Introduction :

Blue Lane VirtualShield, compatible avec VMware Infrastructure 3 est un bouclier dynamique de protection qui fournit des mises à jour de sécurité instantanées et dynamiques vis-à-vis des serveurs virtuels en aval.
Face aux contraintes spécifiques de sécurité liées à la virtualisation de services et d’applications, VirtualShield est capable de sécuriser simplement n'importe quel nombre de serveurs sur chaque hyperviseur, y compris les machines virtuelles ne pouvant pas être mises à jour, obsolètes, hors ligne, ou reposant sur d’anciennes technologies. Les solutions Blue Lane se présentent sous forme de passerelles de type « proxy transparent » qui se positionnent en frontal des serveurs virtuels et qui analysent et corrigent les flux à la volée en reproduisant l’action du patch de l’éditeur, sans jamais intervenir sur les machines virtuelles. Cette approche résout à la fois les problèmes de fréquence des cycles de patchs et des environnements difficiles voir impossibles à mettre à jour :

• Systèmes particulièrement critiques
• Systèmes plus supportés par les éditeurs
• Contraintes métiers empêchant d’intervenir sur une application ou un serveur…

Les défis de Sécurité des serveurs virtuels:

• La prolifération de machines virtuelles (VM’s) non managées: il est très simple de mettre en œuvre un environnement virtuel à partir d’un fichier image et d’un lecteur (qui peut même parfois être gratuit). Peu d’organisations ont mis en place des moyens permettant de vérifier en temps réel si une machine virtuelle vient de se connecter au réseau et même si elles sont capables d’identifier une nouvelle machine virtuelle, elles sont rarement en mesure de déterminer quelles sont les versions de l’OS et des applications de cette VMs. Hors il suffit qu’une seule vulnérabilité critique de la VM ne soit pas colmatée pour que celle-ci se transforme en immense cheval de Troie. En effet, la compromission d’une machine interne est un facteur de risque critique pour une entreprise car cela contribue en général à mettre rapidement toutes les autres machines en péril du fait que la machine compromise serve de base de rebond pour attaquer les autres (et la plupart avec des accès privilégiées).

• La mobilité des machines virtuelles: Certaines sociétés comme VMware, proposent des fonctionnalités particulièrement qui permettent d’adapter les machines virtuelles aux ressources disponibles. Cette fonctionnalité, qui s’appelle Vmotion, permet de déplacer dynamiquement et de manière transparente une machine virtuelle d’un serveur physique vers un autre quand certaines ressources (mémoire, CPU…) viennent à manquer. Cela peut avoir des conséquences importantes au niveau de la sécurité quand des mesures de protection statiques ont été implémentées par l’entreprise : en effet, il est fréquent de créer des zones de ségrégation en mettant en place des règles de filtrages plus ou moins sophistiquées entre différentes zones sensibles (VLAN, subnets IP…). Ces règles sont mises en œuvre via des firewalls applicatifs internes, des IPS ou des reverse proxies. Le fait d’avoir une machine virtuelle qui peut se déplacer dynamiquement d’une zone vers une autre implique qu’une entreprise devrait être capable de gérer les règles de filtrage dynamiquement. Ceci est difficilement possible car il faudrait modifier la configuration des firewalls et IPS à chaque mouvement de VM.

• La multiplicité des stacks virtuels: un retour d’expérience parmi les premiers « adopteurs » des technologies de virtualisation montre qu’un environnement constitué de nombreuses machines virtuelles conduit souvent à des phénomènes d’hétérogénéisation des couples OS/Applications. Des fonctions simples à mettre en œuvre telles que duplications, snapshot, upgrade/downgrade d’images conduisent souvent à une multiplicité de versions et par conséquent a un risque d’introduite des vulnérabilités qui peuvent conduire à la compromission de certaines VMs du fait de la non maitrise des versions.

Avantages de BlueLane VirtualShield:

BlueLane VirtualShield permet de :

• Protèger les serveurs virtuels indépendamment de leur emplacement physique ou de leur niveau de mise à jour
• Éliminer les menaces extérieures sans bloquer les demandes légitimes des applications ou nécessiter un redémarrage du serveur
• Protéger à jour et sans changement de configuration ni aucune installation d'agent sur le système d'exploitation hôte
• Fournir une protection appropriée pour des applications spécifiques sans exiger d’intervention manuelle

Fonctionnement de BlueLane VirtualShield :

• Téléchargement VirtualShield Manager
• Installation VirtualShield sur ESX Server et découverte dynamique des VMs
• Le Manager contacte le Publisher pour activation et mise à jour

Le VirtualShield effectue une découverte des serveurs virtuels sur l'hyperviseur et conserve constamment un inventaire des actifs virtuels, y compris es les ports ouverts, es les services actifs, ainsi que les OS et applications installées

Chaque serveur virtuel nouvellement déployé est automatiquement détecté par VirtualShield et est ensuite immédiatement doté d’une protection adéquate contre des menaces extérieures

Lorsque cela est nécessaire, en cas d'attaque extérieure, VirtualShield protège les serveurs en appliquant la politique intégrée appropriée ou en reproduisant la logique de correction de patch de sécurité dans le réseau

Le nouveau contenu de protection (les règles et les patchs intégrés), les fonctions supplémentaires et les capacités sont téléchargés immédiatement via l'abonnement et peuvent être appliqués aux environnements de production instantanément sans perturber la disponibilité du serveur

• Déploiement de VirtualShield :

VirtualShield se déploie directement à partir de l’hyperviseur sur VMWARE Infrastructure 3.

• Gestion de VirtualShield :
  

VirtualShield Manager permet aux utilisateurs de contrôler de multiple VirtualShields distribués. L'interface Web permet aux utilisateurs d’installer rapidement et de configurer de nouvelles instances de VirtualShield. Le VirtualShield Manager offre une vision unique de l’inventaire du serveur virtuel en maintenant une mise à jour des serveurs, des systèmes d'exploitation, des applications et permet des services.

• Technologie VirtualShield :
  

• Système virtuel développé sur mesure pour ESX Server :

- Aucune contrainte hardware
- Couche “Mezzanine” (hyperviseur/VM)

• Plateforme haute performance :

- Haut débit, faible latence
- Décodeur protocolaires et maintien des contextes de sessions
- Intégration dans Virtual Center

• Modules chargeables dynamiquement :

- Nouvelles couvertures applicatives
- Exécution à la demande

• Consolidation des fonctions de sécurité :

- Découverte des systèmes
- Emulation de patchs

Matériel et logiciels requis :

• Systèmes d’ Exploitation et Applications Protégés Operating Systems: Network & Core Services :

- Microsoft Windows NT Server, Microsoft Windows 2000, Microsoft Windows Server 2003, Solaris (7, 8, 9, 10), Novell Suse (8, 9, 10), redhat (EL 2, 3, 4, 5), , AIX

• Database Servers :
  

- Microsoft SQL Server 2000, Microsoft SQL Server 2005

• Email Servers :
  

- Microsoft Exchange Server (5.0, 5.5, 2003), Sendmail.org, Courier IMAP, Cyrus

• Application Servers :

- Apache, Microsoft (IIS v1-v6), iPlanet, IBM WebSphere

• Other Applications :

- Samba, Washington University FTP, BIND, ProFTP, etc

• Prérequis VirtualShield :

- Compatible avec VMWARE ESX 3.0.1 ou supérieur
- Au moins 1GB de Mémoire vive (512Mo réservé)
- Au moins 1 CPU Virtuel (les ressources peuvent être mesurées selon la charge de l’ESX Serveur)

• Prérequis VirtualShield Manager :

- Compatible avec VMWARE ESX 3.0.1 ou supérieur
- Au moins 2GB de Mémoire vive (1GB réservé)
- Au moins 1 CPU Virtuel (les ressources peuvent être mesurées selon la charge de l’ESX serveur, le nombre de serveurs virtualisés protégés et les événements)
- Supporte jusqu'à 100 VirtualShields