Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

VMware vSphere 4.0 certifié critères communs EAL4+

VMware vSphere 4.0 certifié critères communs EAL4+
2010-11-132013-04-11sécurité applicativefr
La suite vSphere 4.0 (ESX 4.0, ESXi4.0 et vCenter Server 4.0) a été certifiée selon les critères communs. Le niveau de certification obtenu EAL4+ devrait augmenter la confiance dans les services de cloud computing....
Publié le 13 Novembre 2010 par Jean-François Audenard dans sécurité applicative
 

C'est une bonne nouvelle pour les services de cloud computing : La solution logicielle vSphere 4.0 de VMware a été certifiée au niveau EAL4+ selon les critères communs. Cette certification concerne l'ensemble des logiciels de la suite vSphere (ESX 4.0, ESXi4.0 et vCenter Server 4.0).

Ce type de certification, comme les autres d'ailleurs, ne permet de pas de dire que ces logiciels sont sécurisés contre toutes les attaques et qu'ils ne contiennent aucune faille. Il s'agit ici plutôt d'une analyse de leur architecture, de leur mode de conception et de développement qui ont été l'objet d'analyses selon des critères de sécurité pré-établis. Cette nouvelle certification vient s'ajouter à celles déjà obtenues par VMware pour des versions précédentes. Elle s'appliquent à des versions très précises.

Un contrôle technique ponctuel
En faisant le parallèle avec une voiture, celle-ci a passé avec succès le contrôle technique, ce n'est pas pour autant que les freins ne vont pas lâcher après 300 kilomètres, que le conducteur ne va pas s'endormir au volant ou qu'un pneu ne pas éclater. Idem, si un hacker de génie trouve le moyen de détourner le système électronique d'ouverture à distance des portes.

Pour les systèmes informatiques c'est un peu la même chose : Si des mots de passe triviaux sont utilisés ou si les correctifs de sécurité non déployés en temps et en heure, alors la sécurité du système peut être compromise...

Une brique mais pas un système ni un service
Donc oui c'est une bonne nouvelle : La sécurité de l'une des briques essentielles des offres de cloud computing de type IaaS (Infrastructure as a Service) a été évaluée de façon plutôt objective. Reste à utiliser cette brique de la bonne façon pour délivrer un service lui aussi sécurisé. En faisant un autre parallèle, le réseau MPLS d'un opérateur n'est pas forcément sécurisé (ni certifié) même si il utilise des routeurs backbone qui ont été certifiés.

La cible d'évaluation pour en savoir plus
Pour ceux que cela intéresse, ils trouveront plus d'informations sur la cible d'évaluation disponible sur cette page du site du CSTC (Centre de la Sécurité des Télécommunications du Canada). Ce document permet de voir quels composants et fonctionnalités ont été évalués.

Différentiel entre cible d'évaluation et système opérationnel
Oui, il est possible d'écarter ce que l'on souhaite d'une TOE (Target Of Evaluation) : certains acteurs ont parfois tendance à écarter un peu trop de choses de la cible de certification, le système tel qu'utilisé dans le vraie vie ne ressemblant que de façon lointaine à ce qui a été certifié. Il convient donc de rester vigilant et de ne pas tomber dans le panneau du "tampon sécurité" que les sont les certifications.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage