EDIT: quelques compléments d’info sur le mode de licensing, comme prévu.
La virtualisation a envahi l’ensemble des segments de nos productions, y compris les plus sensible comme les DMZ d’une solution de pare-feu périmétrique, jusqu’à la publication de machines virtuelles directement exposées aux réseaux publics, Internet en tête.
Mais, comme vous le savez certainement, tout cela repose sur le principe qu’un hyperviseur tel qu’ESXi assure les fonctions d’isolation sans faille et, par extension, que toute la chaîne de virtualisation reste le plus sécurisé et à jour possible. Autant dire que le travail quotidien d’entretenir et maintenir ces environnements est extrèmement chronophage et impose une rigueur à toute épreuve dans le suivi des KB et des best-practices VMware.
Dans ce contexte, la société Runecast a développé un outil assez génial pour automatiser au moins tout le travail d’audit de cette conformité, autant en matière de sécurité qu’en matière de correctifs plus généraux.
Voyons cela de plus près !
Présentation et installation
Runecast est une solution tout en un qui permet d’auditer l’ensemble des composants vSphere (vCenter, ESXi principalement) et comparer vos paramètres et états techniques internes aux patchs, mises à jour de sécurité, KB VMware ainsi que best-practices associés. Il est capable également de vous proposer une liste de tâches à accomplir pour pouvoir vous mettre en conformité avec le “hardening guide” de VMware si vos workloads nécessitent d’aller aussi loin que possible dans le verrouillage de l’infrastructure.
Livré sous forme d’OVA – c’est la norme aujourd’hui – l’environnement Runecast s’installe en quelques minutes et propose, à l’issue, un portail web pour découvrir tout le potentiel du logiciel. Une fois connecté, vous renseignez les coordonnées d’accès à votre/vos vCenter(s) et … vous lancez l’analyse bien sûr ;)
OMFG ya que du critical et du major !
Oui, alors, bon, effectivement, le moins qu’on puisse dire c’est que Runecast fait peur… en première lecture ! Après une analyse très rapide (moins de 5 minutes pour 1500 VMs et 45 hyperviseurs), le dashboard qui vous est présenté est assez, comment dire, anxiogène ^^. Le fait est que même si les “problèmes” trouvés sur votre infrastructure sont tous pondérés par un niveau de priorité, à la manière des vulnérabilités classiques (CRITICAL, MAJOR, MEDIUM, LOW), globalement l’interface produit son petit effet.
Passé ce premier choc, il s’agit de prendre du recul (comme toujours), et analyser plus posément les résultats. Force est de constater que le produit est très bien fait de ce point vue. En face de chaque alerte, vous disposez d’un bandeau expliquant la source de celle-ci et surtout le contexte et les éléments qui ont provoqué cette détection. Vous disposez aussi de plusieurs sections qui mettent l’accent sur certains aspects de l’analyse : “issue list” par exemple, recensera l’ensemble des alertes, quand “security hardening” ne vous affichera que des recommandations de sécurité (comme la désactivation de l’accès SSH de vos serveurs ou l’activation du lockdown). Une section spécifique très intéressante présente aussi l’ensemble des alertes relatives aux KB VMware et concerne forcément plus les aspects correctifs de stabilité ou de fonctionnement général. Elle peut être un guide particulièrement pertinent pour vous focaliser sur la fiabilité générale du vos ESXi sans pour autant passer vos journées à lire les KB détaillés pour savoir s’ils vous concernent.
Deming avec nous
Runecast est également capable de suivre vos environnements sur la durée. La section “log analysis” permet de repérer les nouvelles détections de non conformité au cours du temps de manière par exemple à se focaliser au quotidien sur les choses importantes sans être noyé dans la masse des alertes globales que vous pouvez décider de mitiger en mode “traitement de fond” par ailleurs.
La planification des audits, après une première phase de remédiation, autorise aussi à maintenir facilement votre parc vSphere à jour et produire des rapports de conformité très prisés de nos chers RSSI !
Et ça coute combien ?
Runecast propose un petit document Excel permettant de calculer le ROI de leur solution. Certes, les inputs sont sans doute assez favorables pour l’éditeur. Néanmoins, pour une quarantaine de serveurs, le tableau calcule un coût total d’investissement de $24000, ce qui place la licence “au serveur ESXi” à environ $600. De mon point de vue, c’est tout à fait raisonnable au regard du temps économisé et surtout du potentiel de reporting factuel et surtout exhaustif. Ce faisant, le logiciel a toutes les qualités pour impressionner la chaîne de direction, RSSI compris. Revers de la médaille, c’est le défaut de ses qualités, il obligera de facto les services de production/MCO à un travail plus important et régulier d’entretien de la conformité… c’est le prix de la sécurité !
Pour être complet, j’ai demandé quelques précisions à la société et j’attends son retour notamment autour des licences (perpétuelles ou non) et le support/maintenance. Je préciserai les choses dans ce billet dès que j’aurai reçu les réponses.
J’ai donc reçu des informations complémentaires de la part de Ched Smokovic, co-fondateur de Runecast (merci à lui !). Runecast fonctionne donc sur le mode de licensing par souscription annuelle. Les licences ne sont donc pas perpétuelles. En un sens, c’est compréhensible car, par défintion, Runecast doit constamment évoluer au gré des KB et recommandations diverses, un peu comme un Antivirus ou un service de réputation web. Ceci étant, c’est à prendre en compte dans votre calcul de ROI si vous êtes intéressé par la solution..
Pour aller plus loin, rendez-vous sur le site de Runecast ici.
3.5