par jdh » 03 Mars 2009 17:36
Pour se faire un avis, il faudrait lire PLUSIEURS documents de référence.
Celui cité essaie de situer les enjeux en évitant tout terme technique. Ce faisant, il mélange des notions : par exemple "obscurantisme" au lieu de "obscurité" : vraiment très différent ! Cela aurait du sauter au yeux à la relecture !
Autre exemple "Nous l’avons vu, la virtualisation n’est pas encore inscrite dans une démarche de sécurisation informatique, même si elle a initialement été créée pour cela." Cela n'est certainement pas pour la sécurité qu'on a mis au point la virtualisation ! Contre sens !
Autre ineptie : "observer le comportement d’un logiciel malveillant (malware) - virus, ver, spyware, etc. - dans un système sain sans avoir à infecter une machine physique". Cela ne devrait concerner QUE des chercheurs. Au lieu de cela, on répand l'idée qu'il faut disposer de son pot de miel (Honey pot) et de son IDS/IPS sans que soit, le moins du monde, évoqué les exigences que cela entraine ...
Bref, je ne suis pas d'accord avec ce document. Notamment les risques de failles, pourtant évoquées, ne sont pas l'avertisseur pour l'auteur qu'ils sont pour moi. En outre, son aspect peu technique puisque destiné à des "manager", nuit à la justesse d'analyse. Contrairement au célébre aphorisme de Clémenceau sur la guerre, la sécurité est une chose trop sérieuse pour la laisser à des non-spécialistes !
Pour ce qui me concerne, je ne virtualiserais pas des firewalls. Je ne virtualiserais pas, non plus, des machines situées sur des zones différentes. Parce que cela me semble plus sûr, et est plus sûr.
Concernant un reverse proxy, jusqu'à plus ample compréhension, cela est destiné à être situé devant un serveur web (et pourquoi pas virtualisé avec). Faudrait-il encore disposer en interne d'un serveur web. Derrière une simple ligne ADSL, cela me semble avoir assez peu d'intérêt. Pourquoi pas derrière une ligne SDSL ? De plus, j'ai du mal à percevoir l'intérêt du multi wan face à un hébergement interne.
Il me semblerait largement plus rationnel d'avoir seulement 2 firewalls : il n'y a pas de sécurités supplémentaires en enchainant 2 firewalls, il n'y a que des risques supplémentaires ...
Il y a une règle : un machine hôte compromise = toutes les VM compromises !