Si les risques changent, les politiques de sécurité évoluent selon les techniques, mais les grands principes restent les mêmes.
Lors de la récente conférence, à La Défense, des utilisateurs McAfee, l’un des principaux éditeurs de sécurité, la permanente évolution des risques a servi de fil directeur. Les technologies et des lois s’adaptent. D’emblée, le directeur Europe, Gert-Jan Schenk, (photo ci-contre), précisait que si la nature des attaques se modifiait en permanence, la législation, elle aussi, ne cessait d’évoluer avec de nouvelles obligations par secteurs professionnels (banques, assurances, bourse, commerce international) ce qui remettait en cause sans arrêt les objectifs de sécurité et de conformités, en particulier avec la virtualisation. De même, les nouvelles applications 2.0 en étant totalement conçues pour les échanges Web se retrouvaient toutes dans le cloud en créant de nouvelles obligations sécuritaires.
La vitesse d’évolution ne cesse de croitre
Pour illustrer la capacité de réaction des pirates aux USA, Michael De Cesare, Président de McAfee, rappelait qu’à la suite de l’attentat meurtrier du marathon de Boston le 13 avril, à peine 40 heures après l’explosion il y avait déjà plusieurs sites web pour récolter des fonds afin d’« aider » les 180 victimes de manière frauduleuse en profitant de l’émotion provoquée par ce drame.
Pour renforcer son impact en Europe et au Moyen Orient, la firme a créé un « CDC » pour Cyber Defense Centercomposé, d’une cinquantaine d’ingénieurs spécialisés. Installé à Dubaï, il proposera une surveillance rapprochée dans le domaine de l’analyse contextuelle (Contextual Threat Intelligence), de l’Open Source, des attaques par déni de services (DDos Defense Assessments). Comme aux Etats-Unis, McAfee propose un suivi en ligne des tendances qu’il s’agisse de l’analyse de risques et des malwares (Digital Forensics Targeted et Malware Threat Analysis).
La sécurité du cloud n’est plus un réel handicap, selon les vendeurs
Du coté des entreprises et hébergeurs, la sécurité dans le cloud était devenue une des nouvelles obsessions des responsables sécurité, les flux issus de locations de « services » par les services métiers ne passant pas forcément par les ports très sécurisés. Si la sécurité paraissait être le principal handicap du cloud à ses débuts, on serait tenté de dire que la situation paraît se renverser pour devenir un de ses atouts, même si la méfiance persiste.
Pour beaucoup de fournisseurs la sécurité du cloud soulève en grande partie les mêmes problèmes que ceux des data centers classiques et ceux de la de virtualisation. Pour le californien Palo Alto Networks, les principes généraux de sécurité restent identiques. Cela, même si le renforcement des mesures doit passer par un partitionnement des différentes zones de virtualisation et nécessite l’utilisation de firewalls virtualisés. Pour le fabricant de pare-feux, le premier point à surveiller sera un renforcement des contrôles d’accès.
Les conseils d’un fabricant californien
Une des meilleures pratiques serait d’établir une segmentation des ressources du serveur selon des niveaux de confiance et de réserver des espaces et des canaux de communications spécifiques. Ce type de découpage s’effectuera grâce à des pare-feux évolués.
La firme californienne conseille, pour éviter les conflits d’intérêts, générateurs de risques, que les opérations liées à la gestion du réseau (routage et commutation) soient réalisées par une équipe de techniciens ou d’ingénieurs, différente de celle qui s’occupe du serveur et des applicatifs. De plus, idéalement, ces deux équipes devraient être encore différentes de celle de sécurité qui aura un rôle tout à fait stratégique. Interrogée lors de VMWorld début Octobre sur la complexité encore nouvelle des réseaux virtuels avec en particulier NSX de VMWare, Danelle Au, Directrice marketing solutions chez Palo Alto, précisait que si le niveau d’abstraction augmentait, l’intégration des nouveaux services virtualisés comme le « firewalling utilisé dans NSX » donnerait aux data centers une avance technique. Celle-ci compliquera pour un certain temps le travail d’analyse des pirates. « Cela dit si les informations sont très complexes à saisir sur les data centers virtualisés et donc le cloud, il reste toujours les points d’accès et la connectique à protéger et de ce coté les risques sont les mêmes, que les traitement soient virtualisées ou pas. C’est pourquoi nous insistons sur l’analyse des identités, celles des applications » (voir schéma). Pour la firme, les outils de sécurité comme un pare-feu ne devraient pas se limiter aux serveurs virtualisés mais défendre aussi les hyperviseurs à partir de l’extérieur de la salle serveur pour conserver un bon niveau de séparation et de protection.
« Les composants logiciels doivent être isolés à l’intérieur du serveur et l’accès à l’administration de l’hyperviseur doit être restreint. Car l’hyperviseur devient le « single point of failure », concluait Danielle Au . L’accès à cette clé de voûte de tout l’ensemble, qui nécessite les opérations de modifications, doit se limiter à des personnes dotées de privilèges avancés. Cela sous-entend, pour la plupart des vendeurs de logiciels de sécurité pour le cloud, de verrouiller toutes les options des outils d’administration de la plate forme virtualisée. Concrètement, les interfaces de commande en ligne (CLI), les interfaces de paramétrages accessibles par un navigateur seront rendues inaccessibles sans autorisations spéciales et clés pour des cadenas renforcés.
Pas de chèque, pas de pare-feu
Bien sûr, tous les vendeurs de pare-feux précisent que pour arriver à ce niveau de détails, les anciens systèmes de sécurité sont à revoir et qu’il faut racheter des firewalls de 2eme génération, la protection périmétrique dans le style « château fort » devant se prémunir des attaques aériennes ou souterraines, l’identification des utilisateurs restant toujours le premier point à surveiller.
Bref, cloud et virtualisation soulèvent les mêmes problèmes de sécurité, selon les fournisseurs, mais en segmentant et en isolant les différents processus et en les réservant à des utilisateurs bien identifiés, les risques n’augmenteraient pas radicalement. La complexité ajoutée, même si elle fragilise parfois l’édifice informatique, en augmentant les risques de mauvaises manipulations, réduit sérieusement le nombre d’attaques possibles. Mais il reste toujours aux voleurs les aires de stockage et les points d’entrée pour s’infiltrer.