mai 13, 2014

Trois manières de protéger les machines virtuelles

Protéger ou ne pas protéger les machines virtuelles – c’était la question que nombreux se posaient. Mais la réponse à toujours été la même : protéger.

La question la plus cruciale est comment les protéger.

J’ai déjà écrit pas mal sur le concept des antivirus sans agent pour VMware. Mais les technologies changent, elles avancent sans cesse. Alors que la virtualisation se développe et que de plus en plus d’organisations en constatent les avantages évidents, de plus en plus d’applications apparaissent, ce qui engendre une augmentation de la demande de protection spécifique.

Il existe évidemment une approche de sécurité conçue spécialement pour les machines virtuelles, un autre type de protection adapté aux bases de données, une autre pour les sites Web, etc. Ensuite, il y a le fait que les antivirus sans agent ne sont pas la seule manière d’envisager la protection et que VMware n’est pas la seule plateforme de virtualisation, même si c’est la plus populaire.

Mais alors qu’elles sont les alternatives en matière de sécurité ?

Agentless

Donc brièvement, juste un peu de « précédemment sur le blog d’Eugène Kaspersky », car cela a déjà été suffisamment expliqué en détail avant (ici)…

Il existe trois manières de protéger les infrastructures virtuelles : les sans agents, les agents légers et les agents complets.

Cette approche implique l’utilisation d’une machine virtuelle dotée d’un moteur antivirus. Cette machine réalise l’analyse antivirus sur le reste de l’infrastructure virtuelle en se connectant aux autres machines virtuelles grâce à la technologie vShield de VMware. vShield interagit aussi avec le système de gestion de l’antivirus, il connait donc la configuration et les règles mises en place, quand allumer et éteindre la protection, comment l’optimiser, etc.

Kaspersky Security for Virtualization - Agentless ImplementationSecurity Virtual Appliance protège toutes les autres machines virtuelles

Cela semble être une panacée, mais le concept sans agent diffère à un élément prêt : la fonctionnalité antivirus est limitée, l’interface de vShield permet seulement une analyse basique des fichiers. C’est à dire, elle renonce aux technologies suivantes : contrôle des applications, surveillance du système, liste blanche, heuristique, contrôle des appareils et contrôle Web. D’ailleurs, il s’avère que l’analyse des fichiers est également restreinte : aucune quarantaine pour les fichiers suspects et il n’est pas possible d’accéder à la mémoire ou aux processus des machines.

Mais vShield n’a pas été conçue pour être une interface complète permettant toutes les fonctionnalités de protection. Elle peut toujours être utilisée (je parlerai de cela davantage plus tard), mais il existe une autre manière, dans laquelle toutes les autres fonctionnalités de protection peuvent être appliquées…

… voici Light Agent

Avec cette approche, un agent (appelé Light Agent) léger (n’utilise pas beaucoup de ressources, petit) est installé sur chaque machine virtuelle. Cet agent remplace vShield et connecte la machine virtuelle au moteur antivirus qui réside dans Security Virtual Appliance.

vShield de VMware n’a pas été conçu pour être une protection anti-malware complète. Au lieu de cela, les entreprises peuvent utiliser Light Agent

Nous supprimons alors les limites de l’interface de VMware en ajoutant l’arsenal complet de nos technologies de défense. En même temps, nous gardons les avantages de cette approche sans agent : un appétit modéré pour les ressources, maniabilité et stabilité contre les « tempêtes » (des bouchons causés par les mises à jour simultanées de bases de données antivirus ou l’analyse de malwares sur plusieurs machines).

Kaspersky Security for Virtualization - Light Agent ImplementationSecurity Virtual Appliance protège toutes les autres machines virtuelles (tout comme Agentless) + Une petite application « légère » sur chaque machine virtuelle donnant un accès complet à toutes les technologies de sécurité

Malgré son nom, Light Agent sera toujours plus « lourd » qu’une solution sans agent, car il requiert de la mémoire sur chaque machine virtuelle, de la puissance de calcul et d’autres ressources. Néanmoins, avec la super puissance des ordinateurs de nos jours, l’appétit de Light Agent est relativement maigre. Et autre bonus : certaines tâches antivirus standard utilisant cette approche peuvent être réalisées plus rapidement que sans agent. Mais le plus important est que, étant donnée l’augmentation de la qualité de la protection, Light Agent devient un sérieux concurrent.

Mais que se passe-t-il si vous voulez protéger des  données sur des machines virtuelles qui ne disposent pas de Windows et profiter pleinement de toutes les technologies de protection, y compris de la cryptographie ? C’est là que ….

….nous avons besoin des systèmes de sécurité endpoint traditionnels.

Il sera bien évidemment difficile de mettre en place une telle installation étant donné l’étendue d’une telle infrastructure virtuelle, ainsi que la maintenance nécessaire à une telle solution : davantage de ressources humaines seraient nécessaires, mais une telle approche peut parfois être appropriée.

Kaspersky Security for Virtualization - Full Agent ImplementationChaque MV dispose de sa propre protection installée

Ok, assez parlé théorie, passons à la pratique…

// En même temps, j’en profiterai pour modestement promouvoir la nouvelle version de nos produit pour les environnements virtuels.

Nous avons récemment sorti KSV 3.0. Et nous pouvons vraiment nous réjouir.

Premièrement, en plus de VMware, nous supportons désormais Citrix XenServer et Microsoft Hyper-V.

Deuxièmement, en plus de la solution sans agent pour VMware, il existe désormais une solution pour les trois plateformes grâce à Light Agent !

De plus, tous les produits sont gérés et contrôlés depuis une unique console, ce qui est particulièrement important pour les environnements à plusieurs hyperviseurs – afin de ne pas créer tout un bazar de consoles.

Dans quelle situation utiliser chacune des trois approches ?

Eh bien, généralement, pour choisir une protection, vous devrez suivre le raisonnement suivant :

Pour la protection maximale d’un système d’exploitation Windows un agent léger est nécessaire. Sur d’autres systèmes d’exploitation (Linux, OS X) – une solution de sécurité endpoint est mieux. Néanmoins, l’application est limité pour des raisons de productivité et pour assurer l’interaction de l’antivirus avec l’environnement virtuel lui-même.

Kaspersky Security for Virtualization supporte désormais VMware, Citrix Xen et MS Hyper-V et peut être sans agent ou light agent

Nous travaillons actuellement à des versions de Light Agent pour d’autres systèmes d’exploitation. En attendant, si la productivité est critique, la valeur des données et celle du service ne seront pas hautes, et que l’accès aux données en dehors de l’organisation est limité – dans ce cas, une solution sans agent est adaptée.

Nous avons analysé certaines tâches d’application typiques et avons créé ce curieux tableau :

04-06-2014 13-37-13

* – Valeur des données – Dépend de la quantité de données critiques personnelles, financières, commerciales et autres.

** – Valeur du service – Évalué selon l’importance des services ininterrompus de l’entreprise

Le tableau ci-dessous n’est pas exhaustif et ne représente pas de manière très précise comment les trois approches sont adaptées aux différents environnements. Changement d’organisation, changement de priorités, changement de budget… Le but de ce tableau est de communiquer le modèle de menaces et la méthodologie pour définir les tâches et les priorités. Plus de détails disponibles ici et ici (PDF).

LIRE LES COMMENTAIRES 0
Laisser un commentaire
Facebook

février 27, 2024

Les récompenses ne sont jamais trop nombreuses. Surtout si elles sont européennes !

Bonjour à tous… depuis l’Autriche ! Mais je n’y suis pas allé que pour admirer depuis ma fenêtre le temps morne qu’il fait en Europe. J’y étais pour les affaires – pour faire beaucoup de choses. Mais surtout pour recevoir ça moi-même ! -> … Parce que quand votre entreprise reçoit une récompense qui n’est […]

juin 27, 2023

Experts en cybersécurité : le SAS est de retour et en présentiel !

Trompettes, roulements de tambour, applaudissements, cris d’encouragement, sifflements… ! Par cet acte, j’ai deux nouvelles à vous annoncer : une bonne, et une autre encore meilleure ! Tout d’abord, cette année nous allons organiser la 15ème édition de notre conférence annuelle de cybersécurité : le Security Analyst Summit (SAS). Quinze ? Incroyable, le temps passe si vite ! Ensuite, nous pouvons […]

janvier 19, 2023

Analyse de 2022 : nos brevets ont connu un franc succès !

L’invention de nouvelles technologies de pointe ne représente que la moitié du travail. Attendez, non ! Je ne devrai pas être pas si catégorique… Les nouvelles technologies d’avant-garde et révolutionnaires sont en réalité un cycle de vie probablement beaucoup plus complexe et long que ce que la majorité des gens pensent au premier abord. Évidemment, si […]

novembre 11, 2022

11 / 11 : ce qui s’est passé ces vingt dernières années !

Mesdames et messieurs ! Et tout à coup, nous avons un nouveau jubilé. Hourra ! Notre système d’exploitation cyber-immunisé, KasperskyOS est actuellement… Attendez ! Non, ce n’est pas exact… Il y a exactement 20 ans, le 11 novembre 2002, nous avons entamé un long voyage extrêmement important : un voyage que nous n’avons toujours pas terminé. Un vaste projet […]

juillet 21, 2022

Cyber-histoires du côté obscur (et d’autres positives) : un piratage audacieux de cryptomonnaie, K s’intéresse aux technologies neuromorphiques et comment entrer dans un centre de données depuis… les toilettes !

Bonjour à tous ! Pour ceux qui gagnent leur pain à la sueur de leur front, ceux qui n’ont pas encore la chance d’être partis en désintoxication numérique vacances, voici quelques cyber-actualités croustillantes pour éviter que votre cerveau ne surchauffe. Il s’agit évidemment d’histoires du côté obscur, mais aussi positives, incroyables et difficiles à croire dans […]

juillet 5, 2022

Un Kart de siècle ? Où le temps est-il passé ?!…

Salut à tous ! Il y a 25 ans et neuf jours, le 26 juin 1997, l’entreprise qui porte le même nom que moi a été inscrite aux registres. Il s’agissait de  » débuts modestes « , littéralement : une douzaine de personnes avec un taux de rotation nul – mais avec une expertise technique particulière, et des projets […]

Plus

Carnet de voyage vidéo