Les machines virtuelles sont par nature dynamiques et conçues pour être facilement déplacées, copiées ou supprimées. Elles contiennent en outre tous les éléments permettant d'exécuter une application ou une tâche indépendamment du matériel sous-jacent, pointe l'éditeur californien HyTrust, présent sur la conférence VMworld (San Francisco, du 24 au 28 août). Pour restreindre l'exécution de certaines machines virtuelles à des emplacements désignés, il propose en partenariat avec Intel une solution de sécurité cloud adaptées aux machines virtuelles VMware. Baptisée Boundary Controls, celle-ci permet de définir des règles pour que les applications virtualisées ne puissent fonctionner que sur des serveurs hôtes bien identifiés et fiables, physiquement installés dans des lieux géographiques spécifiés. L'objectif, explique HyTrust, est de réduire les risques de vol de données ou d'utilisation malveillante de données, ou encore d'éviter d'enfreindre les réglementations.

Boundary Controls s'appuie sur la technologie TXT (Trusted Execution) d'Intel qui permet, au niveau du processeur, du BIOS et de l'hyperviseur, d'attester que des charges de travail sensibles fonctionnent bien sur des plateformes identifiées. Avec la solution CloudControl 4.0 de HyTrust, on peut assigner des indicateurs à certaines machines virtuelles pour qu'elles ne s'exécutent que sur des hôtes prédéfinis, par exemple un datacenter précis, ou encore dans la limite des frontières d'un pays. Si la VM est copiée ou déplacée de son emplacement autorisé, elle ne fonctionnera pas, explique HyTrust sur son site. En complément, l'éditeur propose le logiciel DataControl qui permet d'assurer que les données ne pourront pas être déchiffrées dans le cas où une VM se retrouverait sur un site ne correspondant pas à ses paramètres.

Une version pour OpenStack/KVM l'an prochain

Il y a toutefois certaines exigences matérielles pour que Boundary Controls puisse fonctionner, notamment l'utilisation de la génération Westmere de puces Intel et le module Trusted Platform permettant de mettre en oeuvre les fonctions nécessaires du BIOS, a précisé Jim Greene, responsable des technologies de sécurité de l'entité datacenter d'Intel, interrogé par Network World. L'éditeur HyTrust prévoit de livrer l'an prochain une solution similaire pour OpenStack/KVM, également basée sur le matériel d'Intel. Ce dernier figure parmi les investisseurs de la société, de même que VMware, Cisco et Fortinet. On y trouve aussi In-Q-Tel, une association à but non lucratif dont l'objectif est d'identifier des technologies susceptibles de servir les intérêts nationaux des Etats-Unis.