Les nouveaux mécanismes de sécurité liés à la virtualisation des environnements

Par :
Frédéric Tiratay

jeu, 10/07/2014 - 12:07

La virtualisation est un sujet dont la discussion autour de son adoption a débuté au milieu des années 2000. On estimait à l’époque, une adoption forte des environnements virtualisés à l’horizon 2005. Presque 10 ans plus tard, force est de constater que ces estimations étaient justifiées, car aujourd’hui celle-ci a pris une place importante dans l’écosystème du système d’information.

Pourquoi en est-on arrivé à une telle adoption de la virtualisation ? Parce que l’environnement IT est aujourd’hui le sujet de toutes les attentions, mais aussi parce que nous cherchons à rationnaliser nos coûts en temps de crise économique.

En effet, les économies faites en terme de place dans les baies des datacenters, qui entrainent une diminution de la consommation nécessaire d’électricité mais également un refroidissement des salles, pèsent grandement sur les choix – même s’il est aussi question de pratique. Ne plus avoir à se déplacer dans les salles machines pour installer un nouveau serveur ou un nouvel équipement d’infrastructure ou encore diminuer le nombre de RMA (Return Merchandise Authorization), suite à un problème hardware, sont également des points d’adoption de la virtualisation. 

La virtualisation, comment ça fonctionne ?

Contrairement aux équipements physiques qui ne peuvent accueillir qu’un système d’exploitation opérationnel en même temps, les environnements virtuels permettent de faire fonctionner plusieurs systèmes d’exploitation sur la même machine, tout en permettant une communication entre elles à travers le réseau informatique.

Tout ceci est possible grâce à un hyperviseur. Ce mécanisme est un noyau système ultra léger permettant de gérer de façon dynamique les ressources disponibles sur la plateforme hardware sur lequel il est installé. C’est cet hyperviseur qui est le lien de communication entre les OS Guests installés sur la machine et les ressources de celle-ci.

Comment sécuriser les systèmes virtualisés ?

Nous pouvons considérer un serveur virtuel comme étant un serveur physique, en y apportant les mêmes briques de sécurité, à savoir en règle générale un antivirus et le firewall embarqué sur l’OS. Dans ce cas de figure, l’antivirus est un antivirus avec agent.

Le problème est que désormais, on ne dispose pas du même nombre de serveurs physiques que du nombre de serveurs virtuels. Mais surtout le nombre de serveurs est, du fait de la virtualisation, en croissance exponentielle.

Il faut donc adapter les outils de sécurisation serveurs pour opter pour des solutions qui prennent en compte ces nouveaux types de matériels. Les solutions classiques d’antivirus pour serveur étant en général lourdes (+ de 100 Mo) et qui se connectent directement  pour effectuer leurs mises à jour.

Les nouvelles solutions de sécurité adaptées pour les environnements virtuels permettent de fonctionner en mode agentless, c’est-à-dire en installant plus d’agent sur les serveurs. Le fonctionnement de ces systèmes est simple, ils utilisent les API des hyperviseurs pour pouvoir établir des canaux de communication entre les serveurs virtuels génériques et un serveur virtuel de la solution de sécurité installée sur la machine qui héberge les serveurs virtuels.

Ce serveur virtuel propriétaire étant directement piloté par un serveur de management de la solution de sécurité en question. Les mises à jour ne se font donc plus serveur par serveur mais juste par l’intermédiaire de ce serveur virtuel de sécurité. De plus, le mode agentless permet d’alléger la charge sur chacune des machines virtuelles, contrairement aux solutions classiques et historiques d’antivirus.

L’autre atout de ces nouvelles solutions de sécurité est qu’elles sont - pour certaines d’entre elles - combinées avec d’autres mécanismes de sécurité qui peuvent être activés ou non à la demande. Parmi les mécanismes de sécurité supplémentaires proposés, nous avons le HFW (Host Firewall) mais surtout le HIPS (Host IPS) qui permet d’effectuer du Virtual Patching.

Les différentes failles de sécurité remontées récemment comme HeartBleed ou encore les failles de sécurité récurrentes sur les systèmes d’exploitation comme Microsoft ou sur les applications comme Java, Adobe, IE, Firefox et d’autres, ne permettent pas de s’assurer que tous les serveurs de son parc informatique sont à jour de façon régulière.

Il est également impossible de faire des mises à jour toutes les semaines de l’ensemble du parc pour combler toutes ces failles de sécurité.

Ces nouvelles solutions de sécurité permettent de scanner chacun des serveurs et d’y appliquer des patchs de sécurité (basés sur des signatures comme un IPS) en se référant aux vulnérabilités connues des versions des systèmes d’exploitation et d’applications. Cela permet de garantir une protection continue des serveurs tout en réduisant les fréquences de mises à jour, qu’ils soient physiques, virtualisés ou VDI (Virtual Device Interface). 

Grâce à ces nouveaux mécanismes, une nouvelle ère est arrivée dans le monde de la sécurité des environnements virtuels - et non virtuels - puisque ces solutions fonctionnent aussi bien sur les deux environnements (à la différence que : sur un environnement physique, l’agent est toujours requis mais celui-ci est souvent allégé pour ne peser plus que 20 à 30 Mo, contre les + 100 Mo habituels).

A propos de l'auteur

Frédéric Tiratay
Manager Intégration, Nomios