Créer un datacenter efficace et flexible
VMware vSphere est la plate-forme de virtualisation numéro 1 du marché pour la création d’infrastructures de Cloud Computing. vSphere vous permet d’exécuter vos applications stratégiques en toute confiance en vue de respecter les contrats de niveau de service (SLA) les plus exigeants, au coût total de propriété (TCO) le plus bas possible.
VMware propose désormais vSphere avec Operations Management, qui allie la plate-forme de virtualisation leader du marché aux fonctionnalités de gestion récompensées de VMware. Cette nouvelle solution permet aux utilisateurs de vSphere d’obtenir une meilleure visibilité opérationnelle en vue d’améliorer la disponibilité et les performances tout en optimisant la capacité.
Plate-forme de virtualisation leader du marché pour la création d’infrastructures de Cloud Computing, VMware vSphere vous permet d’exécuter vos applications stratégiques en toute sécurité et de répondre plus rapidement aux besoins de votre entreprise. (4:15 min.)
Sécuriser l’infrastructure virtuelle
Toutes les plates-formes de virtualisation ne sont pas identiques. Lorsque vous décidez d’adopter des solutions d’infrastructure virtuelle pour réduire les coûts et améliorer les opérations informatiques, assurez-vous d’avoir compris les implications sur la sécurité de la technologie de virtualisation et de la plate-forme que vous choisissez. VMware propose la plate-forme de virtualisation la plus éprouvée et sûre qui soit.
Virtualisation hébergée contre virtualisation « bare-metal »
En règle générale, soit la virtualisation est hébergée, soit elle est « bare-metal », c’est-à-dire que la solution de virtualisation est directement installée sur le matériel. Les logiciels de virtualisation hébergée s’exécutent comme une application (ou « invité ») sur un système d’exploitation générique. La virtualisation bare-metal s’interface directement avec le matériel informatique, sans que la présence d’un OS hôte soit nécessaire. Découvrez ci-dessous les problèmes de sécurité courants et les implications de chacun de ces types de virtualisation.
|
Problème
|
Virtualisation hébergée
|
Virtualisation bare-metal
|
|---|---|---|
| Vulnérabilité du système d’exploitation sous-jacent | Les produits de virtualisation hébergée s’exécutent sur des systèmes d’exploitation génériques. Ils partagent souvent les vulnérabilités de ces systèmes et sont soumis aux mêmes attaques. | La virtualisation bare-metal de VMware repose sur le « VMkernel », un micro noyau dédié, doté d’une surface d’attaque beaucoup plus réduite qu’un système d’exploitation générique. |
| Partage des fichiers et des données entre l'invité et l’hôte | La plupart des produits de virtualisation hébergée proposent des méthodes de partage des informations utilisateur entre l'invité et l’hôte (dossiers partagés, presse-papiers, etc.). Même s’ils sont pratiques, ceux-ci sont exposés aux fuites d’informations et aux intrusions de programmes malveillants. | Étant donné que vSphere est spécialement conçu pour la virtualisation, il n’existe aucun mécanisme ou besoin de partager les informations utilisateur entre les machines virtuelles et leur hôte. |
| Allocation des ressources | Les produits de virtualisation hébergée s’exécutent en tant qu’applications dans l’espace de traitement du système d’exploitation hôte. Ils sont à la merci du système d’exploitation hôte et des autres applications. | La virtualisation VMware bare-metal alloue des ressources intelligemment tout en isolant les machines virtuelles des composants matériels sous-jacents. Aucune machine virtuelle unique ne peut utiliser toutes les ressources ou provoquer une panne du système. |
| Utilisation cible | La virtualisation hébergée est conçue pour les environnements dans lesquels les machines virtuelles invitées sont fiables. Cela comprend le développement, les tests, la démonstration et le dépannage de logiciels. | vSphere est destiné aux environnements de production dans lesquels les machines virtuelles invitées peuvent être exposées à des utilisateurs malveillants et au trafic réseau. Une isolation marquée et une séparation stricte de la gestion réduisent considérablement le risque de voir les activités dangereuses dépasser les limites de la machine virtuelle. |
Virtualisation fine : une sécurité performante dans un format compact
La virtualisation « fine » (Thin Virtualization) telle qu’elle existe dans des logiciels comme vSphere 5.1 renforce sensiblement la sécurité et facilite la gestion, marquant ainsi une nouvelle étape dans cette technologie.
- La disparition du système d’exploitation en console (COS) a notablement réduit l’espace occupé par les logiciels. Le déploiement est plus simple, la maintenance est réduite et le nombre de correctifs à appliquer a considérablement baissé.
- La taille réduite permet de supprimer les logiciels externes et de limiter considérablement la surface d’attaque et les points vulnérables.
- Un mécanisme intégré évite l’installation de logiciels non autorisés. Seuls les packages logiciels pourvus d’une signature numérique peuvent être installés sur un hôte vSphere.
- De puissantes API assurent une surveillance sans agent. Il n’est donc pas nécessaire d’installer de composants tiers directement sur l’hôte.
vSphere 5.1 : l’hyperviseur le plus sûr du marché
Niveaux d'acceptation des logiciels. Pour pouvoir être installés sur un hôte vSphere, les logiciels doivent respecter les critères définis par les utilisateurs et être pourvus d’une signature numérique fiable.
Pare-feu hôte. L’interface de gestion des hôtes vSphere est protégée par un pare-feu orienté services et sans état, que vous pouvez configurer via le client vSphere ou l'interface de ligne de commande ESXCLI. Un nouveau moteur de pare-feu évite l’utilisation d’iptables, et utilise des ensembles de règles pour définir les modalités d’accès aux ports pour chaque service. Pour les hôtes distants, vous pouvez spécifier les adresses ou plages d’adresses IP autorisées à accéder à chaque service.
Sécurité renforcée. La dépendance vis-à-vis du compte racine partagé lors de l’exécution à partir de VMware ESXi Shell a été éliminée. Dotés de droits d’administration qui leur donnent un accès complet et automatique au shell, les utilisateurs locaux n’ont plus à se connecter en tant que superutilisateur pour exécuter les commandes requérant des droits spécifiques.
Amélioration de la journalisation et de l'audit. Dans vSphere 5.1, toute l’activité de l’hôte (provenant du shell et de l’interface DCUI ou Direct Console User Interface) est consignée dans le compte de l’utilisateur connecté. Ceci facilite la surveillance et l’audit de l’activité de l’hôte.
Fonctionnalité syslog sécurisée. Tous les messages de fichiers journaux sont désormais générés par la fonctionnalité syslog et peuvent être consignés en local et/ou sur un ou plusieurs serveurs de journalisation distants. Ils peuvent être consignés à distance via une connexion SSL (Secure Socket Layer) ou TCP. Les messages de fichiers journaux provenant de différentes sources peuvent être configurés de manière à être placés dans des journaux distincts. La journalisation des messages peut également être configurée dans l’interface ESXCLI, en sus de vSphere Client.
Intégration à AD. Il est possible de configurer l’hôte de façon à l’associer à un domaine Active Directory. Tous les utilisateurs qui tentent d’accéder à l’hôte sont automatiquement authentifiés par rapport à l’annuaire utilisateur centralisé. Les utilisateurs locaux peuvent aussi être définis et gérés hôte par hôte, et configurés à l’aide de vSphere Client, de vCLI ou de PowerCLI. Cette seconde méthode peut remplacer ou compléter la technique d’intégration à Active Directory.
Offre groupée vShield Endpoint. Désormais inclus dans vSphere 5.1, vShield Endpoint transfère les fonctions de traitement antivirus et antimalware des VM clientes vers une appliance virtuelle sécurisée et dédiée, fournie par les partenaires de VMware.
| Ce nouveau pare-feu évite l’utilisation d’iptables, et utilise des ensembles de règles pour définir les modalités d’accès aux ports pour chaque service. |
