Livre Blanc N°001 - Prix : 5 - octobre 2008 · 2008-10-19 · Stonesoft de fournir leurs solutions spécifiques qui s’in-tègrent parfaitement dans nos environnements virtuali-sés

Livre Blanc N°001 - Prix : 5 € - octobre 2008

SOMMAIRE1 La sécurité des architectures virtuelles

est la nouvelle priorité des DSI Interview de Klaus Majewski, VP Marketing

2 Virtualisation et sécurité, un duo indispensable Interview de Lionel Cavalliere, VMware

3 De l’organisation à la technique 3 questions à Nicolas Monier, DCI

4 Les équipes système, réseaux et sécurité doivent travailler ensemble Par Laurent Boutet, Stonesoft

6 La sécurisation des architectures virtuellesen toute fléxibilité Interview de Léonard Dahan, Stonesoft

8 L’intégration des firewalls Stonesoft sousVMware est un avantage décisif ! Interview de Frédéric Le Guillou, CTO

10 La virtualisation en toute sécurité avecStonegate virtuels Interview de Frédéric Ramage, Thales

12 Sronesoft en un clin d’œil14 Le cœur de l’architecture Stonegate 16 Virtual IPS : la sécurité en profondeur

pour les environnements virtuels

ÉDITOVirtualisation : vers une remise encause des schémas de sécurité ?

Il est peu courant que des progrès tech-nologiques entraînent un changementradical du mode de fonctionnement fon-damental de l’informatique. Internet aeu un impact majeur, non seulement surla manière d’accéder aux informations,de les stocker et d’interagir avec elles,mais aussi sur la façon dont les architec-tures applicatives et les réseaux sécuri-sent ces informations. La virtualisationrévolutionne de manière similaire lesenvironnements informatiques actuels.

Étonnamment, les environnements vir-tuels existent depuis plus de 30 ans.Pionnier dans le développement de res-sources virtuelles avec le mainframe,IBM® offre à présent une large gammede serveurs et d’architectures virtuels. Lapuissance de calcul ayant cependantaugmenté exponentiellement ces der-nières années, la vraie valeur ajoutée dela virtualisation est désormais à la por-tée d’organisations de toutes tailles.Avec l’avènement de VMware®,Parallels®, Xen™ et d’autres technologiesde virtualisation, les entreprises d’au-jourd’hui peuvent tirer profit de cetteapproche de machine virtuelle.

Ainsi, la virtualisation a pris d’assaut l’in-dustrie informatique. Selon un récentsondage du magazine InformationWeek,70 % des personnes interrogées dispo-sent d’au moins un serveur virtuel tandisque moins de 12 % d’entre elles ont unestratégie de sécurité adaptée à leur envi-ronnement virtuel. Effectivement,comme lors de l’avènement de toutenouvelle technologie, la sécurité restetrop souvent le parent pauvre.

Pourtant, les risques existent et ne doi-vent pas être négligés. Ces menaces tien-nent souvent au fait que ces architectu-res sont sécurisées par des méthodes tra-ditionnelles reposant sur un équipe-ment inadapté à ce nouveau concept.Ainsi, les RSSI, DSI… doivent repenserleur architecture de sécurité en l’adap-tant à la virtualisation pour tirer le meil-leur de cette technologie.

Marc Jacob

Interview exclusive : Léonard Dahan STONESOFT P. 6

Livre Blanc N°001 - octobre 2008 Spécial VIRTUALISATION

REVUE TRIMESTRIELLELivre Blanc n°001 – Hors Série

www.globalsecuritymag.fr etwww.globalsecuritymag.com

ISSN : 1961 – 795XDépôt légal : à parution

Editée par SIMPRCS Nanterre 339 849 648

17 avenue Marcelin Berthelot92320 Châtillon

Tél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91

e-mail : [email protected]

RÉDACTIONDirecteur de la Publication :

Marc BramiRédacteur en chef :

Marc JacobAssistante :Sylvie Levy

Responsable technique :Raquel Ouakil

Photos Stonesoft

Comité scientifique :Pierre Bagot, Francis Bruckmann

Eric Doyen, François Guillot Mauro Israël, Olivier Iteanu,

Dominique Jouniot Patrick Langrand, Yves Maquet

Michel Van Den Berghe,Thierry Ramard, Hervé Schauer Wayne Sutton, Catherine Gabay

Zbigniew Kostur

PUBLICITESIM Publicité

Tél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91e-mail : [email protected]

PAOImadjinn sarl

Tél. : 02 51 53 01 46e-mail : [email protected]

IMPRESSIONImprimerie Hauguel

8-14 villa Léger92240 Malakoff

Tél. 01 41 17 44 00Fax 01 41 17 44 09

e-mail : [email protected]

ABONNEMENTPrix du numéro Hors Série :

5 € TTC (TVA 19,60%)Abonnement annuel au magazine :

50 € TTC (TVA 19,60%)

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 1

Global Security Mag : Quelle est votre vision dumarché de la virtualisation à l’échelle internationaleet, en particulier, en Europe ?

Klaus Majewski : C’est un marché à forte croissance, etce même si l’économie se mettait à ralentir parce que lavirtualisation induit des économies tangibles pour lesentreprises. Elle économise l’énergie, permet un gain d’es-pace et rend les entreprises plus indépendantes vis-à-visdes constructeurs de matériel. Elle offre également la pos-sibilité aux entreprises de basculer d’une plate-formematérielle à une autre à leur convenance, et ce sans affec-ter la production. En effet, la virtualisation est totalementtransparente, car elle masque le matériel sous-jacent. Ellefacilite aussi l’adaptation aux changements économiquesliés à l’activité. Il est possible d’ajouter ou de supprimerdes applications au gré des besoins. Avec la virtualisation,l’entreprise devient véritablement adaptative et agile.À mon avis, dans un an ou deux, les architectures virtua-lisées passeront d'une pure consolidation de serveurs à lavirtualisation de réseaux entiers. Nous nous apercevronsalors qu’il est essentiel de sécuriser l'environnement vir-tuel afin de pouvoir appliquer un type de protection simi-laire à celui qui régit déjà l'environnement physique,notamment la segmentation des serveurs, les zones deconfiance distinctes et l'inspection du trafic virtuel. À cela,la virtualisation va apporter ses propres spécificités, tellesque le déplacement des serveurs virtuels ou des imagesd'appliances virtuelles obsolètes, de façon tout à fait géra-ble. Ceux qui mettent actuellement en œuvre la virtuali-sation se focalisent essentiellement sur la consolidationdes serveurs. Il apparaît clairement que la sécurité nefigure pas en tête de leur liste de priorités.

Si Microsoft se montre prometteur en matièrede virtualisation, seuls les clients seront

à même de juger de sa valeur

GS Mag : Aujourd’hui, Stonesoft fournit des solutionsde sécurité pour la plate-forme VMware ESX.Qu’envisagez-vous pour les autres plates-formes(Citrix XEN, Microsoft HyperV, etc.) ? Pourquoi ?

Klaus Majewski : Nous fournissons actuellement lessolutions Virtual Firewall/VPN et Virtual IPS pour la plate-forme VMware ESX. En effet, cette dernière s’affiche indé-

niablement comme un produit leader du marché et pré-sente les outils de gestion des environnements virtuels lesplus aboutis actuellement disponibles. Nous nous intéres-sons également de très près à Microsoft HyperV, car cettesolution a le potentiel de rivaliser avec celle de VMware.Microsoft se montre prometteur en intégrant ses propresoutils de gestion à l'administration d'environnements vir-tuels. L’avenir nous dira la valeur que les clients leur attri-bueront. Du point de vue de Stonesoft, porter nos solu-tions virtuelles sur HyperV ne représente pas un effortinsurmontable. Nous agirons en ce sens si l'environne-ment virtuel de Microsoft prouve sa viabilité auprès denos clients.

Utiliser des appliances matérielles pour inspecter le trafic des environnements

virtuels est contre-productif

GS Mag : Qu’attendez-vous du partenariat VMwareVMsafe sur la technologie de sécurité ? Quels typesd’avantages pouvons-nous attendre de vos solutionscompatibles VMsafe ?

Klaus Majewski : VMsafe accroît la visibilité quant auxmachines virtuelles et à l’hyperviseur. En revanche, côtésécurité réseau, je n’attends rien de révolutionnaire.VMsafe permet aux appliances de sécurité réseau d'ins-pecter le trafic avant son arrivée au niveau des applica-tions virtuelles. Il donne également accès à des outils degestion centralisés VMware dédiés à l’environnementvirtuel. Les produits StoneGate sont d’ores et déjà enmesure d’inspecter l'intégralité du trafic avant qu’iln’atteigne les applications virtuelles et nous disposons,par ailleurs, d’une gestion centralisée de tous les com-posants de nos solutions de sécurité virtuelles. L’idée d’utiliser des appliances de sécurité matériellesen vue d’inspecter le trafic des environnements virtuelspar le biais de VMsafe a fait fortement débat. Cette solu-tion peut convenir à certains clients, mais je la consi-dère quelque peu contre-productive par rapport à la vir-tualisation. On ajoute encore aujourd’hui de nouvellesappliances matérielles, alors que l’essence même de lavirtualisation est de diminuer la quantité d'équipe-ments. Je pense que des produits, tels que les anti-virus,tirent davantage profit de la technologie VMsafe quedes produits de sécurité réseau. ■ ■ ■

Selon Klaus Majewski, VP Marketing de Stonesoft, les architectures virtuellespasseront d'une pure consolidation de serveurs à la virtualisation de réseaux

entiers. Dans ce contexte, la sécurité va devenir un axe prioritaire pour toutes lesDSI. Ainsi, l’offre StoneGate Virtuel se positionne comme une solution privilégiée

de sécurité pour les architectures sous VMware, mais pourrait aussi le devenir pour l’offre Microsoft HyperV si le marché le décide.

LA SÉCURITÉ DES ARCHITECTURES

VIRTUELLES EST LA NOUVELLE PRIORITÉ DES DSI

Interview de Klaus Majewski, VP Marketing de Stonesoft par Marc Jacob

Global Security Mag : Quelle est votre vision du marchéde la virtualisation dans le monde et en Europe ?

Lionel Cavalliere : Le marché de la virtualisation est enconstante croissance. Selon IDC, il devrait atteindre un chif-fre d’affaire de 3,6 milliards de $ en 2009 et dépassera 5 Milliards de $ en 2012. L’Europe représente actuelle-ment 29% de ce chiffre et cette part devrait croître signi-ficativement à l’avenir. Le marché est scindé en deux, lapartie virtualisation des serveurs et celle des postes detravail. Aujourd’hui, la croissance est principalementtirée par la virtualisation des serveurs pour les data-centersdu fait d’un ROI rapide compris entre 6 à 8 mois. Eneffet, le premier cas d’utilisation est la consolidation deserveurs, qui permet de réduire le nombre de plate-for-mes et la consommation énergétique. La partie poste detravail est en train de décoller et a un fort potentiel.

GS Mag : Quelles sont les évolutions en termes de produit que vous allez proposer dans les années à venir ?

Lionel Cavalliere : Nous nous positionnons comme unfournisseur d’OS pour les data-centers : notre Virtueldata-center OS (VDC-OS) s’appuie sur l’hyperviseur « ESXServer » déployé sur les plateformes x86 du data-center.Ce socle fédère les ressources matérielles et fournit des services applicatifs de manière native. Ainsi, nossolutions permettent, par exemple, de bénéficier decaractéristiques de haute disponibilité ou de tolérancede panne d’un simple click de souris...

GS Mag : Comment avez-vous sécurisé votre hyperviseur ?

Lionel Cavalliere : Nous avons réduit la surface d’ex-position en séparant la console d’administration del’hyperviseur lui-même avec « ESXi Server ». Ainsi, cethyperviseur « light » n’occupe plus que 32 MB sur dis-que tout en restant administrable. La console d’admi-nistration était, en effet, la source principale de vulné-rabilités pour laquelle nous devions régulièrement four-

nir des patchs de sécurité à nos clients. L’approche ESXiest unique sur le marché et est garante d’un très hautniveau de sécurité native.

GS Mag : Quelle est votre stratégie avec vos partenaireséditeurs de sécurité ?

Lionel Cavalliere : Nous avons mis en place le pro-gramme VMsafe. Grâce à la position privilégiée de l’hy-perviseur qui s’intercale entre le matériel et les machinesvirtuelles, VMsafe fournit une API spécifique qui donneaccès à toutes les instructions exécutées dans les machi-nes virtuelles, leur contexte, les échanges réseaux… Celaoffre la possibilité aux éditeurs de sécurité commeStonesoft de fournir leurs solutions spécifiques qui s’in-tègrent parfaitement dans nos environnements virtuali-sés. Une machine virtuelle dédiée traite alors la problé-matique de sécurité sans avoir à déployer des agents indi-viduellement sur l’ensemble des machines virtuelles del’environnement, comme c’est le cas actuellement.

GS Mag : Quels sont les bénéfices attendus du programme technologique VMsafe?

Lionel Cavalliere : L’intérêt pour nos clients finaux estde n’avoir à mettre à jour qu’une seule appliance vir-tuelle pour une problématique de sécurité donnée(antivirus, firewall..) qui protégera l’ensemble de leurparc. Notre approche fait abstraction du matériel, cequi facilite grandement les déploiements.

GS Mag : Quel est votre message aux RSSI ?

Lionel Cavalliere : La virtualisation offre la meilleure pla-teforme de déploiement pour les applications x86 : faci-lité et rapidité de mise en œuvre… Notre programmeVMsafe et ses partenaires fournissent le volet gestion de lasécurité indispensable aux environnements d’entreprise.Cette approche renforce notre positionnement et est unatout supplémentaire pour nos clients. ■ ■ ■

La virtualisation est une technologie de plus en plus incontournable. En effet, elle permetdes baisses de coûts importantes par la réduction du nombre de machines physiques,mais aussi par toutes les autres économiesinduites : énergie, temps de mise en œuvre,... En termes de sécurité, la suppression de la console d’administration avec hyperviseur ESXi (gratuit) et le programme VMsafe sont des atouts décisifs. Aujourd’hui, VMware se positionne comme un fournisseur d’OS qui se veut toujours plus sécurisé, comme le souligne Lionel Cavalliere, responsable Marketing Produit EMEA de VMware.

VIRTUALISATION ETSÉCURITÉ, UN DUOINDISPENSABLEInterview de Lionel Cavalliere, VMware, par Marc Jacob

2 ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com


Global Security Mag : Quelles sont les menacesliées aux environnements virtuels ?

Nicolas Monier : Tout d’abord, il convient d’écarterun certain nombre d’idées reçues en matière de sécu-rité des environnements virtuels. ❶ Un système ne devient pas plus vulnérable parcequ’il est virtualisé. Il se contente de conserver ses fail-les habituelles. Il est éventuellement plus sensible auxdénis de services si les ressources allouées sont rédui-tes au minimum requis. ❷ Même s’il n’existe pas de limites à l’ingéniosité deshackers, et si l’on suppose que l’un d’entre eux ait prisle contrôle d’une de vos machines virtuelles, il est peuprobable que celui-ci réussisse, par rebond, à attein-dre le système de virtualisation lui-même. Afin deminimiser une telle menace, il suffit à l’administra-teur de n’autoriser aucun accès d’un hôte virtuel àune ressource physique.

Le risque réside ailleurs. Le fait est que l’on disposerarement d’autant d’interfaces physiques qu’il existed’hôtes virtuels sur une plateforme matérielle. Celaimplique donc que l’on crée des hubs ou des switchsvirtuels sur lequel on connecte plusieurs hôtes vir-tuels. On associe ensuite à chacun de ces switchs uneinterface physique permettant aux hôtes de commu-niquer avec le monde extérieur.

On crée ainsi des réseaux virtuels échappant totale-ment aux règles de segmentation en vigueur dansl’entreprise :- D’une part, les hôtes réunis sur un même switch vir-tuel devraient parfois être distribués sur les segmentsdifférents (parce qu’ils correspondent à des niveauxde sécurité distincts).- D’autre part, selon la façon dont ces switchs sontparamétrés, il est parfois possible de passer d’un segment virtuel à un autre.

GS Mag : Quelles stratégies de sécurité conseillez-vous à vos clients ?

Nicolas Monier : La première recommandation que jeferais est d’ordre purement organisationnel. Il devientclair que l’infrastructure réseau physique va céder duterrain face à des commutateurs virtuels (Le construc-teur Cisco vient d’annoncer la sortie de son switch vir-tuel Nexus1000V). Dès lors, il convient de décider rapi-dement de quelle responsabilité relèvent ces infrastruc-tures virtuelles. On peut affecter leur gestion au service« réseau », auquel cas celui-ci devra adapter sa politi-que de sécurité à ce nouvel environnement. On peutégalement décider que la virtualisation reste de la seulecompétence du service « systèmes» et, dans ce cas, ilfaut sensibiliser les ingénieurs « systèmes » aux problé-matiques de sécurité réseau.

Le deuxième conseil est de regrouper les hôtes

virtuels par niveau d’exposition aux attaques et de définir un switch virtuel par niveau. Il ne faut pas nonplus oublier d’affecter un VLAN (minimum) à chaqueswitch de telle manière à pouvoir préserver l’étanchéitéinter switchs virtuels lorsque le trafic réseau ressort surl’infrastructure physique (auquel cas, le trafic est taguéet ne peut donc pas ré-entrer directement sur le système virtuel).

Partant de ces prérequis, deux options existent :- Soit le trafic entre segments virtuels est routé et fil-tré via un firewall physique. Cela implique, dans laplupart des cas, de sérieuses limitations en matière debande passante.- Soit le trafic entre segments virtuels est routé et fil-tré via un firewall virtuel, auquel cas le flux réseau nesort pas systématiquement de l’infrastructure virtuelleet l’on peut donc bénéficier de performances réseauimportantes. De tels firewalls existent. Notons le casde l’éditeur Stonesoft qui a récemment produit unfirewall et un IPS virtuels certifiés par VMware.

GS Mag : Quels sont les projets que vous rencon-trez actuellement dans ce domaine ?

Nicolas Monier : Aujourd’hui, l’essentiel des deman-des sont orientées PRA. L’objectif est de s’appuyer surla virtulisation et les facilités qu’elle offre en matièrede duplication de systèmes afin d’améliorer les procé-dures de reprise d’activité après sinistre.La plupart du temps, ces projets de virtualisation sontcouplés à un projet d’acquisition de baies destockage. En effet, la ou les plateformes matérielles PCvont supporter de 4 à 20 hôtes virtuels et ne pourrontembarquer la capacité de stockage nécessaire.

Les serveurs virtualisés comprennent, la plupart dutemps, à la fois des applications de gestion internes etdes passerelles d’accès web. En effet, ces dernièressont souvent incluses dans les plans de reprise d’acti-vité. On constate d’ailleurs que, souvent, l’ingénieursystème tient compte de la problématique de sécuritéet tente d’isoler les systèmes communiquant avecInternet dans un sous-réseau IP différent (cettemesure de protection n’est pas efficace mais elle indique que les administrateurs « Systèmes » sontsensibilisés aux problèmes de sécurité).

D’un point de vue économique, le phénomène le plusmarquant est le glissement du marché de la grandeentreprise vers la grande PME. Nous recevons à présent des demandes de structures, possédant de1.000 à 3.000 postes, souhaitant virtualiser de 10 à 50 serveurs critiques et disposant de budgets de 30.000 à 200.000€. ■ ■ ■

DE L’ORGANISATIONÀ LA TECHNIQUE3 QUESTIONS À NICOLAS MONIERResponsable Avant-Vente chez DCI,interview par Marc Jacob

4

Le problème majeur que nous rencontrons générale-ment est une méconnaissance, au sein des entreprises,des risques liés à la flexibilité d’usage et de productiondes environnements virtuels. En effet, ils sont souventconsidérés comme une fonction système alors que leséquipes réseaux et sécurité devraient être totalementimpliquées dès leurs conceptions. Les architectures vir-tuelles sont en réalité basées sur des réseaux virtuels quinécessitent les mêmes stratégies de sécurité.Malheureusement, un environnement virtuel est sou-vent traité comme une boîte noire. Ainsi, la sécurité etle réseau s’arrêtent à la périphérie de ces architectures.C’est alors que nous avons pu constater des erreursimportantes de segmentation dans certains cas. Ainsi, laplupart des problèmes sont issus d’une mauvaise confi-guration ou usage, et non de la technologie.

La sécurisation des architectures virtuelles repose sur la collaboration entre leséquipes réseau, sécurité et système

La première étape doit être d’ordre organisationnel, ilest important qu’il y ait une collaboration forte entre leséquipes réseau, système et sécurité. Les architecturesvirtuelles doivent être considérées comme des environ-nements classiques avec les mêmes stratégies de sécuri-sation, de surveillance, d’audit, de contrôle et de cloi-sonnement. Toutefois, elles ne doivent pas s’arrêterdevant un serveur ou des lames, mais aller en profon-deur, jusqu’au sein de l’architecture virtuelle.

Environnements Systèmes : les machines virtuelles doivent être sécurisées

comme des machines réelles

Chaque machine virtuelle doit être traitée exactementcomme une machine réelle. Il faut donc avoir lesmêmes réflexes que pour un serveur d’entreprise classi-que, du durcissement de l’OS jusqu'à l’anti-virus en pas-sant par les stratégies d’accès.Le piège réside dans la facilité de mise en place de clonede machines ou de duplication d’application. Il faut évi-ter à tout prix de cloner une machine qui a été durcieou patchée il y a 3 ans et s’en satisfaire. De plus, la mul-tiplication des environnements R&D, pré-production,production et parfois leur proximité peut s’avérer unecatastrophe. Il n’est pas rare que des machines restentactives sans aucune gestion, car oubliées après quel-ques jours de tests. La rapidité et la facilité de mise enplace d’un environnement impliquent, en contrepartie,une procédure stricte pour s’assurer de la bonne miseen place de la sécurité de cette future plateforme.Il faut également durcir l’hyperviseur sur lequel toutrepose. Nativement, il s’agit de systèmes très optimiséset durcis, mais il existe un grand nombre d’éléments àcontrôler et des règles assez classiques à mettre en pla-ces, telles que la séparation des flux de maintenancedes flux de production, la protection d’accès à distance,l’authentification, la politique de gestion de mots depasse, la limitation d’accès au fichier, etc. De plus, ilfaut penser à désactiver certaines fonctionnalités

Les environnements virtuels sont très en vogueau sein des entreprises de toutes tailles. Il estvrai que les avantages de cette technologie sontnombreux en termes de productivité, de coûtset d’exploitation. Toutefois, toutes nouveautéstechnologiques, surtout quand elles rencontrent un fort engouement, déplacent ou créent des problèmes de sécurité à ne pas négliger. Laurent Boutet, Pre-Salesengineer de Stonesoft France, considère que la principale menace qui pèse sur lavirtualisation est la méconnaissance des risques par les utilisateurs. Pour lui, l’undes points clés de ces déploiements repose sur la collaboration entre les différenteséquipes impliquées : système, réseau et sécurité.

LES ÉQUIPESSYSTÈME, RÉSEAU ETSÉCURITÉ DOIVENT TRAVAILLER ENSEMBLEPar Laurent Boutet, Stonesoft


propres à ces environnements pour des serveurs de productions : désactiver la fonction de copier/collerentre le système hôte et la console est une parfaite illus-tration. Enfin, il reste nécessaire, pour un parfaitcontrôle, de protèger l'architecture à l'aide d'équipe-ments Firewall et IPS réels et notament les flux liés àl’exploitation de ces environnements.

La sécurisation réseaux : 3 stratégies de segmentation pour

les environnements virtuels

Il existe 3 stratégies possibles pour une mise en place de seg-mentation entre les différentes zones de serveurs virtuels.La première consiste à consolider un ensemble de ser-veurs appartenant à une zone donnée au sein d’un seulenvironnement virtuel dédié à cette zone. En fait,

chaque zone conserve une machine qui lui est propreassurant une parfaite segmentation par les équipe-ments réels Firewall et IPS existants. Souvent, il s’agit de la première approche dans la conso-lidation de serveurs. Toutefois, elle n’offre pas l’optimi-sation attendue par la mise en place de la virtualisationpuisqu’il y aura autant de machines physiques qu’il yaura de zones différentes à protéger.

D’un point de vuesécurité, a priori,on constate peu dechangement parrapport à avant ; toutefois, on ne peut plus auditer,avec un IPS par exemple, les communications au sein deces systèmes de façon aisée. Donc, on aura une perte envisibilité. De plus, certains administrateurs prennent laliberté de créer des sous zones qui ne seront pas correc-tement segmentées, car leur mise en place est plusfacile et plus rapide d’un point de vue production.

La deuxième stra-tégie consiste à ras-sembler toutes leszones dans unmême environne-ment virtuel. Dansce cas, on optimisebien les ressourcescontrairement aucas précédent,mais il faut alorsbien segmenter, ausein du systèmevirtuel, différenteszones et les ratta-cher au réseau réelpar des liaisonsdédiées. On fera unusage intensif desVLANs ; toutefois,l’inconvénient estla perte de visibi-lité sur les commu-nications internesdes systèmes vir-tuels et surtout toute erreur permet rapidement decontourner les segmentations mises en place. De plus,les limitations du nombre d’interfaces peuvent rendrerapidement difficile ce type d’architecture.

La troisième stratégie consiste à faire rentrer la segmen-tation et la sécurité réseau dans l’environnement vir-tuel. On s’appuie alors sur des Firewalls et des IPS vir-tuels qui auront les mêmes fonctions que leurs homolo-gues réels. Ici encore, on optimise pleinement les res-sources, mais il faut bien segmenter les zones et bienconstruire son architecture réseau virtuelle. Le faitd’être au sein même du système permet de simplifiercette démarche et même de déployer des stratégies dedoubles bastions, par exemple, ou de surveillance decommunication inter-serveur par les IPS. Toutefois,cette stratégie nécessite toujours la mise en placed’équipements de sécurité réels pour protéger les équi-pements physiques.

Une console centralisée des éléments de sécurité, per-mettant une visibilité totale de l’environnement réel etvirtuel, devient la clé du succès pour une bonne configu-ration, surveillance et un bon suivi d’audit de ces envi-ronnements. En effet, les architectures clientes s’appuie-ront sur un mélange des ces trois stratégies, ce qui peutimpliquer un nombre de nœuds relativement importantà gérer avec beaucoup de cohérence. ■ ■ ■


SPECIAL VIRTUALISATION

5

Stratégie 1

Stratégie 2

Stratégie 3

6

Global Security Mag : Quels sont vos fonctions etrôles au sein de Stonesoft ?

Léonard Dahan : Je suis responsable de la filialeFrance et Benelux de Stonesoft. Au-delà des aspectsBusiness et organisationnels liés à ma fonction, je restetrès attaché à la qualité des relations humaines tant versmes collaborateurs que vers nos clients et partenaires.En effet, ces aspects sont complexes et demandent dutemps pour établir un climat de confiance et pérenniserla relation ou le partenariat. J’ai la chance d’être dansune société finlandaise où les valeurs humaines sontconsidérées. Mon rôle est donc de définir une stratégiecommerciale en ligne avec les objectifs de ma maisonmère tout en respectant notre culture d’entreprise. Ainsi,Stonesoft souhaite s’inscrire dans la durée et préserverles intérêts de ses clients et partenaires.

Nous avons plus de cinq ans d’expériencedans la sécurisation des architectures virtuelles

GS Mag : Pouvez-vous nous présenter vos solutions desécurisation des architectures virtuelles ? Ces produitsactuels peuvent-ils prendre en charge d’un environne-ment virtuel ? Si oui, comment faut-il procéder etquels composants supplémentaires faut-il acheterpour bénéficier du niveau de sécurité que nous offrentactuellement nos produits matériels ?

Léonard Dahan : Les solutions StoneGate sont conçuespour être des systèmes logiciels sécurisés de bout en

bout de la chaîne de communication, ce qui signifie quela capacité à fonctionner dans un environnement virtuel est déjà intégrée. Elles n’induisent aucun coûtsupplémentaire dans le cadre de la mise en place d’unenvironnement virtuel. Avec plus de cinq ans d’expé-rience dans la virtualisation, StoneGate offre unegamme d'appliances virtuelles certifiées VMware pourpare-feu/VPN, IPS et SSL VPN.

La solution StoneGate Firewall/VPN fonctionne selon unprincipe simple : tout ce qui n’est pas expressémentpermis est refusé. La solution StoneGate IPS autorise letrafic normal et stoppe le trafic nuisible en cours deroute. StoneGate fournit des systèmes virtuels avec pare-feu d'inspection dynamique, VPN, IPS et SSL VPN quiallient la puissance des signatures à l'analyse des ano-malies. StoneGate Firewall/VPN intègre, en outre, unefonction d’inspection multicouches grâce à laquelle lepare-feu peut soit fonctionner comme filtre de paquetsde base ou comme pare-feu d'inspection dynamique,soit effectuer une inspection approfondie des paquetsau niveau de la couche application – chaque optionétant sélectionnée au cas par cas par l’administrateur.

Exploitant les fonctionnalités VMware, les appliancesvirtuelles StoneGate sont extrêmement simples à mettreen œuvre.Étant donné que les solutions StoneGate Firewall/VPN,IPS et SSL VPN intègrent leur propre système d’exploita-tion sécurisé, il n’est pas nécessaire d’en installer un aupréalable dans la machine virtuelle. Cette intégration

Léonard Dahan est le responsable de lafiliale France et Benelux de Stonesoft depuistrois ans. Sa stratégie de développement s’inscrit dans la durée en privilégiant lesrelations de proximité, tant avec ses collaborateurs et partenaires qu’avec sesclients. Aujourd’hui, Stonesoft est l’un des seuls éditeurs à proposer des solutionsde sécurité pour les architectures virtualisées qui se positionnent au cœur de cesenvironnements. Ces appliances sont commercialisées sous forme de licencesafin d’assurer plus de flexibilité à sa clientèle.

LA SÉCURISATIONDES ARCHITECTURESVIRTUELLES ENTOUTE FLEXIBILITÉInterview de Léonard Dahan par Marc Jacob


du système d’exploitation ne simplifie pas seulement leprocessus d’installation, elle réduit également les tempsde gestion. En effet, elle évite toutes les tâches associéesà l’installation du système d’exploitation, comme lasuppression des progiciels, applications, services, utili-sateurs, groupes et fichiers parasites, la vérification desautorisations du système de fichiers et des télécharge-ments ou l’installation des correctifs et des services packs.

Les appliances virtuelles de la solution StoneGate deStonesoft permettent de protéger les réseaux virtuels àl’aide d’un pare-feu virtuel/VPN et d'ajouter une protec-tion supplémentaire pour les serveurs de bases de don-nées via un système de prévention d’intrusions virtuelintégré. La solution StoneGate Management Center, quiréalise une gestion robuste et centralisée de tous lescomposants StoneGate, peut également être virtualisée.Elle permet ainsi à une organisation de tirer pleinementprofit des avantages de la virtualisation tout en ayantl’assurance que le nouvel environnement est à l’abri desattaques internes et externes. Qu'ils soient physiques ouvirtuels, les dispositifs de sécurité sont gérés à partir dela même console.

GS Mag : Votre produit est-il en mesure de surveilleravec précision les activités des environnements virtuels et physiques à partir d’une seule console degestion ?

Léonard Dahan : La flexibilité de l’architectureStoneGate, qui lui permet de s'intégrer aussi bien dansles environnements virtuels que physiques, profite éga-lement aux organisations qui souhaitent gérer l’ensem-ble de leur réseau de manière centralisée à partir d'uneseule plate-forme. Ainsi, la solution StoneGateManagement Center (SMC) peut gérer des instances dedispositifs StoneGate virtuels et physiques, des clustersde dispositifs StoneGate virtuels et physiques, et des ver-sions logicielles s’exécutant sur du matériel x86 stan-dard. Elle permet également, pour chacun de ces élé-ments, une gestion unifiée des politiques. Les adminis-trateurs ont la possibilité de surveiller, de contrôler etde changer les versions logicielles pour les clusters dupérimètre sur des serveurs x86, les appliances StoneGatesur des sites distants et les machines virtuelles VMware,le tout à partir d’une interface utilisateur et d’un centrede gestion unique.

StoneGate renforce la sécurité des systèmes virtuels en fournissant des journaux du trafic,

les fonctions de filtrage et d’audit

GS Mag : Comment votre produit m’aide-t-il à atténuer les menaces en temps voulu sur l’ensemblede mon environnement virtuel ?

Léonard Dahan : Grâce à ses fonctionnalités intégréesde journalisation et d’audit, StoneGate peut encore ren-forcer la sécurité du système virtuel en fournissant desjournaux du trafic à l’entrée et à la sortie du système, etentre les machines virtuelles et les réseaux. Les fonctionsde filtrage permettent à l’administrateur d’isoler rapide-ment les entrées qu’il recherche en fonction d’un certainnombre de critères, comme l’adresse IP source ou de des-tination, les informations d’authentification de l’utilisa-teur, l’heure, ou autre. Les fonctions d’audit surveillentl’accès et les modifications apportées aux politiques desécurité et aux éléments réseau, notamment les proprié-tés et les informations de routage des dispositifs

firewall/VPN et IPS.Associées à diffé-rents rôles et autori-sations d’adminis-trateur, ces fonc-tions permettent àune organisation d’exercer un contrôle très strict sur la sécurité de ses systèmes, qu’ils soient virtuels ouphysiques.

Nous quittons le monde du hardware pour entrer dans celui du service

GS Mag : Pouvez-vous nous décrire votre stratégiecommerciale ?

Léonard Dahan : Stonesoft renoue avec le succès etconfirme sa position de pionnier sur le marché de laSécurité et de la Haute disponibilité. En effet, nous affi-chons actuellement notre 5ème semestre de croissance àdeux chiffres, avec un pic de 100% sur ce 3ème trimestrepour la zone Europe par rapport à celui de l’année précé-dente. La qualité de notre département Recherche etDéveloppement nous permet d’être précurseur et d’an-noncer des certifications innovantes et avant-gardistes. Eneffet, en phase avec l’actualité, nous annonçons notre cer-tification Virtual Appliance VMware sur les technologiesFW et IPS, nous sommes donc le premier éditeur /constructeur à apporter une offre complète de sécurité(FW et IPS) certifiée pour les environnements VMware ESX. Notre développement commercial doit prendre encompte ce nouveau marché et nous devons adapter notreorganisation. Ainsi, avec ses solutions, nous quittons lemonde du hardware pour entrer dans celui du service. Avec une licence StoneGate Virtual FW à 699 € et unelicence StoneGate Virtual IPS à 995 € sous forme de rede-vance annuelle, nous allons faire quelques adaptationsdans notre organisation de Distribution en France etBenelux.Compte tenu également de la richesse et de la diversitédes revendeurs VMware en France & Benelux ainsi que dumodèle économique qui est le nôtre, un modèle 2-tiersera à privilégier dans les prochains mois…En pratique, pour faire face à un marché de volume, nousavons mis en place des outils marketing innovants sousforme de Vidéo, afin de promouvoir notre savoir-faireauprès des revendeurs spécialistes de la Virtualisationmais aussi des Utilisateurs.

Nous souhaitons établir des relations de confiance avec nos clients

GS Mag : Quel est votre message aux RSSI ?

Léonard Dahan : La virtualisation étant en cours dedémocratisation, les professionnels de la sécurité et lesresponsables informatiques doivent également veiller à ceque ces nouveaux environnements soient tout aussi sécu-risés que les anciens systèmes physiques. De ce fait, ilsdoivent considérer sous un nouvel angle les stratégies desécurité réseau, les systèmes et les outils de gestion/sur-veillance. Stonesoft est l’une des seules sociétés à fournirune suite de solutions logicielles de sécurité réseau et decontinuité de service. Notre rôle étant de s’inscrire dans ladurée et de préserver les intérêts de nos clients et parte-naires, l’équipe de Stonesoft France & Benelux est tou-jours disponible pour participer à la réflexion des archi-tectures de demain afin d’apporter notre savoir-faire dansla sécurisation des infrastructures virtuelles. ■ ■ ■



7

8

Global Security Mag : Pouvez-vous nous présenterCegedim, ainsi que vos fonctions au sein de votreentreprise ?

Frédéric Le Guillou : Leader mondial du CRM santé,Cegedim conçoit des bases de données exclusives etdes solutions logicielles à forte valeur ajoutée. Cescompétences s'exercent dans 4 secteurs : - CRM et données stratégiques qui regroupent les services dédiés aux laboratoires pharmaceutiques- Professionnels dédiés aux médecins et aux pharmaciens- Assurance et flux de santé dédié aux acteurs de l’as-surance Santé - Technologies et Services qui s’adressent aux entrepri-ses de tout secteur Pour l’ensemble de ces 4 secteurs, Cegedim proposedepuis de nombreuses années des solutions héber-gées, en modèle ASP et, dans certains cas, en modeSAAS. La société a ainsi développé un savoir-faire dansces domaines, supporté par un socle d’hébergementde haut niveau à couverture mondiale. Au sein de Cegedim, j’exerce la fonction de CTO ChiefTechnology Officer Cegedim Group, avec pour princi-pales responsabilités l’évolution et la définition de lastratégie du socle d’hébergement, en alignement avecles besoins de nos Business Units.

GS Mag : Quels sont les environnements infor-matiques dont vous avez la responsabilité ?

Frédéric Le Guillou : L’informatique du groupeCegedim sert tant les besoins de l’informatiqueinterne que les solutions développées pour nosclients, au travers de deux catalogues de services ITreposant sur un socle commun.

Les équipes de Cegedim gèrent tous les domainestechniques et logistiques de l’offre de services IT, quece soit les infrastructures physiques des centres infor-matiques, les plates-formes serveurs, en passant parson réseau de télécommunications privé mondial.

Cegedim propose depuis de nombreusesannées des solutions hébergées, en modèle ASP et, dans certains cas, en mode SAAS. La société a depuis longtemps misé sur la virtualisation ainsi elle a déployé des architectures virtuelles exclusivement au sein des data-centers. Pour Frédéric Le Guillou,CTO Chief Technology Officer, Cegedim Group, l’intégration des firewallsStonesoft sous VMware est un avantage décisif, qui devrait lui permettre de gérer l’intégration de son informatique mondiale avec plus de flexibilité.

L’INTÉGRATION DES FIREWALLSSTONESOFT SOUS VMwareEST UN AVANTAGE DÉCISIF !Interview de Frédéric Le Guillou, CTO Chief Technology Officerpar Marc Jacob


Cegedim a depuis toujours misé sur la virtualisation

GS Mag : Pour quels types d’applications et declients avez-vous mis en place des architecturesvirtualisées ?

Frédéric Le Guillou : Cegedim a depuis toujoursmisé sur la virtualisation. Elle a débuté avec 3 main-frames de type zSeries, et a étendu ce concept sur lemonde Open et sur AIX. Cegedim s’est naturellementtourné vers VMware en 2004 en adoptant le produitESX. Aujourd’hui plusieurs centaines de machines vir-tuelles sont déployées, dont la moitié est utilisée pourle compte de nos clients, dans le cadre de l’héberge-ment de solutions propriétaires ou « legacy ».L’informatique interne a été précurseur dans l’adop-tion de la virtualisation pour tous types d’environne-ments, du développement à la production. Cegedimdispose d’un vrai savoir-faire sur la virtualisation, etsur l’organisation opérationnelle indispensable poursa maintenance.

GS Mag : Quelle est votre stratégie actuelle desécurisation de vos architectures virtualisées ?

Frédéric Le Guillou : Notre stratégie de virtualisa-tion comporte trois phases :- mise en place de plates-formes de serveurs virtuelsen data-center, déjà réalisée - virtualisation de l’infrastructure réseau et des fire-walls, en cours de finalisation- virtualisation complète, offre de data-center virtuel,prévue en 2009

Les architectures virtuelles ou physiques bénéficientdu même dispositif de sécurité périmétrique : filtrageet routage des flux par clusters d’appliancesStoneGate. Les politiques de sécurité du réseau physi-que et des réseaux virtuels sont homogènes et leurgestion est centralisée.

La virtualisation couplée aux appliancesStonesoft nous permet de consolider

nos serveurs en toute sécurité

GS Mag : Vous êtes en cours de consolidation devos serveurs, quels sont vos nouveaux besoins entermes de sécurité ?

Frédéric Le Guillou : Nous fusionnons actuellement,d’une part, les infrastructures d’hébergement denotre ancien concurrent, et, d’autre part, l’infrastruc-ture informatique interne, notamment les réseaux desdeux entreprises.La stratégie de fusion doit répondre à des exigencesextrêmes en termes de continuité de service, en pré-servant le niveau de sécurité défini dans la politiqueSécurité du Groupe Cegedim, et dans le respect desorientations de rationalisation du schéma directeurinformatique.La virtualisation des environnements sert ces objectifset nous permet de nous affranchir de contraintesquasi insurmontables dans ce contexte.En permettant le déploiement d’une solutionStonegate sur un socle virtuel, il est pour nous facile

de pouvoir fournirà nos filiales unserveur virtuel em-barquant tout le nécessaire pour accéder aux ressour-ces groupes tout en respectant la politique sécuritairedu groupe. Le firewall s’intègre dans le parc actuel etest managé de manière centralisée.

Nous ne devrions pas avoir de réelles difficultés pour déployer VMware

associé à StoneGate

GS Mag : Quelles sont les conséquences en termesd’organisation que vous vous attendez à rencontrerlors du déploiement de ses systèmes ?

Frédéric Le Guillou : Nous ne nous attendons pas àde réelles difficultés sur ce déploiement, qui s’inscritdans la continuité de notre stratégie de mise enœuvre des technologies de virtualisation engagée il ya plus de 4 ans.VMware est aujourd’hui parfaitement maîtrisé, nousutilisons le firewall StoneGate depuis plus de 6 ans,dans des conditions très sévères de continuité de ser-vice et de complexité des règles de filtrage. Nous venons de réaliser avec succès une migrationmondiale de la solution logicielle Stonegate vers lesappliances FW-5000. Disposer de la même solution endata-center et dans les sites distants de nos filiales,administrée par la même console d’administration estdéjà une réalité chez Cegedim, qui apporte un réelgain de productivité et s’intègre parfaitement dansnotre support « follow-the-sun ».

Notre architecture virtuelle sécurisée va nous permettre de gérer l’intégration

informatique mondiale de notre entreprise

GS Mag : Qu’attendez-vous de ce déploiement ?

Frédéric Le Guillou : L’intégration des firewallsStonesoft sous VMware est un avantage décisif, carcela nous permettra de pouvoir gérer l’intégrationinformatique mondiale de Cegedim avec plus deflexibilité. Cegedim croît, entre autres, par croissance externe, eta racheté son principal concurrent l’année dernière.L’intégration des deux informatiques mondiales estun processus long et complexe, du fait notammentde l’unification des pratiques sécuritaires. En dispo-sant d’une solution virtuelle embarquant la solutionFirewall groupe, nous pouvons appliquer une politi-que de sécurité uniforme, à moindre coût. Le proces-sus d’intégration s’en voit fluidifié.

D’un point de vue business, la solution est particuliè-rement intéressante puisqu’elle permet de faire évo-luer nos offres d’hébergements et d’offrir une solu-tion complète (réseau virtuel et ressources serveurs)dédiée à un client. Ce concept s’apparente à celle dedata-center virtuel pouvant être administré par nos clients. ■ ■ ■



9

10

Global Security Mag : Pouvez-vous nous présenterThales et vos fonctions au sein de votre entreprise ?

Frédéric Ramage : Thales est un leader mondial dessystèmes critiques. Je suis rattaché à l’activité « systè-mes d’information critiques » de Thales, qui fournitdes services de conseil, d’intégration et d’infogéranceà ses clients de l’industrie, de la finance, du transportet des administrations.Je suis en charge pour ma part de l’intégration desnouveaux projets et nouvelles technologies du Centrede Service Thales d’Elancourt.

GS Mag : Quel était le contexte qui vous a amenéà passer sur une architecture virtualisée ?

Frédéric Ramage : Comme beaucoup d’entreprisede services, la maîtrise des coûts est un challenge per-manent. Thales s’est lancé en 2006 dans la virtualisa-tion de ses environnements de production. Celle-ciapporte une réponse pertinente sur un déploiementet un maintien en condition opérationnelle très com-pétitif de nos services.

En effet, la virtualisation d’une partie du SI nousapporte une forte flexibilité, nous permettant d’ajus-ter les capacités de chaque environnement en fonc-tion des besoins pour des coûts plus faibles : nouspouvons ajouter de nouveaux serveurs ou de nou-veaux Firewalls très facilement. Par ailleurs, les coûtsd’infrastructure (énergie, froid, …) de mise en placesont optimisés.

GS Mag : Pourquoi avoir choisi la virtualisation ?

Frédéric Ramage : La virtualisation est à ce jour trèsrépandue au sein de Thales. Notre architecture nécessitait un investissement léger

Frédéric Ramage est en charge de l’intégration des nouveaux projets et nouvelles technologies du Centre de Service Thales d’Elancourt. Depuis 2006, son entreprise s’est lancée dans la virtualisation de ses environnements de production afin, entre autres, de réduire ses coûts de déploiement. Pour sécuriser son environnement virtuel, Frédéric Ramage a choisi la solution StoneGate Virtuels qui répond à ses besoins en termes d’analyse des flux non chiffrés, de coûts de licences et de load balancing.

LA VIRTUALISATION EN TOUTE SÉCURITÉ AVEC STONEGATE VIRTUELSInterview de Frédéric Ramage, Ingénieur Sécurité, Thalespar Marc Jacob


avec des possibilités d’évolution forte, mais aussi nousdevions pouvoir mutualiser notre environnementpour accueillir d’autres clients au sein de cette plate-forme physique. L’environnement cible était un excel-lent candidat à la virtualisation puisqu’il demandaitpeu de ressources (processeur, mémoire, IO).

GS Mag : Quels étaient vos besoins en termes desécurisation de ses infrastructures et pourquoiavez-vous opté pour la solution de Stonesoft ?

Frédéric Ramage : Nos besoins étaient simples :- Sécuriser notre plateforme avec des Firewalls state-full, et pouvoir faire une analyse des flux non chiffrés(http).- Maîtriser les coûts : le mode de licence desStoneGate Virtuels s’y prête, car il est fait à l’année,sans notion de limitation de bande passante ou autreoption ayant un impact financier sur l’évolution « naturelle » des architectures.- Avoir un load balancer simple et efficace : cettefonctionnalité est intégrée au sein de la solutionStoneSoft, permettant de répartir la charge sur uneferme de serveurs et d’assurer la haute disponibilité.

Les nouveaux drivers ESX Server devraient permettre de gagner en performance

GS Mag : Quels problèmes avez-vous rencontrélors du déploiement de votre solution de sécurité ?

Frédéric Ramage : Tout d’abord, nous avons rencon-tré une limitation au niveau des serveurs VMware :une machine virtuelle en ESX Server 3.5 ne supporteque 4 interfaces réseaux, ce qui n’était pas suffisantpar rapports à nos besoins d’interconnexion. Nousavons dû adapter notre architecture à cettecontrainte. (Cependant, il semblerait que fin 2008,une extension à 6 interfaces soit prévue).Nous avons, par ailleurs, constaté que les performan-ces réseaux sur serveur virtuel sont faibles (300Mbit/sde débit maximum par interface) comparées auxcapacités des Firewalls physiques du marché. Cecipeut s’expliquer par le fait que l’utilisation des cartesréseaux virtuelles consomme du temps CPU, exécu-tant des opérations réalisées normalement par lesASICs des cartes réseaux des Firewall physiques. Deplus, l’utilisation des switchs virtuels au sein d’un ESXest un facteur limitant par sa consommation CPU.Toutefois, les nouveaux drivers ESX Server (EnhancedVMXnet) devraient permettre de gagner en perfor-mance.

L’intégration de l’IPS virtuelle est un atout fort

GS Mag : Après 6 mois d’utilisation des solutionsStonesoft, quels enseignements retirez-vous ?

Frédéric Ramage : La virtualisation de Firewall ausein d’une architecture type VMware ESX Server estencore jeune mais prometteuse. Nous n’avons pasrencontré de problème majeur. La segmentation des droits d’administration estnécessaire pour garder une sécurité métier satisfai-sante, alors que par défaut sur un serveur ESX, l’admi-

nistrateur peuttout faire.Je pense queStoneSoft a développé une solution innovante et doitcontinuer à la faire évoluer, sur ce qui constitue deplus en plus le cœur de nos environnements. L’intégration de l’IPS virtuelle est un atout fort. Ledéploiement et le déplacement d’un environnement àun autre d’une sonde sont très simplifiés du fait de lavirtualisation (template, connectique réseau vir-tuelle,…). En terme d’évolution, c’est très appréciable !

GS Mag : Quelles améliorations souhaiteriez-vousvoir apparaître dans les produits Stonesoft ?

Frédéric Ramage : La version 4.3 de la SMC, ainsique les engines en 4.2.4 (à ce jour), ont apporté beau-coup d’améliorations. Je pense qu’il faut rapidementque le Clustering A-A et le Tagging soient supportés officiellement, même si ceux-ci fonctionnent parfaitement*.

Une période de test complet est nécessaire avant de passer à la production

GS Mag : Quels conseils adressez-vous à vosconfrères RSSI, pour les aider à déployer des archi-tectures virtualisés ?

Frédéric Ramage : Question difficile…La virtualisation est à la fois une aubaine, mais aussiun piège. Je pense qu’avant de virtualiser, il faut vrai-ment bien connaître son SI et avoir des objectifs pré-cis.

Une période de tests, de benchs et de qualification dela future architecture est nécessaire avant de la passeren production. Il faut bien regarder les possibilitésoffertes par la virtualisation, tant son potentiel estgrand.Si on manque d’expérience, faire appel à du conseilextérieur est un moyen pour éviter les erreurs habituelles et déployer plus rapidement.



11

* NDLR : Cesfonctionnalitésainsi que d’autressont supportésdepuis la fin del’été date àlaquelle Stonesofta reçu sa certifi-cation virtuelleappliance deVMware

StoneGateSSL VPN

StoneGateSSL VPN

Siege

Utilisateur distant Partenaire

Utilisateur itinérant Succursale distante

Niveau de Faible niveau de confiance

Interface WEB

Sous-traitant

Interface WEB CRM

Interface WEB ERP


▼ ▼

StoneGate SSL VPN Un accès sécurisé mobile et distant,en tout lieu, à tout moment, depuisn’importe quel dispositif

Forte d’un réseau privé virtuel, ou VPN (VirtualPrivate Network), à technologie SSL, la solutionde connectivité sécurisée mobile de StoneGatefournit à l’entreprise un accès distant flexible,sécurisé et économique à ses informations, sesapplications et ses ressources réseau. La solutionoffre également un contrôle des accès réseau, ouNAC (Network Access Control), aux endroits où ilest le plus indispensable à un accès réseau mobiledepuis des équipements non identifiés.Sécurité modulaire et fiable de bout-en-bout aveccryptage robuste, authentification puissante,contrôle des accès granulaire et suppressionexhaustive des traces ; autant d'atouts clés quicaractérisent la solution StoneGate SSL VPN.

STONEGATE IPS Une protection exhaustive contre les programmes malveil-lants et les attaques DoS

Intégrée à StoneGate Firewall/VPN, la solution StoneGate IPS vientrenforcer la défense du périmètre en protégeant l’intérieur de votreréseau. StoneGate IPS protège les applications vulnérables, les systè-mes d’exploitation et les bases de données d'arrière-plan en intercep-tant les attaques, notamment les vers (worm), les logiciels espions(spyware), les préjudices liés au peer-to-peer et aux applications web,ou encore les dénis de service, ou DoS (Denial of Service).Le module de contrôle d’accès transparent unique de StoneGate réunitles fonctionnalités de prévention d’intrusion IPS et de pare-feu. Il four-nit ainsi une protection contre les agressions et permet un contrôledes accès transparent par le biais du pare-feu, sans modificationaucune des configurations réseau existantes.

EN UN CLIN D’ŒIL

StoneGate Management Center Une gestion et une configuration faciles et économiques

La solution StoneGate Management Center (SMC) propose une approche holistiqueet innovante d’une administration fondée sur des rôles par le biais d’un système degestion unique et centralisé. StoneGate Management Center autorise les avantagessuivants :Profiter de fonctionnalités avancées, notamment de mises à niveau à distance, de la gestion d’un centre d’alarme et de fonctions de génération de rapports très perfectionnéesCréer un site de reprise après sinistre, afin de garantir un accès continu aux ressourcesde gestion et de journalisationDiminuer les délais d’intervention en cas d’incident, simplifier l’administration quotidienne et réduire le coût total de possession, ou TCO (Total Cost of Ownership).

✔

✔

✔

✔

✔

e social

confiance élevé

Données

Les 5 Points clés de l’offre Stonesoft Constructeur européen certifié EAL4+ depuis2002 pour ses solutions intégrées de sécu-rité réseau et de continuité de services.

3 gammes de solutions de sécurité et dehaute disponibilité pour les réseaux d'entre-prises : StoneGate Firewall & VPN (VPN etpare-feu), StoneGate IPS (sonde de préven-tion d'intrusion) et Stonegate VPN-SSL(connexions VPN nomades). Ces solutionss’appuient sur un socle commun, laStoneGate Management Center (plate-formed'administration).

Une offre à la fois sous forme d'Appliance etde logiciel. Ces solutions s’intègrent également dans les environnements virtuels,avec le même niveau de fonctionnalités.

Une des seules solutions capables de sécuriser une infrastructure réseaux de bouten bout sur la chaîne de communicationclient-serveur, par ses mécanismes de clustering, de répartition de charge serveurset de liaisons WAN. De plus, son mécanismeexclusif Multi-Link VPN ™ permet de fonderune architecture multi-sites totalementredondante assurant aucune rupture de session en cas de défaillance des opérateurs.

Une Console d’administration et d’exploita-tion des moteurs StoneGate très mature etpourvue de richesses fonctionnelles trèsadaptées aux environnements distribués,data-center et/ou MSSP.


▼

La technologie Multi-Link

La technologie Multi-Link de StoneGaterésout le manque de fiabilité des liaisons WAN en ajoutant une vraie répartition decharge des tunnels VPN et une tolérance de pannes àl’aide d’un basculement automatique transparentvers les tunnels VPN toujours actifs ou de secours.Avec le Multi-Link, les connexions VPN peuventdevenir aussi fiables et même plus sécurisées queles liaisons WAN privées classiques. Un bascule-ment automatique transparent signifie que les utili-sateurs conservent leurs connexions, même si uneou plusieurs liaisons WAN sont perdues. Le Multi-Link améliore la performance VPN de façon signifi-cative, car il choisit toujours le chemin le plusrapide pour les connexions des utilisateurs. Un plushaut débit, un temps de latence plus court et uneplus grande fiabilité permettent donc de répondreaux besoins des entreprises en termes de centrali-sation des applications métiers, d’architecturesclients légers et des infrastructures VoIP...

Solution pare-feu/réseauprivé virtuel StoneGate Continuité de service et sécuritéréseau renforcée

La solution pare-feu/réseau privé virtuel StoneGateFirewall/VPN établit un périmètre de protectionautour de votre entreprise, bloque les attaques etsécurise les flux d'informations au moyen d’unréseau privé virtuel.La solution StoneGate Firewall/VPN autorise uncontrôle granulaire du réseau avec une capacité dequalité de service, ou QoS (Quality of Service), etune gestion de la bande passante.

▼

Le module StoneGate Management Center propose enstandard la totalité des fonctions d’administration,dont : ● Cartographie de réseau● Industrialisation des déploiements● Analyse statistique des logs● Mise à jour en ligne● Management des incidents● Rapport et AuditLe Système d’Administration StoneGate ManagementCenter constitue la charnière centrale de la solutionde sécurité. Pour des raisons évidentes de performances, de fiabi-lité et de sécurité, Stonesoft a choisi unearchitecture d’administration 3-tiers.C’est-à-dire que les serveurs deManagements, de Logs et d’Alertes sontdédiés. Ainsi les équipements de filtrageFW/VPN/IPS se concentrent sur leurstâches. Le traitement des logs, par exem-ple, ne fait pas chuter les performancesdu Firewall. Abordant le thème de la sécurité, lesentreprises doivent le plus souventemployer des outils d’administration dif-férents pour chaque produit. Ainsi, ellessacrifient leur capacité de managementavec des outils de « management unifié », pour des produits non conçuspour être administrés ensemble. Il enrésulte des coûts de formation élevés, etune baisse du niveau de sécurité, dû àl’incapacité de l’équipe à administrertout l’environnement de sécurité.

Les produits de StoneGate sont conçus – dès l’origine– pour s’intégrer dans un système d’administrationcommun. StoneGate Management Center permet depiloter efficacement l’ensemble de la solution, en uti-lisant des objets de configuration, des concepts, desmodèles, des systèmes de logs, d’audit et d’alertescommuns, ainsi que tous les autres outils d’adminis-tration.L’unité des configurations de sécurité, de réseau et dedisponibilité « de bout en bout » réduit la complexitéde la solution, améliore le niveau de sécurité. Ainsi,une économie de temps et d’argent dans les tâchesd’exploitation quotidiennes est constatée. ■ ■ ■

LE CŒUR DE L’ARCHITECTURESTONEGATE


Le StoneGate Management Center(SMC) permet d'administrer demanière centralisée l'ensemble des équipements StoneGate (FW/IPS/VPN/VPN-SSL) à l'aide d'une interface graphique unique. Le SMC gère de façon totalement transparente aussi bien les moteurs réels que les moteurs virtuels afin de consolider l'ensemble des noeuds de sécurité d'une architecture.

FONCTIONNALITÉS EN BREF

GESTION CENTRALISÉE• «Définir une fois, utilisez-partout » les éléments réseaux• Mise à niveau à distance sécurisée • Audit et traçabilité des actions administrateur • Outil d'analyse de la base de règles• Modèles de bases de règles et bases de sous-règles afin

d’améliorer l'efficacité et la performance • Système simple de sauvegarde et de restauration • Administration basée sur des rôles système • Routage en glisser-déposer • Mise en page visuel du réseau pour un suivi de l'état

et des configurations des équipements • Toutes les communications sont cryptées et authentifiées• Aperçu de l’état de connectivité, des nœuds, et de la sécurité• Configurer et modifier plusieurs éléments à la fois • Gestion des incidents de sécurité et outil de documentation

GESTION CENTRALISÉE DES LOGS • Navigateur de logs rapide qui consolide l'ensemble des

journaux et des informations d'alerte en une seule vue • Support de multiples serveurs de logs • Filtrage avancé des logs pour la navigation, l'exportation

et le nettoyage • Planification de l'exportation des données de logs et

de leur manipulation • Serveur de logs de haute performance

SURVEILLANCE ET ALERTES• Surveillance graphiques et temps réel du trafic et

des statistiques • Surveillance des sessions et des listes noires • Escalades d’alertes configurables • Système de test interne : système de restauration automatique

REPORTING• Système de rapports et rapports personnalisables

par glisser-déposer• Rapports exportables au format PDF • Sélection des données en utilisant des filtres • Données figurant sous forme de graphiques,

de tableaux ou les deux combinés• Consolidation des données provenant de plusieurs

serveurs • Rapports créés périodiquement et /ou manuellement • Modèles de rapports personnalisables



16

La virtual appliance StoneGate IPS possède toutes les fonc-tionnalités d’une appliance classique Stonegate IPS. Grâce à cette virtual appliance, il est possible de filtrer lesflux au sein d’une infrastructure virtuelle, mais égalementde faire du reporting sur l’ensemble des flux transitantentre les machines virtuelles et sur les flux sortant du serveur ESX.StoneGate Virtual IPS est un système qui détecte et ana-lyse le trafic malicieux ou inapproprié, l’identifie précisé-ment, et organise la réponse appropriée. Cette virtual appliance IPS a une importance primordialeau sein d’un environnement virtuel, car c’est l’uniquemoyen d’avoir une visibilité et une protection exhaustivedes communications entre toutes les machines virtuelles.

StoneGate Virtual IPS pour une sécurité en profondeur

StoneGate Virtual IPS détecte et bloque en temps réel lesattaques sur les flux autorisés par le Firewall. Il révèle également la présence de vers, de spywares sur le réseauou d’applications P2P. La technologie exclusive de StoneGate Virtual IPS permetune détection plus précise. Elle s’appuie sur des méthodescontextuelles multiples :- Base de Signatures (expressions logiques personnalisables)- Analyse protocolaire- Détection d’anomalie protocolaire- Identification protocolaire (ex : P2P sur http)- Détection évoluée de scans de ports

Il est possible d’installer au seinde l’architecture virtuelle leStonegate Virtual IPS en modecoupure de trafic et/ou enmode sonde.

Le mode coupure permet debloquer instantanément uneattaque avant que celle-ci n’at-teigne sa cible. On place leStoneGate Virtual IPS en rup-ture devant des machines virtuelles.

Le mode sonde permet l’ana-lyse de tout le trafic sur unSwitch virtuel grâce à la fonc-tion de port miroir. Ce dernierpeut également permettre debloquer le trafic en déléguantcette fonction à un autremoteur Stonegate IPS et/ou FW.

Le Stonegate Virtual IPS supporte également la fonctionTransparent Access Control qui permet de mettre en placedes règles d’accès du niveau 2 à 7 en complément desfonctions IPS. Ce module offre la possibilité de segmenterun réseau efficacement en implémentant facilement desrègles de type Firewall Stonegate. Il prévient aussi lesaccès non-autorisés entre différentes zones, virtuelles ounon, de niveaux de sécurité différents. ■ ■ ■

L’IPS est devenue une fonction incontournable de sécurité pour détecter le traficmalicieux ou inapproprié. Ainsi, Stonesoft a développé StoneGate Virtual IPS, un système de détection et d’analyse du trafic qui permet d’organiser la réponseappropriée. Cette solution est l’unique moyen d’avoir une visibilité et une protection exhaustive des communications entre toutes les machines virtuelles.

VIRTUAL IPS :LA SÉCURITÉ EN PROFONDEUR POURLES ENVIRONNEMENTS VIRTUELS


FONCTIONNALITÉS EN BREF

• Protège les applications vulnérables contre les attaquesréseaux, y compris les vulnérabilités côté client et côtéserveur sur les systèmes d'exploitation de type Windowset Linux / Unix…• Détecte les logiciels espions, les attaques de types DoS(rate based DoS et non-rate based DoS), les scans de ports,les chevaux de Troie, les vers, les anomalies protocolaires et les transactions réseaux. • Comprend plusieurs méthodes d'inspection – valida-tion protocolaire, détection d’acte malveillant, signaturesgénériques et contextuelles, détection de déni de service,détection de scan et corrélation spatiale et temporelledes événements détectés. • Comprend des milliers de signatures pour plus d'unecentaine de protocoles - HTTP, DNS, IMAP, SMB, MSRPC,MYSQL, Oracle, POP3 et bien d'autres. • Comprend des signatures personnalisables qui utilisentla syntaxe des expressions régulières pour permettre unemeilleure protection contre les vulnérabilités.• Fournit un mécanisme de corrélation d’événementintelligent pour réduire et gérer les faux positifs et fauxnégatifs.• Permet en mode coupure le blocage automatique etimmédiat des anomalies détectées ou dans le cas d’uneviolation de la politique de sécurité. • Fonction avancée de liste noire et de liste blanche encollaboration avec d'autres éléments StoneGate virtuelleset/ou physiques.• Le Stonegate virtual IPS permet, au sein de la mêmeappliance virtuelle, l’implémentation du mode coupureet/ou du mode sonde.

Mode coupure

Mode sonde

Documents

Livre Blanc N°001 - Prix : 5 - octobre 2008 · 2008-10-19 · Stonesoft de fournir leurs solutions spécifiques qui s’in-tègrent parfaitement dans nos environnements virtuali-sés