VMworld Copenhague : Côté sécurité, ces bureaux virtualisés sont protégés par plusieurs outils qui, depuis peu, ont été rebaptisés vShield : vShield Edge, qui assure les fonctions NAT/VPN/Firewall/équilibrage de charge à l’échelle de tout un datacenter vSphère. Vient ensuite vShield App, firewall applicatif (VPN/NAT/Firewall) plutôt destiné à la protection et à la segmentation des zones logiques définies au sein d’une architecture vSphère. Alors que Edge peut être considérée comme une coquille enveloppant une infrastructure virtualisée complexe (l’ensemble des machines vSphère d’un opérateur par exemple), App représente plus la partie sur laquelle vont reposer les définitions de politiques de groupe, la séparation des groupes de VM par centre d’applications (DMZ, services bureautiques, bases de données…) ou niveaux de qualité de service. Ajoutons à cet inventaire vShield Zone, qui tiendrait à la fois du NIDS, du firewall et de l’outil de filtrage reposant sur les ACL. Le dernier de la liste, vShield Endpoint, est le moins conventionnel des trois. Il s’agit d’un outil de protection des « stations » VDI, dont le code exécutable (l’agent) fonctionne au niveau du système hôte, et non plus dans chaque machine virtuelle. Cette technique évite de dégrader les performances CPU et mémoire de chaque station virtuelle sans risquer son intégrité, et élimine les problèmes d’administration, de déploiement et de mise à jour desdits agents en concentrant en un point unique les opérations de maintenance. Techniquement parlant, la partie active du logiciel de sécurité (assimilé à un appliance virtuel) est intégrée dans sa propre VM située dans la partie serveur (vSphere) de l’architecture virtualisée. Le dialogue entre la partie endpoint et le code actif s’effectue via des API ouverte à tout éditeur souhaitant adapter sa suite, et les outils de réglages d’administration sont réunis dans vCenter/vCloud Director. Pour l’heure, le premier et le plus connu de ces partenaires s’appelle Trend Micro. Gageons qu’avec la généralisation des services Cloud, cette forme d’externalisation des défenses périmétriques devrait remporter un certain succès.
Reste que cette segmentation complexe peu perdre un administrateur, dans un monde où les frontières entre Datacenter et découpage logique par fonction n’est pas toujours, lui non plus, marqué par des frontières précises. Se pose également la question de la cohabitation avec les outils de protection périmétriques tiers qui s’intègrent dans la stratégie vShield. F5, Checkpoint, Juniper etc ne deviendront-ils pas un jour des concurrents plus que des partenaires, des entreprises « opéables » plus que des compagnons de route ? L’on garde à l’esprit la fusion entre VMware et Bluelane, le spécialiste du patch vituel. L’intégration de la technologie et des hommes s’est opérée sans anicroche, au plus grand bonheur des utilisateurs de vShield… mais au détriment des clients traditionnels « non virtualisé » de BlueLane qui ont perdu un outil très apprécié des gestionnaires de grosses bases de données Oracle par exemple.
Ajoutons également que derrière les affirmations convaincues des différents acteurs (tant du côté VMware que de celui des « équipementiers virtuels »), l’on est étonné de l’assourdissant silence à propos des défauts et des risques de cette nouvelle approche de la sécurité. Le mantra« c’est virtuel, donc c’est plus sûr par construction et par définition » masque un peu trop souvent le fait que même virtuels, les logiciels de protection sont eux aussi fabriqués de main d’homme, donc imparfaits, et généralement issus d’une transposition du monde matériel vers un monde virtuel… donc doublement imparfait compte tenu des problèmes de traduction que cela peut parfois comporter.
Aucune de ces réserves ne doit cependant occulter le fait qu’une nouvelle forme de sécurité périmétrique est en train de prendre forme… et peut-être de se standardiser, un espoir formulé par plusieurs clients VMware rencontré à Copenhague.