Weitere ähnliche Inhalte Ähnlich wie Sécurité et Virtualisation IDC Ähnlich wie Sécurité et Virtualisation IDC (20) Sécurité et Virtualisation IDC1. A N A L Y S E T E C H N O L O G I Q U E
I D C
Repenser la sécurité dans les environnements
virtualisés
Avril 2012
Adapté de la publication Market Analysis Perspective: Enterprise Virtualization Software –
Mainstream Adoption of Virtualization to Enable Cloud and Mobility, 2011 and Beyond, Gary Chen,
IDC n° 227532
Sponsorisé par Kaspersky Lab
Cette analyse technologique se propose d'explorer les avantages de l'application d'une méthode
sans agent, basée sur un hyperviseur Endpoint ; et d'examiner la contribution de Kaspersky Security
for Virtualization au renforcement de la sécurité sur les plates-formes VMware.
Introduction
La première phase de la virtualisation a porté sur le test et le développement du principe de
consolidation des charges de travail par plusieurs machines virtuelles, sur un seul serveur physique.
Démarrée véritablement en 2005, cette activité s'est accélérée au fur et à mesure de l'évolution des
technologies de virtualisation.
Dès 2008, la virtualisation 2.0, la deuxième génération de ces technologies visant à consolider les
applications de production, commençait à voir le jour. Parallèlement, le secteur informatique assistait
à l'introduction de fonctionnalités dynamiques telles que la migration en direct, ainsi qu'à une
extension des cas d'utilisation de la virtualisation à haute disponibilité. La virtualisation s'est ensuite
progressivement propagée aux ordinateurs de bureau avec l'introduction de la technologie VDI
(infrastructure de virtualisation des postes de travail) qui permet aujourd'hui de les consolider sur des
serveurs utilisés comme machines virtuelles.
Aujourd'hui, les entreprises informatiques s'apprêtent à aborder une troisième phase, la virtualisation
3.0, qui s'inspire du Cloud pour renforcer la virtualisation et assurer une gestion automatisée des
déploiements internes. Cette troisième génération repousse les limites de la virtualisation au-delà des
simples hyperviseurs et des serveurs. Moteur de l'avènement de l'ère 3.0, la virtualisation des
serveurs a révolutionné chacun des aspects du centre de données, tels que le stockage, la mise en
réseau, la sécurité et la gestion. Aujourd'hui, la réussite d'un déploiement d'une solution de
virtualisation implique une approche globale et une vision de bout en bout de la virtualisation.
Il ne fait aucun doute que la virtualisation s'est désormais imposée comme la référence. Les données
publiées par IDC montrent en effet que la majorité des déploiements de serveurs actuels reposent
sur un processus de virtualisation:
La virtualisation a d'ores et déjà éclipsé les serveurs physiques dans le cadre des nouveaux
déploiements, la transition en faveur des machines virtuelles s'étant opérée dès la fin de l'année
2009. D'ici 2014, IDC prévoit même un ratio supérieur à 2:1 (voir l'illustration 1).
À la fin de l'année 2010, plus de la moitié de l'ensemble des machines de travail installées étaient
virtualisées. IDC prévoit que cette part aura dépassé les deux tiers des installations d'ici 2013.
IDC 1275
2. Plus de 75 % des clients de solutions de virtualisation ont mis en place une politique privilégiant
les pratiques de virtualisation.
Illustration 1
Prévisions des expéditions des Serveurs de Virtualization 2005-2014
1.4M MV 18.4M MV
20,000,000
18,000,000
16,000,000
14,000,000
Traverse MV
12,000,000
10,000,000 MV
Serveurs autonomes
8,000,000
Hotes phisiques
6,000,000
4,000,000
2,000,000
0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
Source: Virtualisation de serveur MCS 2010
La virtualisation a un impact direct sur toutes les décisions relatives au centre
de données
La virtualisation a ,non seulement, eu des effets sur tous les aspects du système informatique du
centre de données mais a ,également, profondément modifié le modèle de la couche informatique
sous-jacente:
Si la consolidation des machines de travail implique le partage de ressources, elle introduit
néanmoins de nouveaux problèmes concernant la définition des priorités et la gestion des
services.
Les machines virtuelles sont certes des « objets logiciels » dont la simplicité de création et de
suppression permet la mise en place de fonctionnalités avancées telles que l'évolutivité
élastique, mais des problèmes de multiplication des machines virtuelles peuvent survenir si les
processus informatiques ne sont pas suivis.
Il est possible de déplacer les machines virtuelles de façon dynamique d'un serveur à un autre et
d'un périphérique de stockage à un autre, instantanément. Or, une grande partie des solutions
actuelles n'ont tout simplement pas été conçues pour cet environnement dynamique.
Les machines virtuelles sont simplement stockées sous forme de fichiers sur un disque, et non
installées à nu sur un disque ou un serveur. Par conséquent, les machines virtuelles peuvent être
gérées facilement à l'aide d'outils de gestion de fichiers standards, mais cela implique également
qu'elles puissent rester stockées indéfiniment sur un disque hors ligne, jusqu'à devenir obsolètes
car les mises à jour et correctifs ne leur ont pas été appliqués.
2 ©2012 IDC
3. Les postes de travail virtualisés modifient fondamentalement le modèle informatique de
l'environnement de bureau. Ils s'exécutent désormais sur des serveurs et des systèmes de
stockage installés dans des centres de données en tant que machines virtuelles consolidées sur
un hyperviseur. Les terminaux n'ont besoin que des fonctionnalités limitées d'un client léger pour
se connecter à la machine virtuelle basée sur un serveur. Les postes de travail déployés de cette
façon sont confrontés aux difficultés citées plus haut, qui concernent toutes les images basées
sur serveur. Cette méthode pose par ailleurs de nouvelles problématiques car les schémas des
charges de travail des postes de travail virtualisés sont très éloignés de ceux des serveurs. Ainsi,
le fameux « boot storm », ou « démarrage simultané des ordinateurs de bureau par tous les
employés chaque matin », pose un nouveau défi.
Le stockage et la gestion des systèmes furent dans un premier temps les deux domaines les plus
directement touchés par la virtualisation. Alors que nous avançons dans l'ère 3.0 du Cloud, d'autres
aspects sont désormais également concernés, comme la mise en réseau et la sécurité.
Les préoccupations en matière de sécurité dans un monde virtualisé
Les bénéfices de la virtualisation peuvent éclipser les problèmes de sécurité. Or, la consolidation des
serveurs peut aussi concentrer les risques liés aux logiciels malveillants. Étant donné l'ampleur de
ces environnements, il est indispensable d'intégrer la sécurité virtualisée de façon transparente à la
gestion des serveurs et des terminaux.
Selon IDC, il est impossible de gérer ou de sécuriser ce que l'on ne voit pas. Les entreprises doivent
donc envisager la mise en place d'une plate-forme de sécurité et de gestion unifiée pour l'ensemble
de leurs environnements virtuels, physiques et mobiles afin d'assurer une gestion efficace des
risques et de consolider les tâches administratives.
La virtualisation a profondément bouleversé les concepts sur lesquels reposait l'approche classique
de protection contre les programmes malveillants basée sur agent, provoquant les effets significatifs
suivants:
L'effet de consolidation de la virtualisation a entraîné une duplication de l'agent sur chaque
machine virtuelle du serveur hôte et entravé du même coup l'efficacité de l'utilisation des
ressources.
Étant donné que chaque agent est exécuté indépendamment, il n'existe aucune coordination
entre eux. Résultat : plusieurs agents installés sur un serveur hôte risquent de lancer
simultanément des mises à jour de signatures ou des analyses antivirus, asphyxiant ainsi les
ressources et perturbant le fonctionnement d'autres machines virtuelles sur l'hôte. Ces scénarios
sont plus connus sous le nom de « blitz antivirus ».
Les machines virtuelles utilisent généralement des modèles, dont l'absence d'encadrement à la
création a pour effet leur prolifération. Les agents doivent être insérés dans chaque modèle et les
services informatiques doivent veiller à l'intégration des agents dans le processus de création
des modèles. Le processus de modélisation étant relativement difficile à contrôler, il arrive que
les machines virtuelles ne soient pas protégées lorsque l'installation des agents a échoué.
Sur les machines virtuelles existantes ne disposant pas d'un agent pour une raison quelconque,
l'agent doit être installé après la création. Il est ainsi parfois difficile d'identifier les machines
virtuelles sans agent (d'autant plus que certaines d'entre elles peuvent être hors ligne), puis d'y
installer l'agent.
À supposer qu'elles possèdent un agent, les machines virtuelles hors ligne ne sont pas en
mesure d'effectuer les mises à jour elles-mêmes, ce qui risque d'entraîner l'obsolescence des
©2012 IDC 3
4. signatures antivirus et des agents. Lorsque ces machines virtuelles sont de nouveau en ligne,
leur protection n'est pas assurée intégralement pendant un laps de temps.
L'émergence de portails de virtualisation en libre-service a simplifié et accéléré la création de
machines virtuelles tout en entraînant l'exécution d'un nombre sans précédent de serveurs
logiques. Le nombre d' « objets logiciels » (agents de sécurité compris) à gérer n'a, du coup,
jamais été aussi élevé.
Les avantages d'une approche sans agent
Le concept de sécurité sans agent basé sur un hyperviseur a été introduit par VMware en 2009 grâce
aux API VMSafe commercialisées avec vSphere 4. Ces API sont toujours prises en charge dans la
dernière version de vSphere 5 bien qu'elles soient devenues obsolètes et qu'elles aient été
remplacées par les API vShield. Ces dernières prennent la forme de trois composants offrant chacun
des fonctionnalités différentes en matière de sécurité : EndPoint, Edge et App. La présente analyse
se propose d'étudier le produit et l'API vShield Endpoint.
Déployée en tant qu'appliance virtuelle, cette machine virtuelle de sécurité est en mesure de
surveiller les autres machines virtuelles exécutées sur le serveur, comme les fichiers et la mémoire,
grâce aux API vShield de l'hyperviseur.
L'adoption de cette approche sans agent basée sur l'hyperviseur résout les problèmes de sécurité
suivants dans les environnements virtualisés:
Les machines virtuelles exécutées sur l'hôte sont toujours protégées. Il n'est pas nécessaire
d'intégrer les agents dans le processus de création de modèle ou de machine virtuelle ni de les
installer a posteriori.
Les ressources sont utilisées plus efficacement. Une seule instance du système d'analyse des
programmes malveillants par serveur suffit à protéger toutes les machines virtuelles qui y sont
installées. La duplication d'agents sur chaque machine virtuelle est inutile.
Les machines virtuelles hors ligne sont toujours intégralement protégées lorsqu'elles sont mises
en ligne. L'appliance virtuelle de sécurité est toujours en ligne et à jour. Cette protection s'étend
immédiatement à chaque machine virtuelle, sans délai dû à l'obtention d'une signature ou à la
mise à jour des agents.
Les blitz antivirus sont éliminés. Toutes les activités d'analyse et de mise à jour sont consolidées
et coordonnées en une seule instance sur chaque hôte de virtualisation.
Pleins phares sur Kaspersky Security for Virtualization
Kaspersky Security for Virtualization est une solution de protection contre les programmes
malveillants sans agent conçue spécifiquement pour les environnements virtualisés, grâce à son
intégration avec vShield Endpoint.
Ses principales fonctionnalités comprennent, entre autres:
Intégration avec VMware vShield Endpoint pour une protection sans agent consolidée de toutes
les machines virtuelles sur un hôte vSphere ou View, qu'il s'agisse de serveurs ou d'ordinateurs
de bureau.
Utilisation du moteur antivirus de Kaspersky et mises à jour régulières de signatures d'une
grande précision pour une détection efficace. Connu pour son faible impact sur les performances,
le moteur Kaspersky a l'avantage de nécessiter très peu de ressources. Un processus
d'élimination bloque et supprime les programmes malveillants et en informe les administrateurs.
4 ©2012 IDC
5. Exécution d'analyses manuelles (à la demande) ou programmées par les administrateurs sur les
machines virtuelles. La mise en mémoire cache permet d'éviter une double analyse des fichiers
déjà vérifiés, ce qui renforce encore l'efficacité des analyses.
Kaspersky Security for Virtualization comprend également les fonctionnalités de déploiement
d'entreprise, de gestion et d'intégration VMware suivantes:
Mise à disposition de la solution en tant qu'appliance virtuelle pour un déploiement simplifié sans
installation d'un système d'exploitation ni d'applications.
Console de gestion centralisée exploitant la solution Kaspersky Security Center 9.0, permettant
de visualiser les environnements virtualisés, physiques et mobiles sur un même écran et de
générer des rapports.
Intégration à vCenter pour une présentation des informations avec les regroupements de clusters
et les pools de ressources VMware.
Mise à disposition de profils de sécurité différents en fonction des groupes de machines virtuelles
et suivi de la machine virtuelle par les politiques même en cas d'utilisation de vMotion.
Les défis en matière de sécurité dans les environnements virtualisés
Si la tendance est clairement à la virtualisation, les clients affichent encore des incertitudes lorsqu'il
s'agit d'adapter la sécurité aux environnements virtualisés. Les technologies telles que vShield
Endpoint étant pour l'instant encore très récentes, de nombreux clients n'ont pas pris conscience de
la disponibilité d'une nouvelle approche, ni des limites de leurs solutions de sécurité héritées et
importées.
Les API vShield sont par ailleurs encore en phase de maturation. Kaspersky, comme tous les
partenaires vShield dans ce domaine, doit se limiter à ce que proposent actuellement les API
VMware. Kaspersky s'appuie également sur de nombreuses autres technologies en matière de
sécurité, comme les systèmes de protection contre les enregistreurs de frappe ou de protection Web
qui ne peuvent pas être intégrés en raison des limites actuelles des API vShield. VMware travaille en
collaboration avec ses partenaires de sécurité pour faire évoluer les API dans le but de fournir des
fonctionnalités supplémentaires.
Enfin, vShield Endpoint étant uniquement compatible avec les machines virtuelles Windows, les
autres systèmes d'exploitation ne laissent d'autre choix que d'appliquer une approche basée sur
agent.
Conclusion
La sécurité est souvent le parent pauvre des stratégies de virtualisation actuelles. Néanmoins, il suffit
d'observer l'évolution du marché pour comprendre que la virtualisation entraîne un grand nombre de
changements dans l'ensemble des centres de données, ordinateurs de bureau compris, et que la
sécurité ne fait pas exception à la règle.
Les nouvelles API vShield basées sur l'hyperviseur (qui assurent une protection sans agent contre
les programmes malveillants à partir de produits comme Kaspersky Security for Virtualization) sont
en mesure de résoudre un grand nombre de problèmes de plus en plus visibles lors de l'utilisation de
solutions traditionnelles, basées sur agent, dans des environnements virtualisés. À mesure que les
déploiements de solutions de virtualisation gagnent en ampleur et en complexité et s'inscrivent dans
le cadre d'initiatives de virtualisation d'ordinateurs de bureau et de Cloud privés et publics de plus
grande envergure, les architectures de sécurité doivent être repensées et mises en œuvre
différemment, pour s'adapter à des centres de données de plus en plus virtualisés et dynamiques.
©2012 IDC 5
6. La capacité à gérer tous les terminaux protégés de manière centralisée, qu'ils soient physiques,
virtuels ou mobiles, ne doit pas non plus être sous-estimée. La solution Kaspersky Security Center
9.0 offre ce type de visibilité et permet ainsi à Kaspersky d'occuper une place de choix sur le marché
actuel de la virtualisation.
A P R O P O S D E C E T T E P U B L I C A T I O N
Cette publication a été rédigée par les services de commercialisation d'IDC. Sauf indication d'un programme de partenariat
spécifique, les opinions, les analyses et les conclusions des recherches présentées dans ce document reposent sur des
études et des travaux de recherche plus détaillés menés et publiés en toute indépendance par IDC. Les services de
commercialisation d'IDC diffusent les contenus IDC dans une grande variété de formats pour permettre leur distribution par de
nombreuses entreprises. L'octroi d'une licence pour la distribution de contenu IDC n'implique en aucun cas un soutien à son
détenteur ni l'expression d'une opinion à son sujet.
D R O I T D ' A U T E U R E T R E S T R I C T I O N S
L'utilisation de toute information appartenant à IDC ou de toute référence à IDC dans une publicité, un communiqué de presse
ou un support promotionnel doit faire l'objet d'un accord écrit préalable de la part d'IDC. Pour toute demande d'autorisation,
veuillez appeler la ligne téléphonique d'informations de commercialisation au numéro +1 508 988 7610 ou envoyer un e-mail à
l'adresse gms@idc.com. La traduction et/ou la localisation de ce document nécessite l'obtention d'une licence supplémentaire
auprès d'IDC.
Pour plus d'informations sur IDC, veuillez consulter le site www.idc.com. Pour plus d'informations sur les services de
commercialisation d'IDC, veuillez consulter le site www.idc.com/gms.
Pour plus d'informations sur IDC visitez le site web www.idc.com. Pour plus d'informations sur les GMS IDC visitez
www.idc.com /gms.
Siège mondial: 5, rue Speen Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com
6 ©2012 IDC