Cisco France Blog
Partager

Sécurité et virtualisation : nouveaux enjeux


13 March 2012


Consolidation des infrastructures, rapidité du déploiement, élasticité adaptation à la charge font partie des bénéfices de la virtualisation, contribuant à l’essor rapide de cette technologie. Cette évolution technique majeure pose cependant de nouveaux enjeux en terme de sécurité, qu’il est indispensable d’appréhender et d’intégrer dans les réflexions.

1. Les risques inhérents à la virtualisation

Ce post (déjà sans doute trop long) n’ayant pas pour objectif d’être exhaustif, nous allons volontairement laisser de côté certains sujets pour nous concentrer sur un seul thème : la virtualisation des serveurs et ses enjeux sécurité. Une analyse de risque appliquée à l’ensemble d’une infrastructure de virtualisation au sein d’un Datacenter – qui sort donc du cadre de cet article – doit intégrer l’ensemble de l’écosystème : réseau, stockage, consoles d’administration, pratiques de gestion, sécurité physique, PRA… Concernant la virtualisation des serveurs elle-même, deux risques viennent immédiatement à l’esprit des équipes sécurité : le risque de décloisonnement (sortird’une machine virtuelle pour prendre la main sur l’hyperviseur ou sortir de la « zone » où se trouve la machine virtuelle), et le risque de déni de service. Si ces deux risques sont réels, il faut également prendre en compte le risque d’erreurs de configuration (arrêt multiples d’instances, activation de la mobilité des vm, activation de fonctions de décloisonnement), le risque de prolifération des machines virtuelles, le risque de prolifération des règles de sécurité dans les firewalls et… les risques traditionnels déjà présents dans un environnement physique.
On se rend donc rapidement compte qu’il va falloir être capable, au sein d’une seule infrastructure hébergeant des machines virtuelles, de créer des zones de sécurité et de maintenirl’intégrité de ces zones tout en permettant l’élasticité offerte par la technologie de virtualisation. Ces zones peuvent représenter une business unit, un métier particulier au sein de l’organisation, un niveau de criticité et de confidentialité applicative, ou encore un client dansuneapproche cloud.
Mais au delà de l’outillage sécurité nécessaire à la mise en place de ces zones de sécurité et du filtrage du trafic au sein du Datacenter, la gestion des processus d’administration et d’exploitation est un élément clé : En effet, si réseau, serveurs et outils de sécurité ont migré sur une infrastructure unique virtualisée, et que l’on est incapable de maintenir une ségrégation des rôles, le risque d’erreur et donc de faille de sécurité devient très élevé : Un administrateur système peut-il définir des règles réseau ou de sécurité ?

2. De nouveaux outils sont nécessaires en environnement virtualisé

Dans cenouvel environnement virtualisé, la définition de zones de sécurité va passer par l’emploi de nouveaux outils. Mais avant de plonger dans ces nouveaux outils, revenons à ces fonctions que l’on a oublié, intégrées à l’infrastructure réseau, et qui nous permettent d’assurer un minimum de sécurité au niveau 2.
Pour cela, prenons un exemple simple : une équipe en charge des audits sécurité souhaite inspecter le trafic d’un serveur particulier en le renvoyant sur un outil de détection d’intrusion (l’arme préférée des auditeurs sécurité). Dans un environnement physique, il suffira de configurer le commutateur sur lequel le serveur est connecté pour le recopier (port span) vers une autre interface à laquelle la sonde sera branchée. Dans un Datacenter virtualisé par contre, comment savoir ou se trouve le serveur ? Comment rediriger le trafic ? Où installer l’équipement de détection d’intrusion ?

a) Propagation de la sécurité (Nexus 1000v)

Cet exemple simple fait ressortir la nécessité de propager les fonctionnalités classiques que l’on a l’habitude de rencontrer sur des commutateurs Cisco jusqu’à la machine virtuelle. N’oublions pas également qu’en sécurité, le niveau de sécurité étant celui du maillon le plus faible, il faut veiller à bien protéger le niveau 2, contre par exemple les usurpations de l’adresse mac. Ce rôle de fournisseur des services sécurité réseau attendus d’un commutateur Cisco est joué par le Nexus 1000v, commutateur virtuel distribué intégré à l’hyperviseur. Même si ce logiciel n’est pas dédié à la sécurité, c’est un élément fondateur car il va offrir les services sécurité attendus d’un commutateur Cisco (protection contre l’usurpation des adresses mac, support du remote span pour régler le cas évoqué ci-dessus de la sonde ids, et bien d’autres), mais il va également permettre d’attacher des propriétés réseaux aux machines virtuelles qui seront maintenues lors de la mobilité des VMs.

b) La création de zones de sécurité (Virtual Security Gateway)

Au delà des fondations offertes par le nexus 1000v il est indispensable de pouvoir controler le trafic circulant entre les machines virtuelles afin de créer des zones de sécurité ou tout simplement de filtrer au sein d’une zone. Pour ce faire, le choix peut se porter sur un firewall physique positionné en cœur du Datacenter mais cette approche rencontre des limitations: la nécessité de faire transiter le flux inter-VMs qui dois être filtré par le cœur du Datacenter (ce qui est bien souvent précisément ce que l’on souhaite éviter dans les architectures actuelles) mais également une dépendance forte vis a vis du routage (impossible de filtrer entre deux machines sur le même subnet ip, le firewall devant jouer le rôle de défaut gateway) et le peu de flexibilité dans la définition des règles. Afin de remédier à ces limitations cisco à développé la Virtual Security gateway ou VSG, un élément de filtrage logiciel, reposant sur le nexus 1000v

La VSG, qui se présente concrètement sous la forme d’une ou plusieurs VMs, offre plusieurs caractéristiques intéressantes :

  • la possibilité de définir des règles non pas simplement sur les adresses IP et ports tcp mais également sur des attributs des machines virtuelles (nom, type d’os, attributs spécifiques, etc.) : ainsi, on peut par exemple positionner toutes les VMs dont le nom comprend *web* dans une zone “serveurs web”, et limiter leur communication avec une autre zone “serveurs applicatifs” à un port TCP particulier.
  • segmentation d’administration : grâce à l’outil d’administration VNMC (le logiciel d’administration spécialement créé pour VSG), les équipes sécurité gardent la main sur la définition des règles, tout en faisant le lien avec la configuration des interfaces réseau du nexus 1000v et en ayant accès aux caractéristiques des VMs en provenance de vCenter.
  • accélération via vpath : en collaboration avec le nexus 1000v les premiers paquets devant être filtres sont acheminés vers vsg mais le reste du flux passe directement par le nexus 1000v, un raccourci étant inséré dans ce dernier, ce qui permet d’optimiser les performances.
c) Instance Virtuelle de firewall (ASA 1000v)

La VSG offre des fonctions de filtrage basiques et n’est en aucun cas, en termes d’analyse applicative et de fonctionnalités de sécurité offertes, comparable à l’ASA. Hors, pour filtrer les accès en entrée ou sortie d’une zone, on va souhaiter avoir des fonctions de sécurité plus évoluées, au niveau du filtrage applicatif par exemple. C’est dans cet esprit que cisco à annoncé et démontré lors du salon VMworld une instance virtuelle du firewall asa, reprenant les caractéristiques attendues d un firewall actuel, adapté aux environnements virtuels. L’ASA 1000v tire également partie des fonctionnalités vPath et optimise ainsi ses performances. Il sera disponible au printemps 2012, complétant ainsi la gamme d’appliances dédiées aux Datacenter (ASA 5585-X) et le module intégré au catalyst 6500 (ASA Service Module). VSG se retrouve positionné pour le filtrage intra-zone, la ou le focus de l’asa 1000v est en sortie de zone ou interzones comme évoqué sur le schéma ci-dessous. À noter que l’ASA 1000v peut être piloté avec le même outil d’administration (VNMC) que VSG, ou plus traditionnellement depuis ADSM (l’interface graphique traditionnelle de l’ASA).

VSG et ASA 1000v se complètent donc pour offrir, conjointement aux outils d administration type vnmc, des outils permettant de retrouver des fonctions évoluées de sécurité et de segmentation dans les environnements,virtualités, mais également de maintenir une ségrégation d administration afin de limiter les risques opérationnels.
Bien évidemment si on veut être exhaustif et couvrir tous les aspects d’une architecture de sécurité d un Datacenter il convient de prendre en compte le contrôle d’accès à l’entrée du Datacenter, la protection contre les intrusions, la sécurité du stockage, mais également la sécurité des applications en mode saas qui tous constituent des sujets critiques.

Laisser un commentaire