GuardiCore veut donner plus de visibilité sur le centre de calcul, y compris hybride
La jeune pousse se propose de surveiller en profondeur le trafic réseau, en intégrant sa dimension applicative, pour détecter les violations de règles et les brèches éventuelles.
C’est il y a trois ans que Pavel Gurvich et Ariel Zeitlin, notamment, ont fondé GuardiCore. Ces deux experts en informatique avaient alors une ambition : améliorer la visibilité sur l’infrastructure du système d’information pour détecter plus rapidement les brèches. Et cela tant dans le centre de calcul en interne qu’au-delà, dans ses extensions en mode cloud.
Distribuée en France depuis le printemps par NeoVAD, la solution de GuardiCore, vise d’abord à fournir une visibilité complète sur l’environnement, en intégrant sa composante virtuelle pour permettre la supervision du trafic transitant par les commutateurs virtualisés.
Là, GuardiCore ne se contente pas des interfaces fournies par certains, à commencer par VMware : il préfère s’appuyer sur une machine virtuelle légère – 2 vCPU et 2 Go de mémoire vive – pour assurer la surveillance et fournir la visibilité sur les flux. Cette VM intègre au passage des algorithmes de détection d’anomalies et de trafics suspects.
La solution de GuardiCore se penche aussi sur les processus s’exécutant dans l’environnement, pour surveiller les flux réseau mais également les processus qui s’y rapportent. Cette corrélation entre les deux peut être utilisée pour la définition de politiques de sécurité, en tenant compte des stratégies de micro-segmentation du réseau mises en place. Et c’est là, notamment, qu’interviennent les suspicions : les éventuelles violations des politiques de sécurité définies au sein de l’infrastructure.
La solution de GuardiCore peut également fonctionner de manière active, redirigeant automatiquement le trafic entrant en violation de politiques de sécurité vers des hôtes dédiés, des leurres, en fait, déployés pour pouvoir examiner de manière sûre et isolée des comportements d’attaquants potentiels. Ce mécanisme de protection peut également être déclenché sur la base de listes de réputation d’adresses IP. Les pots de miel déployés peuvent exécuter Linux aussi bien que Windows.
La solution de GuardiCore s’intègre avec ESXi, Xen et KVM, ainsi qu’avec les systèmes d’administration d’infrastructure cloud d’OpenStack, de VMware et de CloudStack. Les déploiements AWS et Azure ne sont pas oubliés. La solution supporte également les environnements Nutanix et s’intègre avec la plateforme GigaSecure, lancée fin 2015 par GigaMon, ainsi qu’avec les équipements de Check Point.
En sortie, la solution de GuardiCore peut produire des indicateurs de compromission au format Stix ou des journaux Syslog pour s’intégrer avec le système de gestion des informations et des événements de sécurité (SIEM) exploité dans un centre opérationnel de sécurité (SOC). Des interfaces REST sont également proposées.