Léonard Dahan, Directeur France et Benelux de Stonesoft

La virtualisation est aujourd’hui devenue incontournable. « On observe depuis 6 à 9 mois un vif intérêt pour le sujet » constate Léonard Dahan, Directeur France et Benelux de Stonesoft. « C’est d’ailleurs dans ce contexte que prend place cet événement ». Si la virtualisation tend à améliorer les infrastructures informatiques et accroître les capacités des systèmes, Gartner estime qu’en 2012 60% des serveurs virtualisés seront moins sécurisés que les serveurs physiques qu’ils remplacent. Juha Kivikoski, Chief Operating Officer de Stonesoft, confirme cette tendance. Pour lui, la virtualisation et les Cloud services seront largement développés en 2017, mais pas sûr que toutes les organisations aient bien compris l’enjeu de sécurité.

Juha Kivikoski, Chief Operating Officer de Stonesoft

Pourtant, la sécurité dans les environnements virtuels est un critère essentiel à prendre en compte. Les grands principes de sécurité restent inchangés. Bob Walder, Gartner Security Research Director, souligne les principaux points de vigilance en termes de sécurité de la virtualisation :

– La nouvelle couche logicielle apportée lorsque l’environnement de production est virtualisé, à savoir l’hyperviseur et le VMM (Virtual Machine Monitor), représente un autre maillon informatique important dans l’infrastructure. Cependant, à l’instar des logiciels écrits par des hommes, cette couche contiendra forcément des vulnérabilités cachées, potentiellement exploitables. Cette couche doit donc être patchée et des règles de configuration fixées. Pour Bob Walder, elle doit d’ailleurs être considérée comme l’une des plateformes x86 les plus sensibles des Data Centers de l’entreprise. Il conseille de la garder la plus fine possible, tout en renforçant sa configuration et les modifications autorisées. Les éditeurs de solutions de virtualisation devraient, selon lui, proposer un contrôle de la couche hyperviseur/VMM au démarrage, afin de s’assurer que ce dernier n’a pas été corrompu.

– Pour optimiser la communication entre les VMs, les plateformes de virtualisation prévoient généralement la possibilité de créer des réseaux et des switches virtuels logiciels à l’intérieur de l’hôte physique, afin de permettre aux VMs de communiquer directement. A ce sujet, le Gartner recommande aux entreprises d’exiger, au minimum, le même type de surveillance que celui mis en place sur les réseaux physiques. Pour réduire les risques de mauvaise configuration ou administration, les entreprises devront favoriser les éditeurs de sécurité couvrant les environnements physiques et virtuels, avec notamment une administration des politiques de sécurité et des mises en application harmonisée.

Bob Walder, Gartner Security Research Director

– Concernant les environnements critiques et sensibles, les entreprises doivent également exiger le même type de séparation que dans les réseaux physiques pour des environnements de production de différents niveaux de confiance au sein du Data Center de l’entreprise.

– Les accès des administrateurs à la couche hyperviseur/VMM doivent être strictement contrôlés. Le Gartner recommande de restreindre l’accès à la couche virtualisation de la même façon que l’accès à un système d’exploitation sensible. Il conseille de préférer des plateformes de virtualisation qui supportent le contrôle d’accès à base de rôles des responsabilités administratives dans le but d’affiner encore davantage qui peut faire quoi au sein de l’environnement virtuel.

Pour Stonesoft, il est essentiel d’appliquer les mêmes principes dans le monde virtuel que dans le monde physique, et les compétences doivent pouvoir passer facilement d’un domaine à un autre. Il est conseillé d’utiliser le même système d’administration dans le LAN/WAN physique que dans l’environnement virtuel. Les administrateurs et équipes peuvent donc continuer à travailler dans les deux environnements utilisant ainsi leurs compétences et leurs capacités d’exécution afin de délivrer une solution sécurisée avec un système unique d’administration de la sécurité.

La virtualisation apporte de la flexibilité, il faut que la sécurité s’adapte à cette flexibilité souligne Laurent Boutet, Responsable technique France et Benelux de Stonesoft. Quand les machines virtuelles peuvent se déplacer, chaque serveur est littéralement une cible mouvante. Le même profil de protection doit donc s’appliquer à un serveur donné, peu importe où il va.

Laurent Boutet, Responsable technique France et Benelux de Stonesoft

La virtualisation introduit également de nouvelles attaques potentielles. Les attaques s’appuient sur des techniques de piratage issues de la « vieille école », sans lien particulier avec la virtualisation. Le manque de visibilité dans les environnements virtuels rend la tâche plus facile. De plus, une machine virtuelle compromise peut être un levier pour en compromettre d’autres. Une simple défense périmétrique n’est pas suffisante.

Pour répondre à ces problématiques, Stonesoft a développé StoneGate, une solution de connectivité sécurisée qui fusionne les aspects de la sécurité réseau que sont le pare-feu (FW), le réseau privé virtuel (VPN), la prévention d’intrusion (IPS), le VPN SSL, ... Cette technologie est aujourd’hui mature et éprouvée.

La console d’exploitation centralisée StoneGate Management Center (SMC) constitue le pivot de la plate-forme StoneGate de Stonesoft. Elle autorise la gestion unifiée des solutions StoneGate FW, VPN, IPS et Virtual Appliances. Cette console accroît la visibilité de votre sécurité et rend sa gestion proactive. Elle gère indifféremment les infrastructures virtuelles ou réelles.