Virtualisation, Cloud computing et sécurité

31 mai 2010

Il y a quelques mois, Parad’IE avait mis en avant la sécurité et la virtualisation. Aujourd’hui, on parle autant de virtualisation que de Cloud computing, technologies très liées et dont les conséquences en termes de sécurité peuvent être dramatique. A ce titre voici le très bon article de techniques de l’ingénieur qui évoque 5 points pour sécuriser un réseau virtuel.

« Selon l’entreprise américaine de conseil et de recherche dans le domaine des techniques avancées Gartner, d’ici à 2012, 60 % des serveurs virtualisés seront moins sécurisés que les serveurs physiques qu’ils sont censés remplacer. Actuellement, la plupart des entreprises déploient sur leur réseau des technologies de virtualisation sans impliquer les équipes réseau et de sécurité des systèmes dans les phases de planification. Ainsi, la majorité des entreprises se contente donc de moderniser les réseaux virtuels, en y appliquant les politiques de sécurité réseaux physiques existantes. Ce manque de préparation et de perspective affaiblit considérablement la sécurité du réseau, cette dernière étant l’élément essentiel de la mise en place réussie du cloud computing au sein des très grandes entreprises.

Pour appuyer cette communication de Gartner, l’éditeur finlandais Stonesoft, fournisseur de solutions intégrées de sécurité réseau et de continuité de service, a identifié cinq façons pour les équipes informatiques de se prémunir des menaces et attaques survenant dans le cloud, tout en assurant la bonne mise en œuvre de leurs politiques.

·          Regrouper les identités (Federated ID)

·          Assurer une connectivité permanente

·          Mettre en place une inspection multi-couches

·          Exiger une administration centralisée

·          Protéger les postes de travail virtuels

Retrouvez tous les détails directement à la source.

Publicités

Les dossiers de Parad’IE : la virtualisation

12 juin 2009

4) Les solutions pour limiter les risques

Les entreprises doivent contrôler l’interaction de chaque utilisateur avec la plate-forme de virtualisation ainsi que chaque machine virtuelle qu’elle héberge. Cela nécessite la mise en œuvre de chartes très précises, et de dispositifs de contrôle sans pour autant entraver les dispositifs règlementaires sur la surveillance des communications, faits et gestes des salariés sur leurs lieux de travail.

  • L’intégration de dispositifs de sécurité invisibles pour les utilisateurs d’ordinateurs portables, afin qu’ils ne puissent pas intervenir dessus
  • Un véritable dispositif de contrôle et d’audit des installations doit être mis en place, permettant de vérifier la bonne utilisation des environnements, les annuaires d’identités et les rôles/privilèges attribués à chaque administrateur….
  • Pour finir, il faut établir des PCA et PRA cohérents, qui identifieront les données capitales pour l’entreprise, et prévoyant les processus de gestion des correctifs, de mises à jour. L’architecture sera ainsi automatique remise en route et réaffectera les ressources selon les besoins des services.
  • La séparation plus étanche des droits d’accès doit être mise en place, notamment par la définition claire de rôle, pour limiter les champs d’intervention de chacun, réduire l’accès) des informations critiques et faciliter les contrôles. Cette étanchéité passe par la gestion centralisée, via une console unique des droits d’accès. Mettre en œuvre une politique de gestion des identités et des accès cohérentes et évolutives.
  • Le grand problème des entreprises est qu’elle accorde souvent des autorisations d’accès à un salarié qui arrivent sans lui retirer ses droits lors d’un départ. Les difficultés économiques actuelles, provoquant des licenciements, favorisent ce risque. Autre élément fondamental, la gestion des droits d’accès ne pourra pas faire défaut, avec idéalement une centralisation de celle-ci par le biais d’une plate-forme d’annuaire d’entreprise.
  • La mise en place d’une brique supplémentaire de protection afin d’améliorer la sécurité de l’architecture, notamment en améliorant l’identification des administrateurs et des utilisateurs en fonctions de droits d’accès précis. Les dispositifs évitant toute propagation de virus, ou code malveillant doit être intégré dès le déploiement de l’infrastructure.

Conclusion : La virtualisation n’en est véritablement qu’à l’adolescence de sa vie. Elle n’a pas encore atteint sa maturité sur le plan sécuritaire et provoque donc le débat. Des experts viendront témoigner prochainement sur ce blog. Mais n’hésitez pas à nous dire ce que vous en pensez dès à présent !


Les dossiers de Parad’IE : la virtualisation

11 juin 2009

3) Les inconvénients de la virtualisation

  1. Problématiques humaines

La plus grande faille en termes de sécurité des entreprises est représentée par l’homme. Il peut être à l’origine d’erreur, de malveillance. Dans le cadre de la virtualisation, la difficulté majeure réside dans le recrutement de personnels compétents. Or depuis toujours et plus particulièrement en ce moment, le monde de la virtualisation peine à trouver les ingénieurs qualifiés.

Les entreprises doivent donc envisager cette question dès la mise en œuvre d’un projet de virtualisation afin de préserver les économies réalisées par le système et d’éviter des indisponibilités liées à un manque de compétences et d’entretien du système virtuel.

Il est important d’avoir mis en œuvre une bonne gestion des accès et des identités. La virtualisation impose une réelle séparation des tâches. A l’heure actuelle, les administrateurs ayant différentes responsabilités peuvent intervenir sur différents composants. Cela rend d’autant plus difficile la protection et le contrôle de l’environnement virtualisé.

  1. Sur le plan technique

Tout d’abord, il est important de mettre en avant le fait qu’une personne non autorisée, qui accèderait au système aurait la possibilité d’en récupérer les données sur l’ensemble et les transférer. Une personne malveillante qui s’introduirait pourrait également modifier les paramètres de connexion et effacer ses propres traces.

Comme un point unique supportant toutes les applications de l’entreprise est plus facilement accessible que plusieurs sites, une machine supportant plusieurs serveurs virtuels est donc, mathématiquement plus vulnérable qu’un serveur physique doté d’une seule instance de système. La virtualisation pose en effet, le problème de l’isolation. Elle permet d’éviter qu’un service parent vienne infecter l’ensemble des autres services. Pour autant, les machines virtuelles fonctionnant dans un système hôte peuvent s’attaquer entre-elles et ainsi se transmettre les vulnérabilités. La virtualisation a pour principe le partage de ressources tels que le réseau, la mémoire qui, lorsqu’elles sont détournées de leurs utilisations premières, peuvent entrainer un déni de service pour les autres machines.

Toute démarche de sécurité en SI passe par l’établissement d’un bon plan prévisionnel de risques et de gestion du processus classique. Or, les tableaux de bords et d’audits, mis en œuvre sur les environnements physiques, sont rarement adaptés aux environnements virtuels. La nouvelle architecture doit être appréhendée comme une infrastructure critique, qui implique de nombreux changements organisationnels et humains et répondre précisément aux exigences règlementaires. Aujourd’hui, les entreprises se jettent dans la virtualisation « par effet de mode », oubliant de prendre en compte l’ensemble des risques qu’elle peut engendrer et, sans mettre en place les mesures adaptées et efficaces pour lutter contre les nouvelles formes d’intrusions qui lui sont liées.

Bien souvent les entreprises ne solutionnent pas les failles existantes et les transfèrent dans l’architecture virtualisée, ce qui complique leurs règlements. Les vulnérabilités sont les mêmes sur une architecture physique ou virtuelle. L’application vulnérable sera transférée avec l’ensemble des risques qu’elle contient. Les protections sont également les mêmes. Et aujourd’hui, il n’existe pas réellement d’antivirus pour cette partie de l’infrastructure, tels que ceux disponibles pour les machines physiques.

De plus, les entreprises mettent en œuvre des PRA et PCA qui ne sont pas souvent testés au préalable. La survenance d’une crise met en avant les manquements de ces plans. Hélas la perte de données peut être gigantesque puisque nous sommes sur une infrastructure unique.

Par ailleurs, la mise en œuvre d’une architecture virtualisée entraine de nouveaux risques. Le déploiement d’un nouveau système de gestion, et de nouvelles briques va entrainer automatiquement de nouvelles vulnérabilités. Les failles concernant les logiciels d’administration des machines virtuelles et de l’hyperviseur ont déjà été recensées. Á noter que des attaques utilisent déjà la technique de la virtualisation pour compromettre des systèmes et en prendre le contrôle (Blue Pill). Les attaques malveillantes vont donc profiter de l’ensemble de ces nouvelles failles. Les assaillants seront d’autant plus motivés par l’attrait de la nouveauté.


Les dossiers de Parad’IE : la virtualisation

10 juin 2009

2) Les avantages de la virtualisation

  1. Sur le plan technique

La virtualisation est particulièrement intéressante en termes de réactivité et de flexibilité (les spécialistes parlent « d’agilité de l’architecture ») En effet, le fonctionnement sur un environnement logique plutôt que physique est bénéfique pour la gestion de l’infrastructure. Il permet de provisionner, déplacer, copier rapidement des environnements car ils sont regroupés dans un fichier unique, qui peut donc facilement être déménagé et reproduit sur un environnement voisin.

Il y a également un avantage majeur en termes de consolidation, dans la mesure où le nombre de serveurs physiques nécessaire décroit au regard du ratio de consolidation appliqué par serveur. La moyenne constatée est d’environ 10 serveurs virtuels pour 1 machine physique. Ce ratio est donné à titre d’exemple et dépend largement des capacités de la machine physique. Par ailleurs, l’utilisation moyenne des composants physiques augmente de 15% à 70% en moyenne et sont donc utilisés de manière optimale.

La sauvegarde des données est facilitée puisqu’elle se fait « à chaud » et en double. Les modifications des documents de travail sont immédiatement enregistrées sur l’environnement virtualisé et transférées sur une copie du système.

Par ailleurs, le déploiement d’infrastructures virtualisées entraine une mise en œuvre beaucoup plus simple des plans de continuité d’activités (PCA) et des plans de reprises d’activités (PRA). La virtualisation permet de mieux gérer les pannes en faisant basculer les systèmes touchés sur le système de sauvegarde. La restauration des machines est facilitée et permet donc d’éviter ou de limiter la perte de données en cas d’attaques virales. L’intérêt majeur réside également dans la capacité de basculer rapidement de l’environnement de production vers l’environnement de secours en limitant considérablement le temps d’indisponibilité de la plateforme et en proposant aux utilisateurs une infrastructure aussi robuste et non dégradée.

C’est également une méthode recherchée pour faciliter la protection des données sur les appareils mobiles. Un poste mobile habituellement hors de protection de la structure de l’entreprise bénéficie grâce à la virtualisation d’une couverture. En effet, sans les codes d’accès les disques durs, cryptés, sont inutilisables en dehors de leur environnement de virtualisation. De plus, l’accès à l’environnement global de l’entreprise est limité puisque ces appareils ne sont pas reliés en permanence. Mais attention ! Ce point fait encore largement débat et sera de nouveau envisagé dans la seconde partie.

  1. Sur le plan économique

La virtualisation permet de diminuer le nombre de machines physiques à gérer. Cette technique s’inscrit dans les politiques gouvernementales et d’entreprises de réduire les coûts en améliorant le parc SI. En effet, l’infrastructure virtualisée nécessite moins de machine, moins d’espaces de stockage. Ce dernier point est d’autant plus important que les capacités de stockage entrainent les entreprises à agrandir en permanence leur Datacenter, à construire ou louer plus d’espaces de stockage et de bande passante. A noter que les Datacenters sont l’une des principales sources de dépenses énergétiques et donc économiques (Environ 30% du budget global d’une société !).

Le gouvernement, par l’entremise de Madame Lagarde, a annoncé la constitution d’un groupe de travail pour étudier les dispositions à prendre pour réduire les dépenses énergétiques des Datacenters. La virtualisation apparait comme une solution intéressante pour répondre à cette problématique.

L’initiative a d’ailleurs été également soulevée au niveau européen, où des normes de certifications pourraient être envisagées.

L’ensemble de ces avantages doit permettre à l’entreprise de réaliser de véritables gains et un accroissement de la performance et donc de la compétitivité de l’entreprise.

Pour autant, si ces avantages cumulés semblent plaider en faveur de la virtualisation, le débat continue sur la pertinence de ce modèle en matière de sécurité.


les dossiers de Parad’IE : la virtualisation

9 juin 2009

Avec le développement du « green IT », les directions informatiques sont en pleine réflexion sur la mise en œuvre de la virtualisation pour leurs systèmes d’informations (SI). Cette dernière connait une croissance assez remarquable mais conserve des problématiques de sécurité non négligeables à prendre en compte. Gartner avait annoncé qu’en 2009, 60 % des machines virtuelles seraient moins sécurisées que leurs équivalents physiques. Qu’en est-il aujourd’hui ? Quels sont les avantages de cette nouvelle technologie qui pousse de plus en plus d’entreprises à y recourir ?

Avant de commencer, Parad’IE souhaite souligner la participation de la communauté Guvirt et de ses membres dans la réalisation de cette étude. Parad’IE les remercie pour le temps et le soutien technique qu’ils ont apporté à ce dossier.

1) Qu’est ce que la virtualisation ?

La virtualisation, dans sa forme la plus répandue, consiste à faire fonctionner plusieurs systèmes d’exploitation indépendants sur une seule machine physique.

Elle repose sur un hyperviseur, programme qui gère le matériel et fragmente les ressources en plusieurs environnements autonomes, les « machines virtuelles ».

Il est possible de virtualiser des serveurs, des postes de travail, des systèmes d’exploitation, des accès réseau, des espaces de stockage, des applications…

Vous trouverez à cette adresse quelques exemples récents d’entreprises et d’évènements mettant en œuvre des environnements virtualisés, Rolland Garros notamment.

Le concept de virtualisation est né dans les années 1980. Il s’est réellement développé dans les années 2000 et devrait concerner 660 millions de machines en 2011.

VMware a lancé en 1998 le premier système de virtualisation logicielle du monde x86, ce qui a fait de lui le leader du marché et cela encore aujourd’hui. Il possède à lui seule 80% du marché de la virtualisation.

Les concurrents de cette société sont Citrix, Parallels, Ironmoutains. Une société de taille vient de se lancer sur le marché. Les conférences Techdays 2009 ont été l’occasion pour Microsoft de présenter ses environnements et outils de virtualisation (solution Hyper-V).

Face à l’accroissement du nombre d’acteurs, la vigilance des entreprises sur la pertinence des offres devra être décuplée. C’est un choix décisif car il doit répondre aux besoins de l’entreprise et être pertinent à court et à long terme. Or, à l’heure actuelle, les entreprises font encore largement le choix d’utiliser un serveur par application. Cela entraine une sous utilisation des procédés et capacités informatiques. Les statistiques révèlent que seulement 5 à 15% des ressources serveurs à disposition sont utilisées. Le taux d’utilisation pourrait monter à environ 70% avec une infrastructure virtualisée.