D'ici 2012, environ 60% des serveurs virtualisés seront moins sécurisés que les serveurs physiques qu'ils remplacent, estime le Gartner. Toutefois, les analystes du cabinet d'études se veulent d'avantage optimistes à plus long terme, prévoyant que ce taux tombera à 30% d'ici la fin 2015. Ce qui ne les empêchent pas de pointer du doigt le fait que beaucoup de projets de déploiement sont mis en oeuvre sans l'implication des équipes en charge de la sécurité informatique lors de la définition de l'architecture initiale. La virtualisation n'est pas une technologie faillible par nature,explique Neil McDonald, le vice-président de Gartner. Mais la plupart des workloads (le couple constitué par un environnements systèmes et la/les applications qui tournent dessus) virtualisés sont déployés sans une réelle prise en compte des problématiques de sécurité. Cet état de fait résulte de l'immaturité des outils et des modes opératoires employés, ainsi que de la formation limitées des équipes des entreprises, des consultants et des revendeurs » Si Gartner tire la sonnette d'alarme, c'est parce qu'à la fin de l'année 2009, seuls 18% des workload des centres de données des entreprises qui pouvaient être virtualisés l'ont été. En 2012, cette proportion devrait atteindre 50%. Or, puisque de plus en plus de workloads sont virtualisés, que des workloads de niveau de fiabilité différents sont combinés, et que les workload deviennent de plus en plus mobiles, les problèmes de sécurité doivent être surveillés de bien plus près. Pour le cabinet d'études, les risques de sécurité majeurs liés à la virtualisation sont au nombre de 6 :
- Les équipes dédiées à la sécurité informatique ne sont pas assez impliquées en amont des projets de virtualisation.
- Une mise en péril de la couche de virtualisation peut aboutir à une mise en péril de tous les workload hébergés.
- Le manque de visibilité et de contrôle sur les réseaux virtuels internes créés pour permettre aux machines virtuelles de communiquer entre elles rend inopérant les mécanismes existants de mise en oeuvre des politiques de sécurité.
- Des workloads offrant différents niveaux de confiance sont consolidés sur un seul serveur physique sans
- Les contrôles adéquats sur les accès à l'hyperviseur et
- Il existe une perte potentielle de séparation entre les tâches de contrôle liées à la sécurité et celles liées aux réseaux.
Suivez-nous