> Cloud > Dossier Sécurité : Retours d’expériences sur le terrain (3/3)

Dossier Sécurité : Retours d’expériences sur le terrain (3/3)

Cloud - Par Philippe Gillet - Publié le 03 mai 2011
email

La virtualisation est sûrement l’enjeu majeur de ces prochaines années, notamment avec l’arrivée du Cloud Computing.

Ces derniers mois, de nombreux CSO (RSSI) ainsi que de nombreuses entreprises spécialisées sur la sécurité des systèmes d’informations, ont jeté un pavé dans la marre en affirmant que la virtualisation allait à l’encontre de nombreux principes de sécurité.

Dossier Sécurité : Retours d’expériences sur le terrain (3/3)


Comme nous l’avons vu, les dispositifs de sécurité ne seront plus adaptés aux architectures virtuelles. Le filtrage entre les différentes machines virtuelles peut difficilement s’effectuer de manière simple. Il y a donc un réel danger de se retrouver dans des environnements ouverts aux infections virales où ces derniers auront tout le loisir de se propager.

Mieux, les experts sécurité pensent que la virtualisation va créer de véritables « havres de paix » pour les hackers ou personnes malveillantes. En effet, la multiplication des machines virtuelles de manière exponentielle va favoriser l’apparition de machine virtuelle dite « Rogue », car ces dernières ne seront pas repérées facilement par les administrateurs. Pourquoi ? Cela part d’un constat simple.

La simplicité de création des machines virtuelles a engendré une boulimie réelle dans les datacenters. A chaque projet se créent quelques dizaines de machines virtuelles. Ces dernières sont alors abandonnées sans autre explication du jour au lendemain. Cela ne choque absolument pas !

Autant lorsque le serveur physique est sous maintenance, cela engendre un coût de maintenance élevé (électrique également). Autant dans un monde virtuel, les coûts sont cachés et personne ne s’occupe des machines virtuelles laissées pour compte…Comme on l’entend souvent, « au pire on les éteindra si on nous le demande ». Suite à plusieurs audits que nous avons réalisés chez divers population de clients, nous avons remarqués que le taux de machines virtuelles réellement utiles était de l’ordre de 60 à 70 %. Cela signifie que presque 30 à 40 % des machines virtuelles fonctionnaient pour rien…

Il y a deux manières d’agir pour les dispositifs de sécurité :
1. réutiliser les dispositifs de manière plus intelligente
2. acheter de nouveaux dispositifs dédiés à la virtualisation.

Voici plusieurs retours d’expérience à ce niveau :

  • Les IDS sont assez aveugles avec la virtualisation car beaucoup de flux passent en interne des serveurs. Ainsi, il faudra trouver un moyen de dévier les flux pour qu’ils puissent être audités beaucoup plus facilement. VMware a répondu avec vShield par exemple.
  • La multiplication de machines virtuelles va engendrer des difficultés pour l’administration des antivirus. On commence alors à parler d’Appliance de scan antivirus. Ces appliances éviteront l’utilisation d’antivirus local. Tout sera déporté dans une seule machine virtuelle. (regardez du côté de VMsafe)

Globalement il va falloir rapidement répondre à une double question :

  • Comment réutiliser tous les dispositifs de sécurité sur lesquels l’entreprise a capitalisé ?
  • Comment filtrer les flux entre machines virtuelles sans impacter les performances ?

Concernant les « rogues VM » et potentiels havres de paix pour hackers, la solution consistera à posséder une gestion du cycle de vie des machines virtuelles. C’est ce que les américains appellent le « Lifecyle Management » et que les experts sécurité retrouvent dans le principe SDLC (Systems Development Life Cycle). Il va donc falloir industrialiser la gestion du cycle de vie des machines virtuelles.

Concernant ce point, il est à noter que :

  • VMware a créé un produit nommé « VMware vCenter Lifecycle Manager »
  • L’ISC² possède une nouvelle certification nommée « Certified Secure Software Lifecycle Professional » sur laquelle il est intéressant de s’appuyer pour mettre en place la gestion du cycle de vie des machines virtuelles.
     

Téléchargez gratuitement cette ressource

Le Guide Atlassian Data Center

Le Guide Atlassian Data Center

Face aux nombre croissants d’utilisateurs qui accèdent à vos apps, le Guide Atlassian Data Center présente les meilleures pratiques et solution d'évolutivité, de sécurité et de conformité en vous appuyant sur les normes du secteur et les logiciels présents dans votre stack technique, ce Guide Ultime répond à vos principales préoccupations pour assurer la conformité et surveiller tous les problèmes de sécurité potentiels de vos environnements applicatifs d’entreprise.

Cloud - Par Philippe Gillet - Publié le 03 mai 2011