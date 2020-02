VMware lance de nouvelles solutions

février 2020 par Marc Jacob

VMware, Inc. annonce des innovations pour évangéliser l’adoption du concept de sécurité intrinsèque au sein des entreprises numériques. Cette approche automatise la protection des applications et données critiques de façon proactive et généralisée à travers les différents réseaux d’une entreprise.

• VMware Advanced Security for Cloud Foundation, pour permettre aux clients de remplacer leurs solutions de sécurité traditionnelles et d’assurer une protection unifiée des Clouds privés et publics ;

• Cloud VMware Carbon Black inclut dorénavant la corrélation automatisée grâce au framework MITRE ATT&CK, ainsi que la protection à venir des machines Linux ;

• VMware Secure State est renforcé par de nouvelles fonctionnalités de correction d’erreurs, conçues dans le but d’automatiser une variété de tâches au sein des environnements Cloud et de réduire les risques de façon proactive.

Le nouveau VMware Advanced Security for Cloud Foundation

Les violations de données ont des conséquences de plus en plus dévastatrices. Elles font souvent perdre des milliards aux entreprises en matière de capitalisation boursière, et coûtent même leurs emplois à leurs CEO. Ces dégâts sont rarement le résultat de la compromission d’un seul serveur. Les pirates se déplacent latéralement (de façon « Est-Ouest », d’un serveur à l’autre) dans le data center à partir d’un seul point de compromission, pour identifier, collecter et exfiltrer des données sensibles, et ce, souvent pendant plusieurs mois. La plupart des professionnels de sécurité le savent mais peinent à protéger leurs data centers comme il se doit. Selon une enquête commandée par VMware et menée par Forrester Consulting, 75 % des répondants s’appuient sur des pares-feux. Cependant, les contrôles de sécurité Est-Ouest doivent être différents de ceux utilisés pour l’approche périmétrique traditionnelle (Nord-Sud). Ainsi, 73 % des personnes interrogées estiment que leur trafic Est-Ouest actuel n’est pas correctement protégé (1).

VMware répond spécifiquement aux problématiques de sécurité du data center interne grâce à sa nouvelle offre Advanced Security for Cloud Foundation. Cette solution réunira la technologie VMware Carbon Black, VMware NSX Advanced Load Balancer (avec son pare-feu d’applications web) et VMware NSX Distributed IDS/IPS. Chacun de ces outils est spécifiquement conçu pour le data center. Ensemble, ils forment une solution de sécurité unique et plus complète. En outre, ces trois produits seront étroitement intégrés à VMware vSphere – la référence en matière de workloads de data centers – et offriront une sécurité de classe mondiale en assurant le suivi de ces charges de travail tout au long de leur cycle de vie, où qu’elles se trouvent.

Cela passera par la présence d’un socle solide capable de protéger correctement ces workloads. C’est ce qu’offre la technologie VMware Carbon Black avec ses fonctionnalités d’audit / de résolution de problèmes en temps réel ; son antivirus de nouvelle génération ; et ses fonctions de détection et de réponse aux menaces (EDR). La solution étant étroitement intégrée avec VMware vSphere, elle permettra ainsi de profiter de l’EDR sans agent et autre antivirus. Les données de télémétrie des terminaux seront gérées et à l’aide de capteurs protégés par l’hyperviseur. Cela signifie également que contrairement aux solutions basées sur des agents, l’hyperviseur sera capable de détecter si un pirate tente d’obtenir un accès root et d’interférer avec la technologie VMware Carbon Black, tout cela depuis un domaine de confiance distinct.

Le serveur web est la « porte d’entrée » du data center, et NSX Advanced Load Balancer / Web Application Firewall est chargé de la protection de ce point fréquemment attaqué. Souvent les clients utilisant des solutions matérielles dotées d’une capacité fixe désactivent le filtrage en cas de lourdes charges, laissant ainsi leurs serveurs critiques vulnérables. L’architecture logicielle extensible de NSX Web Application Firewall aide à confirmer que les serveurs web disposent de suffisamment de capacités de calcul afin d’assurer un filtrage de sécurité maximal, même en cas de pics de charge. Ce pare-feu s’appuie sur une riche compréhension des applications, des capacités d’apprentissage automatique, ainsi que des règles spécifiques aux applications afin d’offrir une sécurité renforcée avec moins de faux positifs.

En coulisses de cette partie web, la micro-segmentation et la gestion in-band du trafic Est-Ouest à l’aide d’un pare-feu permet d’éviter tout déplacement latéral de la part des pirates. Enfin, VMware NSX Distributed IDS/IPS, une nouvelle fonctionnalité du pare-feu VMware NSX Service-defined Firewall, offrira des capacités de détection d’intrusion sur les différents services composant une application afin d’obtenir plus facilement une visibilité approfondie. L’architecture distribuée de la solution permettra d’appliquer un filtrage avancé à chaque tronçon de l’application, réduisant ainsi considérablement les angles morts créés lors de l’utilisation de produits de sécurité périmétrique traditionnels. Des politiques seront générées et mises en place automatiquement pour chaque application afin de diminuer le taux de faux positifs.

Les nouveautés de VMware Carbon Black Cloud

VMware annonce une corrélation automatisée avec les TID du framework MITRE ATT&CK - une liste de tactiques, techniques et procédures (TTP) - au sein de VMware Carbon Black Cloud. Les clients pourront ainsi commencer à rechercher des TTP spécifiques basés sur les techniques du MITRE ATT&CK au sein de VMware Carbon Black afin de découvrir des menaces potentielles et d’identifier des points à améliorer au niveau de leurs stratégies de sécurité.

La solution propose également une intégration avec l’interface AMSI afin d’offrir une visibilité supplémentaire en décodant les commandes brouillées. Grâce à cette intégration, les clients pourront examiner le contenu exact exécuté par des interpréteurs de scripts tels que PowerShell. Ils auront également la possibilité d’effectuer des recherches au sein de leurs données collectées en continu sur l’activité des terminaux, et de créer des détections personnalisées à partir du contenu d’un script AMSI.

Enfin, VMware Carbon Black inclura en outre des capacités de prévention de malware pour les machines Linux. Cette innovation permettra aux clients d’abandonner leurs solutions spécifiques à Linux et de consolider leurs programmes de sécurité. Ils auront la possibilité d’assurer une supervision complète de l’ensemble des principaux systèmes d’exploitation depuis la plateforme VMware Carbon Black Cloud.

VMware Secure State contre les menaces du Cloud grâce à une approche flexible de correction des erreurs

Grâce aux capacités de détection et de correction d’erreurs en temps réel de VMware Secure State, les clients peuvent désormais mettre un point final à leurs stratégies de sécurité du Cloud et de conformité afin de maîtriser les risques de façon proactive. VMware Secure State offre un nouveau framework flexible leur permettant d’automatiser les actions au sein d’environnements multi-Cloud. Actuellement en version bêta (2), la solution est conçue pour aider les équipes chargées de la sécurité du Cloud à collaborer avec les équipes DevOps, et à gagner en confiance à mesure qu’elles mettent en place les meilleures pratiques à grande échelle. Le service propose des actions prédéfinies, ou permet d’en programmer soi-même de nouvelles. Toutes ces actions peuvent être ciblées afin de résoudre les problématiques de ressources de façon sélective, à partir de conditions telles que le compte Cloud, la région ou les tags attribués à ces ressources.

Les équipes de sécurité bénéficieront également de fonctionnalités complètes de gestion des risques liés au Cloud. Ainsi, elles pourront soit corriger d’elles-mêmes les erreurs de configurations existantes par lots, soit publier des actions afin de déléguer la prise de décisions aux équipes DevOps. Et afin d’éviter toute nouvelle erreur de configuration, elles pourront créer des systèmes les corrigeant en temps réel. En effet, les utilisateurs seront en mesure d’exécuter l’ensemble des opérations nécessaires sous forme de code à l’aide d’API, et de les inclure dans le pipeline d’intégration / de livraison continue. Quel que soit le mode de déclenchement des actions, les clients conserveront une vision centralisée sur la progression des corrections et sur les changements apportés aux ressources Cloud.

