Virtualisation des postes de travail Relever les défis de sécurité posés à votre infrastructure de postes de travail virtuels Un livre blanc de Trend Micro Trend Micro est distribué par:
I. INTRODUCTION La virtualisation des serveurs est en passe de se généraliser. L'utilisation optimisée des ressources a permis aux grandes entreprises de réaliser d'importantes économies tant en termes de matériel que de coûts opérationnels. Si cette pratique s'est aussi largement répandue, c'est en partie grâce aux technologies de virtualisation avancée, comme VMotion de VMware, qui permettent d'augmenter la disponibilité des ressources essentielles. Satisfaites des avantages sur le plan des coûts et de l'efficacité que leur a procurés la virtualisation au niveau des centres de données, de nombreuses entreprises cherchent à renouveler cette expérience dans d'autres domaines d'activité. On assiste ainsi à une nouvelle vague de virtualisation : celle des postes de travail. Les grandes entreprises cherchent à virtualiser les postes de travail afin de minimiser les coûts, d'accélérer l'approvisionnement et de simplifier l'assistance et la gestion. L'ampleur de cette vague de virtualisation est souvent bien plus importante que celle du centre de données. Les sociétés qui souhaitent virtualiser les postes de travail utilisent le plus souvent l'infrastructure de postes de travail virtuels (ou VDI pour Virtual Desktop Infrastructure), laquelle est similaire à une infrastructure d'applications partagées, comme Citrix Metaframe ou Windows Terminal Server. Avec la VDI, chaque utilisateur peut accéder aux applications via un client léger, un PC classique, voire un PC basses performances remis en état. Toutefois, chaque utilisateur n'utilise pas un système d'exploitation unique installé sur un serveur physique partagé. Au lieu de cela, il dispose de sa propre copie du système d'exploitation qu'il peut ainsi personnaliser selon ses besoins. De nombreuses instances de systèmes d'exploitation sont exécutées sur un serveur physique unique, les utilisateurs étant isolés les uns des autres. Ainsi, une panne de session individuelle n'entraînera pas de complications générales. La VDI peut également exécuter certaines applications de manière native sans modifications. L'un des points forts de la VDI est son aptitude à prendre en charge de nombreux types de postes de travail. C'est une caractéristique essentielle pour son adoption, car de nombreux utilisateurs souhaitent pouvoir conserver tous les avantages d'un poste de travail traditionnel. La VDI offre aux utilisateurs les fonctionnalités dont ils ont besoin, telles qu'un espace de stockage personnel, tout en supprimant le risque de pannes. Cette approche permet une optimisation des coûts et des ressources dans de nombreux domaines. DÉPLOIEMENT ET APPROVISIONNEMENT INITIAL DES POINTS FINAUX La VDI simplifie le déploiement et réduit les temps de mise à disposition. Les points finaux virtualisés s'appuient généralement tous sur une image de base unique (appelée «Gold Image»). Cette image comprend le système d'exploitation, les patchs associés ainsi que les applications standard. Pour déployer de nouveaux postes de travail virtualisés, il suffit de créer une copie de cette image de base et de la démarrer en tant que nouvelle instance sur le système hôte de la VDI. CYCLE DE VIE ÉTENDU DU MATÉRIEL DE POSTE DE TRAVAIL Les systèmes d'exploitation et les applications sont devenus de plus en plus gourmands en ressources. L'exécution de programmes récents sur du matériel ancien peut s'avérer problématique. Aussi les entreprises sont parfois amenées à remplacer leur matériel. Dans les environnements de VDI, l'ensemble des systèmes d'exploitation et des applications sont exécutés sur des serveurs centraux 1 Livre blanc Relever les défis de la sécurité des infrastructures de postes de travail virtuels
puissants. Les performances matérielles de chaque poste de travail jouent donc un rôle moins important. Les ressources matérielles des postes de travail existants peuvent ainsi être utilisées plus longtemps, ce qui permet aux entreprises d'étendre leurs cycles de renouvellement du matériel des points finaux. CONFORMITÉ AUX RÉGLEMENTATIONS La VDI permettant la centralisation de tous les systèmes dans le centre de données, la mise en conformité aux réglementations est largement simplifiée. Les contrôles prescrits par les réglementations peuvent être mis en œuvre et appliqués sur les points finaux virtualisés de manière simplifiée et répétable dans le centre de données. Cette procédure est bien plus complexe dans un environnement de postes de travail traditionnel où les points finaux sont dispersés. SAUVEGARDE DES POINTS FINAUX La création de sauvegardes de postes de travail dispersés a toujours posé problème aux entreprises. La mobilité accrue et l'augmentation constante des capacités de stockage font notamment de la création de sauvegardes une opération de plus en plus complexe. Dans un environnement de VDI, la sauvegarde des postes de travail est beaucoup plus simple car ceux-ci sont centralisés. Comme les données sauvegardées ne quittent jamais l'infrastructure hautes performances du centre de données, l'ensemble du processus de sauvegarde s'en retrouve simplifié et accéléré. PROTECTION DES DONNÉES Il est difficile de contrôler les données confidentielles ou les données sensibles stockées sur des points finaux dispersés, a fortiori quand ceux-ci sont mobiles. Les entreprises investissent beaucoup d'efforts dans la prévention des pertes de données sur les points finaux, dans le chiffrement des disques durs et dans les autres technologies conçues pour empêcher l'accès aux données, notamment en cas de vol ou de perte d'ordinateur portable. Dans un environnement de VDI, la protection des données est facilitée car celles-ci résident sur un serveur central et ne quittent jamais l'enceinte sécurisée du centre de données de l'entreprise. OPÉRATIONS, MAINTENANCE ET ASSISTANCE La maintenance des postes de travail est une tâche bien plus aisée dans un environnement de VDI que dans un environnement traditionnel. Application de patchs, déploiement de nouveaux logiciels, ajout de mémoire vive ou d'espace disque : toutes ces opérations interviennent au niveau du serveur central. Les points finaux éteints ne représentent donc plus un problème lors de l'application de patchs ou du déploiement de logiciels. L'allocation dynamique de ressources matérielles aux postes de travail virtualisés permet non seulement un gain de temps précieux, mais aussi une optimisation de l'utilisation des ressources matérielles. Par exemple, lorsqu'un utilisateur fait état d'un problème technique, l'équipe d'assistance peut accéder au poste de travail virtualisé au niveau du centre de données, sans avoir à se déplacer pour accéder directement à l'ordinateur. 2 Livre blanc Relever les défis de la sécurité des infrastructures de postes de travail virtuels
II. QUESTIONS DE SÉCURITÉ SOULEVÉES PAR LA VIRTUALISATION DES POSTES DE TRAVAIL Le profil de risque d'un poste de travail, qu'il soit virtuel ou physique, est très différent de celui d'un serveur. Les points finaux sont plus dynamiques et interagissent dans un spectre plus large d'environnements potentiellement dangereux. Les risques sont plus nombreux sur les postes de travail, car il est difficile de contrôler des utilisateurs qui : Naviguent sur Internet et peuvent éventuellement accéder à des contenus Web malveillants Peuvent être insidieusement amenés à dévoiler des informations confidentielles Ouvrent des pièces jointes d'e-mail potentiellement dangereuses Installent des applications et des «outils» sur leur poste de travail Outre les différences de comportement des utilisateurs, les menaces spécifiques au système posent également de véritables défis de sécurité. Pour être protégés contre ces menaces, les systèmes doivent être constamment tenus à jour. Pour assurer l'efficacité de la protection, il est nécessaire de : Combler les failles pour qu'elles ne puissent pas être exploitées Empêcher les accès non autorisés sur le réseau S'assurer que les données stockées sont exemptes de tout programme malveillant En raison de la nature dynamique des postes de travail, une combinaison de plusieurs technologies est nécessaire pour protéger efficacement les déploiements virtuels : Prévention des expositions aux menaces grâce à une sécurité «in-the-cloud» Détection en temps réel des fichiers malveillants au niveau des points finaux, sans impact sur les performances systèmes. Couverture des failles en attendant le déploiement de patchs Exécution régulière de scans complets du système (programmés et/ou manuels) pour détecter et supprimer les programmes malveillants ayant échappé à toute détection préalable EXIGENCES SPÉCIFIQUES À LA VDI Lorsque plusieurs postes de travail virtualisés partagent du matériel commun, le serveur, aussi puissant soit-il, peut très vite se retrouver submergé par une tâche. Pour les postes de travail en particulier, il existe certaines applications gourmandes en ressources qui, si elles ne posent généralement pas de problèmes lorsqu'exécutées sur des PC individuels, peuvent rapidement noyer un système VDI sous une charge excessive. 3 Livre blanc Relever les défis de la sécurité des infrastructures de postes de travail virtuels
Scans complets du système Lors d'un scan complet du système, l'ensemble du système de fichiers est scanné pour détecter d'éventuels programmes malveillants, ce qui représente une sollicitation non négligeable pour un système individuel. En général, les administrateurs programment les scans complets de système pour qu'ils aient lieu à un moment donné (par exemple, tous les jeudis à 15h00). Si plusieurs, voire tous les postes de travail virtualisés démarrent un scan complet au même moment, le matériel partagé sous-jacent du serveur VDI sera soumis à une sollicitation extrême, entraînant un ralentissement de tous les systèmes virtuels du serveur. Pour assurer un fonctionnement sans ralentissement et une sollicitation normale du système hôte, une solution de sécurité des points finaux adaptée à la VDI doit sérialiser les scans complets pour les systèmes du même hôte VDI. Mise à jour des composants Les difficultés liées aux mises à jour de clients lourds sont souvent semblables à celles liées aux scans système et doivent être traitées de manière similaire. L'exécution simultanée d'une mise à jour de grande ampleur sur de multiples postes de travail virtualisés peut saturer la connexion réseau de l'hôte et entraîner une charge élevée d'entrées/sorties sur l'hôte. Les performances des postes de travail virtuels en cours d'exécution peuvent s'en retrouver gravement affectées. Cet équilibrage des charges doit également être traité avec une solution de sécurité des points finaux adaptée à la VDI. III. AIDE APPORTÉE PAR TREND MICRO Trend Micro dispose d'un savoir-faire éprouvé dans le domaine de la sécurité de la virtualisation. Des produits leaders sur le marché, tels que Deep Security et Core Protection for Virtual Machines, illustrent parfaitement la position de force dont bénéficie Trend Micro dans le domaine de la sécurité virtualisée. Le logiciel OfficeScan, solution de sécurité des points finaux et produit phare de Trend Micro, dont la sortie est prévue prochainement, sera la première solution adaptée à la VDI protégeant les points finaux physiques et virtuels. La sortie d'officescan étendra la protection des points finaux aux environnements de VDI et offrira les avantages suivants. 4 Livre blanc Relever les défis de la sécurité des infrastructures de postes de travail virtuels
SÉRIALISATION DES SCANS COMPLETS DU SYSTÈME PAR LE SERVEUR DE VDI OfficeScan n'autorisera qu'un certain nombre de points finaux virtualisés à effectuer simultanément un scan complet du système. Grâce à cette approche sérialisée, les systèmes étant scannés les uns après les autres, l'impact général sur les performances est faible. Figure 1 - Solution non adaptée à la VDI : tous les systèmes invités lancent un scan au même moment Figure 2 - Solution ADAPTÉE à la VDI : les scans complets ont lieu un par un, pour une expérience utilisateur optimisée sur chaque poste de travail virtuel 5 Livre blanc Relever les défis de la sécurité des infrastructures de postes de travail virtuels
SÉRIALISATION DES MISES À JOUR DE CLIENTS PAR SERVEUR DE VDI À l'instar des scans complets, les mises à jour effectuées par OfficeScan sont sérialisées : seul un nombre configurable de postes de travail virtualisés par serveur de VDI sont mis à jour simultanément. PRÉ-SCANS ET LISTES BLANCHES D'IMAGES DE BASE La plupart des postes de travail virtuels sont créés à l'aide de la même image de base. Les administrateurs peuvent pré-scanner les éléments de cette image de base et les intégrer à une liste blanche. En conséquence, OfficeScan ne recherche que les déviations par rapport à cette image de base lors du scan de chaque instance de poste de travail. Les scans superflus sont ainsi éliminés et la durée des scans est considérablement diminuée de même que l'impact sur les performances, pour une productivité augmentée. INTÉGRATION À LA GESTION DE LA VDI OfficeScan, dans sa prochaine version, s'intégrera à la gestion de la VDI de manière à récupérer les informations relatives au statut et à l'emplacement des postes de travail virtuels sécurisés, ce qui contribuera à une optimisation de l'utilisation des ressources sur l'ensemble de l'environnement de postes de travail virtuels. IV. RÉSUMÉ Grâce à l'infrastructure de postes de travails virtuels, des économies considérables peuvent être potentiellement réalisées. Toutefois, étant donné la nature dynamique des postes de travail, la virtualisation des points finaux pose de sérieux défis. Le fait d'adopter pour les postes de travail virtuels la même stratégie de sécurité que pour les serveurs centres de données peut être tentant, mais cette approche est vouée à un échec rapide. L'application de solutions de sécurité pour postes de travail standard sur ces environnements peut entraîner une diminution des performances et empêcher les entreprises de réaliser pleinement les économies attendues. La sécurité des points finaux adaptée à la VDI est essentielle pour maintenir les performances et la productivité de chaque poste de travail virtualisé et protéger la confidentialité et la sécurité aussi bien du système que de l'utilisateur. En optant pour la bonne solution de sécurité des points finaux pour postes de travail virtuels, votre entreprise pourra également profiter des avantages en matière de coûts et d'efficacité inhérents à une densité accrue des machines virtuels. Avec la sortie d'officescan 10.5, équipé d'une technologie adaptée à la VDI, Trend Micro prouve à nouveau son engagement dans la sécurité de la virtualisation et conforte sa position dominante sur ce marché. Il s'impose ainsi comme votre partenaire idéal pour la virtualisation. Pour en savoir plus sur les solutions pour points finaux de Trend Micro, contactez votre représentant Trend Micro ou consultez www.trendmicro.com. 2010 Trend Micro, Incorporated. Tous droits réservés. Trend Micro, OfficeScan et le logo t-ball sont des marques commerciales ou déposées de Trend Micro Incorporated. Tous les autres noms de produit ou de société peuvent être des marques commerciales ou déposées de leurs propriétaires respectifs. Les informations contenues dans ce document peuvent être modifiées sans préavis. WP01_PCI-TMES_090903 6 Livre blanc Relever les défis de la sécurité des infrastructures de postes de travail virtuels