Spécial sécurité : VMworld Europe - vShield, un seul nom une multitude de boucliers
Aujourd'hui, nos confrères de CNIS, magazine dédié à la sécurité des systèmes d'information, se sont intéressés à la partie sécurité de l’édition européenne de VMworld, qui a fermé ses portes le 14 octobre dernier. Nos confrères reviennent ensuite sur les nouvelles mesures de protection mises en place par Facebook.
1 - vShield, un seul nom une multitude de boucliers
2 - OTP de façade pour Facebook
1 - vShield, un seul nom une multitude de bouclier
VMworld Copenhague, Côté sécurité : les bureaux virtualisés sont protégés par plusieurs outils qui, depuis peu, ont été rebaptisés vShield : vShield Edge, qui assure les fonctions NAT/VPN/Firewall/équilibrage de charge à l’échelle de tout un datacenter vSphère. Vient ensuite vShield App, firewall applicatif (VPN/NAT/Firewall) plutôt destiné à la protection et à la segmentation des zones logiques définies au sein d’une architecture vSphère. Alors que Edge peut être considérée comme une coquille enveloppant une infrastructure virtualisée complexe (l’ensemble des machines vSphère d’un opérateur par exemple), App représente plus la partie sur laquelle vont reposer les définitions de politiques de groupe, la séparation des groupes de VM par centre d’applications (DMZ, services bureautiques, bases de données…) ou niveaux de qualité de service. Ajoutons à cet inventaire vShield Zone, qui tiendrait à la fois du NIDS, du firewall et de l’outil de filtrage reposant sur les ACL.
Le dernier de la liste, vShield Endpoint, est le moins conventionnel des trois. Il s’agit d’un outil de protection des « stations » VDI, dont le code exécutable (l’agent) fonctionne au niveau du système hôte, et non plus dans chaque machine virtuelle. Cette technique évite de dégrader les performances CPU et mémoire de chaque station virtuelle sans risquer son intégrité, et élimine les problèmes d’administration, de déploiement et de mise à jour desdits agents en concentrant en un point unique les opérations de maintenance. Techniquement parlant, la partie active du logiciel de sécurité (assimilé à un appliance virtuel) est intégrée dans sa propre VM située dans la partie serveur (vSphere) de l’architecture virtualisée.
Le dialogue entre la partie endpoint et le code actif s’effectue via des API ouvertes à tout éditeur souhaitant adapter sa suite, et les outils de réglages d’administration sont réunis dans vCenter/vCloud Director. Pour l’heure, le premier et le plus connu de ces partenaires s’appelle Trend Micro. Gageons qu’avec la généralisation des services Cloud, cette forme d’externalisation des défenses périmétriques devrait remporter un certain succès.
Reste que cette segmentation complexe peut perdre un administrateur, dans un monde où les frontières entre datacenter et découpage logique par fonction ne sont pas toujours, elles non plus, précises. Se pose également la question de la cohabitation avec les outils de protection périmétriques tiers qui s’intègrent dans la stratégie vShield. F5, Checkpoint, Juniper etc ne deviendront-ils pas un jour des concurrents plus que des partenaires, des entreprises « opéables » plus que des compagnons de route ? L’on garde à l’esprit la fusion entre VMware et Bluelane, le spécialiste du patch vituel. L’intégration de la technologie et des hommes s’est opérée sans anicroche, au plus grand bonheur des utilisateurs de vShield… mais au détriment des clients traditionnels « non virtualisés » de BlueLane qui ont perdu un outil très apprécié des gestionnaires de grosses bases de données Oracle par exemple.
Ajoutons également que derrière les affirmations convaincues des différents acteurs (tant du côté VMware que de celui des « équipementiers virtuels »), l’on est étonné de l’assourdissant silence à propos des défauts et des risques de cette nouvelle approche de la sécurité. Le mantra« c’est virtuel, donc c’est plus sûr par construction et par définition » masque un peu trop souvent le fait que même virtuels, les logiciels de protection sont eux aussi fabriqués de main d’homme, donc imparfaits, et généralement issus d’une transposition du monde matériel vers un monde virtuel… donc doublement imparfaits compte tenu des problèmes de traduction que cela peut parfois comporter.
Aucune de ces réserves ne doit cependant occulter le fait qu’une nouvelle forme de sécurité périmétrique est en train de prendre forme… et peut-être de se standardiser, un espoir formulé par plusieurs clients VMware rencontrés à Copenhague.
Facebook, service Web2.0 régulièrement en délicatesse avec les notions de préservation de la vie privée, a annoncé la disponibilité d’une nouvelle méthode d’identification/connexion reposant sur un mot de passe à usage unique transmis par SMS à l’usager demandeur. Cette fonction n’est pour l’instant offerte que sur le territoire US et devrait pratiquement bloquer toute tentative d’usurpation de compte par un autre usager. L’histoire ne dit pas si cet OTP protège également les usagers contre les incursions provenant des mécanismes de Facebook même.
Outre cette mesure plus cosmétique qu’utile (Facebook n’étant jamais qu’une vitrine égotiste peu comparable peut-être à une base de données ou un serveur de messagerie) un second service, dit de « déconnexion à distance » a également été ouvert. Le but de ce service est de permettre aux usagers nomades utilisant un terminal étranger, de clore après coup une session Facebook en cas d’oubli de déconnexion. Comme l’accès à cette console de télé-déconnexion est elle-même dépendante d’une authentification classique, et qu’il ne se passe pas une semaine sans que l’on découvre de nouvelles techniques d’attaque en social engineering pour kidnapper les crédences des facebookiens crédules, on peut s’attendre à quelques belles histoires de « batailles de remote-shutdown » dans les semaines à venir …