L’adaptation de la sécurité aux architectures à définition logicielle a commencé
Les SDN ne s’apparentent encore qu’à une technologie émergente. Mais ils promettent de prolonger le travail d’abstraction du matériel entamé avec la virtualisation. L’extension du concept à la sécurité est porteuse de multiples promesses... dont la concrétisation reste lointaine.
Lorsqu’Art Coviello, président exécutif de RSA - division sécurité d’EMC -, fait l’éloge du concept d’architectures « anti-fragiles», de systèmes de sécurité adaptatifs alimentés par le renseignement, c’est de cela qu’il s’agit : d’environnements massivement abstraits de la couche matérielle et capables de modifier leur topologie et leur comportement de manière dynamique en fonction des menaces. Des environnements qui, pour ce faire, doivent s’appuyer sur une définition logicielle. Christopher Young, vice-président sénior de la division sécurité de Cisco, n’a rien dit de bien différent lors de son allocution sur RSA Conference. Le sujet était bien là, éminemment prospectif, certes, mais déjà très concret du point de vue de la stratégie de l’équipementier telle qu’on pouvait l’entrevoir. Pour Christopher Young, les SDN portent la promesse «de plus de capteurs dans plus d’endroits et de plus de contrôles, et d’automatisation» pour «mieux sécuriser nos applications, nos utilisateurs et nos données ». Alors, certes, les SDN «ajoutent un nouveau point de contrôle central intéressant pour les attaquants ». Mais «la sécurité pourra être intégrée à l’infrastructure et non pas simplement vissée à elle». Et cela, pour lui, c’est «une opportunité» qui s’avère «plus atteignable aujourd’hui que jamais auparavant".
Un travail engagé chez VMware...
Et si Art Coviello évoque le sujet à mots plus ou moins couverts, ce n’est pas par hasard. Fort de son acquisition de Nicira, en juillet 2012, VMware - autre division d’EMC - peut commencer à travailler à l’intégration du volet réseau à ses travaux afin de développer une offre cohérente pour centres de calcul virtualisés. Mais celle-ci ne sera réellement complète qu’une fois intégrée à la couche de sécurité. C’est déjà le sens des API vShield mais celles-ci ne révèleront tout leur potentiel qu’avec l’arrivée effective des réseaux programmables.
Rob Randell, architecte principal, solutions de sécurité et conformité de VMware, ne disait pas le contraire la semaine dernière, à San Francisco, sur RSA Conference. Il expliquait ainsi que la prochaine évolution majeure de l’informatique n’est autre que le centre de calcul programmable, ou SDDC, pour centre de calcul à définition logicielle. L’idée, c’est «que toute l’infrastructure est fournie par du logiciel. Et le contrôle du centre de calcul est intégralement assuré par le logiciel. Il s’agit de s’abstraire du matériel afin de tout faire via le logiciel ». Première étape : l’abstraction de la couche de calcul - «la virtualiser, en somme; on le fait déjà depuis longtemps ». Ensuite, le stockage. Pour Rob Randell, des étapes ont déjà été franchies même si le stockage reste intimement lié au matériel avec les SAN.
La marche important suivante, pour lui, ce sont les réseaux : «les VLAN sont un pas en avant mais ils restent liés aux composants physiques qui y participent.» L’idée, pour lui, c’est «que l’on soit capable de connecter une machine virtuelle à un réseau au-dessus de la couche 3 [du modèle ISO] ». Et surtout, à terme, que «la sécurité intègre tout cela ». La promesse est alléchante - notamment pour les directions financières - : «on réduit les ressources nécessaires à l’administration de l’environnement et on augmente le niveau d’automatisation.» Et si l’argument économique ne suffisait pas, Rob Randell ajoute l’argument productiviste : «il s’agit de ramener à 3 minutes ce qui prenait 5 jours. Et contrôler de manière consolidée les serveurs, le stockage, les contraintes de disponibilité, et les politiques de sécurité.» Mais ça, c’est l’avenir et «comment passe-t-on du passé au futur » ?
Justement, la «sécurité et le réseau» restent aujourd’hui des points de blocage, notamment parce qu’il est difficile «d’avoir de la visibilité sur les échanges entre machines virtuelles sur un même hôte; on ne voit pas ce qui ne sort pas sur le réseau...» Mais le vent a déjà commencé à tourner. À un participant à sa session qui l’interrogeait de manière un peu trop pressante, Rob Randell a expliqué : «je ne peux pas vous en dire plus ici pour le moment. Mais si vous le souhaitez, nous pouvons organiser un entretien après signature d’un engagement de confidentialité.»
Mais aussi chez certains spécialistes de la sécurité...
Dave Martin, Vice-Président et Chief Security Officer d’EMC, n’en dira pas plus... voire peut-être un peu moins : «c’est assez visionnaire pour moi. [...] mais les fonctionnalités de sécurité sont clairement là; elles ne sont juste pas prêtes pour une large diffusion. Nous en sommes au tout début des discussions pour la mise en place d’environnements de test en laboratoire. Il n’y a rien de concret aujourd’hui auquel je puisse me référer mais il y a clairement là un intérêt.»
Oliver Friedrichs, vice-président sénior de la division Technologies Cloud de Sourcefire, ne néglige pas le sujet et son intérêt mais estime que la question des SDN ne deviendra vraiment significative que lorsque la densité de machines virtuelles par hôte aura encore progressé. Il relève, à l’instar de Christopher Young, «le risque d’attaques sur l’architecture SDN elle-même» mais estime néanmoins que «les SDN peuvent introduire des nouveautés intéressantes ».
D’une certaine manière, comme d’autres, Sourcefire a déjà commencé à avancer dans cette direction, en adaptant ses solutions de prévention des intrusions aux API vShield de VMware. Mais quid des autres environnements virtualisés et d’Hyper-V, notamment, dont la dernière mouture commence à proposer des API peu ou prou comparables à vShield : «honnêtement, nous n’avons pas encore à travailler avec elles. Cela ne représente qu’une petite part d’un marché dominé par VMware.» Et pour les environnements Xen et KVM : «je ne pense pas qu’ils aient d’équivalent. C’est un désavantage pour eux en matière de sécurité; à terme, cette absence pourrait leur nuire.» Toutefois, Oliver Friedrichs estime que le marché reste encore suffisamment loin de ces considérations pour que cela soit déjà un élément de choix : «de nombreuses entreprises n’ont pas encore identifié le besoin de solutions de sécurité dédiées aux environnements virtualisés. C’est un sujet; nous n’en sommes qu’au début.»