Alors que toute l’industrie s’agite sur ce sujet - la RSA Conference en a fait son focus principal - il semblerait que les entreprises soient très en retard sur la question. Gartner vient en effet de publier une étude alarmante intitulée «Adressing the Most Common Security Risks in Data Center Virtualization Projects», qui rejoint un de nos billets pointant du doigt le manque de sécurité des architectures virtuelles.
«La virtualisation n’est pas en soi peu sûre, mais la plupart des workloads virtualisés sont déployés de manière peu sûre» a commenté Neil MacDonald, analyste au Gartner. La cause, selon lui ? Un manque d’outils et de processus matures, et le manque de formation des équipes informatiques, revendeurs et consultants. Pire, la plupart des projets de virtualisation n’incluent pas les équipes sécurité dans l’architecture initiale. L’autre grande cause est liée à la mobilité des serveurs virtuels, qui rend leur sécurité difficile à contrôler. (A lire : les six risques majeurs mis en évidence par le Gartner)
Le plus grand challenge à venir
Selon Arnaud Gallut, Directeur Solutions chez CA, lors de la session sur la sécurité de la Cloud Academy, “la sécurité est encore l’un des plus grands challenges à résoudre au sein des entreprises”. Pour Luis Delabarre, Architecte Solutions chez Trend Micro, “il y a de nouveaux challenges en terme de sécurité, qui ne sont pas forcément liés à la technologie de virtualisation mais plutôt au contexte dans le quel est déployée la virtualisation”. Dans une vidéo, il explique quels sont ces nouveaux challenges. Stonesoft, la société finlandaise aussi spécialisée dans la sécurité des environnements virtuels, confirme. “La sécurité des environnements virtuels est un critère essentiel et non secondaire à prendre en compte” explique un article d’opinion sur le sujet.
Différent du reste ?
Habituellement, les équipes opérationnelles expliquent que cela ne fait aucune différence, et qu’ils sont qualifiés pour sécuriser l’environnement de production, les systèmes d’exploitation ainsi que le matériel. Bien qu’il soit vrai, cet argument ne prend pas en compte la nouvelle couche logicielle apportée lorsque l’environnement de production est virtualisé, à savoir l’hyperviseur et le VMM (Virtual Machine Monitor). “L’argument « il n’y a aucune différence » est fondé, selon Stonesoft, notamment dans la façon de sécuriser cette « non différence ».
Les grands principes de sécurité restent inchangés. Lorsqu’il s’agit de protéger un environnement virtuel, notamment un réseau virtuel, les problématiques à appliquer sont les mêmes que dans un WAN/LAN traditionnel. Pour Stonesoft, il est important de patcher de façon sécurisée les plate-formes virtualisées et de mettre en place les bons processus de contrôle des changements.
Cependant, afin de s’assurer que les pirates ne puissent pas exploiter les vulnérabilités « zero time », une protection de ces serveurs via un système IPS situé à l’extérieur du serveur est nécessaire. Parallèlement, il est tout aussi important de protéger les applications localisées à l’intérieur du serveur, à l’aide notamment de firewalls et d’IPS virtuels, permettant ainsi d’assurer le contrôle des données circulant de l’application A à l’application B, au sein du même serveur virtuel. Stonesoft donne d’autres conseils à suivre.
Luis Delabarre, Architecte Solutions chez Trend Micro, précise les défis de la sécurité dans les environnements virtualisés : cliquez ici