buchachon - Fotolia
Bitdefender commercialise enfin sa solution d’introspection de VM
L’éditeur annonce la disponibilité générale de sa solution de sécurité pour environnements XenServer sans agent résident, s’appuyant sur les capacités d’introspection des machines virtuelles offertes par l’hyperviseur.
Enfin ! Il aura fallu rien moins qu’un an de déploiements « en mode contrôlé » avant que Bitdefender n’annonce la disponibilité générale de sa solution de sécurité pour environnements virtualisés XenServer par introspection des machines virtuelles via l’hyperviseur.
C’était en mai 2016, à l’occasion de Synergy, la grand messe annuelle de Citrix, que l’éditeur avait initialement lancé cette solution. Il avait levé le voile, au mois de juillet précédent, sur cette technologie permettant d’exécuter un processus de supervision de la mémoire vive avec un niveau de privilège supérieur à celui de l’hyperviseur. Avec cette annonce, l’éditeur revendiquait la réponse au problème de l’écart sémantique entre machines virtuelles : l’hyperviseur n’a pas connaissance du contexte dans lequel surviennent certains changements et ne peut pas faire la différence entre un événement légitime et un autre.
A l’occasion d’un entretien avec la rédaction, Rares Stefan, directeur de la division Solutions d’entreprise de Bitdefender, expliquait qu’il s’agissait là du fruit de cinq ans d’efforts pour Mihai Dontu et Andrei Lutas, « les deux chercheurs au cœur de ce projet » chez Bitdefender.
Plusieurs années de recherche et développement
Andrei Lutas avait alors donné un aperçu des travaux de l’éditeur : « Il y a beaucoup de recherches académiques sur l’écart sémantique. Dans notre cas, nous utilisons principalement la connaissance du système d’exploitation et la couplons avec la logique d’introspection. Nous utilisons des signatures invariables pour identifier des structures clés des systèmes d’exploitation, ce qui revient à modéliser des structures spécifiques au système d’exploitation ». Tout cela pour « transposer certains aspects du système d’exploitation au sein de la logique d’introspection ».
Et si d’autres, relevait alors Andrei Lutas, préfèrent se reposer sur des éléments de code injectés dans la machine virtuelle, comme des pilotes par exemple, Bitdefender a fait le choix de ne pas interférer avec la VM.
L’un des points clés de l’approche de l’éditeur réside dans les extensions du sous-système de gestion des événements de la VM, développées par l’équipe de Mihai Dontu : « cette couche est utilisée pour communiquer avec l’hyperviseur », explique Andrei Lutas, « et pour accéder à des fonctions de bas niveau comme cartographier la mémoire, interroger l’état du CPU et de ses registres, etc. »
Pour aboutir à cela, les équipes de Bitdefender ont apporté, avec d’autres, d’importantes contributions à Xen. Et celles-ci se sont retrouvées justement dans la version 4.6 de l’hyperviseur libre, disponible depuis la mi-octobre 2015. Mais il aura fallu attendre mai 2016 pour Citrix en tire profit avec XenServer, dans sa version 7.0, avec les API Direct Inspect.
Un peu plus tôt cette année, l’éditeur soulignait comment mettre à profit un environnement XenApp/XenServer et Bitdefender Hypervisor Introspection (VHI) pour déployer un environnement de navigation Web sécurisé.
Bitdefender, bientôt rejoint par d’autres ?
L’approche est assurément alléchante sur le papier. VMware évoquait d’ailleurs, en 2010, des capacités similaires pour les API vSafe de son hyperviseur. Mais à l’occasion d’un entretien téléphonique, en août 2015, Rares Stefan expliquait que si l’inspection du stockage est bien là, sans agent, avec ce qui s’appelle désormais vShield Endpoint, et l’introspection du trafic réseau a été répliquée dans NSX, pour « l’introspection de la mémoire vive et des tâches, il n’y a jamais eu d’API de lancée ». Et Rares Stefan n’est pas étranger au domaine : il travaillait chez Third Brigade avant son rachat en mai 2009 par TrendMicro. Third Brigade venait alors d’annoncer une solution de sécurisation des environnements virtualisés tirant profit des API vSafe. Ce que propose aujourd’hui Trend Micro avec Deep Security, mais aussi Kaspersky avec sa solution Agentless, ou encore McAfee, Eset, Sophos et Symantec.
Reste à savoir si d’autres éditeurs emboîteront le pas à Bitdefender avec XenServer. Car il faut aussi compter avec l’approche consistant s’appuyer sur un agent résident léger, dans le système d’exploitation de la VM, communiquant avec une autre machine virtuelle assurant la surveillance de l’hôte. Et elle ne manque pas d’attrait pour les éditeurs. Elle réduit les contraintes de développement, tout en répondant à la demande de consolidation de la fonction sécurité des machines virtuelles, à la manière de Kaspersky Security for Virtualization Light Agent, notamment.
Pour approfondir sur Sécurité des environnements virtuels et des conteneurs
-
VMware étend le contrôle d’intégrité des micro-services au pare-feu applicatif
-
VMware étend le contrôle d’intégrité des micro-services au pare-feu applicatif
-
Avec RedSocks, Bitdefender ajoute le réseau à sa solution de protection du système d’information
-
Safe Cyberdefense s’attaque à la sécurité des postes de travail