Les piliers d`un environnement virtuel sécurisé
Transcription
Les piliers d`un environnement virtuel sécurisé
eBook Brochure pour cadres Les piliers d’un environnement virtuel sécurisé Avec la généralisation de la virtualisation, les responsables informatiques ont besoin de savoir que la sécurité de leurs environnements ne sera pas mise en péril. Cette brochure pour cadres a pour objectif d’aider ces responsables informatiques à comprendre les risques qu’un environnement virtualisé peut représenter pour la sécurité de leurs entreprises, ainsi que les différentes façons de maîtriser et de réduire ces risques. Contenu : Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Comment créer un environnement virtuel sécurisé ? Par John E. Burke Analyste en chef, Nemertes Research Tout le monde opte pour la virtualisation des data centers. D’après l’étude de référence réalisée en 2010 par Nemertes, 97 % des organisations recourent déjà à la virtualisation de serveurs. Environ 13 % des data centers sont entièrement virtualisés. Actuellement, ces data centers exécutent, en moyenne, 78 % des applications d’entreprise sur des serveurs virtuels. Les PME de ce groupe exécutent 64 % des applications d’entreprise sur des serveurs virtuels, contre 99 % pour les grandes entreprises. Dans les data centers où la virtualisation est toujours en phase de déploiement, 47 % des applications d’entreprise s’exécutent sur des serveurs virtuels. La moitié des organisations disposent d’ores et déjà de bureaux virtuels, ce qui ramène les systèmes d’exploitation des bureaux et les problèmes de sécurité au niveau du data center. La virtualisation permet aux organisations de gagner en flexibilité, mais bouleverse la sécurité. Ce n’est pas tellement les hyperviseurs proprement dits qui constituent un risque pour l’environnement, mais la façon dont l’informatique les exploite. Des serveurs qui étaient auparavant séparés physiquement sur des réseaux locaux distincts dans un data center se retrouvent souvent sur le même serveur hôte, avec le faible niveau de séparation que permet l’hyperviseur. Des systèmes qui, par le passé, étaient séparés par un pare-feu ou un système de détection/prévention d’intrusions sur le réseau physique, ne le sont plus dans l’espace virtuel. Une énorme partie du trafic réseau s’effectue là où les services informatiques disposent de peu de visibilité et d’un niveau de contrôle différent, souvent moindre, que dans les environnements physiques. Pour sécuriser les systèmes hybrides physiques/virtuels, l’informatique doit revenir au b.a.-ba, c.-à-d. évaluer le profil de risque et de sécurité du nouvel environnement, déployer une défense et une visibilité en profondeur, et centraliser la gestion des divers outils ainsi que des couches de sécurité. Évaluation du profil de sécurité de la virtualisation d’environnement Moins de 36 % des organisations ayant pris part à l’étude de référence de Nemertes ont réalisé une évaluation formelle de l’impact de la virtualisation sur leur profil de sécurité et de conformité. Ce n’est pas normal ! Les serveurs partageant du matériel et un environnement virtuel peuvent avoir des répercussions considérables sur la conformité, a fortiori si le régime de conformité requiert la séparation de ©Nemertes Research 2010 www.nemertes.com 888-241-2685 DN1256 l’accès administratif et des fonctions ou la segmentation des niveaux d’applications. Ainsi, les administrateurs de serveurs virtuels ayant accès à la configuration du réseau virtuel peuvent également, en cas de mauvaise configuration, être à l’origine d’une vulnérabilité potentielle. Les infrastructures virtuelles sont bien plus dynamiques que les infrastructures physiques. En effet, les serveurs physiques changent rarement de rack (et encore moins de data centers), alors que les serveurs virtuels peuvent le faire plusieurs fois par jour. La segmentation et les dispositifs physiques traditionnels ont du mal à s’adapter à ce dynamisme, soit parce que des règles suffisamment souples ne peuvent pas être configurées, soit parce qu’ils requièrent simplement qu’un serveur se trouve à un endroit précis, relié à un ensemble spécifique de ports de commutation. Étant donné que dans les data centers virtualisés, les emplacements physiques deviennent des variables dynamiques, l’évaluation de la sécurité dans une infrastructure virtuelle passe obligatoirement par la détermination de la mesure dans laquelle la sécurité dépend des emplacements physiques. Les changements impliqués par la virtualisation au niveau des processus et de la gestion sont tout aussi importants Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé 2 Comment créer un environnement virtuel sécurisé ? (suite) que les changements au niveau de l’environnement. La virtualisation permet d’accélérer l’informatique (par exemple, en réduisant de 80 % le temps nécessaire au provisioning d’un serveur), ce qui signifie que la sécurité doit également passer à la vitesse supérieure. Bon nombre de contrôles de sécurité sont intégrés dans les check-lists de provisioning... et dans la tête des administrateurs. Restez quelques jours ou quelques semaines en dehors du processus et le risque que des éléments soient oubliés ou supprimés par inadvertance des listes augmente considérablement. Une évaluation minutieuse de la sécurité de l’environnement de virtualisation passe donc autant par l’examen des processus que de l’environnement. Défense et visibilité en profondeur Une fois que les organisations informatiques ont réalisé une évaluation précise et consciencieuse du nouvel environnement de sécurité dans leur data center, elles doivent trouver une solution pour pallier à l’apparition de nouveaux niveaux de risque inadmissibles. Pour ce faire, elles peuvent avoir recours à des contrôles directs (pare-feux, système de prévention d’intrusions) ou compensatoires (meilleure visibilité et rapports sur le trafic réseau). Les contrôles directs peuvent inclure l’implémentation de nouveaux outils de sécurité au sein de l’environnement virtuel, tels que des pare-feux virtuels. Selon l’étude de Nemertes, moins de 4 % des organisations recourent à ce type d’outils spécialisés (à peine plus de 15 % les évaluent). À terme, tous les data centers virtualisés devront mettre en place une stratégie de haute visibilité et de défense approfondie au sein de leur environnement virtuel, que ce soit par le biais de la superposition d’outils tiers ou en attendant que les fournisseurs d’hyperviseurs implémentent eux-mêmes des fonctionnalités de sécurité suffisamment puissantes. Une défense en profondeur ne se limite pas à creuser dans l’environnement virtuel ; cela implique également de se focaliser davantage sur des architectures de sécurité de plus haut niveau, basées sur les identités et les rôles au sein de l’organisation. La gestion des identités et le contrôle d’accès basé sur les rôles font de l’identification des entités (personnes, systèmes ou composants logiciels) et des tâches associées à leurs rôles au sein de l’organisation la base de la gestion des accès et de la protection des informations. La protection des données et des systèmes sur la base des identités et des rôles permet d’isoler la gestion des accès du dynamisme de l’environnement virtuel. Si une identité est validée sur la base d’un autre élément que l’emplacement, par exemple un jeton de sécurité plutôt qu’une adresse IP ou un numéro de port commutateur d’accès, alors les changements d’emplacement n’ont pas de répercussions sur le contrôle des accès. Intégration de la sécurité. Les plans de contrôles définis, l’informatique doit ensuite s’assurer qu’il n’y aura pas d’écart entre la sécurité physique et virtuelle, tant au niveau de la définition des règles que de leur exécution. L’établissement d’un environnement où les paramètres de sécurité ne sont pas automatiquement synchronisés entre les infrastructures physiques et virtuelles, ou dans lequel les journaux ne sont pas consolidés, conduit inévitablement à des lacunes au niveau de la sécurité dans la mesure où l’infrastructure virtuelle avance à la vitesse de la virtualisation ©Nemertes Research 2010 www.nemertes.com 888-241-2685 DN1256 et l’infrastructure physique, non. C’est pourquoi il est de plus en plus important de déployer des outils capables d’intégrer la gestion et le suivi des environnements physiques et virtuels, ainsi que des versions matérielles et hébergées des mêmes outils, par exemple pour coordonner les paramètres de règle sur des pare-feux ou systèmes de prévention d’intrusions hébergés, physiques et virtuels. Le temps du cloud est arrivé ! Grâce à un environnement de sécurité physique/virtuel capable de déployer une défense ainsi qu’une visibilité en profondeur sans entraver le dynamisme et la résilience de l’environnement virtuel, l’informatique a posé des bases solides permettant d’étendre les opérations à l’infrastructure cloud. Grâce à l’introduction de la fédération, les mêmes types d’outils, de règles et de processus qui prennent en charge les infrastructures virtuelles en interne peuvent également le faire lorsque les charges de travail passent sur le cloud. Cette analyse expose les conclusions et points de vue actuels de Nemertes Research et n’a en aucun cas été sponsorisée. À propos de Nemertes Research : Nemertes Research est une société de recherche et de conseil spécialisée dans l’analyse et la quantification de la valeur ajoutée des technologies émergentes pour les entreprises. Pour en savoir plus sur Nemertes Research, visitez notre site Web, www.nemertes.com, ou contactez-nous directement à l’adresse [email protected]. Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé 3 Pourquoi la sécurité virtuelle est-elle si problématique ? L’informatique recourt de plus en plus à la technologie de la virtualisation. Cela s’explique par le fait qu’elle permet de rationaliser les opérations tout en réduisant les coûts d’exploitation. Toutefois, dans un environnement virtuel, les défis sécuritaires se multiplient rapidement, introduisant de nouveaux risques. Là où une organisation pouvait avoir un seul serveur d’applications, très vite, elle est passée à 30 serveurs. Comment, dans un tel contexte, garantir la sécurité non seulement d’une machine physique, mais aussi de toutes les machines virtuelles qu’elle héberge, ainsi que des applications qu’elles exécutent ? Et comment contrôler et gérer tout cela de manière centralisée ? Pour une société figurant au classement Fortune 500, fournir un serveur à ses clients internes peut lui prendre jusqu’à six mois, soit cinq mois et trois semaines de trop pour maintenir leur niveau de compétitivité. Grâce à la virtualisation, cette même société peut espérer réduire ce délai à cinq jours ouvrables. Du point de vue des coûts d’exploitation, le recours à la virtualisation permet au service IT de tendre vers un taux d’utilisation de 100 % d’un serveur physique. De surcroît, cela permet de réduire l’espace physique requis et par la même, de diminuer les coûts liés à l’immobilier, au personnel, à la bande passante, ainsi qu’au système de chauffage, de ventilation et de climatisation. La sécurité physique est bien établie. Au cours des 50 dernières années, la sécurité des opérations informatiques physiques est devenue très fiable. Qu’il s’agisse de contrôler l’accès physique à un serveur ou un logiciel de gestion des identités, des règles, des processus et des meilleures pratiques ont été établis pour ce faire. Les logiciels de sécurité ont évolué afin de fournir aux services informatiques les instruments appropriés pour gérer l’environnement physique. Outre la gestion des identités, la sécurité des applications, le contrôle d’accès, le contrôle des informations, la consignation des activités des utilisateurs et le reporting sont autant de solutions qui de nos jours sont utilisées efficacement. Les technologies de virtualisation peuvent, en revanche, être plus difficiles à sécuriser. Pourtant, les environnements physique et virtuel nécessitent tous deux une gestion globale de la sécurité. Les principaux défis auxquels les responsables informatiques sont confrontés lorsqu’ils passent à des environnements virtuels sont multiples : respect des réglementations, gestion des identités, contrôle des accès, sans oublier le besoin d’identifier, de classer et de contrôler l’utilisation qui est faite des informations. La virtualisation permet d’exécuter plusieurs instances de systèmes d’exploitation, ou machines virtuelles (VM), sur un même matériel physique. Chacune d’elles fonctionne comme si elle était sa propre machine physique avec un système Dans l’environnement de serveur physique, la sécurité du système d’exploitation natif n’offre pas le niveau de protection des ressources et données stratégiques requis pour satisfaire aux réglementations et respecter les meilleures pratiques en termes de sécurité. Cette même faiblesse s’étend à l’environnement de virtualisation. Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé Podcast : Approche pratique de la sécurité en matière de virtualisation Les procédures de sécurité instaurées par votre société pour un environnement de serveur physique sont-elles pertinentes et efficaces pour un environnement de serveur virtuel ? Comment vous assurer que les informations et charges de travail sont protégées dans un environnement virtuel ? Ou encore, qu’elles respectent les exigences de conformité ? Trouvez des réponses à ces questions et d’autres en écoutant Shirief Nosseir, Product Marketing Director de l’entité Security Management de CA Technologies en Europe, au Moyen-Orient et en Afrique. Écouter Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires 4 Pourquoi la sécurité virtuelle est-elle si problématique ? (Suite) d’exploitation dédié et des applications hébergées. La couche au sein de la plateforme de virtualisation qui permet de partager une ressource matérielle entre plusieurs machines virtuelles s’appel l’« hyperviseur ». Si nous voulons identifier les risques liés à la virtualisation, nous devons d’abord comprendre ce qui différentie cette dernière d’un environnement physique traditionnel. Dans l’environnement de serveur physique, la sécurité du système d’exploitation natif n’offre pas le niveau de protection des ressources et données stratégiques requis pour satisfaire aux réglementations et respecter les meilleures pratiques en termes de sécurité. Cette même faiblesse s’étend à l’environnement de virtualisation. L’hôte de virtualisation devient plus critique dans la mesure où il héberge non pas une machine virtuelle, mais plusieurs. L’hyperviseur fait office de point de gestion unique pour toutes les images de machine virtuelle et contrôle de nombreux services essentiels, ce qui crée un talon d’Achille. Une personne qui dispose d’un accès à l’hyperviseur est analogue à un utilisateur root sous UNIX ; elle peut faire n’importe quoi sur n’importe laquelle des machines hébergées. Compromettre l’hyperviseur pour télécharger une image ou ajouter une machine virtuelle malveillante revient à entrer par effraction dans une salle de serveurs pour y voler une machine ou en introduire une non autorisée dans le data center. Les applications de gestion de la virtualisation peuvent être contournées et la console de virtualisation ou le système d’exploitation hôte sont directement accessibles par les utilisateurs à forts privilèges. Par le passé, il suffisait, d’une certaine manière, de mettre les serveurs à l’abri dans une salle protégée par des contrôles d’accès physiques stricts. Dans un environnement virtuel, les choses se compliquent. Les serveurs sont de « simples » fichiers qui peuvent être copiés à partir de l’hôte. Copier l’image d’un serveur équivaut à en voler un dans la salle des serveurs. Qui plus est, la mémoire de la machine est accessible à partir de l’hyperviseur, ce qui compromet la sécurité des informations transmises telles que les mots de passe et les clés de codage. Il est donc capital de protéger l’accès, même distant, à l’hôte de virtualisation. Contrairement au mainframe traditionnel, le data center virtuel moderne est fortement distribué. Les risques qui, auparavant, étaient limités par des systèmes de sécurité physiques doivent à présent être gérés via la sécurité informatique. SONDAGE Quels sont les principaux obstacles à la sécurisation de vos environnements virtuels ? Obstacles Manque de compétences et d’expertise Budget et coût initial de mise en oeuvre Faible priorité dans l’ordre du jour de la direction Ignorance des risques inhérents Gestion des rôles, des identités et des applications. Si les identités ne sont pas gérées efficacement au niveau physique, la tentative d’implémentation d’un environnement virtuel ne fera qu’exacerber les problèmes actuels liés à l’identité et à l’accès. Actuellement, bon nombre de sociétés utilisent des logiciels pour définir clairement les utilisateurs et les rôles et les gérer. Ces logiciels sont ensuite associés à une solution de gestion des identités afin de vérifier que les utilisateurs ne reçoivent que les privilèges adéquats. Si ce système n’est pas géré correctement, des utilisateurs surprivilégiés, non contrôlés, peuvent nuire à de nombreux systèmes et applications d’un environnement virtuel. Difficulté de gestion de la sécurité sur l’ensemble des plates-formes et des environnements virtuels Un autre aspect de la sécurité est le besoin de gérer l’accès sécurisé aux applications par les utilisateurs ainsi que les autres applications et services. Dans un environnement virtualisé, les serveurs d’applications Sélectionnez tous les obstacles qui vous concernent. Gartner est arrivé à la conclusion que jusqu’en 2012, 60 % des serveurs virtualisés seront moins sûrs que leurs homologues physiques. Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé Manque de règles, normes et processus pertinents au sein de votre entreprise Immaturité des outils de gestion et de sécurité disponibles sur le marché Options de déploiement et d’octroi de licence optimisées pour les environnements virtuels non disponibles chez les fournisseurs VOTER Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires 5 Pourquoi la sécurité virtuelle est-elle si problématique ? (Suite) se connectent et se déconnectent en fonction des demandes. Avant de pouvoir envisager la virtualisation de nombreuses applications, il est indispensable de prévoir une plate-forme évolutive de gestion des accès qui permettent de contrôler minutieusement ces derniers. Ainsi, l’organisation peut mettre à disposition une plate-forme sûre et fiable pour les environnements à la fois physique et virtuel. Contrôle des utilisateurs à forts privilèges. Les utilisateurs ordinaires sont identifiés et contrôlés par le dispositif de sécurité de l’application et du système d’exploitation. S’ils commettent des erreurs ou tentent une utilisation abusive, pour autant que les contrôles aient été définis correctement, ils ne pourront pas nuire au système ou accéder à des informations confidentielles. L’utilisateur à forts privilèges, lui, dispose de privilèges élevés sur les serveurs. Le contrôle de son accès assuré par le dispositif de sécurité du système d’exploitation natif n’offre pas le niveau nécessaire pour garantir le respect des réglementations et des meilleures pratiques en matière de sécurité ; en général, les administrateurs se partagent son nom d’utilisateur et/ou son mot de passe, ce qui le rend presque anonyme. Avec la virtualisation, ce problème se marque encore plus. L’administrateur peut agir sur l’hôte physique, mais également sur toutes les sessions virtuelles qui s’y exécutent. Il peut aussi accéder à des données sensibles et perturber la continuité des activités. Sans une solution de contrôle d’accès indépendante, plusieurs utilisateurs à forts privilèges dans différents rôles peuvent interagir avec de nombreux composants d’un déploiement de virtualisation. Cette régulation inadéquate de l’accès à l’hyperviseur peut WEBCAST 4 Empowering Transformation: Managing the Risks of Virtualization (Les clés de la transformation : gestion des risques liés à la virtualisation Face aux avancées majeures dans le domaine de la virtualisation et du Cloud Computing, et aux conditions économiques actuelles, les organisations informatiques passent à des plates-formes à la fois plus efficaces, plus rentables et plus conviviales, afin d’apporter une plus-value à l’entreprise. La série de webcasts de CA consacrée à la virtualisation, intitulée « Empowering IT Transformation » (Les clés de la transformation informatique), aborde les risques et atouts de la transformation actuelle de l’informatique par le biais de l’adoption du Cloud Computing et de la virtualisation des serveurs. Écoutez Chris Wraight, de CA Technologies, et d’Andras Cser, de Forrester, vous expliquer comment maîtriser les risques liés à la virtualisation. considérablement nuire à l’entreprise en compromettant des informations critiques et en entraînant des interruptions de services stratégiques. Les images des machines virtuelles peuvent être copiées, et avec elles, toutes les données et applications qu’elles contiennent. Elles peuvent être mises en ligne sur un réseau non sécurisé, facilitant dès lors l’accès non autorisé à leur contenu. s’est pas rendu compte que le système s’apprêtait réellement à envoyer des chèques aux clients. La compagnie s’est aperçue du problème lorsqu’un client l’a contactée pour demander quel chèque il devait encaisser parmi les deux qu’il avait reçus pour une demande d’indemnisation en cours. Voilà le scénario catastrophe que bon nombre d’organisations informatiques redoutent. Un jour, un développeur bien intentionné d’une grande compagnie d’assurance a cloné une machine virtuelle de production, puis l’a lancée dans un environnement d’assurance qualité. La compagnie ne contrôlant pas les accès, le développeur a pu accéder librement aux environnements d’assurance qualité, de développement et de production. Lorsqu’il a démarré la copie du système, la machine s’est comportée comme en production. Ainsi, lorsque le développeur a exécuté quelques scénarios de demandes d’indemnisation, il ne Prolifération rapide des données. Plus les serveurs virtualisés se développent, plus le nombre de données sensibles qui y résident augmente. Dossiers médicaux personnels, plans de produits de marque déposée, dossiers des employés, données de cartes de crédit, ... Toutes ces informations doivent être localisées et protégées contre d’éventuelles fuites. Comment une entreprise peut-elle assurer le suivi de ces informations, d’autant plus si les machines virtuelles peuvent être connectées puis déconnectées ? Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé 6 Pourquoi la sécurité virtuelle est-elle si problématique ? (Suite) Des audits inadéquats nuisent à la conformité. Vu l’impact de la plateforme de virtualisation sur la stabilité de l’ensemble du data center et sur l’intégrité des données gérées, il convient de la considérer comme une infrastructure critique. Par conséquent, elle est soumise à des exigences de conformité strictes. L’organisation doit suivre les interactions de chaque utilisateur avec la plate-forme de virtualisation et au sein de chaque machine virtuelle qu’elle héberge. Toutefois, les fonctions natives d’audit proposées par ces environnements ne sont pas suffisamment précises pour être efficaces et, de surcroît, sont vulnérables aux altérations et aux manipulations des instantanés. Jusqu’il y a peu, les auditeurs n’étaient pas très perspicaces en matière de virtualisation ; les problèmes d’audit dans ce domaine n’ont pas encore fait l’objet d’un signalement régulier. La situation tend toutefois à changer, comme en témoignent les récentes mises à jour apportées à diverses réglementations communes, telles que celle relative au secteur des cartes de paiement. L’accès au système d’exploitation hôte doit être suivi et audité de manière à prouver que les contrôles ont garanti son intégrité et son efficacité. De même, au sein de chaque machine virtuelle, l’accès à chaque système d’exploitation invité doit être soumis aux mêmes exigences de conformité réglementaire. Solutions Content-Aware Identity and Access Management (IAM) Étant donné que les périmètres de sécurité tendent à s’estomper et que les charges de travail virtuelles se font de plus en plus mobiles, il est évident que la sécurité doit s’appliquer aux identités jusqu’aux données, tout au long du cycle de vie, plutôt que juste aux ressources du réseau. Par conséquent, les initiatives de virtualisation et de Cloud Computing doivent absolument adopter, dès le départ, une stratégie de sécurité centrée sur l’identité et qui prenne en compte le 4 contenu. Les solutions IAM qui tiennent compte du contenu (« Content-Aware ») vous aident à renforcer et à automatiser vos contrôles de sécurité, car elles vous permettent de contrôler les identités des utilisateurs, leur accès, ainsi que l’utilisation qu’ils font des informations. Alors que les solutions IAM traditionnelles ne vont pas plus loin que le point d’accès des applications et systèmes, les solutions Content-Aware IAM assurent une gestion et un contrôle depuis l’utilisateur jusqu’à l’information et l’utilisation qui en est faite. Ce contrôle détaillé vous aide à lutter contre l’utilisation abusive de vos données, y compris leur révélation non autorisée ou leur vol. Ainsi, vous augmentez la conformité et protégez les informations critiques dans l’ensemble des environnements physiques, virtuels et Cloud. Pour en savoir plus et télécharger l’intégralité du livre blanc intitulé « Content-Aware Identity & Access Management in a Virtual Environment », cliquez ici. n Opportunités et risques : trouvez le juste équilibre lorsque vous passez à la virtualisation Rejoignez Neil MacDonald, vice-président et membre de l’équipe de recherche du cabinet d’analystes Gartner, pour savoir quels sont les avantages de la virtualisation et les risques associés, tant pour la sécurité que pour les services. Gijo Mathew, vice-président de l’entité Security Management de CA Technologies, vous explique également qu’une méthode de gestion efficace est un véritable catalyseur pour la réalisation des objectifs métiers et stratégiques des organisations informatiques, grâce à l’exploitation efficace de cette technologie. REGARDER Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé 7 Protection de l’environnement virtuel CA Access Control (AC) fournit la couche critique de protection nécessaire pour une sécurisation efficace des platesformes de virtualisation. AC opère de façon indépendante, tant au niveau de l’application que du noyau du système d’exploitation, et ce sans interférer avec le noyau proprement dit. En sécurisant l’accès à l’hyperviseur via la console, AC protège les informations stratégiques ainsi que les services s’exécutant au sein du data center virtuel. Il assure la protection des déploiements de virtualisation à de multiple niveaux : systèmes d’exploitation hébergeant un hyperviseur, systèmes d’exploitation implémentant une virtualisation basée sur un système d’exploitation, partitions privilégiées gérant une virtualisation basée sur un hyperviseur et ressources critiques sur les machines virtuelles s’exécutant sur tous ces systèmes ou partitions. En raison de sa prise en charge de systèmes d’exploitation très variés, AC est idéal pour protéger les machines virtuelles, particulièrement dans un environnement de systèmes d’exploitation hétérogène. Il permet en outre de protéger les utilisateurs à forts privilèges dans les environnements informatiques au-delà de l’hôte de virtualisation proprement dit (dans les bases de données, les périphériques réseau et les applications). CA contribue aussi à une simplification de la gestion des utilisateurs en la consolidant sous une source d’autorité unique pour tous les systèmes d’exploitation. SONDAGE Votre organisation va-t-elle exploiter la virtualisation pour fournir des services de Cloud Computing privés ? (Sélectionnez une option.) Pour en savoir plus et télécharger l’intégralité du livre blanc intitulé « Securing Virtualized Environments and Accelerating Cloud Computing » (Sécurisation des environnements virtualisés et accélération du Cloud Computing), cliquez ici. n Oui, c’est déjà le cas actuellement. Oui, ce devrait être le cas avant la fin 2011. Oui, ce devrait être le cas avant la fin 2012. Non, nous devons d’abord nous assurer que nos processus de virtualisation sont suffisamment matures. Non, nous pensons que les clouds privés ne sont pas encore suffisamment fiables/ matures. Non, les clouds privés ne nous semblent pas encore vraiment intéressants. VOTER Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé 8 Pensez à l’avenir : passez au Cloud de manière réfléchie et sûre Juste au moment où les entreprises commençaient à croire qu’il était sûr d’aller plus loin avec leur stratégie IAM (Identity and Access Management), le Cloud a fait son entrée, avec toutes les nouvelles opportunités métiers qu’il offre mais aussi tous les défis qu’il soulève. Le Cloud est un phénomène informatique perturbant, orienté vers l’entreprise, créé en réponse à la réalité économique et aux pressions croissantes visant une réduction des coûts et une augmentation de l’efficacité ainsi que de l’agilité de l’IT. Il introduit de nouveaux modèles (bien que familiers) d’utilisation et de fourniture des applications qui exercent un effet démocratisant : des applications et services informatiques autrefois réservés aux sociétés aisées et aux grands magasins informatiques, sont désormais accessible à tous. . . et à un coût apparemment nettement moindre. Bien que le Cloud résolve bon nombre de problèmes, il en suscite aussi de nouveaux. En tant que visionnaire dans le domaine de l’IT et de la gestion informatique, CA Technologies a consacré des années à l’anticipation de cette nouvelle dynamique. Nous avons minutieusement façonné notre stratégie produit en tenant compte de nos observations et continuons à l’affiner. En tant que leader du marché IAM, nous contribuons à développer l’activité du secteur qui établira des normes et des meilleures pratiques afin d’obtenir la confiance des utilisateurs et des entreprises. Une chose est sûre : les identités, leur gestion et les contrôles qui en dépendent sont fondamentaux pour pouvoir adopter les services Cloud en toute sécurité. L’objectif de ce document est de partager les expériences de CA et sa compréhension des défis à relever, d’une part, et d’autre part, de présenter au lecteur sa stratégie et sa vision de l’approche IAM pour le Cloud. Public cible Initialement, les défis IAM et les produits conçus pour y répondre étaient axés sur les grandes entreprises et les gouvernements qui disposaient de vastes infrastructures IT dédiées et comptaient un grand nombre d’utilisateurs et d’applications. Ces organisations ont en effet été les premières à prendre conscience que permettre à des utilisateurs d’accéder à des applications dans des environnements hétérogènes étendus et contrôler ces accès était une mission délicate. Néanmoins, avec le Cloud, le public qui doit sérieusement envisager l’approche IAM englobe désormais aussi d’autres communautés, y compris des entités plus restreintes, des fournisseurs de services Cloud et des organismes publics. Les petites organisations se voient aussi, à présent, confrontées aux défis IAM dans la mesure où elles passent de leur système d’identité actuel homogène centré sur Microsoft Active Directory à un autre dans le cadre duquel leurs services IT proviendront du monde hétérogène et varié du Cloud. Les fournisseurs de services Cloud tentent aussi de tirer parti de cette transition vers le Cloud pour proposer des services activés et basés sur l’identité en externe, et sécuriser en interne les systèmes virtualisés et multiclients. 49 % des entreprises utilisent des applications de Cloud Computing qui ne sont pas entièrement contrôlées par rapport aux risques de sécurité. Étude du Ponemon Institute, mai 2010 Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé SONDAGE Quel est le principal défi soulevé par la sécurisation de votre environnement virtuel ? Garantir le respect des réglementations et des exigences d’audit Empêcher que des données sensibles ne passent dans des environnements virtuels moins sûrs Maximiser l’automatisation en intégrant étroitement la sécurité à la gestion de l’infrastructure et des services Gérer les forts privilèges introduits par les hyperviseurs et appliquer la séparation des fonctions pour les tâches administratives Contrôler la prolifération des serveurs virtuels et simplifier la gestion de la configuration et des changements VOTER Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires 9 Pensez à l’avenir : passez au Cloud de manière réfléchie et sûre (suite) Dans le monde entier, les gouvernements délivrent des cartes d’identité, lesquelles fonctionnent aussi bien en ligne que dans le monde physique. Bref, l’identité est un élément essentiel. n Fournisseurs de services Cloud. Dès lors, ce livre s’adresse tant aux organisations (de quelque taille que ce soit), qu’aux fournisseurs de services Cloud et aux gouvernements. Chaque type d’entité se pose des questions sur les identités et le Cloud. n Grandes organisations. Comment étendre le système IAM existant pour gérer les utilisateurs et leur accès aux applications et services basés sur le Cloud ? n Organisations de taille plus restreinte. Comment exploiter une multitude de services Cloud sans surcharger vos utilisateurs ni perdre le contrôle de votre organisation ? Veuillez noter que ce livre n’est pas conçu pour introduire le principe d’IAM (authentification, autorisation, SSO, etc.) ni les concepts de Cloud. Ces notions de base sont mieux présentées dans d’autres sources. Comment proposer vos services IT d’une manière à la fois hautement efficace et sûre pour votre entreprise et vos clients. Pour en savoir plus et télécharger l’intégralité du livre blanc intitulé « Identity and Access Management for the Cloud: CA’s Strategy and Vision » (Gestion de l’identité et de l’accès pour le Cloud : la stratégie et la vision de CA), cliquez ici. n Lectures complémentaires Livre blanc : Livre blanc d’IDC : « Identity and Access Management for Approaching Clouds » (Gestion de l’identité et de l’accès pour le Cloud) Rapport de l’étude du Ponemon Institute : « Security of Cloud Computing Users—A Study of Practitioners in the US & Europe » (La sécurité des utilisateurs du Cloud Computing : une étude réalisée auprès de consommateurs européens et américains) Webcast : « Identity as Security Glue for the Cloud » (L’identité, le ciment sécuritaire du Cloud) Bien que les débats sur la sécurité du Cloud portent en général sur les problèmes de confidentialité des données et de menaces, un autre aspect mérite d’être évoqué, à savoir la gestion de l’identité et de l’accès (Identity and Access Management, IAM). Rejoignez Matthew Gardiner, Directeur de l’entité Security Management chez CA Technologies : il vous propose un cadre de réflexion sur l’identité et sa relation avec les différents modes du Cloud et l’utilisation de ce dernier. Livre blanc : « CA Point of View: Content Aware Identity and Access Management » (Point de vue de CA : la gestion de l’identité et de l’accès qui tient compte du contenu) 68 % des personnes interrogées ont déclaré que les principaux responsables de la sécurisation de l’utilisation des ressources de Cloud Computing au sein de leur organisation ne sont pas les dirigeants des services de sécurité. Nemertes : Comment créer un environnement virtuel sécurisé ? Pourquoi la sécurité virtuelle est-elle si problématique ? Protection de l’environnement virtuel Pensez à l’avenir : passez au Cloud Lectures complémentaires Étude du Ponemon Institute, mai 2010 Brochure pour cadres : Les piliers d’un environnement virtuel sécurisé 10