geometrix - Fotolia
Skyport Systems enferme les applications dans des enclaves sécurisées
Visant à garantir la sécurité et l'intégrité des applications jusqu'au plus bas niveau de l'infrastructure, Skyport mise sur une architecture validée et contrôlée à tous les étages.
Finaliste de l’Innovation Sandbox de l’édition 2016 de RSA Conference, Skyport Systems s’était présenté sur l’événement avec une implémentation clés-en-main de l’architecture de référence de Microsoft pour Active Directory, dans une perspective de sécurité maximale.
Mais sa technologie va plus loin. Fondé par Will Eatherton, son vice-président en charge de l’ingénierie, et par Michael Beesley, son directeur technique, tous deux anciens de Juniper et de Cisco, Skyport Systems a sa plateforme SkySecure au printemps dernier.
Dans un entretien avec la rédaction, Russel Rice, directeur produits de Skyport Systems, revendique la construction « d’une architecture zéro-confiance ». Et cela commence au plus bas niveau, dans le matériel. Si Fujitsu, avec sa Sealed Applications Solution, mise sur un environnement d’exécution de confiance (Trust Execution Environment), pour Russel Rice, ce n’est pas suffisant pour garantir la sécurité de l’architecture : « l’isolation n’est pas assez complète d’avec l’environnement x86 où s’exécutent les applications ».
Virtualisation et contrôles de sécurité déportés
Skyport Systems compte donc sur un module de contrôle dédié, installé sur un contrôleur réseau spécifique - supportant une bande passante de 40 Gbps - , doté de deux ports 10 GbE, et un processeur multicœurs signé Cavium. Ce module embarque sa propre puce TPM – à l’instar du serveur x86 en lui-même – et fonctionne avec une version allégée de SELinux. Il est garant du respect des politiques de sécurité définies par l’administrateur.
La partie x86 embarque de son côté deux processeurs Intel Xeon à huit cœurs, 128 Go de mémoire vive et deux SSD d’une capacité de 960 Go chacun. Celle-ci fonctionne avec une version de l’hyperviseur Xen personnalisée. L’idée est là que « chaque application est encapsulée dans une machine virtuelle dédiée que l’on aime à considérer comme un conteneur ». Et de là, « toutes les entrées/sorties, tous les accès au système de fichiers, tous le trafic réseau, y compris entre VM » peuvent être surveillés et filtrés. Chaque machine virtuelle dispose son propre pare-feu et de son proxy. Skyport Systems met là à profit les capacités de virtualisation des entrées/sorties SR-IOV des processeurs Intel.
Garantir l’absence de modification physique
Dans un monde post-Snowden, où la NSA est soupçonnée d’avoir intercepté des matériels en transit pour les modifier et y installer des capacités d’interception, Skyport Systems a voulu prendre en compte tous les aspects possibles. Jusqu’au pire scénarios : « la modification physique durant le transit », explique Russel Rice, soulignant chercher à atteindre le niveau de confiance requis, par exemple, pour des distributeurs automatiques de billets de banque.
Dès lors, le serveur 2U en lui-même est durci pour résister aux tentatives d’intrusion. Il ne propose qu’une connectique très limitée : deux câbles pour l’alimentation électrique redondante, deux prises Ethernet. C’est tout. A la mise en route, le serveur se connecte à plateforme d’administration en mode Cloud de Skyport Systems et « vérifie sa propre intégrité ». De là, « il télécharge les applications à exécuter, ainsi que les règles de sécurité à leur appliquer ».
Plus qu’une boîte, un service
Les serveurs SkySecure ne s’achètent pas. Ils sont proposés à l’abonnement, dans une logique de service, et s’administrent via une console Web donnant, notamment, accès à une trace d’audit complète.
Du coup, pas question pour les clients de s’embarrasser de la question des correctifs à appliquer à la plateforme SkySecure dans son ensemble – qu’il s’agisse des serveurs ou de la console d’administration –, c’est Skyport qui s’en occupe de manière transparente, jusqu’au Bios même – suivant des politiques définies par l’utilisateur. Chaque serveur est proposé pour un loyer catalogue de 2 500 $/mois avec, pour seule limite d’usage, celle du matériel. Après trois ans, l’entreprise promet le renouvellement gratuit des serveurs par le tout dernier modèle.
Des besoins bien réels
Au-delà d’un premier cas d’usage présenté de manière packagée à RSA Conference, donc, Russel Rice s’attend à une importante demande autour de la gestion des applications patrimoniales : « beaucoup d’entreprises ont des applications fonctionnant sur des systèmes d’exploitation qui ne sont plus supportés, ou plus conformes, et les solutions envisageables sont limitées. Réécrire ou revérifier ces applications serait trop cher. Mais elles continuent de compter pour l’activité ».
Et Russel Rice ne semble pas être le seul à croire au potentiel de l’entreprise. Rambus et le NPD Group compte parmi les premiers clients. Skyport Systems vient de lever 30 M$ auprès, notamment, des fonds d’investissement de Cisco, de Google et d’Intel. Un troisième tour de table qui porte l’ensemble de son financement à ce jour à 67 M$.