> Cloud > Dossier Sécurité : Retours d’expériences sur le terrain (3/3)

Dossier Sécurité : Retours d’expériences sur le terrain (3/3)

Cloud - Par Philippe Gillet - Publié le 03 mai 2011
email

La virtualisation est sûrement l’enjeu majeur de ces prochaines années, notamment avec l’arrivée du Cloud Computing.

Ces derniers mois, de nombreux CSO (RSSI) ainsi que de nombreuses entreprises spécialisées sur la sécurité des systèmes d’informations, ont jeté un pavé dans la marre en affirmant que la virtualisation allait à l’encontre de nombreux principes de sécurité.

Dossier Sécurité : Retours d’expériences sur le terrain (3/3)


Comme nous l’avons vu, les dispositifs de sécurité ne seront plus adaptés aux architectures virtuelles. Le filtrage entre les différentes machines virtuelles peut difficilement s’effectuer de manière simple. Il y a donc un réel danger de se retrouver dans des environnements ouverts aux infections virales où ces derniers auront tout le loisir de se propager.

Mieux, les experts sécurité pensent que la virtualisation va créer de véritables « havres de paix » pour les hackers ou personnes malveillantes. En effet, la multiplication des machines virtuelles de manière exponentielle va favoriser l’apparition de machine virtuelle dite « Rogue », car ces dernières ne seront pas repérées facilement par les administrateurs. Pourquoi ? Cela part d’un constat simple.

La simplicité de création des machines virtuelles a engendré une boulimie réelle dans les datacenters. A chaque projet se créent quelques dizaines de machines virtuelles. Ces dernières sont alors abandonnées sans autre explication du jour au lendemain. Cela ne choque absolument pas !

Autant lorsque le serveur physique est sous maintenance, cela engendre un coût de maintenance élevé (électrique également). Autant dans un monde virtuel, les coûts sont cachés et personne ne s’occupe des machines virtuelles laissées pour compte…Comme on l’entend souvent, « au pire on les éteindra si on nous le demande ». Suite à plusieurs audits que nous avons réalisés chez divers population de clients, nous avons remarqués que le taux de machines virtuelles réellement utiles était de l’ordre de 60 à 70 %. Cela signifie que presque 30 à 40 % des machines virtuelles fonctionnaient pour rien…

Il y a deux manières d’agir pour les dispositifs de sécurité :
1. réutiliser les dispositifs de manière plus intelligente
2. acheter de nouveaux dispositifs dédiés à la virtualisation.

Voici plusieurs retours d’expérience à ce niveau :

  • Les IDS sont assez aveugles avec la virtualisation car beaucoup de flux passent en interne des serveurs. Ainsi, il faudra trouver un moyen de dévier les flux pour qu’ils puissent être audités beaucoup plus facilement. VMware a répondu avec vShield par exemple.
  • La multiplication de machines virtuelles va engendrer des difficultés pour l’administration des antivirus. On commence alors à parler d’Appliance de scan antivirus. Ces appliances éviteront l’utilisation d’antivirus local. Tout sera déporté dans une seule machine virtuelle. (regardez du côté de VMsafe)

Globalement il va falloir rapidement répondre à une double question :

  • Comment réutiliser tous les dispositifs de sécurité sur lesquels l’entreprise a capitalisé ?
  • Comment filtrer les flux entre machines virtuelles sans impacter les performances ?

Concernant les « rogues VM » et potentiels havres de paix pour hackers, la solution consistera à posséder une gestion du cycle de vie des machines virtuelles. C’est ce que les américains appellent le « Lifecyle Management » et que les experts sécurité retrouvent dans le principe SDLC (Systems Development Life Cycle). Il va donc falloir industrialiser la gestion du cycle de vie des machines virtuelles.

Concernant ce point, il est à noter que :

  • VMware a créé un produit nommé « VMware vCenter Lifecycle Manager »
  • L’ISC² possède une nouvelle certification nommée « Certified Secure Software Lifecycle Professional » sur laquelle il est intéressant de s’appuyer pour mettre en place la gestion du cycle de vie des machines virtuelles.
     

Téléchargez gratuitement cette ressource

Guide de Gestion des données Cloud

Guide de Gestion des données Cloud

Découvrez comment OuiCar utilise la solution New Relic sur AWS pour réduire le temps de dépannage lié aux problèmes de performance et améliorer de 40 % le temps de réponse en back-end. Avec la solution APM de New Relic sur AWS Marketplace, OuiCar bénéficie d'une vision complète de ses performances système pour tirer le meilleur profit de ses données Cloud.

Cloud - Par Philippe Gillet - Publié le 03 mai 2011