Afin de fournir une protection unifiée aux ressources de datacenters et de clouds privés et publics, VMware poursuit l’intégration et l’ajout de nouvelles fonctionnalités dans sa suite de sécurité. Le fournisseur a lancé trois nouvelles offres cette semaine :
- VMware Advanced Security for Cloud Foundation : cette solution intègre regroupe la technologie Carbon Black et NSX Advanced Load Balancer avec les capacités de pare-feu Web Application Firewall et NSX Distributed IDS/IPS, l’objectif étant d’offrir aux clients un bouclier unifié pour protéger les datacenters et les clouds privés et publics.
- Le support du framework ATT&CK de l’organisation à but non-lucratif MITRE (TIDs) pour la corrélation de sécurité, dont la liste de tactiques, techniques et procédures communes est désormais intégrée à Carbon Black Cloud. Les clients pourront l’utiliser pour identifier les risques des menaces réseau et hiérarchiser les résolutions. Une meilleure prise en charge de Carbon Black Cloud pour Microsoft et Linux est également prévue.
- Une offre VMware Secure State : la solution apporte des capacités de détection et de correction en temps réel pour automatiser la résolution des problèmes à travers les clouds.
Plus de sécurité dans Cloud Foundation
Ces annonces s'inscrivent dans la stratégie globale de VMware qui vise à intégrer des fonctions de sécurité dans son gestionnaire d’infrastructures. Selon VMware, ce mode de protection, qualifié de sécurité intrinsèque par le fournisseur, est plus efficace pour protéger les charges de travail en réseau que les systèmes traditionnels fragmentaires. Elles prévoient également la poursuite de l'intégration d'un certain nombre de technologies acquises récemment par VMware. C’est le cas par exemple de la technologie Carbon Black et Avi Networks désormais au cœur de la solution VMware Advanced Security for Cloud Foundation. Principale offre de virtualisation de l’éditeur, Cloud Foundation comprend vSphere et offre des capacités réseau NSX et du stockage vSAN. Elle est cœur des offres clouds du fournisseur, en particulier VMware Cloud for AWS et Dell EMC. L’an dernier, l'entreprise a acheté la technologie d'équilibrage de charge, d'analyse et de livraison d'applications d'Avi Networks pour un montant non divulgué et, plus tard dans l'année, elle a racheté la technologie de sécurité de Carbon Black pour 2,1 milliards de dollars.
Dans l'offre Advanced Security for Cloud Foundation, la technologie Carbon Black de VMware protège les charges de travail grâce à la solution Real-time Workload Audit/Remediation d'audit/rémédiation en temps réel des charges de travail, à Next-Generation Antivirus, un antivirus de nouvelle génération, et à Endpoint Detection & Response pour la détection et la réponse aux points d'extrémité. « VMware Carbon Black sera étroitement intégré à vSphere afin de proposer une offre sans agent, et d’éviter le recours à un antivirus et à d'autres agents », a déclaré l’éditeur. « La télémétrie des points d'extrémité sera gérée et recueillie via des capteurs intégrés protégés par l'hyperviseur. Cela signifie également que, contrairement aux solutions basées sur des agents, l'hyperviseur pourra détecter si un attaquant tente de gagner un accès root et de forcer la technologie VMware Carbon Black – et cela à partir d'un domaine de confiance distinct », a encore déclaré VMware.
Assurer la sécurité en toutes circonstances
VMware a combiné la technologie d’Avi Networks, désormais appelée NSX Advanced Load Balancer avec Web Application Firewall pour protéger une cible d'attaques commune : les serveurs web. « On sait très bien que les solutions traditionnelles basées sur le hardware sont complexes à gérer. Elles sont soit très largement surdimensionnées pour répondre aux pics de trafic, soit elles finissent par désactiver le filtrage de sécurité en cas de forte charge. En revanche, l'architecture logicielle de NSX Advanced Load Balancer permet de faire évoluer la capacité de manière élastique en fonction du trafic », a écrit dans un blog consacré à cette annonce, Vivek Bhandari, ingénieur de VMware. NSX Distributed IDS/IPS de VMware fait également partie de l'ensemble. Selon VMware, l'architecture distribuée de NSX Distributed IDS/IPS permettra d'appliquer un filtrage avancé à chaque saut de l'application. L'idée est de réduire les angles morts créés lors de l'utilisation de produits de sécurité périmétrique traditionnels. « Les politiques peuvent également être définies et appliquées en fonction des besoins spécifiques de l'application », a encore écrit M. Bhandari.
En plus du paquet Advanced Security for Cloud Foundation, VMware a également renforcé la sécurité de cloud Carbon Black en le dotant du support pour le framework ATT&CK de MITRE. Selon le dernier rapport Data Breach Investigations Report de Verizon, seulement 28% des attaques actuelles sont attribuables à des logiciels malveillants. « Cela signifie que les entreprises doivent être très vigilantes dans la détection et l'identification de ces techniques, couramment utilisées dans les attaques sans fichiers », a écrit Scott Lundgren, vice-président de l'ingénierie chez VMware Carbon Black dans un blog à propos de l’annonce. « Le support de ce framework par VMware Carbon Black Cloud va permettre aux clients d’effectuer des recherches en exploitant l’importante base de connaissance des différentes techniques d’attaques connues, directement à partir du site web de MITRE, voir à quel moment l’on rencontre une TID particulière et configurer des alertes dans leur tableau de bord quand des TID spécifiques apparaissent dans leur environnement. « Ces fonctionnalités permettront aux clients d'accélérer l'intégration de MITRE ATT&CK à leur flux de travail et leur formation internes, afin de détecter et de prévenir plus facilement les activités suspectes », a déclaré M. Lundgren.
Meilleur support de Linux pour Carbon Black Cloud
« VMware a également amélioré Carbon Black Cloud en le dotant du support de l'interface AMSI (Anti-Malware Scanning Interface) de Microsoft Windows, laquelle offrira aux clients une meilleure visibilité sur le contenu des scripts exécutés sur les périphériques Windows, et la possibilité de les chasser et de les détecter plus efficacement au sein de la plate-forme », a encore déclaré M. Lundgren. « Cette capacité fournit un aperçu sans brouillage de la commande d'un script, en l’affichant exactement tel qu'il sera exécuté par l'interpréteur, ne laissant aucun espace où se cacher à l'attaquant », a ajouté M. Lundgren. « Les résultats du récent rapport Carbon Black Global Incident Response Threat Report ont montré que 70% des attaques actuelles se caractérisent par un mouvement latéral quelconque, dans lequel une application courante et apparemment inoffensive, comme Microsoft PowerShell, est utilisée pour provoquer des dommages en exécutant des commandes de script malveillantes », a expliqué M. Lundgren.
Par ailleurs, VMware a déclaré qu'il ajouterait à Carbon Black Cloud des capacités de prévention contre les malwares pour les machines Linux. Aujourd’hui, Linux représente environ 70 % du marché des serveurs web et 90 % de tous les serveurs clouds. « L'émergence récente de menaces comme HiddenWasp, QNAPCrypt et Evilgnome ciblant plus spécifiquement Linux, impose de répondre aux besoins de sécurité spécifiques des machines Linux dans les produits de sécurité des points terminaux », a déclaré M. Lundgren. « La plate-forme VMware Carbon Black Cloud peut désormais assurer une sécurité aux points terminaux des machines Windows, MacOS et Linux et protéger les terminaux avec une seule plate-forme cloud native », a déclaré M. Lundgren.
Des acquisitions pour muscler la sécurité
VMware Secure State est le fruit de deux acquisitions réalisées l’an dernier par l’éditeur : CloudCoreo, axé sur l'automatisation continue, et CloudHealth, focalisé sur la gestion et l'optimisation du cloud. VMware Secure State apporte des capacités de visibilité, de détection et de priorisation des risques en temps réel pour évaluer les risques de sécurité. VMware Secure State hérite d'un nouveau framework de remédiation flexible pour simplifier l’automatisation des actions dans les environnements multiclouds. Actuellement en version bêta, Secure State facilite la collaboration entre les équipes de sécurité du cloud et les équipes DevOps en vue d'intégrer la sécurité dans les opérations multicloud et de cloud public.