Deux solutions de protection des machines virtuelles contre les malwares De Maxim Weinstein, Directeur Marketing Produit CISSP La virtualisation est synonyme de réduction des coûts d'exploitation, d'une administration simplifiée et d'une plus grande disponibilité des postes de travail virtuels et des serveurs. Mais, comment protégez-vous les machines virtuelles contre les malwares sans sacrifier les performances et la convivialité d'utilisation que vous pouvez attendre de votre investissement dans la virtualisation? Ce livre blanc a pour objectif d'aider les professionnels de l'informatique, notamment les experts de la sécurité et de la virtualisation, à mieux comprendre et à choisir entre deux approches modernes de la sécurisation des environnements virtuels : le contrôle sans agent à l'aide de vshield Endpoint et le contrôle client optimisé pour les plates-formes virtuelles.
Introduction Récemment, les exigences des entreprises en matière de technologie sont devenues de plus en plus complexes. Aujourd hui, les services informatiques sont censés fournir un support technique à des employés sans cesse en déplacement et gérer leurs mobiles, une grande variété de portables, des sites Internet interactifs, un large portefeuille d'applications essentielles à l'activité commerciale et toute une série de services et infrastructures réseau plus classiques. Même si la majorité des entreprises ont augmenté le budget de leurs services informatiques, ceux-ci ont beaucoup de difficultés à répondre aux demandes incessantes de services. Ils ont donc recours à la virtualisation, un outil efficace leur permettant d'étendre leurs capacités en fonction de la demande. Que ce soit dans la salle des serveurs ou dans le centre de données, la virtualisation offre de nombreux avantages. Elle simplifie l'administration et réduit les coûts de matériel et d'exploitation. L'infrastructure de bureau virtuel (VDI) fait bénéficier de ces avantages à une main d'œuvre de plus en plus mobile et offre au service informatique un niveau de contrôle et de surveillance qui n'est généralement pas disponible sur les postes de travail traditionnels. Par ailleurs, la sécurité est souvent citée comme l'un des avantages de la virtualisation. En pratique, la virtualisation constitue à la fois une opportunité et un défi en matière de sécurité. Les plates-formes virtuelles offrent de nouvelles options de sécurité telle que le «sandboxing», la centralisation des données et une solution simple pour dupliquer les configurations renforcées. En revanche, la simplicité de déploiement et de clonage peuvent rapidement entraîner la «prolifération» des machines virtuelles (VM) et de grandes difficultés à s'assurer que chacune d'entre elles est protégée correctement. De plus, lorsque l'objectif du service informatique est de privilégier la performance et le ratio de consolidation (nombre de machines virtuelles hébergées sur un serveur physique), il se peut qu'il décide de préserver les ressources au détriment de la sécurité. Leader du marché de la virtualisation des serveurs, VMware offre aux entreprises de nombreuses innovations en matière de déploiement et de gestion des systèmes virtuels. Une de ces innovations est la nouvelle façon d'aborder la protection des machines virtuelles contre les malwares : un antivirus sans agent basé sur la technologie vshield Endpoint de VMware. La technologie VShield Endpoint, incluse dans la majorité des produits vsphere de VMware, associe les avantages de la protection antivirus à des taux élevés de performances et de consolidation qu'exigent les entreprises de la part de leur déploiement virtuel. En plus de proposer des solutions antivirus basées sur vshield, certains éditeurs de sécurité ont investi dans l'optimisation des postes de travail clients pour VMware et pour d'autres environnements virtuels. Les professionnels de l'informatique ont donc un choix pléthorique de solutions de protection de leurs machines virtuelles et se posent de nombreuses questions sur la façon d'obtenir le meilleur équilibre entre sécurité et performances. Ce livre blanc aborde les défis représentés par l'utilisation de produits antivirus traditionnels sur des machines virtuelles. Il évalue également les avantages et les inconvénients de l'antivirus sans agent et des clients optimisés. Enfin, il vous aidera à décider quelle solution Sophos est la mieux adaptée aux deux approches. Livre blanc Sophos Janvier 2014 2
Les défis de l'antivirus dans un environnement virtuel Depuis les tous premiers jours de l'industrie antivirus, la protection antivirus fonctionne suivant le même grand principe. Un client antivirus est installé sur les stations de travail ou sur les serveurs. Il s'exécute en mémoire et recherche les menaces tout en se mettant régulièrement à jour. En environnements professionnels, le déploiement, l'administration, la mise à jour et la création de rapports s'effectuent à partir d'une console d'administration pour les clients installés sur chaque système. Ce modèle de protection remonte au temps où les systèmes protégés étaient toutes des plates-formes matérielles différentes. Lorsque les systèmes sont consolidés sur des platesformes virtuelles, les produits antivirus classiques peuvent affecter leurs performances et leur extensibilité. La facilité avec laquelle vous pouvez créer, suspendre, supprimer et déplacer une machine virtuelle entraîne de nouveaux défis en termes de gestion de la protection. Intéressons-nous de plus prêt à ces problèmes. Performances et extensibilité Surcharge et impact sur la densité Un des problèmes des logiciels antivirus classiques est la surcharge imposée par l'exécution du logiciel client sur chaque machine virtuelle. Certains clients antivirus utilisent jusqu'à 500 Mo de RAM par système. Pour répondre à la surcharge, 10Go de RAM supplémentaire serait nécessaire pour un hôte de 20 machines virtuelles clientes. Pour les hôtes limités par la quantité de RAM disponible, la charge supplémentaire imposée par un logiciel de sécurité classique empêche d'atteindre un taux de consolidation optimal de la machine virtuelle. Contrôles intempestifs Ils ont lieu lorsque les ressources d'un hôte sont submergées par le nombre de machines virtuelles exécutant un contrôle antivirus en même temps. Chaque machine virtuelle ayant à peu près le même comportement, elle va demander plusieurs opérations d'entrée et de sortie et utiliser une grande quantité de CPU. Le débit de données et les délais de réponse du système peuvent être sérieusement ralentis. Même un réseau de stockage (SAN) ou un groupe de stockage local peut être affecté par l'immense volume de demandes de lecture simultanées. Les contrôles planifiés ou à la demande simultanés peuvent entraîner un «contrôle intempestif» qui va augmenter l'utilisation des ressources et diminuer les performances du système. Livre blanc Sophos Janvier 2014 3
Il arrive qu'un contrôle intempestif soit le résultat attendu d'une activité à priorité élevée. Par exemple, suite à l'irruption d'un malware, vous devrez probablement effectuer un contrôle à la demande pour éliminer le malware des systèmes infectés. La priorité ira à l'exécution du contrôle. Son impact sur les performances ne sera pas considéré comme un problème. Toutefois, dans la majorité des cas, il est primordial que les performances et la disponibilité de vos machines virtuelles soient optimales. Les contrôles intempestifs peuvent donc porter atteinte aux contrats de niveau de service ou aux performances que vous avez promis d'offrir à vos utilisateurs ou à votre direction. Mises à jour intempestives Comme les contrôles intempestifs, les mises à jour intempestives utilisent énormément de ressources en raison d'activités simultanées sur toutes les machines virtuelles. Ce problème provient des mises à jour des données (par ex. les fichiers de définition) du logiciel de sécurité et/ou des mises à jour du logiciel de sécurité (par ex. les mises à jour du produit ou du moteur). Généralement, les opérations d'entrées/sorties et la bande passante réseau sont le plus durement touchées car le client de chaque machine virtuelle télécharge et installe les mises à jour. Les logiciels de sécurité traditionnels programment les mises à jour à des heures définies, augmentant, de fait, les possibilités de mises à jour simultanées. La VDI est particulièrement sujette aux mises à jour intempestives. Les produits antivirus sont souvent configurés pour vérifier les mises à jour au démarrage du système. De plus, l'image principale ou «gold» peut avoir été créée des jours, des semaines voire même des mois auparavant. Le client va donc procéder à de nombreuses mises à jour. Si la majorité des utilisateurs commencent leur journée à la même heure, des douzaines, des centaines voire des milliers de postes de travail virtuels vont rechercher, télécharger et installer les mises à jour en même temps. Il en va de même au démarrage d'un groupe de serveurs virtuels. Gestion de la protection sous un environnement dynamique S'assurer qu'un logiciel de sécurité est installé et mis à jour sur tous les systèmes est un défi de taille pour toute entreprise. Il est amplifié sous un environnement virtuel. Il n'est pas difficile de déployer une nouvelle machine virtuelle si elle est copiée à partir d'une image existante ou d'une image principale. Toutefois, il se peut qu'il n'y ait aucun logiciel de protection sur cette image ou qu'il soit obsolète. Vous êtes donc sans protection entre le déploiement et l'installation et/ou la mise à jour d'un logiciel de sécurité. De même, la protection d'une machine virtuelle ou d'un groupe de machines virtuelles redémarrées après avoir été suspendues, sera celle qui était disponible lors de la suspension. Elles ne sont donc pas protégées contre les menaces récentes tant que le logiciel de protection n'a pas été mis à jour. Les environnements VDI sont enclins à être exposés à ce genre de problème en raison de l'habitude des utilisateurs à démarrer de nouvelles sessions ou de nouvelles instances, à chacune de leur connexion ou au début de chaque journée. Si vous ajoutez à cela les retards causés par une mise à jour intempestive, les utilisateurs de postes de travail virtuels sont fortement susceptibles d'être longuement exposés à de nouvelles menaces dès le début de leur journée en consultant simplement leur messagerie ou en navigant sur Internet. Livre blanc Sophos Janvier 2014 4
Enfin, le démarrage, l'arrêt, la création et la suppression répétés de machines virtuelles ne facilite pas la tâche d'identification des machines protégées et de la version du logiciel de sécurité. Ceci demande beaucoup de temps au service informatique, complique les vérifications de conformité et augmente les risques de laisser une machine sans protection. Deux façons de relever les défis Il existe deux façons de résoudre les problèmes mentionnés ci-dessus. La première consiste à utiliser un contrôle antivirus sans agent qui va remplacer le client de sécurité de la machine virtuel par un contrôle centralisé sur l'hôte. La seconde optimise le client antivirus administré traditionnel pour les environnements virtuels. Ces deux approches permettent d'atténuer les défis de performances, d'extensibilité et d'administration. La différence principale réside dans le fait que le contrôle est centralisé sur l'hôte ou qu'il est distribué sur chaque machine virtuelle. Ces différences ont des répercussions sur l'administration des systèmes et sur leurs performances. Il existe aussi des différences dans la manière dont ces deux approches sont appliquées par les différents éditeurs. Celles-ci peuvent affecter les performances, l'administration et les niveaux de protection que peuvent offrir les solutions de chaque éditeur. vshield Endpoint permet le contrôle automatique et sans agent par le biais d'une machine virtuelle sécurisée et centrale. Contrôle sans agent Le contrôle sans agent a été rendu populaire par VMware grâce à sa technologie vshield Endpoint. Incluse dans la majorité des éditions de vsphere, elle permet d'installer un pilote plus léger nommé ( «Thin agent») sur chaque machine virtuelle. Le pilote communique par le biais de vsphere avec une machine virtuelle sécurisée (SVM) mise à disposition par le fournisseur de sécurité sur l'hôte. Tout le contrôle antivirus a lieu dans la SVM et permet aux machines virtuelles protégées d'utiliser leurs ressources à d'autres tâches. Le contrôle sans agent offre de nombreux avantages comparés à un antivirus classique : Aucun client de sécurité n'a besoin d'être installé sur chaque machine virtuelle pour un gain de temps considérable et pour une garantie de déploiement de la protection. L'utilisation des ressources de l'hôte est minimale, en effet, il n'y a pas besoin de dupliquer le logiciel client sur chaque machine virtuelle. Livre blanc Sophos Janvier 2014 5
À la différence des logiciels antivirus traditionnels, le contrôle sans agent permet une évolutivité maximale des environnements et nécessite une consommation minimale des ressources. Les mises à jour ont uniquement lieu sur la SVM, et non pas sur chaque client. Ainsi, les mises à jour intempestives et les périodes de temps pendant lesquelles les machines sont sans protection sont éliminées. Le contrôle coordonné de la SVM évite une utilisation excessive des ressources du système en limitant le nombre de fichiers et de machines virtuelles à contrôler simultanément. La mise en mémoire cache réduit les temps de contrôle et évite l'utilisation de ressources non nécessaires et les délais d'accès aux fichiers. VShield utilise régulièrement la mise en cache sur la machine virtuelle. L'installation de Sophos met également en cache les fichiers depuis la SVM. Ces avantages substantiels présentent toutefois quelques limites. Par exemple, le pilote vshield Endpoint est uniquement disponible pour Windows. Le contrôle sans agent ne prend donc pas en charge les autres plates-formes. De même, vshield Endpoint est une technologie exclusive à VMware. Les autres hyperviseurs ne sont pas pris en charge. Une autre limite réside dans l'architecture sans agent : vshield Endpoint s occupe uniquement du contrôle antivirus des fichiers. Sans un agent, il est impossible de détecter les malwares s'exécutant dans la RAM ou de bénéficier des fonctions de sécurité avancées comme le HIPS (prévention des intrusions sur l'hôte) ou le filtrage du Web. Cette absence de client local limite également la possibilité de nettoyage de l'infection détectée. En cas d'infection, vous devrez utiliser un outil de nettoyage spécifique ou éliminer les malwares manuellement ou restaurer une image (snapshot) saine de votre machine virtuelle. Les notifications à l'utilisateur sont également limitées par l'absence d'un client local : si un utilisateur essaye d'ouvrir un fichier malveillant, il verra simplement un message d'erreur Windows lui indiquant que le fichier est inaccessible. De même, il n'est pas possible de configurer les politiques par machine virtuelle mais seulement par hôte. Ceci pourrait poser un problème sous des environnements composés de divers systèmes virtuels s'exécutant sur un seul hôte ou lorsque les machines virtuelles ne peuvent pas être limitées à un hôte spécifique. Enfin, l'utilisation d'un contrôle central peut potentiellement créer un goulot d'étranglement au niveau des performances si plusieurs machines virtuelles demandent simultanément le contrôle sur accès de fichiers. La mise en cache réduit ce genre de risque dans la plupart des cas de figure d'utilisation en conditions réelles. En revanche, elle peut poser des problèmes sous certains environnements. Livre blanc Sophos Janvier 2014 6
Client optimisé Le contrôle sans agent n'étant ni viable, ni idéal pour toutes les situations, les fournisseurs de sécurité ont répondu à ce problème en optimisant leurs clients antivirus pour les environnements virtuels. Les optimisations disponibles dans les produits Sophos incluent : La possibilité de procéder à des mises à jour et/ou des contrôles progressifs afin d'éviter les mise à jour et contrôles intempestifs. L'activation du partage de la mémoire sur l'hyperviseur ESXi de VMware afin de réduire l'utilisation globale de la RAM lorsque des clients identiques sont en cours d'exécution sur plusieurs machines virtuelles. L'autorisation de baser le client sur l'image principale (gold) sans dupliquer ou avoir de conflits dans la console d'administration pendant le déploiement des clones. (Ceci permet également de réduire les démarrages intempestifs des clients déployés par le server d'administration sur chaque nouvelle machine virtuelle.) Des mises à jour de petite taille afin de réduire le temps et les ressources nécessaires à la mise à jour de nombreuses machines virtuelles. Ces optimisations peuvent être agrémentées d'une configuration minutieuse des politiques de sécurité. Vous pourriez, par exemple, souhaiter regrouper les machines virtuelles indépendamment des appareils physiques afin de pouvoir paramétrer les contrôles, les exclusions et le nettoyage de manière différente. Par exemple, un cas de figure pourrait vous amener à désactiver le nettoyage automatique des malwares détectés sur les postes de travail virtuels qui peuvent facilement être remplacés par des images propres. L'installation d'un client optimisé pour la virtualisation sur chaque machine virtuelle permet d'éviter la majorité des problèmes décrits précédemment tout en offrant tous les avantages d'un logiciel de sécurité classique : Niveaux supplémentaires de protection, notamment le contrôle du Web, le contrôle HIPS et le contrôle des applications. Prise en charge d'un large éventail de systèmes d'exploitation et d'hyperviseurs. Possibilité de définir des politiques par machine virtuelle plutôt que par hôte et de garder la politique sur la machine virtuelle si celle-ci est déplacée sur un nouvel hôte. Cette approche présente également des limites. Même avec le partage de mémoire, il y a de fortes chances que l'utilisation de ressources matérielles soit plus grande (comparé au contrôle sans agent) sur les systèmes hôtes dotés d'un grand nombre de machines virtuelles. Sous des environnements très dynamiques au sein desquels les machines virtuelles sont régulièrement créées et supprimées, les délais de mise à jour et de déploiement continueront à poser des problèmes. Par ailleurs, le suivi de toutes les machines virtuelles dans la console d'administration, incluant notamment la suppression des entrées «fantômes» de machines virtuelles ayant été supprimées, peut demander beaucoup de temps dans ces situations. Livre blanc Sophos Janvier 2014 7
Contrôle sans agent ou client optimisé : Que choisir? Chaque environnement virtuel est différent. Pour certains, la simplicité et la rapidité du contrôle sans agent de vshield sera l'approche idéale. Pour d'autres, la souplesse et le niveau de protection supplémentaire offerts par l'installation de clients sur chaque machine virtuelle seront considérés comme décisifs. Certaines entreprises pourraient même choisir la protection sans agent sur certaines machines virtuelles et des clients optimisés sur d'autres. Le tableau suivant résume les points forts et les points faibles de chaque approche et vous servira à décider de l'approche la plus adaptée. Les fonctionnalités varient d'un éditeur à l'autre. Contrôle sans agent ou client optimisé? Facteurs à prendre en compte Performances Compatibilité Administration Sécurité Expérience de l'utilisateur final Sans agent Grande adaptation aux déploiements VMware de grande taille Coûts marginaux de performances minimaux par machine virtuelle Performances optimisées dès la mise en route Machines virtuelles Windows uniquement vsphere uniquement Configuration initiale plus complexe Administré par système hôte et non par machine virtuelle les produits de certains éditeurs nécessitent une console séparée (pas la solution de Sophos) Contrôle AV/anti-malware des fichiers Aucune notification antivirus. Les utilisateurs ne voient apparaître qu un message système «Accès refusé» Aucune configuration locale, nettoyage ou autre outil local Client optimisé Utilise moins de ressources que la solution sans agent quand il n y a qu un petit nombre de machines virtuelles Coûts marginaux de performances modérés par machine virtuelle Nécessite une configuration étendue pour des performances optimales Les machines virtuelles peuvent être n importe quel système d'exploitation pour lequel un client de sécurité existe Compatible avec la plupart des hyperviseurs S'adapte à l'infrastructure antivirus traditionnelle Nécessite une plus grande surveillance en cas de déploiements de grande taille Contrôle AV/anti-malware des fichiers Nettoyage/suppression automatiques des malwares HIPS Filtrage du Web Contrôle des applications Autres fonctions Le client local envoie les notifications Utilisation des options et outils configurés par le service informatique Les déploiements de petite taille favoriseront la gestion de chaque machine virtuelle à l'aide d'un client installé. À l'inverse, les environnements dynamiques de grande taille privilégieront les performances et les options de gestion de la configuration sans agent. Dans certaines situations, le contrôle sans agent sera l'approche idéale pour la plupart des machines virtuelles. Les machines nécessitant un plus haut niveau de protection ou exécutant des plates-formes non Windows privilégieront une approche hybride. Livre blanc Sophos Janvier 2014 8
Sophos vous simplifie la vie Sophos offre la protection antivirus sans agent et la protection par client optimisé pour les environnements virtuels. Grâce à l'administration centralisée de notre Sophos Enterprise Console, Sophos simplifie la protection de toutes les machines virtuelles de votre entreprise. Notre partenariat avec VMware, Citrix et Microsoft sont l'assurance que nos produits sont testés pour fonctionner sans aucun problème avec les hyperviseurs les plus populaires du marché. Contrôle sans agent pour les serveurs et postes de travail virtuels Sophos Antivirus (SAV) pour vshield est notre solution sans agent haute performance pour les serveurs et postes de travail virtuels. Conçu pour vous faire bénéficier de tous les avantages de vshield Endpoint, la technologie de pointe de mise en cache de Sophos Anti-Virus pour vshield réduit les temps de contrôle et l'utilisation des ressources au maximum. Le contrôle central utilise notre moteur de détection des menaces avec la Protection Live pour vous offrir une connexion instantanée aux données de menaces collectées par les SophosLabs. De cette manière, chaque machine virtuelle est protégée contre les malwares connus et les menaces encore inconnues. À la différence de certains produits sans agent nécessitant des consoles dédiées, Sophos Antivirus pour vshield est administré par la Sophos Enterprise Console. Les hôtes protégés peuvent être configurés en même temps que les stations de travail et les serveurs exécutant notre client de sécurité. Protection des serveurs Windows, Linux, Mac et UNIX Sophos Server Protection vous offre la souplesse de déploiement quelle que soit la protection nécessaire à votre salle de serveurs (sans agent ou client optimisé). Réduisez le nombre de menaces auxquelles sont exposées vos données stratégiques grâce à la protection sans agent de Sophos Anti-Virus pour vshield ou grâce à Sophos Anti-Virus pour Windows, Linux, UNIX ou Mac. Utilisez la Sophos Enterprise Console, une console d'administration centralisée. Protection Endpoint des postes de travail virtuels Les solutions Endpoint Protection de Sophos offrent plusieurs niveaux de protection pour vos postes de travail virtuels. Un client unique et performant incorpore l'antivirus, le pare-feu, la technologie HIPS, la prévention des pertes de données, la protection Web et bien d'autres fonctions encore. Notre Virtualization Scan Controller vous permet de procéder à des contrôles progressifs afin d'éviter les contrôles intempestifs. Le client peut être intégré à votre image principale pour un déploiement sans accrocs. La Sophos Enterprise Console vous simplifie l'administration de vos machines virtuelles, postes de travail traditionnels et de vos serveurs. Livre blanc Sophos Janvier 2014 9
Conclusion La virtualisation est rapidement devenue un outil quotidien des services informatiques grâce à l'efficacité et à la facilité d'administration qu'elle apporte dans la salle des serveurs. Toutefois, le maintien de ces avantages tout en sécurisant les machines virtuelles contre les malwares apporte son lot de défis. Heureusement, les nouvelles technologies et des produits de meilleure qualité permettent de relever ces défis. Grâce au contrôle sans agent, la technologie de virtualisation est désormais utilisée pour offrir une protection antivirus d'une nouvelle manière et plus efficacement. Grâce à notre gamme complète de solutions de sécurité incluant désormais Sophos Antivirus pour vshield, notre client de sécurité optimisé et notre console d'administration Sophos Enterprise Console simple à utiliser, Sophos met entre vos mains une sécurité simplifiée pour votre environnement virtuel et toute votre entreprise. Sophos Server Protection Demandez un essai gratuit sur sophos.fr Équipe commerciale France Tél. : +44 (0)8447 671131 E-mail : info@sophos.fr Oxford, Royaume-Uni Boston, États-Unis Copyright 2014. Sophos Ltd. Tous droits réservés. Immatriculée en Angleterre et au Pays de Galles No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Royaume-Uni Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs. 1.14.GH.wpfr.simple