L’anti-virus dans une infrastructure VMware

 

vShield Endpoint

La famille vShield (Plus récemment nommée VMware vCloud Networking and Security) s’est passablement étoffée avec la version vSphere 4.1.

Premièrement, le vShield Manager qui est l’outil centralisé permettant d’activer et d’installer les différents éléments que compose la famille vShield.

C’est une simple VA Linux sous forme d’ovf que l’on download sur le site de VMware.

Les éléments permettant de sécuriser votre infrastructure virtuelle sont :

vShield zone: premier vAPI de sécurisation, délivré par VMware, permettant d’intégrer un pare-feu directement dans l’infrastructure VMware et de segmenter les réseaux à l’intérieur de l’Hyperviseur.

vShield Edge: Permet la sécurisation périmétrique de l’infrastructure virtuelle intégrant du VPN, du DHCP, du load balancing (seulement http pour l’instant), de la journalisation et de l’audit.

Il est principalement utilisé avec la solution vCloud Director et ses multi-locataires (Multi-Tenant).

vShield app: sécurisation au niveau des applications hébergé par vos VMs il fait du firewalling applicatif.

Le dernier est celui qui nous intéresse.

vShield Endpoint:

vShield Endpoint offre des fonctionnalités anti-malware, firewall et DPI (Deep Packet inspection) directement dans l’infrastructure virtuelle, évitant l’ajout d’agent à l’intérieur des Virtual Machines.

Afin d’analyser les flux réseau, CPU et mémoire, vShield Endpoint s’intègre directement à vSphere et se compose d’une machine virtuelle de sécurité (fournie par les partenaires de VMware) et d’un pilote permettant de délester les machines virtuelles des événements de fichiers et du module de noyau chargeable (LKM) de VMware Endpoint Security (EPSEC).

Il existe deux composants principaux VMware VMsafe :

VMsafe Memory & CPU API (VMsafe-Mem/CPU) utilisé par le firewall et anti-malware

VMsafe Network Packet Inspection API (VMsafe-Net) utilisé par le DPI

Tous ces composants renvois les flux directement à la Virtual Appliance de sécurité qui a toutes les paternes.

Le gros avantage est que l’on ne conserve qu’un seul paterne par serveur ESXi. Cela soulage le réseau lors de mise à jour des paternes.

VMsafe Virtual Disk Development Kit (VDDK), troisième composant permettant le scan et nettoyage d’un vmdk à chaud et à froid (VM arrêtée).

 

Actuellement, seul TrendMicro Deep security, technologie issue du rachat de Third Brigade, fonctionne avec vShield Endpoint.

Mise à jour 10.01.2013: Kaspersky, McAfee, Symantec et Bitdefender ont également sorti leurs moutures, mais qui font généralement uniquement de anti-malware

Afin de pouvoir l’utiliser, il faut :

1) Installer/Upgrader vers vCenter 4.1u1 et plus, ESXi 4.1u1 et plus et déployer vShield Manager

2) Déployer le driver LKM (Loadable Kernel Module) Espec via le vShield Manager sur les ESXi

3) Installer Deep Security Manager et déployer la Virtual Appliance de securité (DSVA)

4) Préparer les ESXi via Deep Security Manager (FilterDriver) => seulement pour Trend Micro

5) Déployer le vShield Thin Agent (prochainement intégré dans les VMware tools) dans les templates et VMs de l’infrastructure. (Depuis la version vSphere 5.0, il faut faire une full installation des VMware Tools)

Voici l’architecture finale, de notre solution anti-virus, intégrée à nos serveurs ESXi

La bonne nouvelle est que les licences vShield EndPoint sont intégrées, avec un support actif, dès la licences VMware vSphere 5.1 Essentials Plus et vCloud Networking and Security 5.1 sans coûts supplémentaires.

Vous trouverez plus d’infos sur les compatibilités et supports des upgrades dans la KB qui suit:

 

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2036875

 

Egalement voici un document regroupant tous les partenaires utilisant cette technologie:

 

http://www.vmware.com/files/pdf/products/vcns/VMware-Integrated-Partner-Solutions-Networking-Security.pdf

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.