Matt Northam, VMware : « vSafe permet d’inspecter le trafic »

LeMagIT : En quoi l’approche VMware pour la sécurité des machines virtuelles, avec vSafe, est-elle différente de celle permise par Citrix avec Xen ? - et que l’on a pu entrevoir avec McAfee lors de Citrix Synergy 2010, notamment.

Matt Northam : Nous avons construit l’API vSafe en discutant avec les éditeurs de solutions de sécurité pour déterminer la meilleure façon de leur permettre de gagner en visibilité sur ce qui se passe dans les machines virtuelles. En particulier, d’un point de vue réseau, si le trafic est confiné dans une boîte, ils n’ont aucune visibilité dessus. En leur fournissant une API, nous leur donnons un moyen sûr - et quand je dis «sûr», c’est que personne d’autre n’y a accès; c’est une API privée qui utilise une signature pour garantir l’exclusivité - d’inspecter le trafic réseau de l’intérieur, avant qu’il n’arrive au système d’exploitation. Ces outils permettent par exemple à Trend Micro de faire de la protection anti-virale depuis l’extérieur des machines virtuelles : ils utilisent une machine virtuelle dédiée qui n’est autre qu’une appliance, mais plutôt que de la laisser surveiller le réseau de manière isolée, nous lui donnons la possibilité d’étudier le trafic réseau avant qu’il n’atteigne la machine virtuelle. 

Après, c’est à eux de choisir la méthode de surveillance qu’ils utilisent : au niveau des interfaces réseau, du CPU, de la mémoire ou du stockage. Par exemple, il peuvent détecter un rootkit directement dans la mémoire vive alors même que le système d’exploitation ne sait pas qu’il est attaqué. 

Citrix n’a pas adopté une approche si éloignée que ça que la nôtre. C’est juste que l’architecture de Xen, avec la machine virtuelle du Dom0, ne leur permet pas de proposer une API de type vSafe directement dans l’hyperviseur.

Quel impact pour les performances globales ?

Il n’y pas de différence sensible entre les deux approches à ce niveau-là. Mais, globalement, pour des utilisateurs de postes de travail virtuels, l’expérience peut être meilleure [qu’avec des postes de travail conventionnels] : il n’y a pas de scan de la machine à intervalle régulier, la machine ne ralentit pas; la charge de traitement [de la sécurité] est transférée à une machine virtuelle tierce. Du coup, les processus et l’allocation de mémoire vive associée ne surviennent plus sur la machine virtuelle de l’utilisateur. 

Dans le futur, vous ne seriez pas surpris de voir votre serveur avec ESXi et deux, trois, quatre machines virtuelles dédiées à la sécurité, assurant l’ensemble des opérations de sécurité des autres machines virtuelles. Le serveur continue donc de supporter la charge, mais c’est transparent pour l’utilisateur final - les applications fonctionnent plus vite; les machines virtuelles consomment moins de ressources.

Là, vous vous placez du côté de l’utilisateur final et de ça perception. Mais, du point de l’infrastructure, et notamment l’impact sur la capacité de consolidation ?

L’impact est minimal. Lors d’un essai sur un serveur dédié à des postes de travail virtuel, nous avons réussi à récupérer 6 Go de mémoire vive. Avec cette approche, on est même en mesure de supprimer 70 % des temps d’accès au stockage car cet accès n’est plus le fait que d’une seule machine virtuelle.

Ce qui a un impact sur la densité qui peut être atteinte, c’est la capacité de VMware à supporter 8 CPU virtuels et 64 Go de mémoire vive par machine virtuelle. Ce que l’on va utiliser pour des applications très exigeantes - Oracle, par exemple. Cela affecte beaucoup plus la densité que ces machines virtuelles dédiées à la sécurité, fortement réduites et optimisées. Il faudra peut-être leur consacrer 5 à 10 % des ressources, mais c’est probablement un prix à payer assez faible par rapport à tout l’économie réalisable sur le matériel.

Lorsque l’on sécurise ses machines virtuelles de cette manière, est-il toujours pertinent de programmer une analyse régulière du stockage ?

Cela dépend du contexte. Pour des postes de travail «classiques» virtualisés, oui. Mais, par exemple, dans le cadre d’un centre d’appel où toutes les machines virtuelles seraient détruites chaque nuit, puis reprovisionnées à partir d’un master, avec un NetApp Rapid Clone, par exemple, une analyse complète du stockage est inutile puisque vous détruisez tout ce qui aurait pu s’y trouver.