Les piliers d`un environnement virtuel sécurisé

Transcription

eBook
Brochure pour cadres
Les piliers d’un environnement
virtuel sécurisé
Avec la généralisation de la virtualisation, les
responsables informatiques ont besoin de savoir
que la sécurité de leurs environnements ne sera
pas mise en péril.
Cette brochure pour cadres a pour objectif d’aider ces
responsables informatiques à comprendre les risques
qu’un environnement virtualisé peut représenter
pour la sécurité de leurs entreprises, ainsi que les
différentes façons de maîtriser et de réduire ces risques.
Contenu :
Nemertes : Comment créer un environnement virtuel sécurisé ?
Pourquoi la sécurité virtuelle est-elle si problématique ?
Protection de l’environnement virtuel
Pensez à l’avenir : passez au Cloud
Lectures complémentaires
Comment créer un environnement virtuel sécurisé ?
Par John E. Burke
Analyste en chef, Nemertes Research
Tout le monde opte pour la virtualisation
des data centers. D’après l’étude de
référence réalisée en 2010 par Nemertes,
97 % des organisations recourent déjà
à la virtualisation de serveurs. Environ
13 % des data centers sont entièrement
virtualisés. Actuellement, ces data
centers exécutent, en moyenne, 78 % des
applications d’entreprise sur des serveurs
virtuels. Les PME de ce groupe exécutent
64 % des applications d’entreprise sur
des serveurs virtuels, contre 99 % pour les
grandes entreprises. Dans les data centers
où la virtualisation est toujours en phase
de déploiement, 47 % des applications
d’entreprise s’exécutent sur des serveurs
virtuels. La moitié des organisations
disposent d’ores et déjà de bureaux
virtuels, ce qui ramène les systèmes
d’exploitation des bureaux et les problèmes
de sécurité au niveau du data center.
La virtualisation permet aux
organisations de gagner en flexibilité,
mais bouleverse la sécurité. Ce n’est pas
tellement les hyperviseurs proprement
dits qui constituent un risque pour
l’environnement, mais la façon dont
l’informatique les exploite. Des
serveurs qui étaient auparavant séparés
physiquement sur des réseaux locaux
distincts dans un data center se retrouvent
souvent sur le même serveur hôte, avec
le faible niveau de séparation que permet
l’hyperviseur. Des systèmes qui, par le
passé, étaient séparés par un pare-feu
ou un système de détection/prévention
d’intrusions sur le réseau physique, ne
le sont plus dans l’espace virtuel. Une
énorme partie du trafic réseau s’effectue là
où les services informatiques disposent de
peu de visibilité et d’un niveau de contrôle
différent, souvent moindre, que dans les
environnements physiques.
Pour sécuriser les systèmes hybrides
physiques/virtuels, l’informatique doit
revenir au b.a.-ba, c.-à-d. évaluer le
profil de risque et de sécurité du nouvel
environnement, déployer une défense et
une visibilité en profondeur, et centraliser
la gestion des divers outils ainsi que des
couches de sécurité.
Évaluation du profil de
sécurité de la virtualisation
d’environnement
Moins de 36 % des organisations ayant pris
part à l’étude de référence de Nemertes ont
réalisé une évaluation formelle de l’impact
de la virtualisation sur leur profil de sécurité
et de conformité. Ce n’est pas normal !
Les serveurs partageant du matériel
et un environnement virtuel peuvent
avoir des répercussions considérables
sur la conformité, a fortiori si le régime
de conformité requiert la séparation de
©Nemertes Research 2010 www.nemertes.com
888-241-2685 DN1256
l’accès administratif et des fonctions ou la
segmentation des niveaux d’applications.
Ainsi, les administrateurs de serveurs
virtuels ayant accès à la configuration du
réseau virtuel peuvent également, en cas
de mauvaise configuration, être à l’origine
d’une vulnérabilité potentielle.
Les infrastructures virtuelles sont bien
plus dynamiques que les infrastructures
physiques. En effet, les serveurs physiques
changent rarement de rack (et encore
moins de data centers), alors que les
serveurs virtuels peuvent le faire plusieurs
fois par jour. La segmentation et les
dispositifs physiques traditionnels ont
du mal à s’adapter à ce dynamisme,
soit parce que des règles suffisamment
souples ne peuvent pas être configurées,
soit parce qu’ils requièrent simplement
qu’un serveur se trouve à un endroit précis,
relié à un ensemble spécifique de ports de
commutation. Étant donné que dans les
data centers virtualisés, les emplacements
physiques deviennent des variables
dynamiques, l’évaluation de la sécurité
dans une infrastructure virtuelle passe
obligatoirement par la détermination de la
mesure dans laquelle la sécurité dépend
des emplacements physiques.
Les changements impliqués par la
virtualisation au niveau des processus et
de la gestion sont tout aussi importants
Nemertes :
Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé
2
Comment créer un environnement virtuel sécurisé ? (suite)
que les changements au niveau de
l’environnement. La virtualisation permet
d’accélérer l’informatique (par exemple,
en réduisant de 80 % le temps nécessaire
au provisioning d’un serveur), ce qui
signifie que la sécurité doit également
passer à la vitesse supérieure. Bon nombre
de contrôles de sécurité sont intégrés
dans les check-lists de provisioning...
et dans la tête des administrateurs.
Restez quelques jours ou quelques
semaines en dehors du processus et le
risque que des éléments soient oubliés
ou supprimés par inadvertance des
listes augmente considérablement. Une
évaluation minutieuse de la sécurité de
l’environnement de virtualisation passe
donc autant par l’examen des processus
que de l’environnement.
Défense et visibilité en
profondeur Une fois que les
organisations informatiques ont réalisé
une évaluation précise et consciencieuse
du nouvel environnement de sécurité
dans leur data center, elles doivent trouver
une solution pour pallier à l’apparition de
nouveaux niveaux de risque inadmissibles.
Pour ce faire, elles peuvent avoir recours
à des contrôles directs (pare-feux,
système de prévention d’intrusions) ou
compensatoires (meilleure visibilité et
rapports sur le trafic réseau).
Les contrôles directs peuvent inclure
l’implémentation de nouveaux outils de
sécurité au sein de l’environnement virtuel,
tels que des pare-feux virtuels. Selon
l’étude de Nemertes, moins de 4 % des
organisations recourent à ce type d’outils
spécialisés (à peine plus de 15 % les
évaluent).
À terme, tous les data centers virtualisés
devront mettre en place une stratégie de
haute visibilité et de défense approfondie
au sein de leur environnement virtuel,
que ce soit par le biais de la superposition
d’outils tiers ou en attendant que les
fournisseurs d’hyperviseurs implémentent
eux-mêmes des fonctionnalités de sécurité
suffisamment puissantes.
Une défense en profondeur ne se limite
pas à creuser dans l’environnement
virtuel ; cela implique également de se
focaliser davantage sur des architectures
de sécurité de plus haut niveau, basées
sur les identités et les rôles au sein de
l’organisation. La gestion des identités et
le contrôle d’accès basé sur les rôles font
de l’identification des entités (personnes,
systèmes ou composants logiciels) et des
tâches associées à leurs rôles au sein de
l’organisation la base de la gestion des
accès et de la protection des informations.
La protection des données et des systèmes
sur la base des identités et des rôles
permet d’isoler la gestion des accès du
dynamisme de l’environnement virtuel.
Si une identité est validée sur la base
d’un autre élément que l’emplacement,
par exemple un jeton de sécurité plutôt
qu’une adresse IP ou un numéro de
port commutateur d’accès, alors les
changements d’emplacement n’ont pas de
répercussions sur le contrôle des accès.
Intégration de la sécurité.
Les plans de contrôles définis,
l’informatique doit ensuite s’assurer qu’il
n’y aura pas d’écart entre la sécurité
physique et virtuelle, tant au niveau de la
définition des règles que de leur exécution.
L’établissement d’un environnement où
les paramètres de sécurité ne sont pas
automatiquement synchronisés entre les
infrastructures physiques et virtuelles,
ou dans lequel les journaux ne sont pas
consolidés, conduit inévitablement à des
lacunes au niveau de la sécurité dans
la mesure où l’infrastructure virtuelle
avance à la vitesse de la virtualisation
©Nemertes Research 2010 www.nemertes.com
888-241-2685 DN1256
et l’infrastructure physique, non. C’est
pourquoi il est de plus en plus important
de déployer des outils capables d’intégrer
la gestion et le suivi des environnements
physiques et virtuels, ainsi que des
versions matérielles et hébergées
des mêmes outils, par exemple pour
coordonner les paramètres de règle sur
des pare-feux ou systèmes de prévention
d’intrusions hébergés, physiques et virtuels.
Le temps du cloud est arrivé !
Grâce à un environnement de sécurité
physique/virtuel capable de déployer
une défense ainsi qu’une visibilité en
profondeur sans entraver le dynamisme
et la résilience de l’environnement virtuel,
l’informatique a posé des bases solides
permettant d’étendre les opérations à
l’infrastructure cloud. Grâce à l’introduction
de la fédération, les mêmes types d’outils,
de règles et de processus qui prennent
en charge les infrastructures virtuelles en
interne peuvent également le faire lorsque
les charges de travail passent sur le cloud.
Cette analyse expose les conclusions et
points de vue actuels de Nemertes Research
et n’a en aucun cas été sponsorisée.
À propos de Nemertes Research :
Nemertes Research est une société de
recherche et de conseil spécialisée dans
l’analyse et la quantification de la valeur
ajoutée des technologies émergentes
pour les entreprises. Pour en savoir plus
sur Nemertes Research, visitez notre
site Web, www.nemertes.com, ou
contactez-nous directement à l’adresse
[email protected].
Nemertes :
3
Pourquoi la sécurité virtuelle est-elle
si problématique ?
L’informatique recourt de plus en plus à la technologie de la virtualisation. Cela s’explique
par le fait qu’elle permet de rationaliser les opérations tout en réduisant les coûts
d’exploitation. Toutefois, dans un environnement virtuel, les défis sécuritaires se multiplient
rapidement, introduisant de nouveaux risques.
Là où une organisation pouvait avoir un
seul serveur d’applications, très vite, elle
est passée à 30 serveurs. Comment, dans
un tel contexte, garantir la sécurité non
seulement d’une machine physique, mais
aussi de toutes les machines virtuelles
qu’elle héberge, ainsi que des applications
qu’elles exécutent ? Et comment contrôler
et gérer tout cela de manière centralisée ?
Pour une société figurant au classement
Fortune 500, fournir un serveur à ses
clients internes peut lui prendre jusqu’à
six mois, soit cinq mois et trois semaines
de trop pour maintenir leur niveau de
compétitivité. Grâce à la virtualisation,
cette même société peut espérer réduire ce
délai à cinq jours ouvrables.
Du point de vue des coûts d’exploitation,
le recours à la virtualisation permet
au service IT de tendre vers un taux
d’utilisation de 100 % d’un serveur
physique. De surcroît, cela permet de
réduire l’espace physique requis et
par la même, de diminuer les coûts
liés à l’immobilier, au personnel, à la
bande passante, ainsi qu’au système
de chauffage, de ventilation et de
climatisation.
La sécurité physique est bien établie. Au
cours des 50 dernières années, la sécurité
des opérations informatiques physiques
est devenue très fiable. Qu’il s’agisse de
contrôler l’accès physique à un serveur ou
un logiciel de gestion des identités, des
règles, des processus et des meilleures
pratiques ont été établis pour ce faire.
Les logiciels de sécurité ont évolué afin
de fournir aux services informatiques
les instruments appropriés pour gérer
l’environnement physique. Outre la gestion
des identités, la sécurité des applications,
le contrôle d’accès, le contrôle des
informations, la consignation des activités
des utilisateurs et le reporting sont autant
de solutions qui de nos jours sont utilisées
efficacement.
Les technologies de virtualisation
peuvent, en revanche, être plus difficiles
à sécuriser. Pourtant, les environnements
physique et virtuel nécessitent tous deux
une gestion globale de la sécurité. Les
principaux défis auxquels les responsables
informatiques sont confrontés lorsqu’ils
passent à des environnements
virtuels sont multiples : respect des
réglementations, gestion des identités,
contrôle des accès, sans oublier le besoin
d’identifier, de classer et de contrôler
l’utilisation qui est faite des informations.
La virtualisation permet d’exécuter
plusieurs instances de systèmes
d’exploitation, ou machines virtuelles
(VM), sur un même matériel physique.
Chacune d’elles fonctionne comme si elle
était sa propre machine physique avec un
système
Dans l’environnement de serveur physique,
la sécurité du système d’exploitation
natif n’offre pas le niveau de protection
des ressources et données stratégiques
requis pour satisfaire aux réglementations
et respecter les meilleures pratiques en
termes de sécurité. Cette même faiblesse
s’étend à l’environnement de virtualisation.
Podcast :
Approche pratique de
la sécurité en matière
de virtualisation
Les procédures de sécurité
instaurées par votre société
pour un environnement de
serveur physique sont-elles
pertinentes et efficaces pour
un environnement de serveur
virtuel ? Comment vous assurer
que les informations et charges
de travail sont protégées dans
un environnement virtuel ?
Ou encore, qu’elles respectent
les exigences de conformité ?
Trouvez des réponses à ces
questions et d’autres en
écoutant Shirief Nosseir,
Product Marketing Director de
l’entité Security Management
de CA Technologies en Europe,
au Moyen-Orient et en Afrique.
Écouter
Nemertes :
4
Pourquoi la sécurité virtuelle est-elle si problématique ? (Suite)
d’exploitation dédié et des applications
hébergées. La couche au sein de la plateforme de virtualisation qui permet de
partager une ressource matérielle entre
plusieurs machines virtuelles s’appel
l’« hyperviseur ».
Si nous voulons identifier les risques liés
à la virtualisation, nous devons d’abord
comprendre ce qui différentie cette
dernière d’un environnement physique
traditionnel. Dans l’environnement de
serveur physique, la sécurité du système
d’exploitation natif n’offre pas le niveau
de protection des ressources et données
stratégiques requis pour satisfaire aux
réglementations et respecter les meilleures
pratiques en termes de sécurité. Cette
même faiblesse s’étend à l’environnement
de virtualisation. L’hôte de virtualisation
devient plus critique dans la mesure où il
héberge non pas une machine virtuelle,
mais plusieurs. L’hyperviseur fait office de
point de gestion unique pour toutes les
images de machine virtuelle et contrôle
de nombreux services essentiels, ce qui
crée un talon d’Achille. Une personne qui
dispose d’un accès à l’hyperviseur est
analogue à un utilisateur root sous UNIX ;
elle peut faire n’importe quoi sur n’importe
laquelle des machines hébergées.
Compromettre l’hyperviseur pour
télécharger une image ou ajouter une
machine virtuelle malveillante revient à
entrer par effraction dans une salle de
serveurs pour y voler une machine ou en
introduire une non autorisée dans le data
center. Les applications de gestion de la
virtualisation peuvent être contournées et
la console de virtualisation ou le système
d’exploitation hôte sont directement
accessibles par les utilisateurs à forts
privilèges.
Par le passé, il suffisait, d’une certaine
manière, de mettre les serveurs à
l’abri dans une salle protégée par des
contrôles d’accès physiques stricts. Dans
un environnement virtuel, les choses
se compliquent. Les serveurs sont de
« simples » fichiers qui peuvent être
copiés à partir de l’hôte. Copier l’image
d’un serveur équivaut à en voler un dans
la salle des serveurs. Qui plus est, la
mémoire de la machine est accessible à
partir de l’hyperviseur, ce qui compromet
la sécurité des informations transmises
telles que les mots de passe et les
clés de codage. Il est donc capital de
protéger l’accès, même distant, à l’hôte
de virtualisation. Contrairement au
mainframe traditionnel, le data center
virtuel moderne est fortement distribué.
Les risques qui, auparavant, étaient limités
par des systèmes de sécurité physiques
doivent à présent être gérés via la sécurité
informatique.
SONDAGE
Quels sont les principaux
obstacles à la sécurisation
de vos environnements
virtuels ?
Obstacles
Manque de compétences et
d’expertise
Budget et coût initial de mise
en oeuvre
Faible priorité dans l’ordre du
jour de la direction
Ignorance des risques
inhérents
Gestion des rôles, des identités et des
applications. Si les identités ne sont pas
gérées efficacement au niveau physique,
la tentative d’implémentation d’un
environnement virtuel ne fera qu’exacerber
les problèmes actuels liés à l’identité et
à l’accès. Actuellement, bon nombre de
sociétés utilisent des logiciels pour définir
clairement les utilisateurs et les rôles et les
gérer. Ces logiciels sont ensuite associés
à une solution de gestion des identités
afin de vérifier que les utilisateurs ne
reçoivent que les privilèges adéquats. Si ce
système n’est pas géré correctement, des
utilisateurs surprivilégiés, non contrôlés,
peuvent nuire à de nombreux systèmes et
applications d’un environnement virtuel.
Difficulté de gestion de
la sécurité sur l’ensemble
des plates-formes et des
environnements virtuels
Un autre aspect de la sécurité est le
besoin de gérer l’accès sécurisé aux
applications par les utilisateurs ainsi que
les autres applications et services. Dans
un environnement virtualisé, les serveurs
d’applications
Sélectionnez tous les obstacles
qui vous concernent.
Gartner est arrivé à la conclusion
que jusqu’en 2012, 60 % des
serveurs virtualisés seront moins
sûrs que leurs homologues
physiques.
Manque de règles, normes et
processus pertinents au sein
de votre entreprise
Immaturité des outils
de gestion et de sécurité
disponibles sur le marché
Options de déploiement et
d’octroi de licence optimisées
pour les environnements
virtuels non disponibles chez
les fournisseurs
VOTER
Nemertes :
5
se connectent et se déconnectent en
fonction des demandes. Avant de pouvoir
envisager la virtualisation de nombreuses
applications, il est indispensable de prévoir
une plate-forme évolutive de gestion
des accès qui permettent de contrôler
minutieusement ces derniers. Ainsi,
l’organisation peut mettre à disposition
une plate-forme sûre et fiable pour les
environnements à la fois physique et virtuel.
Contrôle des utilisateurs à forts
privilèges. Les utilisateurs ordinaires sont
identifiés et contrôlés par le dispositif de
sécurité de l’application et du système
d’exploitation. S’ils commettent des
erreurs ou tentent une utilisation abusive,
pour autant que les contrôles aient été
définis correctement, ils ne pourront pas
nuire au système ou accéder à des
informations confidentielles.
L’utilisateur à forts privilèges, lui, dispose
de privilèges élevés sur les serveurs.
Le contrôle de son accès assuré par
le dispositif de sécurité du système
d’exploitation natif n’offre pas le niveau
nécessaire pour garantir le respect
des réglementations et des meilleures
pratiques en matière de sécurité ; en
général, les administrateurs se partagent
son nom d’utilisateur et/ou son mot de
passe, ce qui le rend presque anonyme.
Avec la virtualisation, ce problème se
marque encore plus. L’administrateur peut
agir sur l’hôte physique, mais également
sur toutes les sessions virtuelles qui
s’y exécutent. Il peut aussi accéder à
des données sensibles et perturber la
continuité des activités. Sans une solution
de contrôle d’accès indépendante,
plusieurs utilisateurs à forts privilèges dans
différents rôles peuvent interagir avec de
nombreux composants d’un déploiement
de virtualisation. Cette régulation
inadéquate de l’accès à l’hyperviseur peut
WEBCAST
4
Empowering Transformation:
Managing the Risks of Virtualization (Les
clés de la transformation : gestion des
risques liés à la virtualisation
Face aux avancées majeures dans le domaine de la virtualisation et
du Cloud Computing, et aux conditions économiques actuelles, les
organisations informatiques passent à des plates-formes à la fois
plus efficaces, plus rentables et plus conviviales, afin d’apporter une
plus-value à l’entreprise. La série de webcasts de CA consacrée à la
virtualisation, intitulée « Empowering IT Transformation » (Les clés
de la transformation informatique), aborde les risques et atouts de
la transformation actuelle de l’informatique par le biais de l’adoption
du Cloud Computing et de la virtualisation des serveurs. Écoutez
Chris Wraight, de CA Technologies, et d’Andras Cser, de Forrester, vous
expliquer comment maîtriser les risques liés à la virtualisation.
considérablement nuire à l’entreprise en
compromettant des informations critiques
et en entraînant des interruptions de
services stratégiques. Les images des
machines virtuelles peuvent être copiées,
et avec elles, toutes les données et
applications qu’elles contiennent.
Elles peuvent être mises en ligne sur un
réseau non sécurisé, facilitant dès lors
l’accès non autorisé à leur contenu.
s’est pas rendu compte que le système
s’apprêtait réellement à envoyer des
chèques aux clients. La compagnie s’est
aperçue du problème lorsqu’un client l’a
contactée pour demander quel chèque il
devait encaisser parmi les deux qu’il avait
reçus pour une demande d’indemnisation
en cours. Voilà le scénario catastrophe que
bon nombre d’organisations informatiques
redoutent.
Un jour, un développeur bien intentionné
d’une grande compagnie d’assurance a
cloné une machine virtuelle de production,
puis l’a lancée dans un environnement
d’assurance qualité. La compagnie ne
contrôlant pas les accès, le développeur a
pu accéder librement aux environnements
d’assurance qualité, de développement et
de production. Lorsqu’il a démarré la copie
du système, la machine s’est comportée
comme en production. Ainsi, lorsque le
développeur a exécuté quelques scénarios
de demandes d’indemnisation, il ne
Prolifération rapide des données. Plus
les serveurs virtualisés se développent,
plus le nombre de données sensibles
qui y résident augmente. Dossiers
médicaux personnels, plans de produits de
marque déposée, dossiers des employés,
données de cartes de crédit, ... Toutes
ces informations doivent être localisées
et protégées contre d’éventuelles fuites.
Comment une entreprise peut-elle assurer
le suivi de ces informations, d’autant plus
si les machines virtuelles peuvent être
connectées puis déconnectées ?
Nemertes :
6
Des audits inadéquats nuisent à la
conformité. Vu l’impact de la plateforme de virtualisation sur la stabilité de
l’ensemble du data center et sur l’intégrité
des données gérées, il convient de la
considérer comme une infrastructure
critique. Par conséquent, elle est soumise
à des exigences de conformité strictes.
L’organisation doit suivre les interactions
de chaque utilisateur avec la plate-forme
de virtualisation et au sein de chaque
machine virtuelle qu’elle héberge.
Toutefois, les fonctions natives d’audit
proposées par ces environnements ne
sont pas suffisamment précises pour être
efficaces et, de surcroît, sont vulnérables
aux altérations et aux manipulations des
instantanés.
Jusqu’il y a peu, les auditeurs n’étaient
pas très perspicaces en matière de
virtualisation ; les problèmes d’audit dans
ce domaine n’ont pas encore fait l’objet
d’un signalement régulier. La situation tend
toutefois à changer, comme en témoignent
les récentes mises à jour apportées à
diverses réglementations communes,
telles que celle relative au secteur des
cartes de paiement. L’accès au système
d’exploitation hôte doit être suivi et audité
de manière à prouver que les contrôles ont
garanti son intégrité et son efficacité. De
même, au sein de chaque machine virtuelle,
l’accès à chaque système d’exploitation
invité doit être soumis aux mêmes
exigences de conformité réglementaire.
Solutions Content-Aware
Identity and Access
Management (IAM) Étant
donné que les périmètres de sécurité
tendent à s’estomper et que les charges
de travail virtuelles se font de plus
en plus mobiles, il est évident que la
sécurité doit s’appliquer aux identités
jusqu’aux données, tout au long du cycle
de vie, plutôt que juste aux ressources
du réseau. Par conséquent, les initiatives
de virtualisation et de Cloud Computing
doivent absolument adopter, dès le
départ, une stratégie de sécurité centrée
sur l’identité et qui prenne en compte le
4
contenu. Les solutions IAM qui tiennent
compte du contenu (« Content-Aware »)
vous aident à renforcer et à automatiser
vos contrôles de sécurité, car elles vous
permettent de contrôler les identités
des utilisateurs, leur accès, ainsi que
l’utilisation qu’ils font des informations.
Alors que les solutions IAM traditionnelles
ne vont pas plus loin que le point d’accès
des applications et systèmes, les solutions
Content-Aware IAM assurent une gestion
et un contrôle depuis l’utilisateur jusqu’à
l’information et l’utilisation qui en est
faite. Ce contrôle détaillé vous aide à
lutter contre l’utilisation abusive de
vos données, y compris leur révélation
non autorisée ou leur vol. Ainsi, vous
augmentez la conformité et protégez les
informations critiques dans l’ensemble
des environnements physiques, virtuels et
Cloud.
Pour en savoir plus et télécharger
l’intégralité du livre blanc intitulé
« Content-Aware Identity & Access
Management in a Virtual Environment »,
cliquez ici. n
Opportunités et risques : trouvez
le juste équilibre lorsque vous
passez à la virtualisation
Rejoignez Neil MacDonald, vice-président et
membre de l’équipe de recherche du cabinet
d’analystes Gartner, pour savoir quels sont les
avantages de la virtualisation et les risques
associés, tant pour la sécurité que pour les
services. Gijo Mathew, vice-président de l’entité
Security Management de CA Technologies,
vous explique également qu’une méthode de
gestion efficace est un véritable catalyseur
pour la réalisation des objectifs métiers et
stratégiques des organisations informatiques,
grâce à l’exploitation efficace de cette
technologie. REGARDER
Nemertes :
7
CA Access Control (AC) fournit
la couche critique de protection nécessaire
pour une sécurisation efficace des platesformes de virtualisation. AC opère de
façon indépendante, tant au niveau de
l’application que du noyau du système
d’exploitation, et ce sans interférer avec
le noyau proprement dit. En sécurisant
l’accès à l’hyperviseur via la console, AC
protège les informations stratégiques ainsi
que les services s’exécutant au sein du
data center virtuel. Il assure la protection
des déploiements de virtualisation à de
multiple niveaux : systèmes d’exploitation
hébergeant un hyperviseur, systèmes
d’exploitation implémentant une virtualisation
basée sur un système d’exploitation,
partitions privilégiées gérant une
virtualisation basée sur un hyperviseur
et ressources critiques sur les machines
virtuelles s’exécutant sur tous ces
systèmes ou partitions. En raison de sa
prise en charge de systèmes d’exploitation
très variés, AC est idéal pour protéger les
machines virtuelles, particulièrement
dans un environnement de systèmes
d’exploitation hétérogène. Il permet
en outre de protéger les utilisateurs à
forts privilèges dans les environnements
informatiques au-delà de l’hôte de
virtualisation proprement dit (dans les
bases de données, les périphériques
réseau et les applications). CA contribue
aussi à une simplification de la gestion
des utilisateurs en la consolidant sous
une source d’autorité unique pour tous les
systèmes d’exploitation.
SONDAGE
Votre organisation va-t-elle
exploiter la virtualisation
pour fournir des services
de Cloud Computing privés ?
(Sélectionnez une option.)
l’intégralité du livre blanc intitulé « Securing
Virtualized Environments and Accelerating
Cloud Computing » (Sécurisation des
environnements virtualisés et accélération
du Cloud Computing), cliquez ici. n
Oui, c’est déjà le cas
actuellement.
Oui, ce devrait être le cas
avant la fin 2011.
Oui, ce devrait être le cas
avant la fin 2012.
Non, nous devons d’abord
nous assurer que nos
processus de virtualisation
sont suffisamment matures.
Non, nous pensons que les
clouds privés ne sont pas
encore suffisamment fiables/
matures.
Non, les clouds privés ne
nous semblent pas encore
vraiment intéressants.
VOTER
Nemertes :
8
Pensez à l’avenir : passez au Cloud de manière
réfléchie et sûre
Juste au moment où les entreprises
commençaient à croire qu’il était sûr
d’aller plus loin avec leur stratégie IAM
(Identity and Access Management), le
Cloud a fait son entrée, avec toutes les
nouvelles opportunités métiers qu’il offre
mais aussi tous les défis qu’il soulève.
Le Cloud est un phénomène informatique
perturbant, orienté vers l’entreprise,
créé en réponse à la réalité économique
et aux pressions croissantes visant une
réduction des coûts et une augmentation
de l’efficacité ainsi que de l’agilité de
l’IT. Il introduit de nouveaux modèles
(bien que familiers) d’utilisation et de
fourniture des applications qui exercent un
effet démocratisant : des applications et
services informatiques autrefois réservés
aux sociétés aisées et aux grands magasins
informatiques, sont désormais accessible
à tous. . . et à un coût apparemment
nettement moindre.
Bien que le Cloud résolve bon nombre de
problèmes, il en suscite aussi de nouveaux.
En tant que visionnaire dans le domaine
de l’IT et de la gestion informatique, CA
Technologies a consacré des années à
l’anticipation de cette nouvelle dynamique.
Nous avons minutieusement façonné notre
stratégie produit en tenant compte de
nos observations et continuons à l’affiner.
En tant que leader du marché IAM, nous
contribuons à développer l’activité du
secteur qui établira des normes et des
meilleures pratiques afin d’obtenir la
confiance des utilisateurs et des entreprises.
Une chose est sûre : les identités, leur
gestion et les contrôles qui en dépendent
sont fondamentaux pour pouvoir adopter
les services Cloud en toute sécurité.
L’objectif de ce document est de partager
les expériences de CA et sa compréhension
des défis à relever, d’une part, et d’autre
part, de présenter au lecteur sa stratégie et
sa vision de l’approche IAM pour le Cloud.
Public cible
Initialement, les défis IAM et les produits
conçus pour y répondre étaient axés sur les
grandes entreprises et les gouvernements
qui disposaient de vastes infrastructures
IT dédiées et comptaient un grand
nombre d’utilisateurs et d’applications.
Ces organisations ont en effet été les
premières à prendre conscience que
permettre à des utilisateurs d’accéder à
des applications dans des environnements
hétérogènes étendus et contrôler
ces accès était une mission délicate.
Néanmoins, avec le Cloud, le public qui
doit sérieusement envisager l’approche
IAM englobe désormais aussi d’autres
communautés, y compris des entités plus
restreintes, des fournisseurs de services
Cloud et des organismes publics.
Les petites organisations se voient aussi,
à présent, confrontées aux défis IAM
dans la mesure où elles passent de leur
système d’identité actuel homogène
centré sur Microsoft Active Directory à un
autre dans le cadre duquel leurs services
IT proviendront du monde hétérogène et
varié du Cloud.
Les fournisseurs de services Cloud tentent
aussi de tirer parti de cette transition
vers le Cloud pour proposer des services
activés et basés sur l’identité en externe,
et sécuriser en interne les systèmes
virtualisés et multiclients.
49 % des entreprises utilisent
des applications de Cloud
Computing qui ne sont pas
entièrement contrôlées par
rapport aux risques de sécurité.
Étude du Ponemon Institute, mai 2010
SONDAGE
Quel est le principal défi
soulevé par la sécurisation
de votre environnement
virtuel ?
Garantir le respect des réglementations et des exigences
d’audit
Empêcher que des données
sensibles ne passent dans
des environnements virtuels
moins sûrs
Maximiser l’automatisation
en intégrant étroitement
la sécurité à la gestion de
l’infrastructure et des services
Gérer les forts privilèges introduits par les hyperviseurs
et appliquer la séparation
des fonctions pour les tâches
administratives
Contrôler la prolifération des
serveurs virtuels et simplifier
la gestion de la configuration
et des changements
VOTER
Nemertes :
9
Pensez à l’avenir : passez au Cloud de manière réfléchie et sûre (suite)
Dans le monde entier, les gouvernements
délivrent des cartes d’identité, lesquelles
fonctionnent aussi bien en ligne que dans
le monde physique. Bref, l’identité est un
élément essentiel.
n Fournisseurs de services Cloud.
Dès lors, ce livre s’adresse tant aux
organisations (de quelque taille que ce
soit), qu’aux fournisseurs de services
Cloud et aux gouvernements. Chaque type
d’entité se pose des questions sur les
identités et le Cloud.
n Grandes organisations. Comment
étendre le système IAM existant pour
gérer les utilisateurs et leur accès aux
applications et services basés sur le
Cloud ?
n Organisations de taille plus
restreinte. Comment exploiter une
multitude de services Cloud sans
surcharger vos utilisateurs ni perdre le
contrôle de votre organisation ?
Veuillez noter que ce livre n’est pas
conçu pour introduire le principe d’IAM
(authentification, autorisation, SSO, etc.)
ni les concepts de Cloud. Ces notions de
base sont mieux présentées dans d’autres
sources.
Comment proposer vos services IT
d’une manière à la fois hautement
efficace et sûre pour votre entreprise et
vos clients.
l’intégralité du livre blanc intitulé
« Identity and Access Management for the
Cloud: CA’s Strategy and Vision » (Gestion
de l’identité et de l’accès pour le Cloud : la
stratégie et la vision de CA), cliquez ici. n
Livre blanc :
Livre blanc d’IDC : « Identity
and Access Management for
Approaching Clouds » (Gestion
de l’identité et de l’accès pour
le Cloud)
Rapport de l’étude du Ponemon
Institute :
« Security of Cloud Computing
Users—A Study of Practitioners
in the US & Europe » (La sécurité
des utilisateurs du Cloud
Computing : une étude réalisée
auprès de consommateurs
européens et américains)
Webcast :
« Identity as Security Glue
for the Cloud » (L’identité, le
ciment sécuritaire du Cloud)
Bien que les débats sur la sécurité
du Cloud portent en général sur les
problèmes de confidentialité des
données et de menaces, un autre
aspect mérite d’être évoqué, à savoir
la gestion de l’identité et de l’accès
(Identity and Access Management,
IAM). Rejoignez Matthew Gardiner,
Directeur de l’entité Security
Management chez CA Technologies :
il vous propose un cadre de réflexion
sur l’identité et sa relation avec
les différents modes du Cloud et
l’utilisation de ce dernier.
Livre blanc :
« CA Point of View: Content
Aware Identity and Access
Management » (Point de vue
de CA : la gestion de l’identité
et de l’accès qui tient compte
du contenu)
68 % des personnes interrogées
ont déclaré que les principaux
responsables de la sécurisation
de l’utilisation des ressources
de Cloud Computing au sein de
leur organisation ne sont pas les
dirigeants des services de sécurité. Nemertes :
Étude du Ponemon Institute, mai 2010
10

Les piliers d`un environnement virtuel sécurisé

Transcription

Documents pareils

Centre Virtuel de la Connaissance sur l`Europe Texte du projet

responsable des systemes d`informations

3 jours Etat de l`art des tendances informatique

8082 ATN catre postale.indd

Contact :

Télécharger

Ville de La Celle Saint Cloud Direction des ressources humaines A

consultant - Consultake

Formation Cloud Computing et externalisation à Nantes, à

Présentation