mai 13, 2014
Trois manières de protéger les machines virtuelles
Protéger ou ne pas protéger les machines virtuelles – c’était la question que nombreux se posaient. Mais la réponse à toujours été la même : protéger.
La question la plus cruciale est comment les protéger.
J’ai déjà écrit pas mal sur le concept des antivirus sans agent pour VMware. Mais les technologies changent, elles avancent sans cesse. Alors que la virtualisation se développe et que de plus en plus d’organisations en constatent les avantages évidents, de plus en plus d’applications apparaissent, ce qui engendre une augmentation de la demande de protection spécifique.
Il existe évidemment une approche de sécurité conçue spécialement pour les machines virtuelles, un autre type de protection adapté aux bases de données, une autre pour les sites Web, etc. Ensuite, il y a le fait que les antivirus sans agent ne sont pas la seule manière d’envisager la protection et que VMware n’est pas la seule plateforme de virtualisation, même si c’est la plus populaire.
Mais alors qu’elles sont les alternatives en matière de sécurité ?
Agentless
Donc brièvement, juste un peu de « précédemment sur le blog d’Eugène Kaspersky », car cela a déjà été suffisamment expliqué en détail avant (ici)…
Cette approche implique l’utilisation d’une machine virtuelle dotée d’un moteur antivirus. Cette machine réalise l’analyse antivirus sur le reste de l’infrastructure virtuelle en se connectant aux autres machines virtuelles grâce à la technologie vShield de VMware. vShield interagit aussi avec le système de gestion de l’antivirus, il connait donc la configuration et les règles mises en place, quand allumer et éteindre la protection, comment l’optimiser, etc.
Security Virtual Appliance protège toutes les autres machines virtuelles
Cela semble être une panacée, mais le concept sans agent diffère à un élément prêt : la fonctionnalité antivirus est limitée, l’interface de vShield permet seulement une analyse basique des fichiers. C’est à dire, elle renonce aux technologies suivantes : contrôle des applications, surveillance du système, liste blanche, heuristique, contrôle des appareils et contrôle Web. D’ailleurs, il s’avère que l’analyse des fichiers est également restreinte : aucune quarantaine pour les fichiers suspects et il n’est pas possible d’accéder à la mémoire ou aux processus des machines.
Mais vShield n’a pas été conçue pour être une interface complète permettant toutes les fonctionnalités de protection. Elle peut toujours être utilisée (je parlerai de cela davantage plus tard), mais il existe une autre manière, dans laquelle toutes les autres fonctionnalités de protection peuvent être appliquées…
… voici Light Agent
Avec cette approche, un agent (appelé Light Agent) léger (n’utilise pas beaucoup de ressources, petit) est installé sur chaque machine virtuelle. Cet agent remplace vShield et connecte la machine virtuelle au moteur antivirus qui réside dans Security Virtual Appliance.
Nous supprimons alors les limites de l’interface de VMware en ajoutant l’arsenal complet de nos technologies de défense. En même temps, nous gardons les avantages de cette approche sans agent : un appétit modéré pour les ressources, maniabilité et stabilité contre les « tempêtes » (des bouchons causés par les mises à jour simultanées de bases de données antivirus ou l’analyse de malwares sur plusieurs machines).
Security Virtual Appliance protège toutes les autres machines virtuelles (tout comme Agentless) + Une petite application « légère » sur chaque machine virtuelle donnant un accès complet à toutes les technologies de sécurité
Malgré son nom, Light Agent sera toujours plus « lourd » qu’une solution sans agent, car il requiert de la mémoire sur chaque machine virtuelle, de la puissance de calcul et d’autres ressources. Néanmoins, avec la super puissance des ordinateurs de nos jours, l’appétit de Light Agent est relativement maigre. Et autre bonus : certaines tâches antivirus standard utilisant cette approche peuvent être réalisées plus rapidement que sans agent. Mais le plus important est que, étant donnée l’augmentation de la qualité de la protection, Light Agent devient un sérieux concurrent.
Mais que se passe-t-il si vous voulez protéger des données sur des machines virtuelles qui ne disposent pas de Windows et profiter pleinement de toutes les technologies de protection, y compris de la cryptographie ? C’est là que ….
….nous avons besoin des systèmes de sécurité endpoint traditionnels.
Il sera bien évidemment difficile de mettre en place une telle installation étant donné l’étendue d’une telle infrastructure virtuelle, ainsi que la maintenance nécessaire à une telle solution : davantage de ressources humaines seraient nécessaires, mais une telle approche peut parfois être appropriée.
Chaque MV dispose de sa propre protection installée
Ok, assez parlé théorie, passons à la pratique…
// En même temps, j’en profiterai pour modestement promouvoir la nouvelle version de nos produit pour les environnements virtuels.
Nous avons récemment sorti KSV 3.0. Et nous pouvons vraiment nous réjouir.
Premièrement, en plus de VMware, nous supportons désormais Citrix XenServer et Microsoft Hyper-V.
Deuxièmement, en plus de la solution sans agent pour VMware, il existe désormais une solution pour les trois plateformes grâce à Light Agent !
De plus, tous les produits sont gérés et contrôlés depuis une unique console, ce qui est particulièrement important pour les environnements à plusieurs hyperviseurs – afin de ne pas créer tout un bazar de consoles.
Dans quelle situation utiliser chacune des trois approches ?
Eh bien, généralement, pour choisir une protection, vous devrez suivre le raisonnement suivant :
Pour la protection maximale d’un système d’exploitation Windows un agent léger est nécessaire. Sur d’autres systèmes d’exploitation (Linux, OS X) – une solution de sécurité endpoint est mieux. Néanmoins, l’application est limité pour des raisons de productivité et pour assurer l’interaction de l’antivirus avec l’environnement virtuel lui-même.
Nous travaillons actuellement à des versions de Light Agent pour d’autres systèmes d’exploitation. En attendant, si la productivité est critique, la valeur des données et celle du service ne seront pas hautes, et que l’accès aux données en dehors de l’organisation est limité – dans ce cas, une solution sans agent est adaptée.
Nous avons analysé certaines tâches d’application typiques et avons créé ce curieux tableau :
* – Valeur des données – Dépend de la quantité de données critiques personnelles, financières, commerciales et autres.
** – Valeur du service – Évalué selon l’importance des services ininterrompus de l’entreprise
Le tableau ci-dessous n’est pas exhaustif et ne représente pas de manière très précise comment les trois approches sont adaptées aux différents environnements. Changement d’organisation, changement de priorités, changement de budget… Le but de ce tableau est de communiquer le modèle de menaces et la méthodologie pour définir les tâches et les priorités. Plus de détails disponibles ici et ici (PDF).