vendredi 15 février 2008

La virtualisation ne résout pas les problèmes de sécurité

La virtualisation perturbe les systèmes de protection

A mesure que la virtualisation gagne les centres de données, de nouvelles problématiques de sécurité se font jour. Le caractère évolutif de ces technologies remet en question l'efficacité des protections traditionnelles.

Publié le 14 Février 2008

Virtualisation imageSynonyme de flexibilité et d'économie, la virtualisation présente un certain nombre de risques encore trop peu pris en compte par les entreprises. En faisant passer leurs centres de données du matériel à la sphère virtuelle, de nouvelles vulnérabilités apparaissent tandis que d'autres changent de nature. Ces changements nécessitent une redéfinition de la stratégie sécuritaire selon Nemertes Research qui pointe les risques inhérents à la virtualisation dans un récent rapport. Le cabinet d'étude préconise une analyse des risques potentiels à tous les stades de son déploiement, depuis les tests et développements jusqu'à la virtualisation de l'ensemble du parc de serveurs. Un processus dont la phase de mise en production apparaît comme la plus sensible.

Réplication des points faibles

Le risque dit de monoculture est prégnant lors du passage à un parc de serveurs virtualisé. La création d'images serveurs standardisées - qui permet de consolider la configuration de ces derniers – induit également le partage des mêmes vulnérabilités. Alors que les centres de données traditionnels sont dotés de pare-feu et autres systèmes de protection disposés entre les serveurs, ce n'est plus le cas dans la sphère virtuelle. En conséquence, un problème rencontré par un seul élément expose l'ensemble de la chaîne, indique Nemertes. Une vulnérabilité qui est par ailleurs proportionnelle à la taille du parc. Dans le cas d'une virtualisation intégrale, c'est la nature dynamique de cette approche de l'informatique dite "à la demande" qui pose problème. L'arsenal sécuritaire traditionnel, adapté pour la prise en charge de périmètres statiques – en fonctionnant par associations fixes d'adresses IP par exemple – perd de son efficacité dans un environnement aussi flexible.

Menaces et rentabilité

Une fois la migration en environnement de production effectuée, d'autres problématiques se font jour. Les infrastructures de services basiques, souvent les premières à être virtualisées, n'impliquent pas de risques majeurs en elles-mêmes. Elles peuvent cependant soutenir certaines autres applications, virtuelles ou non, dont la fonction est critique. Une dépendance qui peut aboutir à des interruptions de service majeures en cas de problèmes. Le cabinet d'étude cite notamment la perte de l'infrastructure dédiée aux services de nom de domaine comme potentiel point de départ d'une défaillance d'importance. Cet ensemble de risques souligne que les solutions de sécurité virtuelles sont encore limitées en comparaison de leurs équivalents physiques. Les bénéfices de la virtualisation restent cependant bien supérieurs aux menaces qui l'accompagnent, conclut Nemertes.

Source : L'Atelier

Aucun commentaire: