Un projet virtualisation ne prend généralement pas en compte la sécurité des informations

Par :
Stonesoft

mar, 30/03/2010 - 11:02

Les conclusions ressortant des conférences sur la virtualisation tenues par le Gartner à la fin de l’année 2009 indiquent que 40 % des projets de déploiements d’infrastructures virtuelles ont été entamés sans impliquer l’équipe de la sécurité du système d’information dans la planification de l’infrastructure ni des phases de déploiement. La société finlandaise Stonesoft complète ces chiffres.

Les conclusions ressortant des conférences sur la virtualisation tenues par le Gartner à la fin de l’année 2009 indiquent que 40 % des projets de déploiements d’infrastructures virtuelles ont été entamés sans impliquer l’équipe de la sécurité du système d’information dans la planification de l’infrastructure ni des phases de déploiement.

Habituellement, les équipes opérationnelles expliquent que cela ne fait aucune différence, et qu’ils sont qualifiés pour sécuriser l’environnement de production, les systèmes d’exploitation ainsi que le matériel. Bien qu’il soit vrai, cet argument ne prend pas en compte la nouvelle couche logicielle apportée lorsque l’environnement de production est virtualisé, à savoir l’hyperviseur et le VMM (Virtual Machine Monitor).

Le Gartner explique que les professionnels de la sécurité doivent intégrer ce fait : un risque insoupçonné et à propos duquel on ne communique pas ne peut pas être correctement géré. Avant d’investir dans davantage de sécurité, les entreprises devraient penser avant tout à élargir leurs process de sécurité afin de répondre à la problématique de la sécurité dans les datacenters.

Stonesoft est tout à fait d’accord avec ces affirmations. La sécurité dans les environnements virtuels est un critère essentiel et non secondaire à prendre en compte. L’argument « il n’y a aucune différence » est fondé, notamment dans la façon de sécuriser cette « non différence ». Les grands principes de sécurité restent inchangés. Lorsqu’il s’agit de protéger un environnement virtuel, notamment un réseau virtuel, les problématiques à appliquer sont les mêmes que dans un WAN/LAN traditionnel.

Il est essentiel que l’équipe en charge de la sécurité du système d’information soit à l’aise et confiante dans la sécurisation de ces environnements. Cela est d’autant plus facile lorsqu’une extension des firewalls LAN/WAN et de la technologie IPS est déployée via la même technologie mais sur une plateforme différente ; le tout en passant par la même console d’administration. Ainsi, la phase d’apprentissage se fait plus en douceur. Parfois, même elle n’est tout simplement pas nécessaire.

Une corruption au niveau de la couche “virtualisation” peut potentiellement déboucher sur une corruption de l’ensemble de la production hébergée ?

La couche virtualisation représente un autre maillon informatique important dans l’infrastructure et à l’instar de logiciels écrits par des hommes, cette couche contiendra forcément des vulnérabilités cachées, potentiellement exploitables. Etant donné le niveau qu’occupe l’hyperviseur/VMM dans la pile, les pirates ont d’ores et déjà commencé à s’y attaquer afin de corrompre l’ensemble de la production hébergée au-dessus dudit hyperviseur. Du point de vue sécurité informatique et administration, cette couche doit être patchée et des règles de configuration doivent être fixées.

Gartner conseille aux entreprises de considérer cette couche comme l’une des plateformes x86 les plus sensibles des datacenters de l’entreprise et de la garder la plus fine possible, tout en renforçant sa configuration et les modifications autorisées. Les éditeurs de solutions de virtualisation devraient obligatoirement proposer un contrôle de la couche hyperviseur/VMM au démarrage afin de s’assurer que ce dernier n’a pas été corrompu. Plus encore, les entreprises ne devraient pas s’appuyer sur des contrôles de sécurité sur l’hôte afin de détecter une faille ou de le protéger contre un exécutable.

Stonesoft : il est important de patcher de façon sécurisée ces plateformes et de mettre en place les bons processus de contrôle des changements. Cependant, afin de s’assurer que les pirates ne puissent pas exploiter les vulnérabilités « zero time », une protection de ces serveurs via un système IPS situé à l’extérieur du serveur est nécessaire. Parallèlement, il est tout aussi important de protéger les applications localisées à l’intérieur du serveur, à l’aide notamment de firewalls et d’IPS virtuels, permettant ainsi d’assurer le contrôle des données circulant de l’application A à l’application B, au sein du même serveur virtuel.

 

Le manque de visibilité et de contrôle des réseaux virtuels internes, utilisés pour les communications inter-VM, masque-t-il les mécanismes de mise en œuvre des politiques de sécurité existantes ?

La majorité des plateformes de virtualisation, pour optimiser la communication entre les machines virtuelles (VMs), prévoient la possibilité de créer des réseaux et des switches virtuels logiciels à l’intérieur de l’hôte physique afin de permettre aux VMs de communiquer directement. Ce type de trafic est invisible pour les dispositifs de sécurité réseau, tels que les sondes de détection et prévention d’intrusions.

Le Gartner recommande aux entreprises d’exiger, comme strict minimum, le même type de surveillance que celui mis en place sur les réseaux physiques. Ainsi, ils conserveront la visibilité et le contrôle de la production quand elle sera virtualisée. Pour réduire les risques de mauvaise configuration ou administration, les entreprises devront favoriser les éditeurs de sécurité couvrant les environnements physiques et virtuels, avec notamment une administration des politiques de sécurité et des mises en application harmonisée.

Stonesoft travaille sur ce sujet depuis deux ans déjà. A partir du moment où une application est virtualisée, une solution réseau (Firewall/IPS) est absolument incapable de voir ce qu’il se passe à l’intérieur du serveur virtuel. L’appliance de sécurité, pour avoir de la visibilité sur cet environnement, doit donc être virtualisée. Quant à l’administration de ce type de solution, elle doit être en phase avec la façon dont les équipes réseau et sécurité gèrent les systèmes IPS et firewalls existants. Ainsi, les compétences restent les mêmes, le temps d’administration est réduit au minimum et les risques de mauvaise configuration ou administration sont écartés.

L’environnement de production où différents niveaux de confiance sont consolidés sur un seul et unique serveur sans séparation est-il suffisant ?

Il est à la portée de toutes entreprises de virtualiser un environnement de production. De ce fait, il est planifié de virtualiser de nombreux systèmes critiques et sensibles. Ce n’est pas un problème en soi, mais cela peut le devenir lorsque ces environnements critiques et sensibles sont combinés à d’autres environnements de production provenant de différentes zones de confiance sur le même serveur physique et sans une séparation adaptée.

Les entreprises doivent également exiger le même type de séparation que dans les réseaux physiques pour des environnements de production de différents niveaux de confiance au sein du datacenter de l’entreprise. Elles devront considérer les postes de travail virtuels hébergés comme des éléments non fiables et les isoler du datacenter physique.

Il est conseillé aux entreprises d’évaluer leur besoin en solutions d’extrémité capables d’associer des politiques de sécurité à des identités de machines virtuelles, et qui empêchent le mélange sur le même serveur des charges de travail de différents niveaux de confiance.

Stonesoft : comme il a été expliqué précédemment, les applications virtuelles, lorsqu’elles proviennent de différentes « zones » mais restent au sein d’un même serveur VM, doivent être séparées par un  firewall de niveau 2 ou un système IPS. Ainsi, les appliances de sécurité virtuelles permettent de créer des zones de confiance et de non-confiance dans l’environnement virtuel, le tout étant administré de façon centralisé à l’extérieur de cet environnement. Idéalement, si le même système d’administration est utilisé pour les environnements virtuels et pour les environnements physiques, les compétences restent les mêmes, le temps d’administration reste minimum et les risques de mauvaise configuration ou administration sont écartés.


Manque-t-il des outils d’administration et des contrôles adaptés sur les rôles administrateur dans l’hyperviseur/VMM ?

En raison de la criticité que délivre la couche hyperviseur/VMM, les accès des administrateurs à cette couche doivent être strictement contrôlés. Cependant, ce contrôle est extrêmement compliqué du fait que la plupart des plateformes de virtualisation délivrent de multiples possibilités d’administration de cette couche.

Le Gartner recommande de restreindre l’accès à la couche virtualisation de la même façon que l’accès à un système d’exploitation sensible. Il conseille de préférer des plateformes de virtualisation qui supportent le contrôle d’accès à base de rôles des responsabilités administratives dans le but d’affiner encore davantage qui peut faire quoi au sein de l’environnement virtuel. A l’endroit où sont imposées des normes de conformité, les entreprises devront évaluer leur besoin en outils tiers, capables de leur délivrer un contrôle strict de l’administration.

Stonesoft : Il est important d’avoir mis en place des processus pertinents de contrôle des changements. Ainsi, lorsque des critères de conformité devront être remplis, les modifications et patches concernant l’hyperviseur devront non seulement être enregistrées et strictement contrôlées, mais ces mêmes critères devront s’appliquer aux outils de sécurité localisés dans cet environnement et qui protègent le réseau virtuel. Les outils de sécurité des environnements virtuels doivent donc pouvoir être administrés de façon centralisée et doivent être suffisamment bien structurés en termes de droits d’accès, de process de logging et de gestion des cas. Par conséquent, le fait que ces systèmes puissent être utilisés à la fois pour la sécurité virtuelle et la sécurité physique le temps d’administration et les impairs coûteux risquent moins d’arriver.

Existe-t-il un risque potentiel de perte de la séparation des tâches pour le réseau et les contrôles de sécurité ?

Lorsque les serveurs physiques sont regroupés en une seule machine, les administrateurs systèmes et les utilisateurs risquent de pouvoir accéder par erreur à des données auxquelles ils n’ont pas habituellement accès. Une autre inquiétude concerne notamment quel groupe peut configurer et supporter le switch virtuel interne.

Le Gartner conseille la chose suivante : l’équipe en charge de la configuration de la topologie réseau (dont les LAN virtuels) dans l’environnement physique doit également assurer cette fonction dans les environnements virtuels. Elle devra préférer des architectures composées de plateformes de virtualisation qui supportent le remplacement du switch virtuel, afin que la console et les politiques couvrent les configurations physiques et virtuelles.

 

Stonesoft : cela est tout à fait correct. Il est essentiel d’appliquer les mêmes principes dans le monde virtuel que dans le monde physique, et les compétences doivent pouvoir passer facilement d’un domaine à un autre. Il est conseillé d’utiliser le même système d’administration dans le LAN/WAN physique que dans l’environnement virtuel. Les administrateurs et équipes peuvent donc continuer à travailler dans les deux environnements utilisant ainsi leurs compétences et leurs capacités d’exécution afin de délivrer une solution sécurisée avec un système unique d’administration de la sécurité.


A propos de l'auteur

Stonesoft