Sourcefire sur la voie de la virtualisationL’éditeur historique de l’IDS Snort annonce le support complet des architectures virtualisées VMware, la capacité à protéger simultanément machines physiques et virtuelles, et pourrait proposer une appliance virtuelle.
L’annonce de Sourcefire s’inscrit dans l’intérêt croissant des éditeurs de solutions de sécurité pour la virtualisation. Pour Sourcefire, cela se traduit par l’annonce du support des architectures virtualisées au sein de sa suite Sourcefire 3D (une série de composants chargés d’observer le trafic, de centraliser les alertes et de réagir à la menace de manière sélective). Première étape, le support des machines VMware dans Sourcefire RNA. L’outil de découverte des assets est ainsi désormais capable d’identifier aussi les machines VMware qui apparaissent sur le réseau. "Cela permet à l'administrateur d'être alerté dès qu'une nouvelle machine virtuelle est créée", explique Jean-paul Kerouanton, de Sourcefire. L'objectif est ici d'en contrôler la prolifération. "La détection d'une nouvelle machine virtuelle peut ensuite donner lieu à l'exécution d'un script, par exemple pour en bloquer l'accès sur le port d'un commutateur, ou envoyer simplement une alerte par email ou SMS", poursuit-il. Sourcefire positionne donc ici RNA comme un outil de cartographie du réseau, et selon un test réalisé par le magazine américain SC Computing sur un réseau physique, il serait efficace à environ 80% dans la phase de découverte. Mais son rôle va au delà : après l’observation du réseau, RNA se charge de corréler ses découvertes avec sa base de signatures d’attaques, afin de ne réagir qu’à celles qui concernent réellement le segment visé. Nous atteignons toutefois ici les limites de l'annonce : qu'elle soit à destination d'une machine physique ou virtuelle, une attaque demeure une attaque. La nouveauté de Sourcefire ne concerne donc véritablement que la cartographie du réseau. Bien entendu, l’éditeur a également annoncé sa participation au programme VMsafe, annoncé par VMware en début d’année. VMsafe permet aux éditeurs tiers de disposer d’un accès privilégié aux machines virtualisées afin de mieux intégrer leurs solutions. Enfin, Sourcefire pourrait bientôt proposer une appliance virtuelle qui packagerait ses solutions au même titre que ses appliances physiques actuelles. Mots clés : sécurité virtualisation, virtualisation, vmware, vmsafe, snort, sourcefire, machine virtuelle Articles similaires
Virtualisation : configurer vos serveurs ESX pour une... CommentsVous devez vous enregistrer afin de pouvoir commenter cet article. Cliquez ici pour créer un compte gratuitement! |
Derniers Articles
Commentaires récents
Il y a 12 jours - Yep Nicolas, une solution collee a la base de donnees pourra etre plus proche... 
Il y a 12 jours - @mestrade: le problème c'est qu'Oracle propose un outil de compilation des...
Il y a 13 jours - J'avais interviewé un VP de Sentrigo. Leur agent en effet observe la...
Il y a 13 jours - J'avais oublie la petite presentation de greensql par Yuli Stremovski, son...
Il y a 13 jours - Il existe aussi des projets opensource pour filtrer les requetes SQL: Pour... |
Commentaires (6)
Lecteurs
#1 - Il y a 2 mois
Tev
Le Cercle Européen de la Sécurité
Vibes : 100%
Votes : 16 votes
Le processus de corrélation des vulns et des attaques que décrit Jérome existe dans RNA depuis l'origine, et le fait qu'il s"agisse de machines physiques ou virtuelles ne change pas grand chose (une adresse IP reste une adresse IP
Concernant VMsafe, j'ai vu plus d'éditeurs et constructeurs qui annoncaient faire partie du programme que de réelles solutions qui l'implémentent (à leur décharge, je ne suis pas certains que les APIs soient dispo chez VMware). Ceci dit, en se moment se tient VMworld aux US, et je pense que quelques annonces intéressantes devraient être faites (notamment la disponibilité de vswitches made in Cisco...mais ceci fera l'objet d'un autre article ou buzz)
-tev
#2 - Il y a 2 mois
Norman
Varonis Systems
Vibes : 100%
Votes : 7 votes
Je pense que beaucoup d'editeurs ont signe l'accord VMsafe au regard des enjeux que tient la virtualisation.
Passe l'ete, et une petite serie de tests dans les lab de QA, ils s'appercoivent que leurs appliances en coupure ne font pas le distingo entre une adresse IP d'un serveur physique et celle d'une VM et en concluent qu'ils peuvent refaire un petit communique de presse...
Par curiosite j'aimerais savoir ce que les IBM, McAfee ou Symantec, qui ont signe le partenariat VMsafe ont sorti de specifique jusqu'a present.
Norman
#3 - Il y a 2 mois
Sylvain
e-Xpert Solutions SA
Vibes : 100%
Votes : 5 votes
http://www.checkpoint.com/corporate/eve ... g-06a.html
#4 - Il y a 2 mois
Elise
LesNouvelles.net
Vibes : 83.33%
Votes : 5 votes
Quoiqu'il en soit, il faut aussi rappeler que ce n'est que depuis février que VMware a annoncé ouvrir son hyperviseur aux éditeurs de sécurité.
#5 - Il y a 2 mois
BEAULIEU
Lectra
Pour les personnes interressés, il semble y avoir une version d'évaluation : https://my.stonesoft.com/license/evalua ... gateips.do
#6 - Il y a 2 mois
Norman
Varonis Systems
Vibes : 100%
Votes : 7 votes
Ce qui est vraiment dingue, c'est qu'une ribambelle d'"experts" qui portent des casquette de BizDev ou de Marketing pour des geants de la securite ont signe cette charte sans meme savoir on ils mettaient les pieds.
Par exemple, je pense a un leader de l'antivirus qui pensait porter comme tout le monde le code de ses IPS sur des Virtual Appliance. Le souci c'est que ses IPS tournaient sur des ASICS specifiques et donc pas sur de l'x86