Protection de votre environnement virtualisé contre les virus et

Transcription

Protection de votre
environnement virtualisé
contre les virus et
programmes malveillants
Auteur : Gary Barnett
Date de publication : juin 2012
All contents © The Bathwick Group Ltd 2012
Protection de votre environnement virtualisé contre les virus et programmes malveillants - juin 2012
Sommaire
Introduction ................................................................................................................................................................3
À l’évidence, la virtualisation constitue l’avenir des infrastructures ...............................................................................4
Le VDI : la nouvelle frontière ........................................................................................................................................4
Comment sécuriser un environnement virtuel contre les virus et programmes malveillants ..........................................5
Protection basée sur un agent ......................................................................................................................................5
Les solutions basées sur des agents font peser des contraintes supplémentaires importantes sur les machines hôtes ...7
Protection sans agent ..................................................................................................................................................7
Conclusion ...................................................................................................................................................................9
À propos de Bathwick Group ......................................................................................................................................10
| Page 2 | All contents © The Bathwick Group Ltd 2012
www.bathwick.com
Introduction
La menace que constituent les virus et les programmes malveillants va continuer de s’intensifier car leurs auteurs
utilisent des techniques de plus en plus complexes pour accéder aux machines visées et parfois pour en prendre
totalement le contrôle.
70 % des entreprises
ont été victimes d’une
attaque de programmes
malveillants
20 % des entreprises
ont subi des pertes
de données du fait
de ces programmes
Dans une étude récente, menée par Bathwick Group pour Kaspersky Lab,
plus de 70 % des personnes interrogées ont déclaré avoir été victimes d’une
attaque malveillante et environ 20 % ont reconnu que leur entreprise avait
perdu des données à cette occasion.
Près d’un quart des personnes interrogées ont admis que la sécurisation
de leurs environnements virtualisés représentait un véritable casse-tête.
Avec l’adoption croissante de la virtualisation des serveurs et l’essor
que commence à prendre le déploiement d’infrastructures de machines
virtuelles, ces chiﬀres risquent de s’élever considérablement.
Alors que s’accélère le mouvement vers la virtualisation, les entreprises doivent impérativement prendre un certain
nombre de mesures, notamment :

Mettre en place pour leur environnement physique et virtuel une stratégie de protection contre les virus et
programmes malveillants avec une gestion centralisée, garantissant que tous les périphériques connectés au
réseau de l’entreprise soient eﬃcacement protégés

Décider de l'approche la plus appropriée pour le déploiement d'une protection contre les virus et programmes
malveillants sur les machines virtualisées

Choisir un éditeur de solutions de protection qui propose une structure de gestion unique pour le déploiement
des diﬀérents modèles de protection contre les virus et programmes malveillants

Dans les environnements virtualisés, rechercher les solutions exploitant au mieux les ressources CPU, gage
d'une utilisation optimale des matériels physiques

Lors de l'achat d'une infrastructure de postes de travail virtuels auprès d'un éditeur tiers, l'entreprise doit
vérifier que l‘éditeur en question a pris les mesures adéquates pour protéger cette infrastructure contre les
virus et programmes malveillants
Ce document expose les différentes approches que peuvent adopter les entreprises pour l’achat d’une solution
complète de protection contre les virus et programmes malveillants, efficace et facile à gérer, et met en évidence
les avantages et inconvénients de chacune d’elles.
www.bathwick.com
À l’évidence, la virtualisation constitue l’avenir des infrastructures
Plus de trois quarts des entreprises font maintenant usage de la virtualisation d’une manière ou d’une autre. Or,
comme en témoigne notre étude récente, les plus grandes entreprises (celles dont les effectifs sont supérieurs
à 500 employés) déclarent en moyenne que près de 50 % de leur parc de serveurs est à présent virtualisé, ce
pourcentage étant destiné à atteindre plus de 60 % à court terme. L’une des découvertes importantes de notre
étude est que l’adoption de postes de travail virtualisés, malgré le retard qu’elle accuse par rapport à la virtualisation
des serveurs, est appelée à doubler dans un avenir proche.
Au gré du processus de consolidation, vous réaliserez que respecter vos engagements en matière de niveaux
de service est plus facile de même qu’adapter votre environnement aux besoins de votre entreprise (hausse ou
baisse des capacités). Vous constaterez également que la charge globale de gestion et de maintenance de votre
environnement diminue.
Le VDI : la nouvelle frontière
La technologie de virtualisation des postes de travail s’améliore à un rythme spectaculaire, avec notamment les
avantages suivants : diminution importante des exigences des machines virtualisées en termes de ressources,
améliorations majeures des outils de gestion et nette réduction du temps nécessaire pour créer de nouvelles
machines virtuelles.
Toutefois, de nouveaux défis surgissent en matière de sécurité de l’environnement au gré de la virtualisation des
postes de travail. Bien que la sécurité des serveurs demeure un sujet complexe, les principaux problèmes sont
maintenant bien maîtrisés et la probabilité est moindre que les machines elles-mêmes soient la proie de stratégies
d’attaques sophistiquées par des agents propagateurs de virus et programmes malveillants. Il n’en va pas de même
avec la virtualisation des postes de travail.
À bien des égards, la virtualisation des postes de travail permet aux entreprises de mettre en place des infrastructures
considérablement plus sûres que celles basées sur des machines autonomes.
Dans un environnement VDI, vous pouvez contrôler une multitude de facteurs en rapport direct avec la sécurité ;

Stockage et sauvegarde centralisés des données

Contrôle précis et détaillé des périphériques, tels que les imprimantes, lecteurs optiques et ports USB

Gestion et déploiement centralisés des logiciels

Reprise rapide après une altération d’image
Mais les entreprises qui adoptent ces infrastructures de machines virtuelles (VDI) ne doivent pas négliger la menace
que représentent virus et programmes malveillants, même dans un environnement aussi contrôlé que les VDI. La
protection contre ces virus et programmes malveillants est essentielle dans la plupart des déploiements VDI.
L’erreur que commettent de nombreuses personnes est de croire que dans la mesure où les environnements virtuels
ont souvent une durée de vie brève, la question de la protection contre les virus et programmes malveillants ne se
pose pas vraiment dans la période qui précède l’arrêt de ces postes de travail virtuels et leur redémarrage à partir
d’une image standard. Cette opinion est fausse, pour deux raisons. Tout d’abord, parce qu’il n’est pas rare de voir
fonctionner des machines virtuelles sur de longues périodes et deuxièmement parce qu’un poste de travail virtuel
n’a pas besoin de fonctionner longtemps avant de servir de plate-forme à un programme malveillant, qui ensuite
attaquera d’autres machines sur le réseau.
www.bathwick.com
La capacité à mettre en œuvre des fonctions telles que l’actualisation en fin de connexion ou la réinitialisation,
lorsque l’image virtuelle est évacuée et rechargée à partir de « l’image principale », est certes utile pour résoudre
les problèmes de faille de sécurité, mais la mise en place d’une protection efficace réduira considérablement les
risques d’une telle faille.
Les machines virtuelles ne sont pas à l’abri d’attaques de virus ou programmes malveillants:
Vous devez prendre les mesures nécessaires pour les sécuriser
Comment sécuriser un environnement virtuel contre les virus et programmes malveillants
Il existe aujourd’hui trois options principales en matière de sécurisation des machines virtuelles contre les virus et
programmes malveillants.
La première option consiste à « ne rien faire », en d’autres termes à n’installer aucun logiciel de protection. Cette
attitude va à l’encontre de nos conseils, qui préconisent de toujours utiliser une protection, quelle qu’elle soit,
contre les virus et programmes malveillants. Toutefois, il existe des cas de figure où la machine virtuelle est si
étroitement verrouillée qu’elle ne laisse aucune prise ou point d’entrée à une éventuelle infection. Par exemple,
certaines machines virtualisées sont configurées pour exécuter une seule application qui stocke peu de données,
voire pas du tout. Il peut donc y avoir des cas où le choix de « ne rien faire » est justifié, mais dans la pratique il
s’agit vraiment d’exceptions.
Les deux autres options partent du principe, l’une et l’autre, qu’une machine virtuelle a besoin d’une protection
contre les virus et programmes malveillants, mais adoptent deux approches très différentes. La première utilise un
modèle auquel la plupart d’entre nous sommes déjà habitués et dans lequel la solution de sécurité est préinstallée en
tant que partie intégrante de l’image de la machine, tandis que la deuxième implique la création d’une ou plusieurs
appliances de sécurité centralisées. Ces appliances fournissent alors une protection contre les virus et programmes
malveillants à un pool de machines virtuelles. Cette approche présente l’avantage de nécessiter beaucoup moins
de ressources et de réduire considérablement la charge sur les performances que peut représenter l’exécution de
plusieurs couches de protection complète sur chaque client.
Protection basée sur un agent
Service de mise à jour
Applications
Applications
Applications
Applications
Antivirus/programmes
malveillants
malveillants
malveillants
malveillants
Système d'exploitation
Image virtuelle
Figure 1.
Machine hôte
Vue logique d’une protection basée sur un agent dans un environnement virtualisé
www.bathwick.com
La protection basée sur un agent est un modèle dans lequel le logiciel de protection est présent sur chaque client ;
il fait donc partie de l’image machine utilisée pour lancer chaque machine virtuelle. Les entreprises habituées à
gérer les logiciels de protection sur leur parc de postes de travail sont familières de cette approche. Elle permet
également d’installer tous les outils supplémentaires (qui peuvent inclure des composants tels que des pare-feu
personnels, des solutions de filtrage Web et des utilitaires de détection et de prévention locales des intrusions).
Cette approche est celle qui offre la plus grande flexibilité en termes de package, car elle vous permet de
choisir les composants souhaités. Par ailleurs, dans les situations où les utilisateurs souhaitent bénéficier de la
gamme complète de fonctionnalités de votre solution antivirus, le modèle de protection basée sur un agent sera
vraisemblablement la solution la plus appropriée.
Pare-feu/
Passerelle
Figure 2.
“
Des « blitz de mise à jour » se produisent lorsque plusieurs machines virtuelles tentent de télécharger leur base antimalware
simultanément
À chaque fois que nous mettons à
jour une image machine, nous devons
passer par un cycle de test complet
avant de la mettre en production. Ce
processus peut à lui seul prendre plus
d’une journée. Si nous devions mettre
à jour le fichier image quotidiennement,
ce serait un véritable cauchemar.
C’est pourquoi nous traitons les mises
à jour par lot et les appliquons de
manière hebdomadaire ou mensuelle.
Infastructure Manager, Services financiers
Les éditeurs de logiciels ont fait le maximum pour
essayer de réduire l’impact de ces blitz de mise à jour
(p. ex., en envoyant uniquement les données mises à
jour, plutôt que de réactualiser l’ensemble des fichiers
de définition). Toutefois, le nombre des mises à jour à
appliquer est appelé à augmenter au fil du temps.
Il est possible de diminuer cette charge en mettant
régulièrement à jour les fichiers de définition dans
l’image machine, mais étant donné la fréquence de
ces mises à jour, il est probable que chaque machine
sera dans l’obligation de les demander lors de son
lancement.
www.bathwick.com
Les solutions basées sur des agents font peser des contraintes supplémentaires
importantes sur les machines hôtes
Lorsqu’il s’agit de dimensionner des hôtes physiques pour un environnement virtuel, il faut allouer les ressources
nécessaires pour prendre en charge à la fois le démarrage du logiciel de sécurité et son fonctionnement permanent
en tâche de fond. Même lorsqu’il est « au repos », le logiciel de protection consomme une certaine quantité de
RAM (généralement entre 100 et 500 Mo) et peut, de temps à autre, utiliser une partie des ressources CPU des
machines virtuelles. Cette utilisation peut varier entre des périodes relativement longues présentant des taux
d’utilisation nuls ou proches de zéro et des temps très courts d’utilisation à 100 % des ressources CPU.
Il importe donc de s’assurer que les machines virtuelles ne procèdent pas toutes en même temps aux analyses
de sécurité car un blitz antivirus (qui peut se produire lorsque de nombreuses machines virtuelles effectuent
simultanément une analyse de sécurité sur le même hôte) peut rapidement consommer toutes les ressources
disponibles du serveur.
Le processus de lancement d’une machine virtuelle prend également un peu plus de temps car le chargement et
la vérification du logiciel de protection fait partie du cycle de démarrage. Là encore, sur une machine autonome
isolée, ce temps supplémentaire peut être négligeable et ne se remarquera peut-être même pas, mais appliqué
à des dizaines voire des centaines de machines virtuelles, il peut avoir d’importantes répercussions. Les solutions
antimalware les plus avancées peuvent être configurées de manière à atténuer certaines de ces conséquences.
Elles peuvent par exemple programmer les demandes de mise à jour et faire en sorte que les analyses de sécurité
soient effectuées à des moments aléatoires sur chaque machine et par conséquent réparties sur l’ensemble de la
journée. Mais cette approche n’est pas non plus la plus parfaite car certaines machines ne pourront pas recevoir
leurs mises à jour critiques immédiatement à publication, mais uniquement après écoulement d’un certain laps
de temps.
Protection sans agent
Le principe de la protection sans agent (ou « Agent léger ») consiste en fait à décharger la majeure partie du travail
réalisé par le logiciel de protection sur une ou plusieurs appliances centralisées. Ainsi, au lieu d’exécuter elle-même
le logiciel de protection, chaque machine virtuelle délègue cette activité à une machine centrale.
La protection sans agent a été lancée par VMware et sa technologie vShield Endpoint.
Dans un environnement VMware, lorsqu’utilisé avec une solution contre les virus et programmes malveillants
compatible, le service vShield Endpoint offre les avantages suivants :

Élimination des blitz antivirus
La mise à jour des fichiers de signatures et l’analyse antivirus étant traitées séparément sur une appliance
virtuelle distincte, les machines n’ont plus besoin de demander et d’appliquer individuellement les mises à
jour.

Possibilité d’un plus grand nombre de postes de travail virtuels par serveur physique
En transférant sur une appliance virtuelle partagée le traitement et la configuration mémoire requise par le
logiciel de protection, vous libérez des ressources CPU et de la mémoire importantes sur la machine hôte, ce
qui vous permet d’exécuter un plus grand nombre de machines virtuelles.
www.bathwick.com

Temps de démarrage plus courts
Le déploiement des fichiers de signatures et de base de données sur l’appliance centrale évite de charger le
fichier de signatures et de vérifier la disponibilité de mises à jour lors du démarrage ; les images virtuelles sont
plus rapides à démarrer.

Suppression du retard de propagation des mises à jour
Il n’y a plus à attendre que les mises à jour soient propagées à l’ensemble de l’environnement virtuel. Celles-ci
sont immédiatement appliquées dès leur téléchargement par l’appliance de protection.

Simplification du provisionnement
Le seul composant à installer comme partie intégrante de l’image virtuelle est le pilote de faible encombrement
(compris dans le package des outils VMware). Après l’installation de ce pilote, le processus qui applique la
protection aux nouvelles machines, au fur et à mesure de leur chargement, est entièrement automatique.

Facilité de maintenance accrue
Les modifications apportées au logiciel antimalware sont appliquées uniquement à l’appliance virtuelle et non
à chacun des postes de travail.

Audit centralisé
Les journaux d’audit sont conservés par l’appliance virtuelle, ce qui facilite les vérifications et la surveillance.
Appliance
de sécurité
Figure 3.
Applications
Applications
Applications
La protection sans agent délègue la protection antimalware à une même appliance
Le modèle sans agent a toutefois un inconvénient, qui peut avoir une importance pour certains utilisateurs, en ce
sens qu’il couvre uniquement les principaux services de protection fournis par le logiciel antimalware. Les autres
fonctionnalités comprises dans la plupart des produits de sécurité (comme la suppression définitive des données
et le chiffrement) ne sont pas disponibles via l’appliance de sécurité.
www.bathwick.com
Conclusion
Une administration et une gestion efficaces sont essentielles
Si vous ne mettez pas en place la technologie appropriée en association avec les processus adéquats, vous exposez
votre environnement virtuel à des risques potentiels. Vous devez mettre en place une structure d’administration et
de gestion vous permettant de gérer et de surveiller tous les périphériques de votre environnement. Pour ce faire,
vous devez choisir une solution qui vous en donne la possibilité.
Les grandes entreprises qui étendent leur démarche de virtualisation doivent adopter une approche
globale de la protection contre les virus et programmes malveillants
Une grande entreprise doit mettre en place une stratégie unique qui couvre tous ses périphériques et modèles
de déploiement existant. Dans ce domaine, les besoins ne sont pas les mêmes partout : certaines machines
nécessiteront l’installation de versions complètes autonomes de votre logiciel de sécurité alors que d’autres
pourront se contenter des services de base.
Une entreprise de taille moyenne qui envisage de prendre une solution VDI auprès d’un hébergeur
doit s’assurer que son fournisseur lui offre une protection adéquate
Un fournisseur de solutions VDI responsable doit vous offrir une protection antimalware dans le cadre du service
proposé. Si ce n’est pas le cas de votre fournisseur, faites pression sur lui pour qu’il s’en charge.
Si vous prévoyez de proposer des services VDI hébergés, votre offre doit comporter une protection
antimalware
Nous conseillons à nos clients de ne pas utiliser de services VDI hébergés qui n’offrent pas de protection antimalware
en temps réel.
À l’heure actuelle, de nombreux fournisseurs de solutions VDI n’offrent pas encore cette protection en standard.
C’est pourquoi à court terme la capacité à proposer des niveaux de sécurité supérieurs constituera un élément de
différenciation et à moyen terme elle représentera un critère obligatoire dans toute offre de services VDI.
www.bathwick.com
À propos de Bathwick Group
Bathwick Group possède trois divisions : étude et conseil, logiciels d’enquêtes, de marketing et laboratoire d’idées (ou think
tank) stratégique.
BATHWICK: ETUDE ET CONSEIL
Étude et conseil dans quatre principaux domaines d’activité:

Secteur informatique Analyse de clientèle et programmes marketing exclusifs pour les acteurs s’adressant aux marchés
des grandes et moyennes entreprises, planification stratégique et aide à la commercialisation

Informatique d’entreprise Support stratégique pour responsables informatiques ; études comparatives et meilleures
pratiques en matière de productivité et d’agilité des infrastructures

Développement durable Études comparatives et aide à la planification pour les entreprises souhaitant intégrer des
pratiques durables et atténuer les risques stratégiques. Identification des menaces et opportunités futures

Innovation Services rapides d’engagement collaboratif permettant d’associer les compétences de vos ressources
humaines clés à celles d’experts extérieurs afin d’apporter rapidement des solutions aux défis majeurs auxquels
l’entreprise est confrontée. Structures de protection sur IP
STORRM SOFTWARE
Une plate-forme de collecte, d’analyse et de diﬀusion de données à l’échelle de l’entreprise
Plate-forme logicielle multilingue souple pour la réalisation d’enquêtes, d’études comparatives et d’évaluations, pour la veille
stratégique des marchés, la génération et l’entretien de prospects, l’accompagnement des ventes, la gestion et la distribution
de supports marketing, les enquêtes hors ligne, les jeux ainsi que de multiples applications
décisionnelles.
THINKAGAIN
Un réseau mondial d’étude collaboratif
ThinkAgain met en relation des chefs d’entreprise et
responsables politiques avec des investisseurs, des
universitaires et intellectuels éminents afin de
susciter de nouvelles idées sur les questions de
performances d’entreprise, de géopolitique et
de développement durable. La participation
se fait uniquement sur invitation.
Référence du document: BG-INF-W-00101FR-FR-00
All contents © The Bathwick Group Ltd 2012