Protection de votre environnement virtualisé contre les virus et programmes malveillants Auteur : Gary Barnett Date de publication : juin 2012 All contents The Bathwick Group Ltd 2012
Sommaire Introduction...3 À l évidence, la virtualisation constitue l avenir des infrastructures...4 Le VDI : la nouvelle frontière...4 Comment sécuriser un environnement virtuel contre les virus et programmes malveillants...5 Protection basée sur un agent...5 Les solutions basées sur des agents font peser des contraintes supplémentaires importantes sur les machines hôtes...7 Protection sans agent...7 Conclusion...9 À propos de Bathwick Group...10 Page 2 All contents The Bathwick Group Ltd 2012 www.bathwick.com
Introduction La menace que constituent les virus et les programmes malveillants va continuer de s intensifier car leurs auteurs utilisent des techniques de plus en plus complexes pour accéder aux machines visées et parfois pour en prendre totalement le contrôle. 70 % des entreprises ont été victimes d une attaque de programmes malveillants 20 % des entreprises ont subi des pertes de données du fait de ces programmes Dans une étude récente, menée par Bathwick Group pour Kaspersky Lab, plus de 70 % des personnes interrogées ont déclaré avoir été victimes d une attaque malveillante et environ 20 % ont reconnu que leur entreprise avait perdu des données à cette occasion. Près d un quart des personnes interrogées ont admis que la sécurisation de leurs environnements virtualisés représentait un véritable casse-tête. Avec l adoption croissante de la virtualisation des serveurs et l essor que commence à prendre le déploiement d infrastructures de machines virtuelles, ces chiffres risquent de s élever considérablement. Alors que s accélère le mouvement vers la virtualisation, les entreprises doivent impérativement prendre un certain nombre de mesures, notamment : Mettre en place pour leur environnement physique et virtuel une stratégie de protection contre les virus et programmes malveillants avec une gestion centralisée, garantissant que tous les périphériques connectés au réseau de l entreprise soient efficacement protégés Décider de l'approche la plus appropriée pour le déploiement d'une protection contre les virus et programmes malveillants sur les machines virtualisées Choisir un éditeur de solutions de protection qui propose une structure de gestion unique pour le déploiement des différents modèles de protection contre les virus et programmes malveillants Dans les environnements virtualisés, rechercher les solutions exploitant au mieux les ressources CPU, gage d'une utilisation optimale des matériels physiques Lors de l'achat d'une infrastructure de postes de travail virtuels auprès d'un éditeur tiers, l'entreprise doit vérifier que l éditeur en question a pris les mesures adéquates pour protéger cette infrastructure contre les virus et programmes malveillants Ce document expose les différentes approches que peuvent adopter les entreprises pour l achat d une solution complète de protection contre les virus et programmes malveillants, efficace et facile à gérer, et met en évidence les avantages et inconvénients de chacune d elles. Page 3 All contents The Bathwick Group Ltd 2012 www.bathwick.com
À l évidence, la virtualisation constitue l avenir des infrastructures Plus de trois quarts des entreprises font maintenant usage de la virtualisation d une manière ou d une autre. Or, comme en témoigne notre étude récente, les plus grandes entreprises (celles dont les effectifs sont supérieurs à 500 employés) déclarent en moyenne que près de 50 % de leur parc de serveurs est à présent virtualisé, ce pourcentage étant destiné à atteindre plus de 60 % à court terme. L une des découvertes importantes de notre étude est que l adoption de postes de travail virtualisés, malgré le retard qu elle accuse par rapport à la virtualisation des serveurs, est appelée à doubler dans un avenir proche. Au gré du processus de consolidation, vous réaliserez que respecter vos engagements en matière de niveaux de service est plus facile de même qu adapter votre environnement aux besoins de votre entreprise (hausse ou baisse des capacités). Vous constaterez également que la charge globale de gestion et de maintenance de votre environnement diminue. Le VDI : la nouvelle frontière La technologie de virtualisation des postes de travail s améliore à un rythme spectaculaire, avec notamment les avantages suivants : diminution importante des exigences des machines virtualisées en termes de ressources, améliorations majeures des outils de gestion et nette réduction du temps nécessaire pour créer de nouvelles machines virtuelles. Toutefois, de nouveaux défis surgissent en matière de sécurité de l environnement au gré de la virtualisation des postes de travail. Bien que la sécurité des serveurs demeure un sujet complexe, les principaux problèmes sont maintenant bien maîtrisés et la probabilité est moindre que les machines elles-mêmes soient la proie de stratégies d attaques sophistiquées par des agents propagateurs de virus et programmes malveillants. Il n en va pas de même avec la virtualisation des postes de travail. À bien des égards, la virtualisation des postes de travail permet aux entreprises de mettre en place des infrastructures considérablement plus sûres que celles basées sur des machines autonomes. Dans un environnement VDI, vous pouvez contrôler une multitude de facteurs en rapport direct avec la sécurité ; Stockage et sauvegarde centralisés des données Contrôle précis et détaillé des périphériques, tels que les imprimantes, lecteurs optiques et ports USB Gestion et déploiement centralisés des logiciels Reprise rapide après une altération d image Mais les entreprises qui adoptent ces infrastructures de machines virtuelles (VDI) ne doivent pas négliger la menace que représentent virus et programmes malveillants, même dans un environnement aussi contrôlé que les VDI. La protection contre ces virus et programmes malveillants est essentielle dans la plupart des déploiements VDI. L erreur que commettent de nombreuses personnes est de croire que dans la mesure où les environnements virtuels ont souvent une durée de vie brève, la question de la protection contre les virus et programmes malveillants ne se pose pas vraiment dans la période qui précède l arrêt de ces postes de travail virtuels et leur redémarrage à partir d une image standard. Cette opinion est fausse, pour deux raisons. Tout d abord, parce qu il n est pas rare de voir fonctionner des machines virtuelles sur de longues périodes et deuxièmement parce qu un poste de travail virtuel n a pas besoin de fonctionner longtemps avant de servir de plate-forme à un programme malveillant, qui ensuite attaquera d autres machines sur le réseau. Page 4 All contents The Bathwick Group Ltd 2012 www.bathwick.com
La capacité à mettre en œuvre des fonctions telles que l actualisation en fin de connexion ou la réinitialisation, lorsque l image virtuelle est évacuée et rechargée à partir de «l image principale», est certes utile pour résoudre les problèmes de faille de sécurité, mais la mise en place d une protection efficace réduira considérablement les risques d une telle faille. Les machines virtuelles ne sont pas à l abri d attaques de virus ou programmes malveillants: Vous devez prendre les mesures nécessaires pour les sécuriser Comment sécuriser un environnement virtuel contre les virus et programmes malveillants Il existe aujourd hui trois options principales en matière de sécurisation des machines virtuelles contre les virus et programmes malveillants. La première option consiste à «ne rien faire», en d autres termes à n installer aucun logiciel de protection. Cette attitude va à l encontre de nos conseils, qui préconisent de toujours utiliser une protection, quelle qu elle soit, contre les virus et programmes malveillants. Toutefois, il existe des cas de figure où la machine virtuelle est si étroitement verrouillée qu elle ne laisse aucune prise ou point d entrée à une éventuelle infection. Par exemple, certaines machines virtualisées sont configurées pour exécuter une seule application qui stocke peu de données, voire pas du tout. Il peut donc y avoir des cas où le choix de «ne rien faire» est justifié, mais dans la pratique il s agit vraiment d exceptions. Les deux autres options partent du principe, l une et l autre, qu une machine virtuelle a besoin d une protection contre les virus et programmes malveillants, mais adoptent deux approches très différentes. La première utilise un modèle auquel la plupart d entre nous sommes déjà habitués et dans lequel la solution de sécurité est préinstallée en tant que partie intégrante de l image de la machine, tandis que la deuxième implique la création d une ou plusieurs appliances de sécurité centralisées. Ces appliances fournissent alors une protection contre les virus et programmes malveillants à un pool de machines virtuelles. Cette approche présente l avantage de nécessiter beaucoup moins de ressources et de réduire considérablement la charge sur les performances que peut représenter l exécution de plusieurs couches de protection complète sur chaque client. Protection basée sur un agent Service de mise à jour Antivirus/programmes malveillants Antivirus/programmes malveillants Antivirus/programmes malveillants Antivirus/programmes malveillants Figure 1. Image virtuelle Machine hôte Vue logique d une protection basée sur un agent dans un environnement virtualisé Page 5 All contents The Bathwick Group Ltd 2012 www.bathwick.com
La protection basée sur un agent est un modèle dans lequel le logiciel de protection est présent sur chaque client ; il fait donc partie de l image machine utilisée pour lancer chaque machine virtuelle. Les entreprises habituées à gérer les logiciels de protection sur leur parc de postes de travail sont familières de cette approche. Elle permet également d installer tous les outils supplémentaires (qui peuvent inclure des composants tels que des pare-feu personnels, des solutions de filtrage Web et des utilitaires de détection et de prévention locales des intrusions). Cette approche est celle qui offre la plus grande flexibilité en termes de package, car elle vous permet de choisir les composants souhaités. Par ailleurs, dans les situations où les utilisateurs souhaitent bénéficier de la gamme complète de fonctionnalités de votre solution antivirus, le modèle de protection basée sur un agent sera vraisemblablement la solution la plus appropriée. Service de mise à jour Pare-feu/ Passerelle Figure 2. Des «blitz de mise à jour» se produisent lorsque plusieurs machines virtuelles tentent de télécharger leur base antimalware simultanément À chaque fois que nous mettons à jour une image machine, nous devons passer par un cycle de test complet avant de la mettre en production. Ce processus peut à lui seul prendre plus d une journée. Si nous devions mettre à jour le fichier image quotidiennement, ce serait un véritable cauchemar. C est pourquoi nous traitons les mises à jour par lot et les appliquons de manière hebdomadaire ou mensuelle. Infastructure Manager, Services financiers Les éditeurs de logiciels ont fait le maximum pour essayer de réduire l impact de ces blitz de mise à jour (p. ex., en envoyant uniquement les données mises à jour, plutôt que de réactualiser l ensemble des fichiers de définition). Toutefois, le nombre des mises à jour à appliquer est appelé à augmenter au fil du temps. Il est possible de diminuer cette charge en mettant régulièrement à jour les fichiers de définition dans l image machine, mais étant donné la fréquence de ces mises à jour, il est probable que chaque machine sera dans l obligation de les demander lors de son lancement. Page 6 All contents The Bathwick Group Ltd 2012 www.bathwick.com
Les solutions basées sur des agents font peser des contraintes supplémentaires importantes sur les machines hôtes Lorsqu il s agit de dimensionner des hôtes physiques pour un environnement virtuel, il faut allouer les ressources nécessaires pour prendre en charge à la fois le démarrage du logiciel de sécurité et son fonctionnement permanent en tâche de fond. Même lorsqu il est «au repos», le logiciel de protection consomme une certaine quantité de RAM (généralement entre 100 et 500 Mo) et peut, de temps à autre, utiliser une partie des ressources CPU des machines virtuelles. Cette utilisation peut varier entre des périodes relativement longues présentant des taux d utilisation nuls ou proches de zéro et des temps très courts d utilisation à 100 % des ressources CPU. Il importe donc de s assurer que les machines virtuelles ne procèdent pas toutes en même temps aux analyses de sécurité car un blitz antivirus (qui peut se produire lorsque de nombreuses machines virtuelles effectuent simultanément une analyse de sécurité sur le même hôte) peut rapidement consommer toutes les ressources disponibles du serveur. Le processus de lancement d une machine virtuelle prend également un peu plus de temps car le chargement et la vérification du logiciel de protection fait partie du cycle de démarrage. Là encore, sur une machine autonome isolée, ce temps supplémentaire peut être négligeable et ne se remarquera peut-être même pas, mais appliqué à des dizaines voire des centaines de machines virtuelles, il peut avoir d importantes répercussions. Les solutions antimalware les plus avancées peuvent être configurées de manière à atténuer certaines de ces conséquences. Elles peuvent par exemple programmer les demandes de mise à jour et faire en sorte que les analyses de sécurité soient effectuées à des moments aléatoires sur chaque machine et par conséquent réparties sur l ensemble de la journée. Mais cette approche n est pas non plus la plus parfaite car certaines machines ne pourront pas recevoir leurs mises à jour critiques immédiatement à publication, mais uniquement après écoulement d un certain laps de temps. Protection sans agent Le principe de la protection sans agent (ou «Agent léger») consiste en fait à décharger la majeure partie du travail réalisé par le logiciel de protection sur une ou plusieurs appliances centralisées. Ainsi, au lieu d exécuter elle-même le logiciel de protection, chaque machine virtuelle délègue cette activité à une machine centrale. La protection sans agent a été lancée par VMware et sa technologie vshield Endpoint. Dans un environnement VMware, lorsqu utilisé avec une solution contre les virus et programmes malveillants compatible, le service vshield Endpoint offre les avantages suivants : Élimination des blitz antivirus La mise à jour des fichiers de signatures et l analyse antivirus étant traitées séparément sur une appliance virtuelle distincte, les machines n ont plus besoin de demander et d appliquer individuellement les mises à jour. Possibilité d un plus grand nombre de postes de travail virtuels par serveur physique En transférant sur une appliance virtuelle partagée le traitement et la configuration mémoire requise par le logiciel de protection, vous libérez des ressources CPU et de la mémoire importantes sur la machine hôte, ce qui vous permet d exécuter un plus grand nombre de machines virtuelles. Page 7 All contents The Bathwick Group Ltd 2012 www.bathwick.com
Temps de démarrage plus courts Le déploiement des fichiers de signatures et de base de données sur l appliance centrale évite de charger le fichier de signatures et de vérifier la disponibilité de mises à jour lors du démarrage ; les images virtuelles sont plus rapides à démarrer. Suppression du retard de propagation des mises à jour Il n y a plus à attendre que les mises à jour soient propagées à l ensemble de l environnement virtuel. Celles-ci sont immédiatement appliquées dès leur téléchargement par l appliance de protection. Simplification du provisionnement Le seul composant à installer comme partie intégrante de l image virtuelle est le pilote de faible encombrement (compris dans le package des outils VMware). Après l installation de ce pilote, le processus qui applique la protection aux nouvelles machines, au fur et à mesure de leur chargement, est entièrement automatique. Facilité de maintenance accrue Les modifications apportées au logiciel antimalware sont appliquées uniquement à l appliance virtuelle et non à chacun des postes de travail. Audit centralisé Les journaux d audit sont conservés par l appliance virtuelle, ce qui facilite les vérifications et la surveillance. Service de mise à jour Appliance de sécurité Figure 3. La protection sans agent délègue la protection antimalware à une même appliance Le modèle sans agent a toutefois un inconvénient, qui peut avoir une importance pour certains utilisateurs, en ce sens qu il couvre uniquement les principaux services de protection fournis par le logiciel antimalware. Les autres fonctionnalités comprises dans la plupart des produits de sécurité (comme la suppression définitive des données et le chiffrement) ne sont pas disponibles via l appliance de sécurité. Page 8 All contents The Bathwick Group Ltd 2012 www.bathwick.com
Conclusion Une administration et une gestion efficaces sont essentielles Si vous ne mettez pas en place la technologie appropriée en association avec les processus adéquats, vous exposez votre environnement virtuel à des risques potentiels. Vous devez mettre en place une structure d administration et de gestion vous permettant de gérer et de surveiller tous les périphériques de votre environnement. Pour ce faire, vous devez choisir une solution qui vous en donne la possibilité. Les grandes entreprises qui étendent leur démarche de virtualisation doivent adopter une approche globale de la protection contre les virus et programmes malveillants Une grande entreprise doit mettre en place une stratégie unique qui couvre tous ses périphériques et modèles de déploiement existant. Dans ce domaine, les besoins ne sont pas les mêmes partout : certaines machines nécessiteront l installation de versions complètes autonomes de votre logiciel de sécurité alors que d autres pourront se contenter des services de base. Une entreprise de taille moyenne qui envisage de prendre une solution VDI auprès d un hébergeur doit s assurer que son fournisseur lui offre une protection adéquate Un fournisseur de solutions VDI responsable doit vous offrir une protection antimalware dans le cadre du service proposé. Si ce n est pas le cas de votre fournisseur, faites pression sur lui pour qu il s en charge. Si vous prévoyez de proposer des services VDI hébergés, votre offre doit comporter une protection antimalware Nous conseillons à nos clients de ne pas utiliser de services VDI hébergés qui n offrent pas de protection antimalware en temps réel. À l heure actuelle, de nombreux fournisseurs de solutions VDI n offrent pas encore cette protection en standard. C est pourquoi à court terme la capacité à proposer des niveaux de sécurité supérieurs constituera un élément de différenciation et à moyen terme elle représentera un critère obligatoire dans toute offre de services VDI. Page 9 All contents The Bathwick Group Ltd 2012 www.bathwick.com
À propos de Bathwick Group Bathwick Group possède trois divisions : étude et conseil, logiciels d enquêtes, de marketing et laboratoire d idées (ou think tank) stratégique. BATHWICK: ETUDE ET CONSEIL Étude et conseil dans quatre principaux domaines d activité: Secteur informatique Analyse de clientèle et programmes marketing exclusifs pour les acteurs s adressant aux marchés des grandes et moyennes entreprises, planification stratégique et aide à la commercialisation Informatique d entreprise Support stratégique pour responsables informatiques ; études comparatives et meilleures pratiques en matière de productivité et d agilité des infrastructures Développement durable Études comparatives et aide à la planification pour les entreprises souhaitant intégrer des pratiques durables et atténuer les risques stratégiques. Identification des menaces et opportunités futures Innovation Services rapides d engagement collaboratif permettant d associer les compétences de vos ressources humaines clés à celles d experts extérieurs afin d apporter rapidement des solutions aux défis majeurs auxquels l entreprise est confrontée. Structures de protection sur IP STORRM SOFTWARE Une plate-forme de collecte, d analyse et de diffusion de données à l échelle de l entreprise Plate-forme logicielle multilingue souple pour la réalisation d enquêtes, d études comparatives et d évaluations, pour la veille stratégique des marchés, la génération et l entretien de prospects, l accompagnement des ventes, la gestion et la distribution de supports marketing, les enquêtes hors ligne, les jeux ainsi que de multiples applications décisionnelles. THINKAGAIN Un réseau mondial d étude collaboratif ThinkAgain met en relation des chefs d entreprise et responsables politiques avec des investisseurs, des universitaires et intellectuels éminents afin de susciter de nouvelles idées sur les questions de performances d entreprise, de géopolitique et de développement durable. La participation se fait uniquement sur invitation. Référence du document: BG-INF-W-00101FR-FR-00 All contents The Bathwick Group Ltd 2012