son acte de naissance, si vous voulez » –, pour alimenter un service attaché directement à la VM et chargé de sa surveillance, capable de détecter tout écart. Et justement, lorsque survient un tel événement, ESX et NSX peuvent être appelés en renfort pour réagir à l’anomalie : « on peut isoler la machine, renforcer la journalisation et la capture de paquets ; il n’y a pas de limite ». De son côté, le service dit d’attestation, assure la surveillance depuis une zone d’exécution dite de confiance, une enclave virtuelle durcie.

En février 2014, Martin Casado, alors directeur technique de VMware, depuis passé chez Andreessen Horowitz, expliquait l’ambition du modèle Goldilocks : « fournir une plateforme permettant aux technologies de sécurité d’extraire des informations des points de terminaison, que nous étendrons pour apporter l’information la plus intéressante ». Mais pas question de positionner VMware comme éditeur d’outils de sécurité : « nous fournissons la capacité aux produits de sécurité de combler le vide entre contexte et isolation ».

Un hasard ? Assurément pas. Martin Casado est arrivé chez VMware en 2012, à l’occasion de son rachat de Nicira, dont il était fondateur et directeur technique. Une opération avec laquelle VMware faisait le pari des réseaux programmables et qui lui a permis notamment de commencer à travailler à l’intégration du volet réseau à ses travaux, afin de développer une offre cohérente pour centres de calcul virtualisés.

Finaliser une vision globale

Il y a trois ans, Martin Casado décrivait le modèle Goldilocks comme né d’échanges et de réflexions avec Art Coviello, alors président exécutif de RSA, mais également Chris Young, de Cisco, et Lee Klarich, de Palo Alto Networks.

Déjà début 2013, Art Coviello faisait l’éloge du concept d’architectures « anti-fragiles », de systèmes de sécurité adaptatifs : des environnements massivement abstraits de la couche matérielle et capables de modifier leur topologie et leur comportement de manière dynamique en fonction des menaces et qui, pour ce faire, doivent s’appuyer sur une définition logicielle.

Chris Young n’avait rien dit de bien différent lors de son allocution sur RSA Conference. Le sujet était bien là, éminemment prospectif, certes, mais déjà très concret d’un point de vue stratégique. Car pour lui, avec les architectures à définition logicielle, « la sécurité pourra être intégrée à l’infrastructure et non pas simplement vissée à elle ». Et d’y voir « une opportunité » qui s’avérait alors « plus atteignable aujourd’hui que jamais auparavant ».

Lors l’édition 2013 de RSA Conference, Rob Randell, architecture principal, solutions de sécurité et conformité de VMware, évoquait aussi l’intégration de la sécurité dans la couche de virtualisation. Et à un participant qui l’interrogeait de façon trop pressante, il avait expliqué : « je ne peux pas vous en dire plus ici pour le moment. Mais si vous le souhaitez, nous pouvons organiser un entretien après signature d’engagement de confidentialité ».