L’introspection de l’hyperviseur redéfinit la notion de sécurité des environnements virtualisés

Les datacenters sont passés de systèmes isolés à de vastes pools de ressources virtualisées et partagées entre plusieurs sites. La perspective d'un datacenter entièrement virtualisé, qui n’était autrefois qu’un rêve, devient désormais une réalité.

On parle aujourd’hui de « datacenters without walls », qui aident les entreprises à réduire les coûts et à maximiser l'efficacité de l’IT, ce qui explique pourquoi les entreprises sont des vecteurs d’accélération de la virtualisation. En 2013, 77 % des PME/PMI avaient intégré une part de virtualisation à leur infrastructure.

Pourtant, alors que les avantages de la virtualisation des applications, des postes de travail, du hardware ou des réseaux sont évidents, la sécurité ne s’est pas (jusqu'à présent) alignée sur ce nouveau paradigme.

Une révolution de la sécurité

Un problème bien connu dans l'industrie de la cybersécurité est que les attaques de malwares avancées parviennent à échapper à la sécurité traditionnelle au sein de l’OS. Cette problématique existe car les malwares sophistiqués comme les APT s’exécutent dans le même contexte et au même niveau de privilèges que les logiciels antimalwares.

Voilà pourquoi Bitdefender a décidé d'aborder la sécurité depuis l'extérieur du système d'exploitation invité. La technologie d'introspection du kernel sur laquelle nous avons travaillé, analyse l'image de la mémoire raw du système d'exploitation invité, les services et les applications en mode utilisateur. Elle vérifie à la fois la mémoire kernel et utilisateur afin d’identifier les menaces telles que les techniques de rootkit hooking et les attaques de type zero-day ou out-of-reachqui fonctionnent en dessous des solutions de sécurité de l’OS. Cette technologie protège également les processus utilisateurs contre les attaques telles que l'injection de code, le détournement de fonction, la décompression de codes malveillants et l'exécution de code au niveau du stack.

L’introspection de l’hyperviseur garantit que la solution antimalware peut être exécutée en dehors de l'environnement surveillé, sans compter sur des fonctionnalités de mesure qui peuvent être rendues peu fiables par certains malwares – l‘exécution d’un agent ou d’un logiciel spécifique n’est pas nécessaire au sein de l’invité.

Cette technologie était impossible à mettre en œuvre jusqu'à présent, en raison de problèmes de compatibilité avec le hardware, d’un besoin de ressources informatiques importantes, en plus de la question du gap sémantique – le défi étant d’extraire avec précision des informations qui puissent être interprétées en ayant une visibilité depuis l’hyperviseur d’un OS invité.   Néanmoins, le gap sémantique reste un travail en évolution permanente et qui constitue la partie la plus exigeante à traiter.

Bien que l’introspection du kernel soit connue en milieu universitaire, Bitdefender est allé plus loin en fournissant désormais une protection en temps réel pour les machines virtuelles contre un large éventail de menaces.

Les avantages sur le long terme

L’introspection de l’hyperviseur est une révolution dans la sécurité telle que nous la connaissons. Les technologies de virtualisation continuent d'évoluer, avec une augmentation des niveaux d'automatisation et des frameworks complets pour une gestion plus efficace des environnements virtualisés. Dans ce contexte, la technologie d'introspection basée sur l'hyperviseur est une avancée majeure avec la perspective de nombreuses applications dans d'autres domaines et industries.

Les fermes de serveurs, les entreprises optant pour le BYOD et la sécurité pour les appareils mobiles sont quelques-uns des domaines où l'introspection de l’hyperviseur a un très grand potentiel, si elle est utilisée. A l'avenir, les entreprises seront en mesure de la déployer sur les appareils mobiles et sur les ordinateurs pour isoler et sécuriser les données personnelles et professionnelles.

La technologie d’introspection de l’hyperviseur par Bitdefender a été développée en étroite collaboration avec Citrix. Elle s’intègre dans l’API Direct Inspect deCitrix sous XenServer 7, le premier hyperviseur commercial capable de réaliser une introspection de la machine virtuelle.

« Les API XenServer Direct Inspecter, associées à Bitdefender GravityZone sont le premier et unique dispositif de sécurité pour les hyperviseurs commerciaux, » peut-on lire sur le site Web de Citrix. Il est destiné à compléter les solutions de protection sur disque existant pour fournir une protection « meilleure que physique », ajoute Citrix. Pour en savoir plus sur XenServer 7, cliquez ici.