1
2011 VMware, Inc. Tous droits réservés. 2011 : l'année où tout va changer en matière de sécurité Olivier FUCHS, Spécialiste Sécurité et Conformité
Platinum Gold 3
Amphithéâtre Salle 1 Salle 2 08:30-09:30 Accueil - enregistrement 09:30-10:15 Créer votre Cloud : étapes et solutions Postes de travail et messagerie : cas d usage et critères de choix Virtualiser les applications stratégiques 10:30-11:15 EMC HP Cisco 11:15-11:45 Pause-café sur l espace Exposition 11:45-12:45 Session plénière VMware présentée par Paul Mauritz 12:45-14:00 Cocktail déjeunatoire sur l espace Exposition 14:00-14:45 NetApp Dell Trend Micro 14:45-15:15 Pause-café sur l espace Exposition 15:15-16:00 Solutions d administration construites pour le Cloud 2011 l année de la sécurité vfabric : VMware ou middleware? 16:15-17:00 4 Comment le Cloud transforme la relation IT/Utilisateurs Environnement utilisateur final et Cloud : le nouvel horizon Transformation du portefeuille d'applications
Les principales interrogations relatives au cloud portent sur la sécurité et la conformité La virtualisation sert de base pour la création de clouds privés. La sécurité doit être adaptée à ces deux composantes essentielles. Gartner, 2010 Informatique interne Cloud public 5
Nouveaux défis que pose le cloud computing Les fonctions de sécurité doivent être adaptées aux contraintes des clouds privés et des clouds publics Les machines virtuelles sont dynamiques et mobiles Le processus de création des machines virtuelles est simple ; elles peuvent être provisionnées par des non-informaticiens Accroissement de la charge de travail avec un grand nombre de postes de travail virtuels dans le datacenter 6
Notre réponse : un environnement sécurisé pour le cloud computing VMware vshield constitue un vecteur de sécurité 1. Introspection unique 2. Abstraction des règles Économique Appliance virtuelle unique offrant un large choix de fonctionnalités Architecture unique garantissant une protection complète Simple Nombre réduits de règles, de VLAN et d'agents Niveau de visibilité adéquat pour les administrateurs de l'infrastructure virtuelle, du réseau et les équipes de sécurité Mise en conformité simplifiée Évolutif Adapté à la virtualisation et aux modifications Programmation unique, exécutable partout Résolution rapide des problèmes 7
Solutions traditionnelles contre vshield SÉCURITÉ SÉCURITÉ SÉCURITÉ APPL. APPL. APPL. Sécurité basée sur l'hôte DONNÉES OS DONNÉES OS DONNÉES OS Introspection : processeur, mémoire, réseau, accès aux fichiers VMware vsphere + vshield Sécurité basée sur le réseau Avantages Avantages Hôte et machines virtuelles (MV) entièrement protégés Règles de sécurité créées et appliquées sur Peu d'erreurs la migration de configuration à chaud, l'équilibrage de charge Identification automatisé rapide des des machines problèmes virtuelles (MV) et le Complexité redémarrage réduite : aucun automatisé agent des de MV sécurité requis par Provisionnement MV rapide des règles de sécurité Gestion de la conformité plus facile avec une surveillance continue et une journalisation exhaustive 8
Solutions de sécurité VMware Sécurité périmètrique Protection des applications contre les menaces du réseau Problèmes d'anti-virus dans les environnements virtualisés et de cloud computing 9
Sécurisation des datacenters virtuels (vdc) avec les solutions de sécurité existantes Internet SÉCURITÉ PÉRIMÈTRIQUE ZONE WEB vsphere SÉCURITÉ INTERNE ZONE DES APPLICATIONS vsphere SÉCURITÉ DES POINTS D'ACCÈS RÉSEAU ZONE DE LA BD vsphere Pods «à vide d'air» avec matériel physique dédié Clusters de zones mixtes sans segmentation de sécurité interne Complexité de la configuration o Prolifération des VLAN o Prolifération des règles de pare-feu o Règles IP de réseau rigides sans contexte de ressource Clouds privés (?) En raison des craintes pour la sécurité, les clients ne se rendent pas compte des avantages réels de la virtualisation 10
La méthode de sécurité traditionnelle : l'isolement par «vides d'air» Guide des règles de sécurité Microsoft Hyper-V : «Déployez vos machines virtuelles de telle manière que la totalité des machines virtuelles associées à un système physique donné partagent le même niveau de confiance.» Hyperviseur Hyperviseur Hyperviseur Conformité PCI Ventes Finance 11
Transition en toute sécurité vers le cloud Utilisateur A Utilisateur B Zone de confiance 1 Zone de confiance 2 WEB APP. BD hyperviseur hyperviseur Commutateur A Commutateur B Prestataire de services Vide d'air Utilisateur A Routeur A Internet Routeur B Pods d'isolement Zones de confiance mixtes Clouds privés 12
VMware permet de réduire sensiblement les coûts liés à la sécurité vshield évite de recourir à de multiples appliances matérielles dédiées (dépenses d'investissement et coûts d'exploitation divisés par 3 à 5) Répartiteur de charge Pare-feu VPN Etc. vshield Edge Appliance virtuelle VMware vsphere Pare-feu VPN Répartiteur de charge 13
Sécurité périmètrique automatisée du vdc avec vshield Edge Zone DMZ APP. Zone DMZ APP. BD BD vshield Edge vdc de production vshield Edge vdc de développement Commutateur virtuel distribué vsphere vsphere vsphere vsphere INTERNET 14
vshield Edge réduit le coût de la sécurité Coût par Mbit/s 50 $ 45 $ 40 $ 35 $ 30 $ 25 $ 20 $ 15 $ 10 $ 5 $ Solution de sécurité pour le périmètre réseau (pare-feu + VPN + répartiteur de charge) Ouvre la voie au cloud privé et au cloud public Appliances de sécurité Zones >x 5 de confiance mixtes, environnements dupliqués, utilisateurs multiples sur la même vshield Edge infrastucture virtuelle partagée Hypothèses 100 MV par périmètre vsphere et coûts des serveurs Haute disponibilité 0 $ 0,5 Gbit/s 1 Gbit/s 10 Gbits/s 100 Gbits/s Mbits/s = Mégabits/s Gbits/s = Gigabits/s Débit 15
Solutions de sécurité VMware Sécurité périmètrique Protection des applications contre les menaces du réseau Problèmes d'anti-virus dans les environnements virtualisés et de cloud computing 16
VMware transforme une configuration de sécurité complexe De nombreuses étapes. Configuration Réseau Pare-feu vsphere Rôles / Responsabilités qui se chevauchent Administrateur réseau Admin. de la sécurité Définir, mettre en œuvre, contrôler, affiner Mesures, Règles Admin. de l'infrastructure virtuelle agent agent agent agent agent agent agent agent VMware vsphere VLAN Complexité du VLAN Mise en œuvre des stratégies et règles : aucune séparation claire des tâches, confusion dans l'organisation Un grand nombre d'étapes : configuration du réseau, du pare-feu et de vsphere Dissémination des VLAN, prolifération des règles et agents de pare-feu 17
en une configuration d'une grande simplicité Peu d'étapes : configuration de vshield Séparation claire des rôles / responsabilités Administrateur réseau Admin. de la sécurité Admin. de l'infrastructure virtuelle Définir, contrôler, affiner Mettre en œuvre vshield Manager + vcenter VMware vsphere Simplicité Séparation claire des tâches Nombre d'étapes restreint configuration de vshield Nombre de VLAN réduit pare-feu vnic Nombre de règles et d'agents réduit Sécurité activée automatiquement sur les nouvelles MV/Appl. provisionnées automatiquement 18
Les challenges de l'administration réseau Datacenter face à la virtualisation Serveur Physical n/w Virtual n/w A VM1 VM2 VM3 VM1 VM2 B A Network Admin Server Admin 1. chevauchement des rôles de l administrateur serveur et réseau. 2. Pas d automatisation/ orchestration pour synchroniser les deux réseaux 3. La migration de VMs peut échouer. 19
Solutions avec Junos space virtual control A Physical n/w Virtual n/w A A Virtual Control A VM1 VM2 VM3 VM1 VM2 A Disponibilité des applications Administration réseau End-to-End : réseau physique et virtuel à partir d une seule interface Virtual Control A Architecture ouverte : 1. Rôles et responsabilités claires Network Admin pas de composants propriétaires interfaçage avec des API standards La solution la plus scalable: Server Admin 2. Orchestration automatisée entre réseau physique et virtuel administration de plus de1000 hosts à partir d une seule instance 3. Solution scalable permet la migration libre de VMs Reduction du risque d erreur 4. Architecture ouverte 20
Sécurisation de l environnement virtuel : SRX vgw Juniper SRX with IPS and AppSecure Juniper Switching Security Design Policies Intégration SRX vgw 1. La visibilité des zones SRX est étendue aux VMs VM 1 VM 2 VM 3 VM 20 vgw Virtual Gateway VMware vsphere Hypervisor 2. Envoi des logs Firewall et Netflow pour le trafic Inter- VM vers STRM 3. renforcement de l inspection du trafic des VMs par un mirroring selectif du trafic vers l IPS du SRX 21
VMware vshield App Protection des applications contre les menaces du réseau Pare-feu de niveau hyperviseur Contrôle des connexions entrantes et sortantes appliqué au niveau du vnic Groupes de sécurité flexibles et «extensibles» lorsque les machines virtuelles migrent vers de nouveaux hôtes Surveillance éprouvée du trafic Gestion des règles Règles simples et pertinentes Gestion via une interface utilisateur ou des API REST Journalisation et audit basés sur le format standard syslog 22
Tirer parti de la virtualisation pour une sécurité supérieure à celle des solutions physiques Principaux avantages Visibilité complète et contrôle du trafic entre machines virtuelles permettant l'instauration de multiples zones de confiance sur le même cluster ESX Langage métier intuitif tirant parti de l'inventaire vcenter Provisionnement en libre-service avec application des règles de sécurité sur vos MV/Appl. Sécurité supérieure à celle des solutions physiques Pare-feu virtuel à densité illimitée sur les ports Introspection au niveau de l'hyperviseur qui fournit l'accès au trafic entre machines virtuelles Topologie indépendante de la configuration réseau (neutralité des règles d'adresses IP des MV) Capacités de pare-feu intégrées plus performantes que les fonctions physiques de sécurité et 3 fois moins coûteuses. 23
Solutions de sécurité VMware Sécurité périmètrique Protection des applications contre les menaces du réseau Problèmes d'anti-virus dans les environnements virtualisés et de cloud computing 24
Problèmes d'anti-virus en matière de virtualisation et de cloud computing Problèmes Les attaques virales peuvent provoquer des baisses de tension dans les environnements informatiques (virtualisation) et de stockage (SAN/NAS) partagés Les agents traditionnels sont gourmands en ressources ; ils ne sont pas adaptés à l exploitation intensive de clouds efficaces Capacité maximale de 6 Go sur les postes de travail VMware View 12 à 1 serveurs virtuels / hôte physique 60 à 1 serveurs virtuels / hôte physique Machine virtuelle APPL. AV OS Noyau BIOS Machine virtuelle APPL. AV OS Noyau BIOS Machine virtuelle APPL. AV OS Noyau BIOS VMware vsphere 25
Tirer parti de la virtualisation pour une sécurité supérieure à celle des solutions physiques Problèmes Les attaques virales risquent de saturer complètement les environnements informatiques (CPU) et SAN/NAS (E/S de stockage) partagés Les agents traditionnels sont gourmands en ressources ; ils ne sont pas adaptés à l exploitation intensive de clouds efficaces Capacité maximale de 6 Go sur les postes de travail VMware View SVM AV OS renforcé Machine virtuelle APPL. OS Noyau BIOS Machine virtuelle APPL. OS Noyau BIOS Machine virtuelle APPL. OS Noyau BIOS Opportunités Tirer parti de l'hyperviseur pour transférer les fonctions antivirus à partir d'agents sur une machine virtuelle de sécurité dédiée Déployer les fonctions de sécurité de manière plus réactive et orientée service dans les environnements de cloud privé et de cloud public Introspection VMware vsphere 26
Anti-virus efficace sous forme de service pour les datacenters virtuels Initiative de collaboration renforcée avec les principaux éditeurs d'av partenaires Introspection basée sur hyperviseur pour les principales fonctions d'antivirus Moteurs d'analyse de fichiers et définitions de virus transférés sur la machine virtuelle de sécurité (planification et utilisation en temps réel) Virtualisation «légère» de fichiers en mode client ; encombrement réduit de plus de 95 % (étape finale : absence totale d'agent) Déployable sous forme de service Aucun agent à gérer Gestion de la sécurité sous forme de service et clé en main Applicable à tous les modèles de déploiement virtualisés : clouds privés (datacenters virtuels), clouds publics (prestataires de services), postes de travail virtuels 27
Utilisation efficace de la mémoire Analyse au niveau du serveur : pas d'agent, moins de mémoire et charge de gestion réduite Sans EPSec Avec EPSec AVANT : méthode traditionnelle avec agents APRÈS : appliance virtuelle de sécurité utilisant VMware End Point Security (EPSec) 28
Bande passante d E/S efficace Bande passante disponible pendant la mise à jour des définitions de virus Sans EPSec Avec EPSec AVANT : méthode traditionnelle avec agents APRÈS : appliance virtuelle de sécurité utilisant VMware End Point Security (EPSec) 29
VMware vshield End Point Solutions d'anti-virus disponibles basées sur vshield End Point Disponibilité Aujourd hui Produit Trend Micro Deep Security 7.5 Ultérieurement en 2011 À confirmer 30
VMware renforce la sécurité pour le cloud MV à l'intérieur MV <-> réseau Périmètre du vcloud / VDC vshield Endpoint vshield App vshield Edge N 1 dans les trois domaines Simplification et automatisation sans précédent Capable d'unifier la gestion des règles de sécurité 31
La solution adéquate pour votre projet Virtualisation du datacenter vshield App Cloud computing privé / public vshield Edge vshield App Informatique utilisateur / Virtualisation des postes de travail vshield End Point vshield App vshield End Point est fourni avec VMware View Premier 32
Amphithéâtre Salle 1 Salle 2 08:30-09:30 Accueil - enregistrement 09:30-10:15 Créer votre Cloud : étapes et solutions Postes de travail et messagerie : cas d usage et critères de choix Virtualiser les applications stratégiques 10:30-11:15 EMC HP Cisco 11:15-11:45 Pause-café sur l espace Exposition 11:45-12:45 Session plénière VMware présentée par Paul Mauritz 12:45-14:00 Cocktail déjeunatoire sur l espace Exposition 14:00-14:45 NetApp Dell Trend Micro 14:45-15:15 Pause-café sur l espace Exposition 15:15-16:00 Solutions d administration construites pour le Cloud 2011 l année de la sécurité vfabric : VMware ou middleware? 16:15-17:00 33 Comment le Cloud transforme la relation IT/Utilisateurs Environnement utilisateur final et Cloud : le nouvel horizon Transformation du portefeuille d'applications
34
Utilisation efficace des ressources Analyse au niveau du serveur : libération de l'espace requise pour les agents mémoire et charge de gestion réduites charge inférieure de l'uc et des E/S En attente de l'accord de Tolly Group pour l'utilisation des graphiques en attendant, utiliser les 2 diapositives suivantes 35
Copies d écran Junos Space Virtual Control Managing the physical and virtual network from a single pane of glass Correspondance entre les switches physiques et virtuels 36