Your SlideShare is downloading. ×
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDC
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sécurité et Virtualisation IDC

643

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
643
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. A N A L Y S E T E C H N O L O G I Q U EI D CRepenser la sécurité dans les environnementsvirtualisésAvril 2012Adapté de la publication Market Analysis Perspective: Enterprise Virtualization Software –Mainstream Adoption of Virtualization to Enable Cloud and Mobility, 2011 and Beyond, Gary Chen,IDC n° 227532Sponsorisé par Kaspersky LabCette analyse technologique se propose dexplorer les avantages de lapplication dune méthodesans agent, basée sur un hyperviseur Endpoint ; et dexaminer la contribution de Kaspersky Securityfor Virtualization au renforcement de la sécurité sur les plates-formes VMware.IntroductionLa première phase de la virtualisation a porté sur le test et le développement du principe deconsolidation des charges de travail par plusieurs machines virtuelles, sur un seul serveur physique.Démarrée véritablement en 2005, cette activité sest accélérée au fur et à mesure de lévolution destechnologies de virtualisation.Dès 2008, la virtualisation 2.0, la deuxième génération de ces technologies visant à consolider lesapplications de production, commençait à voir le jour. Parallèlement, le secteur informatique assistaità lintroduction de fonctionnalités dynamiques telles que la migration en direct, ainsi quà uneextension des cas dutilisation de la virtualisation à haute disponibilité. La virtualisation sest ensuiteprogressivement propagée aux ordinateurs de bureau avec lintroduction de la technologie VDI(infrastructure de virtualisation des postes de travail) qui permet aujourdhui de les consolider sur desserveurs utilisés comme machines virtuelles.Aujourdhui, les entreprises informatiques sapprêtent à aborder une troisième phase, la virtualisation3.0, qui sinspire du Cloud pour renforcer la virtualisation et assurer une gestion automatisée desdéploiements internes. Cette troisième génération repousse les limites de la virtualisation au-delà dessimples hyperviseurs et des serveurs. Moteur de lavènement de lère 3.0, la virtualisation desserveurs a révolutionné chacun des aspects du centre de données, tels que le stockage, la mise enréseau, la sécurité et la gestion. Aujourdhui, la réussite dun déploiement dune solution devirtualisation implique une approche globale et une vision de bout en bout de la virtualisation.Il ne fait aucun doute que la virtualisation sest désormais imposée comme la référence. Les donnéespubliées par IDC montrent en effet que la majorité des déploiements de serveurs actuels reposentsur un processus de virtualisation: La virtualisation a dores et déjà éclipsé les serveurs physiques dans le cadre des nouveaux déploiements, la transition en faveur des machines virtuelles sétant opérée dès la fin de lannée 2009. Dici 2014, IDC prévoit même un ratio supérieur à 2:1 (voir lillustration 1). À la fin de lannée 2010, plus de la moitié de lensemble des machines de travail installées étaient virtualisées. IDC prévoit que cette part aura dépassé les deux tiers des installations dici 2013.IDC 1275
  • 2.  Plus de 75 % des clients de solutions de virtualisation ont mis en place une politique privilégiant les pratiques de virtualisation. Illustration 1 Prévisions des expéditions des Serveurs de Virtualization 2005-2014 1.4M MV 18.4M MV 20,000,000 18,000,000 16,000,000 14,000,000 Traverse MV 12,000,000 10,000,000 MV Serveurs autonomes 8,000,000 Hotes phisiques 6,000,000 4,000,000 2,000,000 0 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 Source: Virtualisation de serveur MCS 2010La virtualisation a un impact direct sur toutes les décisions relatives au centrede donnéesLa virtualisation a ,non seulement, eu des effets sur tous les aspects du système informatique ducentre de données mais a ,également, profondément modifié le modèle de la couche informatiquesous-jacente: Si la consolidation des machines de travail implique le partage de ressources, elle introduit néanmoins de nouveaux problèmes concernant la définition des priorités et la gestion des services. Les machines virtuelles sont certes des « objets logiciels » dont la simplicité de création et de suppression permet la mise en place de fonctionnalités avancées telles que lévolutivité élastique, mais des problèmes de multiplication des machines virtuelles peuvent survenir si les processus informatiques ne sont pas suivis. Il est possible de déplacer les machines virtuelles de façon dynamique dun serveur à un autre et dun périphérique de stockage à un autre, instantanément. Or, une grande partie des solutions actuelles nont tout simplement pas été conçues pour cet environnement dynamique. Les machines virtuelles sont simplement stockées sous forme de fichiers sur un disque, et non installées à nu sur un disque ou un serveur. Par conséquent, les machines virtuelles peuvent être gérées facilement à laide doutils de gestion de fichiers standards, mais cela implique également quelles puissent rester stockées indéfiniment sur un disque hors ligne, jusquà devenir obsolètes car les mises à jour et correctifs ne leur ont pas été appliqués. 2 ©2012 IDC
  • 3.  Les postes de travail virtualisés modifient fondamentalement le modèle informatique de lenvironnement de bureau. Ils sexécutent désormais sur des serveurs et des systèmes de stockage installés dans des centres de données en tant que machines virtuelles consolidées sur un hyperviseur. Les terminaux nont besoin que des fonctionnalités limitées dun client léger pour se connecter à la machine virtuelle basée sur un serveur. Les postes de travail déployés de cette façon sont confrontés aux difficultés citées plus haut, qui concernent toutes les images basées sur serveur. Cette méthode pose par ailleurs de nouvelles problématiques car les schémas des charges de travail des postes de travail virtualisés sont très éloignés de ceux des serveurs. Ainsi, le fameux « boot storm », ou « démarrage simultané des ordinateurs de bureau par tous les employés chaque matin », pose un nouveau défi.Le stockage et la gestion des systèmes furent dans un premier temps les deux domaines les plusdirectement touchés par la virtualisation. Alors que nous avançons dans lère 3.0 du Cloud, dautresaspects sont désormais également concernés, comme la mise en réseau et la sécurité.Les préoccupations en matière de sécurité dans un monde virtualiséLes bénéfices de la virtualisation peuvent éclipser les problèmes de sécurité. Or, la consolidation desserveurs peut aussi concentrer les risques liés aux logiciels malveillants. Étant donné lampleur deces environnements, il est indispensable dintégrer la sécurité virtualisée de façon transparente à lagestion des serveurs et des terminaux.Selon IDC, il est impossible de gérer ou de sécuriser ce que lon ne voit pas. Les entreprises doiventdonc envisager la mise en place dune plate-forme de sécurité et de gestion unifiée pour lensemblede leurs environnements virtuels, physiques et mobiles afin dassurer une gestion efficace desrisques et de consolider les tâches administratives.La virtualisation a profondément bouleversé les concepts sur lesquels reposait lapproche classiquede protection contre les programmes malveillants basée sur agent, provoquant les effets significatifssuivants: Leffet de consolidation de la virtualisation a entraîné une duplication de lagent sur chaque machine virtuelle du serveur hôte et entravé du même coup lefficacité de lutilisation des ressources. Étant donné que chaque agent est exécuté indépendamment, il nexiste aucune coordination entre eux. Résultat : plusieurs agents installés sur un serveur hôte risquent de lancer simultanément des mises à jour de signatures ou des analyses antivirus, asphyxiant ainsi les ressources et perturbant le fonctionnement dautres machines virtuelles sur lhôte. Ces scénarios sont plus connus sous le nom de « blitz antivirus ». Les machines virtuelles utilisent généralement des modèles, dont labsence dencadrement à la création a pour effet leur prolifération. Les agents doivent être insérés dans chaque modèle et les services informatiques doivent veiller à lintégration des agents dans le processus de création des modèles. Le processus de modélisation étant relativement difficile à contrôler, il arrive que les machines virtuelles ne soient pas protégées lorsque linstallation des agents a échoué. Sur les machines virtuelles existantes ne disposant pas dun agent pour une raison quelconque, lagent doit être installé après la création. Il est ainsi parfois difficile didentifier les machines virtuelles sans agent (dautant plus que certaines dentre elles peuvent être hors ligne), puis dy installer lagent. À supposer quelles possèdent un agent, les machines virtuelles hors ligne ne sont pas en mesure deffectuer les mises à jour elles-mêmes, ce qui risque dentraîner lobsolescence des©2012 IDC 3
  • 4. signatures antivirus et des agents. Lorsque ces machines virtuelles sont de nouveau en ligne, leur protection nest pas assurée intégralement pendant un laps de temps. Lémergence de portails de virtualisation en libre-service a simplifié et accéléré la création de machines virtuelles tout en entraînant lexécution dun nombre sans précédent de serveurs logiques. Le nombre d « objets logiciels » (agents de sécurité compris) à gérer na, du coup, jamais été aussi élevé.Les avantages dune approche sans agentLe concept de sécurité sans agent basé sur un hyperviseur a été introduit par VMware en 2009 grâceaux API VMSafe commercialisées avec vSphere 4. Ces API sont toujours prises en charge dans ladernière version de vSphere 5 bien quelles soient devenues obsolètes et quelles aient étéremplacées par les API vShield. Ces dernières prennent la forme de trois composants offrant chacundes fonctionnalités différentes en matière de sécurité : EndPoint, Edge et App. La présente analysese propose détudier le produit et lAPI vShield Endpoint.Déployée en tant quappliance virtuelle, cette machine virtuelle de sécurité est en mesure desurveiller les autres machines virtuelles exécutées sur le serveur, comme les fichiers et la mémoire,grâce aux API vShield de lhyperviseur.Ladoption de cette approche sans agent basée sur lhyperviseur résout les problèmes de sécuritésuivants dans les environnements virtualisés: Les machines virtuelles exécutées sur lhôte sont toujours protégées. Il nest pas nécessaire dintégrer les agents dans le processus de création de modèle ou de machine virtuelle ni de les installer a posteriori. Les ressources sont utilisées plus efficacement. Une seule instance du système danalyse des programmes malveillants par serveur suffit à protéger toutes les machines virtuelles qui y sont installées. La duplication dagents sur chaque machine virtuelle est inutile. Les machines virtuelles hors ligne sont toujours intégralement protégées lorsquelles sont mises en ligne. Lappliance virtuelle de sécurité est toujours en ligne et à jour. Cette protection sétend immédiatement à chaque machine virtuelle, sans délai dû à lobtention dune signature ou à la mise à jour des agents. Les blitz antivirus sont éliminés. Toutes les activités danalyse et de mise à jour sont consolidées et coordonnées en une seule instance sur chaque hôte de virtualisation.Pleins phares sur Kaspersky Security for VirtualizationKaspersky Security for Virtualization est une solution de protection contre les programmesmalveillants sans agent conçue spécifiquement pour les environnements virtualisés, grâce à sonintégration avec vShield Endpoint.Ses principales fonctionnalités comprennent, entre autres: Intégration avec VMware vShield Endpoint pour une protection sans agent consolidée de toutes les machines virtuelles sur un hôte vSphere ou View, quil sagisse de serveurs ou dordinateurs de bureau. Utilisation du moteur antivirus de Kaspersky et mises à jour régulières de signatures dune grande précision pour une détection efficace. Connu pour son faible impact sur les performances, le moteur Kaspersky a lavantage de nécessiter très peu de ressources. Un processus délimination bloque et supprime les programmes malveillants et en informe les administrateurs. 4 ©2012 IDC
  • 5.  Exécution danalyses manuelles (à la demande) ou programmées par les administrateurs sur les machines virtuelles. La mise en mémoire cache permet déviter une double analyse des fichiers déjà vérifiés, ce qui renforce encore lefficacité des analyses.Kaspersky Security for Virtualization comprend également les fonctionnalités de déploiementdentreprise, de gestion et dintégration VMware suivantes: Mise à disposition de la solution en tant quappliance virtuelle pour un déploiement simplifié sans installation dun système dexploitation ni dapplications. Console de gestion centralisée exploitant la solution Kaspersky Security Center 9.0, permettant de visualiser les environnements virtualisés, physiques et mobiles sur un même écran et de générer des rapports. Intégration à vCenter pour une présentation des informations avec les regroupements de clusters et les pools de ressources VMware. Mise à disposition de profils de sécurité différents en fonction des groupes de machines virtuelles et suivi de la machine virtuelle par les politiques même en cas dutilisation de vMotion.Les défis en matière de sécurité dans les environnements virtualisésSi la tendance est clairement à la virtualisation, les clients affichent encore des incertitudes lorsquilsagit dadapter la sécurité aux environnements virtualisés. Les technologies telles que vShieldEndpoint étant pour linstant encore très récentes, de nombreux clients nont pas pris conscience dela disponibilité dune nouvelle approche, ni des limites de leurs solutions de sécurité héritées etimportées.Les API vShield sont par ailleurs encore en phase de maturation. Kaspersky, comme tous lespartenaires vShield dans ce domaine, doit se limiter à ce que proposent actuellement les APIVMware. Kaspersky sappuie également sur de nombreuses autres technologies en matière desécurité, comme les systèmes de protection contre les enregistreurs de frappe ou de protection Webqui ne peuvent pas être intégrés en raison des limites actuelles des API vShield. VMware travaille encollaboration avec ses partenaires de sécurité pour faire évoluer les API dans le but de fournir desfonctionnalités supplémentaires.Enfin, vShield Endpoint étant uniquement compatible avec les machines virtuelles Windows, lesautres systèmes dexploitation ne laissent dautre choix que dappliquer une approche basée suragent.ConclusionLa sécurité est souvent le parent pauvre des stratégies de virtualisation actuelles. Néanmoins, il suffitdobserver lévolution du marché pour comprendre que la virtualisation entraîne un grand nombre dechangements dans lensemble des centres de données, ordinateurs de bureau compris, et que lasécurité ne fait pas exception à la règle.Les nouvelles API vShield basées sur lhyperviseur (qui assurent une protection sans agent contreles programmes malveillants à partir de produits comme Kaspersky Security for Virtualization) sonten mesure de résoudre un grand nombre de problèmes de plus en plus visibles lors de lutilisation desolutions traditionnelles, basées sur agent, dans des environnements virtualisés. À mesure que lesdéploiements de solutions de virtualisation gagnent en ampleur et en complexité et sinscrivent dansle cadre dinitiatives de virtualisation dordinateurs de bureau et de Cloud privés et publics de plusgrande envergure, les architectures de sécurité doivent être repensées et mises en œuvredifféremment, pour sadapter à des centres de données de plus en plus virtualisés et dynamiques.©2012 IDC 5
  • 6. La capacité à gérer tous les terminaux protégés de manière centralisée, quils soient physiques,virtuels ou mobiles, ne doit pas non plus être sous-estimée. La solution Kaspersky Security Center9.0 offre ce type de visibilité et permet ainsi à Kaspersky doccuper une place de choix sur le marchéactuel de la virtualisation.A P R O P O S D E C E T T E P U B L I C A T I O NCette publication a été rédigée par les services de commercialisation dIDC. Sauf indication dun programme de partenariatspécifique, les opinions, les analyses et les conclusions des recherches présentées dans ce document reposent sur desétudes et des travaux de recherche plus détaillés menés et publiés en toute indépendance par IDC. Les services decommercialisation dIDC diffusent les contenus IDC dans une grande variété de formats pour permettre leur distribution par denombreuses entreprises. Loctroi dune licence pour la distribution de contenu IDC nimplique en aucun cas un soutien à sondétenteur ni lexpression dune opinion à son sujet.D R O I T D A U T E U R E T R E S T R I C T I O N SLutilisation de toute information appartenant à IDC ou de toute référence à IDC dans une publicité, un communiqué de presseou un support promotionnel doit faire lobjet dun accord écrit préalable de la part dIDC. Pour toute demande dautorisation,veuillez appeler la ligne téléphonique dinformations de commercialisation au numéro +1 508 988 7610 ou envoyer un e-mail àladresse gms@idc.com. La traduction et/ou la localisation de ce document nécessite lobtention dune licence supplémentaireauprès dIDC.Pour plus dinformations sur IDC, veuillez consulter le site www.idc.com. Pour plus dinformations sur les services decommercialisation dIDC, veuillez consulter le site www.idc.com/gms.Pour plus dinformations sur IDC visitez le site web www.idc.com. Pour plus dinformations sur les GMS IDC visitezwww.idc.com /gms.Siège mondial: 5, rue Speen Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com 6 ©2012 IDC

×