[Cloud & Ops : La chronique de l’Expert] VMware NSX : l’ascension d’un acteur inattendu de la sécurité

June 20, 2016
[Cloud & Ops : La chronique de l’Expert] VMware NSX : l’ascension d’un acteur inattendu de la sécurité

VMware, principal acteur de la sécurité dans le Datacenter … Oui, cette déclaration peut surprendre. Elle n’est pourtant pas exagérée. Il est bien loin le temps des environnements physiques, des équipements « bare metal », des affectations immuables…, le monde d’aujourd’hui est virtualisé, dynamique, logique, APIsé… les entreprises sont passées au Cloud Ghaleb Zekriet l’économie digitale est en marche.

Les choses ont changé et les besoins de sécurité aussi. C’est ce que nous explique ci-dessous Ghaleb Zekri, Senior Systems Engineer sur NSX, spécialiste sécurité avec une expérience de plus de 15 ans chez plusieurs constructeurs et éditeurs de solutions de sécurité où il a occupé différentes positions.

Le piratage informatique s’organise et se professionnalise. Les hackers sont désormais des groupes d’individus motivés qui vivent du commerce de leurs larcins. Les données volées s’échangent sur le « Dark and Grey Market », et les rançons deviennent monnaie courante. Le hacking est même proposé « as a service » : moyennant quelques euros il est possible de louer un botnet pour pirater des données, décrypter des mots de passe, provoquer un DDOS. On ne sait pas quantifier précisément l’économie du piratage, mais on sait qu’il s’agit de l’une des plus florissantes aujourd’hui et que son chiffre d’affaire est même supérieur au PIB de certains états !

Les entreprises deviennent de véritables éditeurs dont la performance dépend grandement de leur maturité numérique. Dans ce contexte les responsables sécurité sont soumis à deux contraintes souvent contradictoires : adapter rapidement la sécurité aux évolutions des métiers sous peine d’être perçue comme un frein et d’être rejetée par le business et assurer le bon niveau de protection pour ne pas mettre l’entreprise à risque.

La virtualisation se met au service d’une sécurité efficace. Les entreprises ne se sont pas préparées aux menaces d’aujourd’hui. La majorité utilise des principes qui ne sont plus aptes à garantir l’objectif de sécurité et les règles et procédures de sécurité draconiennes alourdissent considérablement les conditions de travail. Ajoutons à cela des analyses de conformité plus ou moins finalisées par manque de personnels spécialisés. Elles doivent s’adapter en changeant leur façon de penser la sécurité et recruter de nouvelles compétences. La sécurité doit s’harmoniser avec les solutions populaires et en devenir : la virtualisation désormais très répandue, le cloud privé, le cloud hybride, les containers, l’architecture micro-services. De plus, il est nécessaire de prendre en compte la diversité des applications métiers et l’évolution de l’environnement utilisateur. Comme l’a mentionné Pat Gelsinger lors de la RSA conférence 2016 : « La question n’est pas de savoir comment on sécurise la virtualisation mais comment la virtualisation aide à sécuriser»  (https://www.youtube.com/watch?v=2ZvWQKxru9k&feature=youtu.be)

Sans apporter une approche disruptive, il faut tenir compte des postulats suivants :

  • Un firewall périmétrique (choke point) n’est plus suffisant. Dans un concept cloud ou tout est dynamique et mobile, ce point de passage obligatoire n’est plus pertinent et pas suffisamment agile. De plus ces firewalls physiques deviennent ingérables, car les règles s’empilent les unes sur les autres rendant les modifications suivantes chaque fois plus aléatoires.
  • Le principal risque vient de l’intérieur. Une fois à l’intérieur des zones de confiance, tout est possible. Les malwares peuvent tranquillement opérer dans l’ombre, se propager, voler des données et préparer des attaques.

Ainsi, il est indispensable d’aller au-delà et d’envisager une stratégie « ZERO TRUST ZONE » et de considérer chaque application, chaque VM, comme une zone de sécurité à part entière sur laquelle on applique une politique de sécurité adéquate. C’est très ambitieux et clairement  inenvisageable avec un firewall périmétrique classique. Un firewall embarqué dans chacun des OS n’est pas non plus une solution car il est trop prêt du contexte d’exécution et peut être facilement désactivé.

Une micro segmentation rendue possible avec NSX pour bénéficier du meilleur des deux mondes :  Un firewall externe à l’OS derrière chaque VM. C’est là que la virtualisation apporte sa valeur car c’est au niveau de l’hyperviseur que l’on va pouvoir insérer un filtrage sur chaque interface réseau pour appliquer la politique de sécurité adaptée et gérée en central. C’est ce qu’on appelle la « micro segmentation », elle est opérée par le Firewall distribué NSX (DFW). De ce fait, chaque paire {connexion réseau ; politique de sécurité} forme un ensemble mobile et évolutif.

En tant que solution de virtualisation de réseaux et de fonctions réseaux, NSX propose des API qui permettent de programmer et d’automatiser les actions. C’est le « Software Defined Network » (SDN), l’un des composants du « Datacenter Programmable ». L’interaction avec ces APIs peut se faire de façon classique ou de façon graphique via vRealize Automation.

NSX propose nativement un firewall L2-L4 et permet d’ajouter sous forme de dérivation des solutions partenaires offrant ainsi une variété de fonctions de sécurité comme par exemple :

  • Firewall L2-L7
  • Détection et Prévention d’intrusion
  • Antivirus, Anti Malware
  • Détection de vulnérabilité
  • Vérification d’intégrité
  • Filtrage de contenu

nsx

VMware devient de facto l’un des principaux acteurs de la sécurité grâce à sa position de leader dans la virtualisation. Le Distributed Firewall de NSX est une manière élégante de répondre aux challenges habituels et présente de nombreux avantages :

  • Non disruptive, la solution s’implémente sur les plateformes existantes, sans restructuration, sans investissement matériel et sans prérequis complexe.
  • NSX est intégré dans le kernel d’ESX ce qui le rend performant et évolutif : Une augmentation des ressources du cluster (par ajout d’un ESX) accroit aussi la performance du firewall distribué.
  • Parfaitement intégrées à l’environnement virtuel, les politiques de sécurité sont définies par rapport à des objets logiques VMware (et pas seulement sur des ports IP). Par exemple établir un profil pour toutes les VMs Windows 2003, toutes les VMs ayant un tag spécifique ou toutes les VMs dans un cluster donné.
  • Le firewall distribué est « stateful », géré en central et reparti sur tous les ESX.
  • La solution couvre tout le cycle de vie de la VM, la règle étant supprimée lors du dé-commissionnement de la VM
  • L’écosystème (sécurité et réseau) est très diversifié et permet des solutions de sécurité avancées.

VMware NSX répond a de nombreux cas d’usage et simplifie les mises en conformité. VMware NSX est un facilitateur contrairement aux modèles traditionnels de sécurité qui deviennent souvent des freins. Les cas d’usages du firewall distribué sont nombreux pour tous les clients ayant opté pour la virtualisation vSphere :

  • Sécuriser les clouds privés et hybrides
  • Proposer de consommer de la Sécurité as a Service
  • Sécuriser les applications modernes massivement distribuées
  • Sécurisation des environnements obsolètes
  • Mise en place facilité et à moindre coût d’une conformité aux standards et référentiels (politique de sécurité interne, OIV, CNIL, PCI-DSS)

Outre les contraintes internes imposées par l’entreprise elle-même, cela permet d’être conforme aux législations en vigueur et la prochaine loi Européenne (concernant l’archivage des données personnelles qui impose aux entreprises certaines contraintes de sécurité sous peine de lourde amende) en est l’exemple concret.

VMware NSX est aujourd’hui une solution éprouvée utilisée par de nombreux clients Français dans différents secteurs d’activité, y compris en environnement de production. VMware NSX a été plusieurs fois récompensé et est considéré comme l’une des solutions les plus innovantes.

Propos recueillis par Alexandre Hugla


 
Related Posts
 

 Par Hervé Renault Sr Director, Partners & Global Commercial SEMEA …

Read More

Chronique par Henri van der Vaeren VP South Europe, Middle …

Read More

Chronique de Sylvain Cazard, Vice-Président de VMware en France

Le digital …

Read More

Partenaires VMware, nous y sommes presque ! Le Partner Exchange …

Read More

 
 
Blog Archive