Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Oded Gonda, Check Point : Virtualisons !

décembre 2010 par Oded Gonda, vice-président des produits de sécurité réseau chez Check Point

Bien plus qu’un phénomène de mode, la virtualisation s’est imposée comme une technologie révolutionnaire et une tendance incontournable au sein des organisations. Pourtant, la ruée vers la virtualisation ne devrait pas dissimuler les problèmes de sécurité qui se cachent derrière elle.

La virtualisation est aujourd’hui devenue un outil clef pour les entreprises, apportant de nombreux avantages tant dans le domaine informatique que dans le domaine du commerce et des affaires. Dans ses débuts, la technologie était principalement utilisée pour consolider les serveurs et ressources informatiques dans un souci d’économie, de gain d’espace et d’énergie. Depuis, la virtualisation a trouvé de nombreuses autres applications et modes d’utilisation. Les entreprises l’utilisent par exemple pour accroître leur flexibilité opérationnelle et informatique, pour améliorer la disponibilité et le déploiement de leurs applications, pour réduire les risques de temps d’arrêt et assurer une meilleure continuité des activités, pour renforcer les contrôles sur leur infrastructure, ou encore pour optimiser et simplifier la gestion des ressources et des activités.

Au niveau du serveur, la virtualisation permet de découpler les ressources physiques du système d’exploitation (OS) et des applications. Elle rompt le lien rigide qui existe entre le matériel et le logiciel, et permet de faire fonctionner plusieurs instances d’un système d’exploitation et plusieurs applications logicielles à partir d’un seul et même ordinateur physique. En d’autres termes, la virtualisation permet d’extraire et de calquer le système d’exploitation et les applications logicielles dans une machine virtuelle (MV). Cet ensemble virtuel - CPU, mémoire et réseau, OS et applications - est transformé alors en un fichier logiciel unique. Les machines virtuelles sont indépendantes des machines physiques et peuvent être manipulées en toute simplicité, comme des fichiers, aussi facilement qu’un copier-coller.

Le moniteur MV, ou hyperviseur, permet d’accéder à partir des ressources physiques aux multiples machines virtuelles ou ‘hôtes’. Les ressources matérielles sont réunies et allouées dynamiquement en fonction des besoins de chaque application, tandis que les machines virtuelles sont isolées les unes des autres et encapsulées (facile à stocker, déplacer, etc.). Ceci permet de réaliser de nombreux économies : gains de matériel, d’énergie et d’espace ; consolidation du système et optimisation des infrastructures ; réduction des coûts du personnel, réduction de la complexité globale, mise en œuvre et gestion simplifiée.

Pour mieux comprendre la virtualisation et son impact sur le monde informatique, il suffit de comparer la technique aux services bancaires électroniques. Une fois l’argent déposé en espèces dans le système, celui-ci est transformé en monnaie électronique et peut être déplacé à travers le monde avec vitesse de l’éclair, car il est virtuel ; il est information. En transformant les structures physiques en information (octets), la virtualisation apporte un nouveau niveau d’efficacité et de souplesse à l’environnement informatique. En particulier, elle permet de provisionner et de gérer toute l’infrastructure informatique de manière plus rapide et plus agile.

Réseaux virtuels et défis sécuritaires

Conquise par ses nombreux avantages économiques et techniques, l’industrie informatique s’est vue rapidement prise d’assaut par la virtualisation. Pourtant, les environnements virtualités comportent également de nombreux risques sécuritaires, contre lesquels les entreprises devraient être mises en garde.

En effet, la virtualisation introduit une couche supplémentaire au sein de l’infrastructure informatique. Les logiciels de sécurité traditionnels, conçus pour les environnements physiques, manquent de visibilité sur cette nouvelle plateforme, ce qui crée des vulnérabilités potentielles au sein du réseau et un manque de visibilité dans le trafic inter-MV. Les nouvelles machines virtuelles, installés automatiquement sur la plateforme (en particulier en cas de prolifération des machines virtuelles ou ‘MV Sprawl’), doivent être protégées, systématiquement. De même, les machines virtuelles en cours de migration d’une plateforme physique à un autre — en raison de l’expansion des infrastructures ou de défaillance matérielle — doivent être protégés et surveillés afin de ne pas interrompre le service lors de leur migration à chaud.

Outre ces menaces internes, les organisations doivent également protéger leurs environnements virtuels contre les menaces externes. Les environnements virtuels peuvent en fait être beaucoup plus dangereux que les environnements physiques, dans la mesure où les mêmes techniques d’attaque et les mêmes menaces qui existent dans le monde matériel prévalent vraisemblablement aussi dans la plate-forme virtuelle, où les applications ne sont pas physiquement cloisonnées. Cela signifie que si le serveur hôte est attaqué et que la couche virtuelle est compromise, l’ensemble des MVs présentes sur l’infrastructure virtuelle sera exposé et toutes les applications et bases de données hébergées seront potentiellement compromises.

Les réseaux virtuels présentent non seulement les mêmes défis sécuritaires que les réseaux physiques, mais ont aussi leurs enjeux propres. Pour assurer leur sécurité, les organisations doivent mettre en place des solutions spécifiques et des technologies adéquates afin de mieux contrôler leur réseau virtuel, de le protéger contre les menaces internes comme externes et d’en assurer la bonne mise en conformité.

Comment protéger efficacement votre réseau virtuel

La solution idéale doit assurer aux machines virtuelles et applications le même niveau de sécurité que sur les serveurs physiques :

· Tout d’abord il convient de séparer les machines virtuelles et de protéger le trafic inter-MV, en agissant au cœur même de la plate-forme de virtualisation, au niveau de l’hyperviseur. L’intégration avec l’hyperviseur est capitale, car la protection doit être déployée non seulement au niveau de la machine virtuelle, mais commencer dès l’hyperviseur lui-même.

· Deuxièmement, la solution doit protéger contre les menaces extérieures, et donc être dotée d’un bon pare-feu et d’un système de prévention des intrusions (IPS) efficace.

· Troisièmement, elle doit fournir une gestion unifiée pour l’environnement physique et pour l’environnement virtuel, afin de faciliter la gestion de la sécurité pour les administrateurs.

· Il est important que la solution assure toutes ces fonctions sans pour autant compromettre la flexibilité et l’extensibilité du système virtuel. En effet les protections sont là avant tout pour permettre de déployer et de profiter de la stratégie de virtualisation et non en atténuer les bénéfices.

· Enfin, la solution doit assurer une protection de système à tous les niveaux - pas seulement au niveau du réseau. Toutes les mesures de protection appliquées au trafic dans le monde physique doivent être déployées également dans l’environnement virtualisé.

Check Point Security Gateway Virtual Edition (VE), la nouvelle solution de sécurisation des machines virtuelles de Check Point, offre toutes ces possibilités. Basée sur l’Architecture Software Blade™ de Check Point et certifiée par MVware, la solution offre aux applications virtuelles le même niveau supérieur de sécurité qu’aux applications situées sur des serveurs physiques. La solution protège les environnements virtualisés et les réseaux externes contre les menaces internes et externes en inspectant tout le trafic inter-MV au niveau de l’hyperviseur, et en s’appuyant sur des politiques de pare-feu granulaire et une fonctionnalité intégrée de prévention des intrusions. Les machines virtuelles sont protégées à la fois contre les menaces externes et les unes contre les autres, à travers le spectre de protections UTM (Unified Threat Management), comprenant pare-feu intégré et système IPS performant, VPN (Virtual Private Network), antivirus, anti-spam, filtrage d’URL et de la sécurité Web.

Tout comme un boitier de sécurité traditionnel couvre plusieurs systèmes sur un réseau, l’appliance virtuelle permet de sécuriser de multiples machines virtuelles, tout bénéficiant de la stratégie de virtualisation. VE fonctionne directement à l’intérieur de la plateforme virtuelle et utilise la technologie MVsafe de MVware pour renforcer la sécurité au sein de l’hyperviseur. Pour améliorer la sécurité des réseaux, la solution permet de séparer les applications virtuelles les unes des autres. La protection de la machine virtuelle n’est pas interrompue durant la migration en temps réel des machines virtuelles d’un hôte à l’autre, ni lorsque de nouvelles machines virtuelles sont ajoutées. Cela garantit une continuité de service, zéro temps d’arrêt, lorsque les machines virtuelles sont déplacées d’un hôte à l’autre pour maintenance ou allocation dynamique des ressources.

Check Point Security Gateway VE offre aussi une plateforme de gestion unique pour les environnements physiques et virtuels. Cette plateforme unifiée simplifie la gestion de la sécurité et permet une nette séparation des fonctions entre administrateurs de la virtualisation et administrateurs de la sécurité. La vérification et mise en conformité sont également rendues plus faciles et plus rapides grâce à un reporting adapté pour l’infrastructure virtuelle.

Conclusion

Comme toutes les technologies émergentes, la virtualisation amène de nouveaux risques pour les entreprises. Choisir une architecture de sécurité adaptée à l’environnement virtuel, et bien se protéger contre les menaces internes et externes, est une nécessité pour les responsables informatiques, s’ils veulent profiter pleinement de leur stratégie de virtualisation.




Voir les articles précédents

    

Voir les articles suivants