Le principe est simple et efficace, l’hébergement des systèmes d’exploitation et des
services sur des environnements virtuels permet une flexibilité et une réactivité aux
besoins informatiques jusqu’ici inégalées.

Pourquoi ces avantages géniaux que nous procurent les environnements virtuels
poseraient-ils problème à nos systèmes de prévention et de détection des intrusions ?

Tout d’abord pour le caractère flexible justement. Le problème majeur de l’IDS/IPS
étant le faux positif, la configuration d’un IPS doit refléter exactement la couverture
des vulnérabilités présentes dans le réseau afin de limiter les erreurs. Si un service
nouveau et différent des autres démarre (version différente / éditeur différent), il est
donc nécessaire de mettre un “coup de tournevis” sur l’IPS afin de garantir le
maintien du niveau de sécurité et d’éviter le risque de faux positif. Le recours aux
environnements virtuels dynamise énormément le réseau ce qui alourdit fortement la
tache des exploitants de l’IPS.

Pour se prémunir contre ce surcoût d’exploitation de la sécurité, il est recommandé
d’utiliser un IPS dit “adaptatif” capable de cartographier le réseau en temps réel et
d’adapter son profil de protection en suivant le dynamisme du réseau. L’IPS
“adaptatif” est capable de découvrir en temps réel le démarrage d’un service sur un
environnement virtuel.

Plus ennuyeux encore, s’il y a système virtuel, s’il y a application virtuelle, il y a bien
souvent et de plus en plus un réseau virtuel… Au sein d’un même environnement
virtuel, les systèmes et applications peuvent communiquer entre eux/elles sans être
contrôlés par les systèmes IPS qui sont très largement déployés à l’extérieur de
l’environnement virtuel et souvent hébergés sur un boitier appliance. En bref, les IPS
classiques sont sourds et aveugles devant les attaques réalisées au sein même de
l’environnement virtuel. De quoi nourrir l’imagination des hackers…

La solution s’impose d’elle même, s’il y a réseau virtuel, il suffit de déployer une
sonde IDS virtuelle au sein même de l’environnement afin d’y contrôler le trafic et d’y
détecter les attaques et anomalies qui nous intéressent dans le monde réel. En bref,
appliquer les mêmes règles de sécurité aux réseaux virtuels et physiques. Le
caractère adaptatif de l’IPS reste évidemment intéressant.
En conclusion, un IPS classique uniquement basé sur appliance fera mauvais ménage
avec une politique forte de virtualisation. La démarche de virtualisation d’une partie
du SI nécessite une prise en compte particulière de ce sujet afin de contrôler les
coûts d’exploitation et d’éviter une détérioration du niveau de d’efficacité des IPS.
Les technologies évoluent mais la logique de gestion des événements de sécurité
reste inchangée.