FAITES LE TEST

Sécurité de la plateforme Cloud d'Entreprise Nutanix

Par Bruno Picard
Technical Director Nutanix France & North West Africa

ll y a 6 mois lors du .NEXT, nous avons annoncé la disponibilité immédiate de Flow Security Central ainsi que de l'arrivée prochaine de Flow Networking, et il m'a semblé qu'il pourrait-être utile de préciser ce que recouvrent nos services liés à la sécurité, maintenant rassemblés sous l'appellation Flow.

Flow micro-segmentation a été lancé il y a maintenant plus de 2 ans et l'objectif de ce service est : Simplifier la micro-segmentation en n'autorisant que les échanges souhaités (trafics horizontaux dits "Est-Ouest" ou "déplacements latéraux") entre les machines virtuelles, en la rendant accessible aux équipes de virtualisation sans être un expert du réseau.

Notre service de micro-segmentation est un exemple parfait de la simplicité de notre plateforme :

  • Intégré à notre hyperviseur, ce service ne nécessite aucune installation spécifique,
  • Activable en 1 click depuis Prism Central,
  • Basé sur la notion de catégories associées aux machines virtuelles :
  • Il permet d'isoler des échanges réseau entre ensembles (environnements) de machines virtuelles,
  • Il permet de circonscrire les accès des utilisateurs VDI en fonction de leur identité,
  • Il permet de décrire les échanges autorisés au sein d'un groupe de VMs en fonction du type d'application hébergée par celles-ci (exemple : Les VMs hébergeant des bases de données Oracle dans l'environnement de "production" refusent tout dialogue réseau autres que ceux en provenance des serveurs Web du même environnement de "production")
  • Il est immédiatement opérationnel pour toute nouvelle VM, après lui avoir affecté les catégories qui la concerne.

En quelques secondes, il est possible d'isoler 2 machines virtuelles de mon environnement appelé "Production" du reste de la plateforme.

Nous pouvons définir, en affectant des catégories, le type d'application exécuté dans ces VMs (Serveur Web "Apache_Park" et Base de données "Oracle_DB")

Et finalement n'autoriser que les échanges sur un canal réseau spécifique entre ces deux VMs (protocole TCP & port 1521)

La micro-segmentation introduit maintenant un nouveau service SaaS (sans surcoût !), Flow Security Central, qui est le poste de pilotage de la sécurité des environnements multi-clouds (OnPrem et clouds publics).

Flow Security Central comporte la "conformité des cloud publics" aux règles PCI-DSS, HIPAA, ... ainsi qu'à des règles spécifiques à Azure et AWS.

Mais Flow Security Central est aussi le point d'entrée pour visualiser la sécurité des plateformes Nutanix :

  • Visualiser quelles VMs n'ont pas de catégories associées et ne sont donc pas protégées par la micro-segmentation,
  • Visualiser tous les échanges réseau pour chaque VM,
  • Proposer des politiques de sécurisation en fonction des échanges réseau observés.
  • Donner une vision de toutes les anomalies observées pouvant provenir de logiciels malveillants ou d'attaques de la plateforme :
    • Anomalie sur l'activité réseau,
    • VMs ayant subi d'éventuelles attaques DDOS (déni de service),
    • VMs ayant subi d'éventuelles attaques pour détecter des failles réseau,
    • VMs ayant subi des tentatives de connexion par essais successifs de mots de passe en se basant sur les mots du dictionnaire,
    • VMs ayant subi d'éventuelles fuites de données vers l'extérieur de la plateforme,
    • VMs ayant des échanges réseau avec des adresses "blacklistées"
  • Donner une vision de toutes les anomalies de conformité aux règles de sécurité que nous nous sommes astreints à suivre dans le développement de notre plateforme et de nos services (STIG: Security Technical Implementation Guides)

En synthèse, Flow Security Central est un service de pilotage de la sécurité multi-cloud qui met en lumière un grand nombre de failles éventuelles de sécurité et de conformité.

Enfin, lors du .NEXT, nous avons annoncé l'arrivée prochaine du "dernier rejetons" de la famille des services de sécurité avec Flow Networking, déjà disponible sur AOS 5.19 en Early Access.

Intégré à AHV et Prism Central, ce service permet de gérer des clouds privés virtuels (VPC) et les autres composantes des réseaux virtuels afin de relier les modèles de réseaux traditionnels et les modèles de réseaux natifs du cloud.

Flow Networking facilite la création, la gestion et la connexion de réseaux virtuels entre plusieurs plateformes Nutanix, y compris les plateformes Nutanix Cluster hébergées chez AWS et bientôt Azure.

Flow Networking sera bientôt GA et nous en reparlerons !