buchachon - Fotolia
VMware prépare l’arrivée de l’introspection des machines virtuelles pour ESXi
L’éditeur doit lancer en fin d’année une fonctionnalité de surveillance en continu des machine virtuelles qui doit permettre de détecter une éventuelle compromission, sans agent résident. La concrétisation d’une promesse vieille de plusieurs années.
C’est à l’occasion de la conférence Evolve 2017 de VMware, qui se déroulait mi-juin à Melbourne, que Jeff Jennings, vice-président de l’éditeur en charge de l’activité réseau et sécurité, a annoncé le lancement d’App Defense, pour le troisième trimestre 2017. Ce qui apparaît comme une solution de surveillance et de validation en continu de l’intégrité des machines virtuelles.
Jeff Jennings explique [à partir de 11’54’’ dans la vidéo ci-dessous] : « nous regardons le contexte de la machine virtuellle. Vous provisionnez la machine virtuelle ; nous savons ce qu’il y a dedans. Nous sommes désormais capables de surveiller cette machine et de savoir si elle se comporte comme elle est censée le faire ». Et si ce n’est pas le cas, « nous produisons une alerte à partir de laquelle vous pouvez décider de ce que vous voulez faire », comme l’isoler du reste du réseau. L’anomalie à l’origine de l’alerte « peut être un nouveau processus qui apparaît, un processus existant qui se comporte de façon inattendue, ouvrant un port inhabituel pour lui, par exemple ».
Pour sommaire et synthétique qu’elle soit, cette présentation laisse en fait peu de place au doute et fait entrevoir, derrière App Defense, une interface d’introspection des machines virtuelles. Celle-ci doit permettre de répondre au problème dit de l’écart sémantique : traditionnellement, l’hyperviseur n’a pas connaissance du contexte dans lequel surviennent certains changements et ne peut pas faire la différence entre un événement légitime et un autre.
Rattraper le retard
Ce problème, Xen y répond depuis sa version 4.6, lancée mi-octobre 2015. L’hyperviseur libre a notamment profité là des travaux des équipes de recherche et développement de Bitdefender, qui commercialise depuis la fin mai sa solution de sécurité pour environnements XenServer sans agent résident, en s’appuyant sur les capacités d’introspection des machines virtuelles offertes par l’hyperviseur présentes depuis un an.
Aujourd’hui, VMware s’apprête donc à combler son retard et à concrétiser une ancienne promesse. Ainsi, dès 2010, Matt Northam, alors expert technique sécurité et conformité chez VMware pour l’Europe du Nord, depuis passé chez Nutanix, évoquait des capacités d’introspection pour les API vSafe d’ESX.
Mais à l’occasion d’un entretien téléphonique, en août 2015, Rares Stefan, de Bitdefender, expliquait que si l’inspection du stockage est bien là, sans agent, avec ce qui s’appelle désormais vShield Endpoint, et l’introspection du trafic réseau a été répliquée dans NSX, pour « l’introspection de la mémoire vive et des tâches, il n’y a jamais eu d’API de lancée ». Rares Stefan n’est pas étranger au domaine : il travaillait chez Third Brigade avant son rachat en mai 2009 par TrendMicro. Third Brigade venait alors d’annoncer une solution de sécurisation des environnements virtualisés tirant profit des API vSafe.
En fait, ce que vient de décrire Jeff Jennings renvoie au modèle Goldilocks théorisé chez VMware depuis plusieurs années. Tom Corn, vice-président sénior de VMware en charge du groupe de produits de sécurité, le présentait encore à l’occasion de l’édition 2016 de WMworld.
Une vieille promesse
Ce modèle s’appuie sur la collecte d’informations relatives au contexte nominal d’une machine virtuelle à partir d’outils de provisionnement et d’automatisation – « son acte de naissance, si vous voulez » –, pour alimenter un service attaché directement à la VM et chargé de sa surveillance, capable de détecter tout écart. Et justement, lorsque survient un tel événement, ESX et NSX peuvent être appelés en renfort pour réagir à l’anomalie : « on peut isoler la machine, renforcer la journalisation et la capture de paquets ; il n’y a pas de limite ». De son côté, le service dit d’attestation, assure la surveillance depuis une zone d’exécution dite de confiance, une enclave virtuelle durcie.
En février 2014, Martin Casado, alors directeur technique de VMware, depuis passé chez Andreessen Horowitz, expliquait l’ambition du modèle Goldilocks : « fournir une plateforme permettant aux technologies de sécurité d’extraire des informations des points de terminaison, que nous étendrons pour apporter l’information la plus intéressante ». Mais pas question de positionner VMware comme éditeur d’outils de sécurité : « nous fournissons la capacité aux produits de sécurité de combler le vide entre contexte et isolation ».
Un hasard ? Assurément pas. Martin Casado est arrivé chez VMware en 2012, à l’occasion de son rachat de Nicira, dont il était fondateur et directeur technique. Une opération avec laquelle VMware faisait le pari des réseaux programmables et qui lui a permis notamment de commencer à travailler à l’intégration du volet réseau à ses travaux, afin de développer une offre cohérente pour centres de calcul virtualisés.
Finaliser une vision globale
Il y a trois ans, Martin Casado décrivait le modèle Goldilocks comme né d’échanges et de réflexions avec Art Coviello, alors président exécutif de RSA, mais également Chris Young, de Cisco, et Lee Klarich, de Palo Alto Networks.
Déjà début 2013, Art Coviello faisait l’éloge du concept d’architectures « anti-fragiles », de systèmes de sécurité adaptatifs : des environnements massivement abstraits de la couche matérielle et capables de modifier leur topologie et leur comportement de manière dynamique en fonction des menaces et qui, pour ce faire, doivent s’appuyer sur une définition logicielle.
Chris Young n’avait rien dit de bien différent lors de son allocution sur RSA Conference. Le sujet était bien là, éminemment prospectif, certes, mais déjà très concret d’un point de vue stratégique. Car pour lui, avec les architectures à définition logicielle, « la sécurité pourra être intégrée à l’infrastructure et non pas simplement vissée à elle ». Et d’y voir « une opportunité » qui s’avérait alors « plus atteignable aujourd’hui que jamais auparavant ».
Lors l’édition 2013 de RSA Conference, Rob Randell, architecture principal, solutions de sécurité et conformité de VMware, évoquait aussi l’intégration de la sécurité dans la couche de virtualisation. Et à un participant qui l’interrogeait de façon trop pressante, il avait expliqué : « je ne peux pas vous en dire plus ici pour le moment. Mais si vous le souhaitez, nous pouvons organiser un entretien après signature d’engagement de confidentialité ».