Où, quand et pourquoi ai-je besoin d‘une sécurité différente lorsque j’adopte la virtualisation ?

Évidemment, en tant que vendeur, il est tentant de leur répondre « Toujours, partout et parce que c’est comme ça ». La réalité est toutefois toujours plus nuancée que dans une présentation PowerPoint lambda.

Commençons par présenter le problème. Avant l’ère de la virtualisation, chaque poste de travail ou serveur était un îlot qui communiquait avec d’autres îlots. Je veux dire par là que le matériel de chaque poste de travail ou serveur était dédié à une instance unique de système d’exploitation. Le matériel pouvait être extrêmement ou très peu sollicité. L’antimalware était exécuté sur chaque poste de travail ou serveur et bénéficiait de matériel dédié. Lorsque les instances étaient très sollicitées, l’antimalware aggravait le problème, lorsque les instances étaient inoccupées, celui-ci fonctionnait de façon transparente.

La virtualisation a fait migrer ces « îlots » de systèmes d’exploitation vers « une masse terrestre unique », plus grande. Le matériel, plus lourd et plus onéreux, sous-jacent, est partagé entre un certain nombre de systèmes d’exploitation. Lorsqu’un système très sollicité a besoin de davantage de ressources matérielles, il peut utiliser celles que les instances inactives n’utilisent pas. C’est ce qu’on appelle la consolidation ; des machines virtuelles qui s’exécutent sur un hôte unique et important. Les économistes de l’Union Européenne connaissent bien ce concept.

Les agents antimalwares exécutés avec ces postes de travail virtualisés fonctionnaient alors exactement comme auparavant. Lorsque des mises à jour, mises à niveau, analyses complètes du système et d’autres tâches consommant de nombreuses ressources étaient exécutées, l’antimalware estimait qu’il pouvait utiliser autant de ressources matérielles que nécessaire à son fonctionnement. Dans un environnement matériel partagé, cela signifie que cela avait un impact sur les systèmes n’effectuant pas de tâches consommant beaucoup de ressources. En effet, nombre de ces tâches étaient exécutées simultanément. Dans un monde virtualisé ce type de fonctionnement engendre  rapidement la saturation des ressources du matériel sous-jacent.

De nos jours les éditeurs de solutions de sécurité pour postes de travail et serveurs ont créé des mécanismes, des fonctionnalités ou des produits totalement nouveaux afin d’essayer de résoudre le problème de saturation des ressources. En d’autres termes, ils ont conçu des produits adaptés ou pensés pour la virtualisation.

Mais dans quelles circonstances ce type de solution est-il nécessaire et pourquoi ne peut-on pas conserver un antimalware destiné aux postes de travail et serveurs non virtualisés ?

La réponse est qualitative. Lorsque l’expérience utilisateur (le meilleur indicateur pour mesurer les performances) commence à se détériorer, il peut être sage de reconsidérer votre solution antimalware pour postes de travail et serveurs. L’expérience utilisateur commencera à se détériorer en raison des problèmes décrits ci-dessus lorsque les ratios de consolidation (le nombre de machines virtuelles utilisées sur un hôte donné) sont élevés et qu’un seuil critique est atteint.

Prenons l’exemple de deux extrêmes, les bases de données et les systèmes des utilisateurs finaux (les bureaux se référant à un bureau Windows et non à un véritable ordinateur de bureau). Il est peu probable que plus d’une ou deux bases de données consommant beaucoup de ressources résident sur le même hôte. Si chacune d’entre elles exécute un agent antimalware traditionnel, la duplication des tâches antimalwares est double (deux moteurs, deux bases de données antimalwares, etc.). Ce double effort est négligeable par rapport aux ressources consommées par les bases de données.

Avec le VDI (Virtual Desktop Infrastructure), il peut y avoir des centaines d’instances antimalwares traditionnelles fonctionnant sur le même matériel car la consommation de ressources de chaque bureau est, en moyenne, plutôt faible. Le taux de consolidation (les machines virtuelles sur chaque hôte) est très élevé et la duplication de l’antimalware traditionnel l’est également, ce qui entraîne une importante consommation de ressources sur chaque hôte.

Suivant cet exemple, les antimalwares traditionnels fonctionneront sans générer de problèmes de performances dans les environnements à faible consolidation. Dans les environnements à consolidation élevée (l’utilisation de VDI étant l’extrême), les produits antimalwares traditionnels créeront, inévitablement, des problèmes de performances.

La plupart des entreprises se trouvent entre ces deux extrêmes. Les serveurs sont généralement virtualisés avant ceux des systèmes des utilisateurs finaux. Les serveurs sont rarement virtualisés tous simultanément. Les entreprises ont tendance à  trop dépenser en matériel pour un projet de virtualisation pilote, en prévoyant que plus de serveurs auront besoin d’être virtualisés sur le même matériel à mesure qu’évoluera le besoin. Lorsque le niveau de virtualisation augmente dans un datacenter, le taux de consolidation augmente lui aussi. Finalement, on se retrouve face à un niveau critique (ou dans une impasse, selon votre perspective) dans lequel les antimalwares des postes de travail et des serveurs traditionnels commencent à créer des problèmes de performances.

En conclusion, le niveau critique des antimalwares dédiés à la virtualisation et ceux dédiés aux environnements traditionnels varie pour chaque entreprise. Il vaut toujours mieux anticiper les problèmes avant qu’ils ne se produisent et je vous recommande de reconsidérer votre antimalware pour postes de travail et serveurs lorsque :

• Plus de 50% de vos serveurs sont des machines virtuelles
• Lorsque vous prévoyez un projet de VDI
• Lorsque vous envisagez d’utiliser un cloud public

Veuillez noter que le cloud public a fait son apparition, ce qui fera l’objet d’un autre article. Veuillez noter également que cet article n’aborde que les performances. Il va sans dire que si votre solution de sécurité pour postes de travail et serveurs ne protège pas bien votre environnement, il est temps d’envisager d’en changer !

Source de ce document sur ce lien