VMware présente sa stratégie visant à rendre la sécurité intrinsèque à l’infrastructure
L’éditeur annonce un nouveau firewall interne se focalisant sur les « comportements légitimes connus » au niveau du réseau et de l’hôte afin de réduire massivement l’exposition des entreprises
SAN FRANCISCO / RSA CONFERENCE – 11 mars 2019 – À l’occasion de la RSA Conference cette semaine, VMware, Inc. (NYSE : VMW) présente sa stratégie visant à changer le rapport de force entre « attaque » et « défense ». Cette nouvelle approche de sécurité se focalise sur les applications plutôt que sur les infrastructures et vise à diminuer l’exposition des entreprises au lieu de les pousser à partir à la chasse aux menaces. Pour cela, l’éditeur a présenté le premier firewall « service-defined » de l’industrie. Ce dernier permettra de mieux protéger les applications et données hébergées en interne et dans le Cloud.
Grâce à un portefeuille de solutions logicielles de plus en plus fourni (du Cloud aux utilisateurs finaux), VMware offre aujourd’hui une sécurité intrinsèque à l’infrastructure. Les clients pourront ainsi définir les comportements légitimes connus des applications, et réduire considérablement le risque pour les applications critiques, les données sensibles, et les utilisateurs.
« La sécurité actuelle des systèmes d’informations, dans la grande majorité des cas, ne fonctionnent pas», déclare Rajiv Ramaswami, directeur des opérations chargé des produits et services, VMware. « Les applications sont de plus en plus distribuées, déployées sur une multitude de Clouds privés et publics, s’appuient sur différents types d’infrastructures, et sont disponibles sur une variété d’appareils. La prolifération des risques de sécurité (« security sprawl », autrement dit le phénomène survenant lorsque trop de produits, d’agents et d’interfaces sont déployés dans une organisation) rend la gestion de la sécurité de plus en plus complexe avec les approches contemporaines. La stratégie de sécurité de VMware consiste à contourner ce problème, et proposer une sécurité intrinsèque des points de terminaison au Cloud. »
Selon VMware, l’industrie doit évoluer d’un modèle axé sur la traque des comportements illégitimes à une approche basée sur les comportements légitimes, et se focaliser sur les applications au lieu des infrastructures. VMware apporte des innovations majeures dans ce domaine en tirant parti des propriétés uniques des infrastructures virtuelles et mobiles. Cette approche offre une sécurité simplifiée et « intrinsèque », et adaptée aux applications et aux données. Grâce à leur localisation au niveau au sein de l’infrastructure, les technologies VMware offrent une visibilité sans précédent sur les applications, et s’étendent au-delà du data center pour proposer un espace de travail numérique plus sûr. Elles permettent ainsi de sécuriser n’importe quel appareil, et de protéger l’accès aux applications et données quel que soit l’employé ou son emplacement.
Sécuriser les data centers et les Clouds
Pour répondre à toutes ces problématiques, VMware annonce le lancement d’un nouveau firewall service-defined. Cette approche innovante en matière de firewall interne réduit l’exposition des environnements locaux et Cloud grâce à une sécurité intrinsèque à l’infrastructure.
Bien que déjà testé auparavant, le principe consistant à se focaliser sur les comportements légitimes s’était jusqu’ici heurté à la difficulté d’obtenir une compréhension complète des applications. Certaines solutions installaient des agents sur le système d’exploitation, mais introduisaient davantage de complexité. L’approche était également moins intéressante, car si le pirate bénéficiait d’un accès root, il disposait alors d’un contrôle total sur un hôte et pouvait tout simplement éviter l’agent. En outre, les applications étant toujours plus distribuées, les besoins en matière de sécurité deviennent eux aussi de plus en plus étendus. Il est en effet peu pratique de configurer le trafic entre serveurs (trafic est-ouest), en le faisant passer par un équipement physique ou à une instanciation virtuelle d’un tel équipement à des fins d’inspection.
La solution Service-defined Firewall de VMware adopte une approche totalement différente avec un firewall focalisé sur les actifs bien connus des entreprises (les applications qu’elles ont elles même déployées) au lieu de surveiller l’inconnu. La solution fonctionne en bare metal, ainsi que dans des environnements basés sur des VM et des conteneurs. À terme, elle prendra également en charge les environnements Cloud hybrides tels que VMware Cloud on AWS et AWS Outposts. Ce firewall est capable de répondre seul aux besoins de sécurité interne des entreprises. VMware Service-defined Firewall se distingue des alternatives grâce aux caractéristiques suivantes :
Application Verification Cloud : la place de VMware sur l’hôte permet au firewall service-defined d’obtenir une connaissance approfondie des applications et de leur centaines ou milliers de microservices au fil du temps. Grâce à l’intelligence artificielle de millions de VM déployées dans le monde entier, l’outil Application Verification Cloud crée une carte précise de l’état légitime idéal de l’application. Ensuite, la solution peut générer des stratégies de sécurité adaptatives pour la couche 7 (couche application), et est capable d’effectuer des inspections avec état (stateful) intégrales.
Protection du système d’exploitation invité : le firewall service-defined tire parti de son caractère intrinsèque pour inspecter l’application et l’OS invité sans avoir besoin d’y résider. Ainsi, même avec un accès root, les individus mal intentionnés ne peuvent pas contourner la solution. Cette dernière est également capable de détecter et de bloquer le trafic malveillant sur le réseau. Le système peut même inspecter le système d’exploitation invité lui-même, identifier et bloquer tout comportement inapproprié au sein de l’OS ou de l’application lors de son exécution. Cette fonctionnalité unique constitue une nouvelle approche en matière de firewall et de prévention d’intrusions au niveau de l’hôte.
Un modèle distribué et logiciel : les firewall matériels traditionnels nécessitent une configuration en épingle à cheveux (« hairpinning ») faisant passer le trafic sortant de l’environnement virtuel par une appliance matérielle afin de l’analyser. Cette approche est inefficace et peut difficilement tenir la charge, en particulier pour les applications d’aujourd’hui, qui réunissent de nombreux composants ou services tournant sur plusieurs serveurs et dans différents Clouds. Entièrement logiciel, le Service-defined Firewall est fortement distribué, ce qui signifie qu’il tourne où les applications sont exécutées, et même dans plusieurs Clouds. Les stratégies de sécurité peuvent ainsi être appliquées de façon cohérente, sans hairpinning complexe du trafic entre environnements Cloud.
Sécuriser l’espace de travail numérique
VMware Workspace ONE associe une sécurité intransigeante (zero trust security) à des capacités modernes de gestion afin d’aider les équipes informatiques à protéger l’espace de travail de façon intelligente et proactive. Workspace ONE intègre des fonctionnalités de sécurité à tous les niveaux (utilisateurs, applications, points de terminaison et réseau) :
- La gestion des identités et des accès (IAM) et l’analyse comportementale permettent de mieux sécuriser les utilisateurs ;
- la conteneurisation et la gestion à distance sécurisent les applications ;
- les mécanismes d’approbation et d’assurance de l’état des périphériques renforcent la protection des points de terminaison ;
- et le chiffrement et la virtualisation intégrée permettent de sécuriser le réseau.
Avec Workspace ONE, les clients gardent un temps d’avance grâce à des capacités de supervision en temps réel permettant de collecter des informations approfondies et d’automatiser les processus. La plateforme s’intègre également avec les solutions du réseau Workspace ONE Trust Network. Les clients peuvent ainsi profiter de renseignements sur les menaces issues d’un large écosystème de partenaires de confiance. Désormais, VMware enrichit sa plateforme Workspace ONE de nouvelles fonctionnalités de sécurité, dont un tableau de bord offrant un aperçu unifié des menaces ; la prise en charge de stratégies de protection et de gestion d’intégrité supplémentaires sur Windows 10 et MacOS ; ou encore des améliorations en matière d’automatisation.
Enfin, VMware annonce poursuivre sa collaboration avec Carbon Black, Lookout et Netskope autour de solutions interopérables. Découvrez l’ensemble des innovations intégrées à Workspace ONE sur notre blog.
À propos de VMware
Les logiciels VMware sont au cœur des infrastructures informatiques les plus complexes. Grâce au soutien d’un écosystème de 75 000 partenaires, les offres Cloud et de gestion des réseaux et des espaces de travail numériques de l’entreprise constituent un socle dynamique et efficace pour plus de 500 000 clients dans le monde entier. VMware, dont le siège est basé à Palo Alto (Californie), met tout en œuvre pour avoir un impact positif, aussi bien grâce à ses innovations technologiques que sur la société. Pour en savoir plus, rendez-vous sur https://www.vmware.com/company.html.
VMware, NSX, AppDefense, NSX Cloud, Service-defined Firewall, Workspace ONE, et Workspace ONE Trust Network sont des marques déposées ou des marques VMware, Inc. ou de ses filiales aux États-Unis et/ou dans d’autres juridictions. Cet article contient potentiellement des liens hypertextes vers des sites non affiliés à VMware. La Société décline toute responsabilité vis-à-vis des contenus figurant sur ces sites créés et maintenus par des tiers.
# # #
RUMEUR PUBLIQUE
Stéphanie Muthelet
01 55 74 52 28 – stephanie@rumeurpublique.fr
Agathe Huez
01 55 74 52 24 – agathe@rumeurpublique.fr
Marion Larivière
01 82 29 37 39 – marion.lariviere@rumeurpublique.fr