Sourcefire sur la voie de la virtualisation Jerome Saiz le 17 septembre 2008 à 12h25, dans la rubrique Produits & Technologies Commentaires (6) machine virtuellesécurité virtualisationsnortsourcefirevirtualisationvmsafevmware L’éditeur historique de l’IDS Snort annonce le support complet des architectures virtualisées VMware, la capacité à protéger simultanément machines physiques et virtuelles, et pourrait proposer une appliance virtuelle. L’annonce de Sourcefire s’inscrit dans l’intérêt croissant des éditeurs de solutions de sécurité pour la virtualisation. Pour Sourcefire, cela se traduit par l’annonce du support des architectures virtualisées au sein de sa suite Sourcefire 3D (une série de composants chargés d’observer le trafic, de centraliser les alertes et de réagir à la menace de manière sélective). Première étape, le support des machines VMware dans Sourcefire RNA. L’outil de découverte des assets est ainsi désormais capable d’identifier aussi les machines VMware qui apparaissent sur le réseau. « Cela permet à l’administrateur d’être alerté dès qu’une nouvelle machine virtuelle est créée », explique Jean-paul Kerouanton, de Sourcefire. L’objectif est ici d’en contrôler la prolifération. « La détection d’une nouvelle machine virtuelle peut ensuite donner lieu à l’exécution d’un script, par exemple pour en bloquer l’accès sur le port d’un commutateur, ou envoyer simplement une alerte par email ou SMS », poursuit-il. Sourcefire positionne donc ici RNA comme un outil de cartographie du réseau, et selon un test réalisé par le magazine américain SC Computing sur un réseau physique, il serait efficace à environ 80% dans la phase de découverte. Mais son rôle va au delà : après l’observation du réseau, RNA se charge de corréler ses découvertes avec sa base de signatures d’attaques, afin de ne réagir qu’à celles qui concernent réellement le segment visé. Nous atteignons toutefois ici les limites de l’annonce : qu’elle soit à destination d’une machine physique ou virtuelle, une attaque demeure une attaque. La nouveauté de Sourcefire ne concerne donc véritablement que la cartographie du réseau. Bien entendu, l’éditeur a également annoncé sa participation au programme VMsafe, annoncé par VMware en début d’année. VMsafe permet aux éditeurs tiers de disposer d’un accès privilégié aux machines virtualisées afin de mieux intégrer leurs solutions. Enfin, Sourcefire pourrait bientôt proposer une appliance virtuelle qui packagerait ses solutions au même titre que ses appliances physiques actuelles. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!