TOOLinux

Le journal du Libre

Un projet virtualisation ne prend généralement pas en compte la sécurité des informations

mardi 30 mars 2010

Les conclusions ressortant des conférences sur la virtualisation tenues par le Gartner à la fin de l’année 2009 indiquent que 40 % des projets de déploiements d’infrastructures virtuelles ont été entamés sans impliquer l’équipe de la sécurité du système d’information dans la planification de l’infrastructure ni des phases de déploiement.
Habituellement, les équipes opérationnelles expliquent que cela ne fait aucune différence, et qu’ils sont qualifiés pour sécuriser l’environnement de production, les systèmes d’exploitation ainsi que le matériel. Bien qu’il soit vrai, cet argument ne prend pas en compte la nouvelle couche logicielle apportée lorsque l’environnement de production est virtualisé, à savoir l’hyperviseur et le VMM (Virtual Machine Monitor).

Gartner explique que les professionnels de la sécurité doivent intégrer ce fait : un risque insoupçonné et à propos duquel on ne communique pas ne peut pas être correctement géré. Avant d’investir dans davantage de sécurité, les entreprises devraient penser avant tout à élargir leurs process de sécurité afin de répondre à la problématique de la sécurité dans les datacenters.

Stonesoft soutient ces affirmations. La sécurité dans les environnements virtuels est un critère essentiel et non secondaire à prendre en compte. L’argument « il n’y a aucune différence » est fondé, notamment dans la façon de sécuriser cette « non différence ». Les grands principes de sécurité restent inchangés. Lorsqu’il s’agit de protéger un environnement virtuel, notamment un réseau virtuel, les problématiques à appliquer sont les mêmes que dans un WAN/LAN traditionnel.

Il est essentiel que l’équipe en charge de la sécurité du système d’information soit à l’aise et confiante dans la sécurisation de ces environnements. Cela est d’autant plus facile lorsqu’une extension des firewalls LAN/WAN et de la technologie IPS est déployée via la même technologie mais sur une plateforme différente ; le tout en passant par la même console d’administration. Ainsi, la phase d’apprentissage se fait plus en douceur. Parfois, même elle n’est tout simplement pas nécessaire.

Une corruption au niveau de la couche “virtualisation” peut potentiellement déboucher sur une corruption de l’ensemble de la production hébergée ?
La couche virtualisation représente un autre maillon informatique important dans l’infrastructure et à l’instar de logiciels écrits par des hommes, cette couche contiendra forcément des vulnérabilités cachées, potentiellement exploitables. Etant donné le niveau qu’occupe l’hyperviseur/VMM dans la pile, les pirates ont d’ores et déjà commencé à s’y attaquer afin de corrompre l’ensemble de la production hébergée au-dessus dudit hyperviseur. Du point de vue sécurité informatique et administration, cette couche doit être patchée et des règles de configuration doivent être fixées.

Gartner conseille aux entreprises de considérer cette couche comme l’une des plateformes x86 les plus sensibles des datacenters de l’entreprise et de la garder la plus fine possible, tout en renforçant sa configuration et les modifications autorisées. Les éditeurs de solutions de virtualisation devraient obligatoirement proposer un contrôle de la couche hyperviseur/VMM au démarrage afin de s’assurer que ce dernier n’a pas été corrompu. Plus encore, les entreprises ne devraient pas s’appuyer sur des contrôles de sécurité sur l’hôte afin de détecter une faille ou de le protéger contre un exécutable.

Le manque de visibilité et de contrôle des réseaux virtuels internes, utilisés pour les communications inter-VM, masque-t-il les mécanismes de mise en œuvre des politiques de sécurité existantes ?
La majorité des plateformes de virtualisation, pour optimiser la communication entre les machines virtuelles (VMs), prévoient la possibilité de créer des réseaux et des switches virtuels logiciels à l’intérieur de l’hôte physique afin de permettre aux VMs de communiquer directement. Ce type de trafic est invisible pour les dispositifs de sécurité réseau, tels que les sondes de détection et prévention d’intrusions.

Gartner recommande aux entreprises d’exiger, comme strict minimum, le même type de surveillance que celui mis en place sur les réseaux physiques. Ainsi, ils conserveront la visibilité et le contrôle de la production quand elle sera virtualisée. Pour réduire les risques de mauvaise configuration ou administration, les entreprises devront favoriser les éditeurs de sécurité couvrant les environnements physiques et virtuels, avec notamment une administration des politiques de sécurité et des mises en application harmonisée.

Manque-t-il des outils d’administration et des contrôles adaptés sur les rôles administrateur dans l’hyperviseur/VMM ?

En raison de la criticité que délivre la couche hyperviseur/VMM, les accès des administrateurs à cette couche doivent être strictement contrôlés. Cependant, ce contrôle est extrêmement compliqué du fait que la plupart des plateformes de virtualisation délivrent de multiples possibilités d’administration de cette couche.

Gartner recommande de restreindre l’accès à la couche virtualisation de la même façon que l’accès à un système d’exploitation sensible. Il conseille de préférer des plateformes de virtualisation qui supportent le contrôle d’accès à base de rôles des responsabilités administratives dans le but d’affiner encore davantage qui peut faire quoi au sein de l’environnement virtuel. A l’endroit où sont imposées des normes de conformité, les entreprises devront évaluer leur besoin en outils tiers, capables de leur délivrer un contrôle strict de l’administration.

Stonesoft : Il est important d’avoir mis en place des processus pertinents de contrôle des changements. Ainsi, lorsque des critères de conformité devront être remplis, les modifications et patches concernant l’hyperviseur devront non seulement être enregistrées et strictement contrôlées, mais ces mêmes critères devront s’appliquer aux outils de sécurité localisés dans cet environnement et qui protègent le réseau virtuel. Les outils de sécurité des environnements virtuels doivent donc pouvoir être administrés de façon centralisée et doivent être suffisamment bien structurés en termes de droits d’accès, de process de logging et de gestion des cas. Par conséquent, le fait que ces systèmes puissent être utilisés à la fois pour la sécurité virtuelle et la sécurité physique le temps d’administration et les impairs coûteux risquent moins d’arriver.

Existe-t-il un risque potentiel de perte de la séparation des tâches pour le réseau et les contrôles de sécurité ?

Lorsque les serveurs physiques sont regroupés en une seule machine, les administrateurs systèmes et les utilisateurs risquent de pouvoir accéder par erreur à des données auxquelles ils n’ont pas habituellement accès. Une autre inquiétude concerne notamment quel groupe peut configurer et supporter le switch virtuel interne.

Gartner conseille la chose suivante : l’équipe en charge de la configuration de la topologie réseau (dont les LAN virtuels) dans l’environnement physique doit également assurer cette fonction dans les environnements virtuels. Elle devra préférer des architectures composées de plateformes de virtualisation qui supportent le remplacement du switch virtuel, afin que la console et les politiques couvrent les configurations physiques et virtuelles.

Stonesoft : cela est tout à fait correct. Il est essentiel d’appliquer les mêmes principes dans le monde virtuel que dans le monde physique, et les compétences doivent pouvoir passer facilement d’un domaine à un autre. Il est conseillé d’utiliser le même système d’administration dans le LAN/WAN physique que dans l’environnement virtuel. Les administrateurs et équipes peuvent donc continuer à travailler dans les deux environnements utilisant ainsi leurs compétences et leurs capacités d’exécution afin de délivrer une solution sécurisée avec un système unique d’administration de la sécurité.