SlideShare a Scribd company logo

RBS-Virtualisation.pdf

D
deRavelThierry

Vulnérabilités engendrées par la virtualisation Sommaire 1. Rappel des architectures de virtualisation 2. Risques liés à la virtualisation 3. Conséquences sur l'implémentation d'une infrastructure virtuelle 4. Conséquences sur la gestion des correctifs de sécurité 5. Conséquences sur la disponibilité (PRA)

Software
1 of 27
Download to read offline
Vulnérabilités engendrées par la virtualisation Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL V2- 26/9/2007
Vulnérabilités engendrées par la virtualisation Rappel des architectures de virtualisation Risques liés à la virtualisation Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la gestion des correctifs de sécurité Conséquences sur la disponibilité (PRA)
Qu’est ce que la virtualisation ? Sans virtualisation Avec virtualisation Focus de la présentation
Architecture de virtualisation: Différentes implémentations VMM de type 2 VMM hybride VMM de type 1 (Hyperviseur) Exemples : JVM CLR Exemples : Virtual PC & Virtual Server Exemples : VMWare ESX Virtualization Server
VMWare ESX Accès SSH pour l’accès en ligne de commande au Service Console Accès VMWare Web Client de chaque serveur pour l’administration VirtualCenter Management pour la gestion d’une ou plusieurs infrastructure(s) Architecture de virtualisation: Outil(s) d’administration 1/2
Virtual Server VRMC pour la gestion du KVM virtuel Virtual Server Administration Web (via IIS6) System Center Virtual Machine Manager Architecture de virtualisation: Outil(s) d’administration 2/2
Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
« tornade » de la virtualisation
Vulnérabilités lié à la sécurité physique, Risque de sécurité physique est déjà valable en non virtuel mais il est accru par la virtualisation Erreurs d’intervention sur le matériel du système hôte Tolérance aux pannes des composants du système hôte (Alimentation, Disk,…) Rappel des risques liés au regroupement physique Protection électrique du matériel Sécurisation du local informatique (climatisation, incendie, intrusion,…) Organisation du cœur de réseau (Performance, Sécurisation,..) Vulnérabilités liés aux privilèges des équipes IT Mauvaise répartition des droits d’accès aux équipes IT peut permettre l’accès à des applications sensibles (qui au départ étaient installées sur des serveurs bien distincts pour limiter ce risque !) Vulnérabilités engendrées par la virtualisation 1/2
Vulnérabilités liés aux failles de sécurité Saturation de la mémoire peut entraîner des perturbations au sein des instances virtuelles voire la mise hors service de la machine hôte Attaque d’une machine virtuelle, et de là à passer par l’exploitation hôte, avoir la mainmise sur l’ensemble des machines virtuelles Vulnérabilités engendrées par la virtualisation 2/2
La plus exposée: la couche de virtualisation Pourquoi ? Fait le lien entre le matériel et différentes machines virtuelles hôtes En VMWare ESX, c’est le VMKernel ou le Service Console Sous Virtual Server: c’est donc l’OS Windows 2003 hôte et Virtual Server La plus sensible: l’(ou les) outil(s) d’administration Donne un accès privilégié à l’ensemble des instances virtuelles Puces dédiés à aux infrastructures virtuelles Comme Intel VT (Vanderpool Technology) ou AMD SVM (Pacifica) Peuvent permettre l’accès aux ressources systèmes à travers d’un « rootkit » Vulnérabilités engendrées par les couches logicielles
Historique des failles de sécurité connues 2003-2007 Peu de failles comparé aux OS classiques ! Toutes les failles sont corrigées
VMWare ESX CERTA-2007-AVI-409 – 21 Septembre 2007 Multiples vulnérabilités dans les produits VMware http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-409 http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/065902.html CERTA-2007-AVI-154 – 3 Avril 2007 Multiples vulnérabilités de VMware ESX Server http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-154/ Virtual Server CERTA-2007-AVI-360 – 14 Août 2007 Vulnérabilité de Microsoft Virtual PC et Virtual Server http://www.microsoft.com/france/technet/security/Bulletin/MS07-049.mspx Failles de sécurité récentes
Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
Cycle d’installation des correctifs de sécurité La complexité du maintien opérationnel des serveurs est accrue par la valeur des données hébergées et le temps homme requis par le processus de patch: Qualification du correctif Tests de non régression Déploiement Retour arrière le cas échéant Le problème est que quasiment aucune organisation n’a mis en place ce type de process pour gérer l’installation de patchs de sécurité sur des serveurs et applications critiques !!
Cycle d’installation des correctifs de sécurité Plus un serveur est critique, moins il est « patché »… !
Se tenir informé des vulnérabilités http://www.cve.mitre.org/ http://secunia.com/ Passer régulièrement les correctifs de sécurité sur la couche de virtualisation Ne pas négliger les correctifs des OS des machines virtuelles elles-mêmes ! Construire une infrastructure avec plusieurs serveurs hôtes intégrant des technologies de migration à chaud (VMotion, Live relocation, Live Migration, ) facilitant l’installation de ces correctifs Se protéger des attaques sur les systèmes non patchés à l’aide des solutions partenaires Éditeur BlueLane (VirtualShield ou appliance PatchPoint) Correctifs de sécurité Best Practices
Quid des correctifs VMWare ESX VI3 ? Notification des correctifs se fait par e-mail saisie lors de l’enregistrement de la licence Accessible à l’adresse: http://www.vmware.com/download/vi/vi3_patches.html Notification est également inscrite sur le site VMTN Correctifs sont classifiés en 3 catégories Security: Correctifs fixent une ou plusieurs vulnérabilités de sécurité, habituellement dans le Service Console. Elles devraient être installées aussi rapidement que possible. Critical: Ceux-ci fixent un bogue ou une faille dans le logiciel. Les failles que ces patchs adressent peut causer à la perte de données ou aux ruptures graves de service, et devraient être installées tout de suite. General: habituellement pour une faille mineure qui pourrait affecter un petit sous-ensemble de clients. Ces correctifs doivent être tester s’ils sont applicables à l’environnement courant Gestion des correctifs de sécurité VMWare
Architecture de gestion des correctifs Windows et Virtual Server Offre Windows Software Update Services (actuellement WSUS V3) Infrastructure complète de gestion des mises à jour avec l’OS Windows Permet de distribuer les mises à jour Windows Update au sein de l’entreprise Gestion des correctifs de sécurité Microsoft
Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
Recommandations: partie Réseau Segmenter les services réseau pour augmenter la sécurité en limitant les risques d’attaque DoS ou DDoS Pour VMWare ESX: c’est limiter l’accès au Service Console ou VMKernel Pour Virtual Server: c’est limiter les accès VMRC et System Center VMM Conséquences sur l’implémentation
Recommandations: partie haute disponibilité Perte d’un système hôte au sein d’un cluster impacte moins de ressources mais pas de perte de machines virtuelles Pour VMWare ESX: c’est la technologie VMWare HA Pour Virtual Server: cela sera disponible avec Live Migration (futur Longhorn) A l’issue, le seul point sensible : la perte du système de stockage ainsi que la corruption logique des machines VM et des données associées Cela impose une démarche PRA (ou PSI) avec notion de reprise d’activité Conséquences sur l’implémentation réseau
Conséquences sur la protection de serveurs non patchés
Conséquences sur les OS VM non patchés VirtualShield est l’implémentation de PatchPoint mais au niveau de VMWare ESX VirtualShield™ est au niveau d’un bouclier virtuel positionné entre l’hyperviseur ESX et les machines virtuelles
Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
Reprise d’Activités Duplication des données doit être réalisée selon le temps RPO (Recovery Point of Objective); cela reste identique à l’infrastructure physique Temps de reprise RTO (Recovery Time of Objective) est plus réduit lié à la banalisation de l’OS qui est virtualisé Conséquences sur la disponibilité
Finalement la virtualisation amène des gains de sécurité essentiellement sur la disponibilité : Déploiement Tests de non régression PRA et sa validation Retour arrière Virtualisation nécessite encore plus une focalisation sur les besoins de sécurité « standards », Physique: matériel, électrique, dissipation calorifique,… Logique: gestion de correctifs VMM et autres couches Question subsidiaire: faut-il mettre tous ses œufs dans le même panier ? Conclusion

Recommended

Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationfabricemeillon
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...fabricemeillon
 
Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-Vfabricemeillon
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm
 
cloudPrivé.pptx
cloudPrivé.pptxcloudPrivé.pptx
cloudPrivé.pptxNatijTDI
 
Deploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareDeploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareMame Cheikh Ibra Niang
 
Ha0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administration
Ha0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administrationHa0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administration
Ha0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administrationCERTyou Formation
 

Recommended

Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationfabricemeillon
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...fabricemeillon
 
Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-Vfabricemeillon
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm
 
cloudPrivé.pptx
cloudPrivé.pptxcloudPrivé.pptx
cloudPrivé.pptxNatijTDI
 
Deploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareDeploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareMame Cheikh Ibra Niang
 
Ha0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administration
Ha0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administrationHa0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administration
Ha0435 formation-symantec-veritas-cluster-server-6-0-for-windows-administrationCERTyou Formation
 
Protection complète des données pour Hyper-V
Protection complète des données pour Hyper-VProtection complète des données pour Hyper-V
Protection complète des données pour Hyper-VMicrosoft Décideurs IT
 
Virtualization fr datasheet
Virtualization fr datasheetVirtualization fr datasheet
Virtualization fr datasheetJulien Pulvirenti
 
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...CERTyou Formation
 
Les avantages de la virtualisation
Les avantages de la virtualisationLes avantages de la virtualisation
Les avantages de la virtualisationNRC
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...UNIDEES Algérie
 
Alphorm.com Formation VMware Horizon View 5.2
Alphorm.com Formation VMware Horizon View 5.2Alphorm.com Formation VMware Horizon View 5.2
Alphorm.com Formation VMware Horizon View 5.2Alphorm
 
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu France
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Veeam - Les meilleurs outils de gestion d'infrastructure VMware
Veeam - Les meilleurs outils de gestion d'infrastructure VMwareVeeam - Les meilleurs outils de gestion d'infrastructure VMware
Veeam - Les meilleurs outils de gestion d'infrastructure VMwareArnaud_Quenum
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08actualblog
 
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administrationHa0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administrationCERTyou Formation
 
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...CERTyou Formation
 
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDCSécurité et Virtualisation IDC
Sécurité et Virtualisation IDCPROJECT SI
 
Important Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre SlidesImportant Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre Slidesnouari
 
Environnements_virtuels_-_Partie_1.pptx.pdf
Environnements_virtuels_-_Partie_1.pptx.pdfEnvironnements_virtuels_-_Partie_1.pptx.pdf
Environnements_virtuels_-_Partie_1.pptx.pdfismailoss
 
Techdays Par219
Techdays Par219Techdays Par219
Techdays Par219zCoreIOBlog
 
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Youcef Aliarous
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
ISDay 2018 - Atelier Veeam
ISDay 2018 - Atelier VeeamISDay 2018 - Atelier Veeam
ISDay 2018 - Atelier VeeamInforsud Diffusion
 

More Related Content

Similar to RBS-Virtualisation.pdf

Protection complète des données pour Hyper-V
Protection complète des données pour Hyper-VProtection complète des données pour Hyper-V
Protection complète des données pour Hyper-VMicrosoft Décideurs IT
 
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...CERTyou Formation
 
Les avantages de la virtualisation
Les avantages de la virtualisationLes avantages de la virtualisation
Les avantages de la virtualisationNRC
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...UNIDEES Algérie
 
Alphorm.com Formation VMware Horizon View 5.2
Alphorm.com Formation VMware Horizon View 5.2Alphorm.com Formation VMware Horizon View 5.2
Alphorm.com Formation VMware Horizon View 5.2Alphorm
 
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu France
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Veeam - Les meilleurs outils de gestion d'infrastructure VMware
Veeam - Les meilleurs outils de gestion d'infrastructure VMwareVeeam - Les meilleurs outils de gestion d'infrastructure VMware
Veeam - Les meilleurs outils de gestion d'infrastructure VMwareArnaud_Quenum
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08actualblog
 
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administrationHa0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administrationCERTyou Formation
 
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...CERTyou Formation
 
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDCSécurité et Virtualisation IDC
Sécurité et Virtualisation IDCPROJECT SI
 
Important Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre SlidesImportant Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre Slidesnouari
 
Environnements_virtuels_-_Partie_1.pptx.pdf
Environnements_virtuels_-_Partie_1.pptx.pdfEnvironnements_virtuels_-_Partie_1.pptx.pdf
Environnements_virtuels_-_Partie_1.pptx.pdfismailoss
 
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Youcef Aliarous
 

Similar to RBS-Virtualisation.pdf (20)

Protection complète des données pour Hyper-V
Protection complète des données pour Hyper-VProtection complète des données pour Hyper-V
Protection complète des données pour Hyper-V
 
Virtualization fr datasheet
Virtualization fr datasheetVirtualization fr datasheet
Virtualization fr datasheet
 
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
 
Les avantages de la virtualisation
Les avantages de la virtualisationLes avantages de la virtualisation
Les avantages de la virtualisation
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...
 
Alphorm.com Formation VMware Horizon View 5.2
Alphorm.com Formation VMware Horizon View 5.2Alphorm.com Formation VMware Horizon View 5.2
Alphorm.com Formation VMware Horizon View 5.2
 
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
Veeam - Les meilleurs outils de gestion d'infrastructure VMware
Veeam - Les meilleurs outils de gestion d'infrastructure VMwareVeeam - Les meilleurs outils de gestion d'infrastructure VMware
Veeam - Les meilleurs outils de gestion d'infrastructure VMware
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08
 
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administrationHa0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
Ha0434 formation-symantec-veritas-cluster-server-6-0-for-unix-administration
 
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
Vmw08 formation-vmware-vsphere-5-installation-configuration-haute-disponibili...
 
Sécurité et Virtualisation IDC
Sécurité et Virtualisation IDCSécurité et Virtualisation IDC
Sécurité et Virtualisation IDC
 
Important Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre SlidesImportant Vm Ware Infrastrucutre Slides
Important Vm Ware Infrastrucutre Slides
 
Environnements_virtuels_-_Partie_1.pptx.pdf
Environnements_virtuels_-_Partie_1.pptx.pdfEnvironnements_virtuels_-_Partie_1.pptx.pdf
Environnements_virtuels_-_Partie_1.pptx.pdf
 
Techdays Par219
Techdays Par219Techdays Par219
Techdays Par219
 
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jourAlphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
Alphorm.com Formation Stormshield version 3 - Comprendre les mises à jour
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
ISDay 2018 - Atelier Veeam
ISDay 2018 - Atelier VeeamISDay 2018 - Atelier Veeam
ISDay 2018 - Atelier Veeam
 

RBS-Virtualisation.pdf

  • 1. Vulnérabilités engendrées par la virtualisation Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL V2- 26/9/2007
  • 2. Vulnérabilités engendrées par la virtualisation Rappel des architectures de virtualisation Risques liés à la virtualisation Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la gestion des correctifs de sécurité Conséquences sur la disponibilité (PRA)
  • 3. Qu’est ce que la virtualisation ? Sans virtualisation Avec virtualisation Focus de la présentation
  • 4. Architecture de virtualisation: Différentes implémentations VMM de type 2 VMM hybride VMM de type 1 (Hyperviseur) Exemples : JVM CLR Exemples : Virtual PC & Virtual Server Exemples : VMWare ESX Virtualization Server
  • 5. VMWare ESX Accès SSH pour l’accès en ligne de commande au Service Console Accès VMWare Web Client de chaque serveur pour l’administration VirtualCenter Management pour la gestion d’une ou plusieurs infrastructure(s) Architecture de virtualisation: Outil(s) d’administration 1/2
  • 6. Virtual Server VRMC pour la gestion du KVM virtuel Virtual Server Administration Web (via IIS6) System Center Virtual Machine Manager Architecture de virtualisation: Outil(s) d’administration 2/2
  • 7. Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
  • 8. « tornade » de la virtualisation
  • 9. Vulnérabilités lié à la sécurité physique, Risque de sécurité physique est déjà valable en non virtuel mais il est accru par la virtualisation Erreurs d’intervention sur le matériel du système hôte Tolérance aux pannes des composants du système hôte (Alimentation, Disk,…) Rappel des risques liés au regroupement physique Protection électrique du matériel Sécurisation du local informatique (climatisation, incendie, intrusion,…) Organisation du cœur de réseau (Performance, Sécurisation,..) Vulnérabilités liés aux privilèges des équipes IT Mauvaise répartition des droits d’accès aux équipes IT peut permettre l’accès à des applications sensibles (qui au départ étaient installées sur des serveurs bien distincts pour limiter ce risque !) Vulnérabilités engendrées par la virtualisation 1/2
  • 10. Vulnérabilités liés aux failles de sécurité Saturation de la mémoire peut entraîner des perturbations au sein des instances virtuelles voire la mise hors service de la machine hôte Attaque d’une machine virtuelle, et de là à passer par l’exploitation hôte, avoir la mainmise sur l’ensemble des machines virtuelles Vulnérabilités engendrées par la virtualisation 2/2
  • 11. La plus exposée: la couche de virtualisation Pourquoi ? Fait le lien entre le matériel et différentes machines virtuelles hôtes En VMWare ESX, c’est le VMKernel ou le Service Console Sous Virtual Server: c’est donc l’OS Windows 2003 hôte et Virtual Server La plus sensible: l’(ou les) outil(s) d’administration Donne un accès privilégié à l’ensemble des instances virtuelles Puces dédiés à aux infrastructures virtuelles Comme Intel VT (Vanderpool Technology) ou AMD SVM (Pacifica) Peuvent permettre l’accès aux ressources systèmes à travers d’un « rootkit » Vulnérabilités engendrées par les couches logicielles
  • 12. Historique des failles de sécurité connues 2003-2007 Peu de failles comparé aux OS classiques ! Toutes les failles sont corrigées
  • 13. VMWare ESX CERTA-2007-AVI-409 – 21 Septembre 2007 Multiples vulnérabilités dans les produits VMware http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-409 http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/065902.html CERTA-2007-AVI-154 – 3 Avril 2007 Multiples vulnérabilités de VMware ESX Server http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-154/ Virtual Server CERTA-2007-AVI-360 – 14 Août 2007 Vulnérabilité de Microsoft Virtual PC et Virtual Server http://www.microsoft.com/france/technet/security/Bulletin/MS07-049.mspx Failles de sécurité récentes
  • 14. Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
  • 15. Cycle d’installation des correctifs de sécurité La complexité du maintien opérationnel des serveurs est accrue par la valeur des données hébergées et le temps homme requis par le processus de patch: Qualification du correctif Tests de non régression Déploiement Retour arrière le cas échéant Le problème est que quasiment aucune organisation n’a mis en place ce type de process pour gérer l’installation de patchs de sécurité sur des serveurs et applications critiques !!
  • 16. Cycle d’installation des correctifs de sécurité Plus un serveur est critique, moins il est « patché »… !
  • 17. Se tenir informé des vulnérabilités http://www.cve.mitre.org/ http://secunia.com/ Passer régulièrement les correctifs de sécurité sur la couche de virtualisation Ne pas négliger les correctifs des OS des machines virtuelles elles-mêmes ! Construire une infrastructure avec plusieurs serveurs hôtes intégrant des technologies de migration à chaud (VMotion, Live relocation, Live Migration, ) facilitant l’installation de ces correctifs Se protéger des attaques sur les systèmes non patchés à l’aide des solutions partenaires Éditeur BlueLane (VirtualShield ou appliance PatchPoint) Correctifs de sécurité Best Practices
  • 18. Quid des correctifs VMWare ESX VI3 ? Notification des correctifs se fait par e-mail saisie lors de l’enregistrement de la licence Accessible à l’adresse: http://www.vmware.com/download/vi/vi3_patches.html Notification est également inscrite sur le site VMTN Correctifs sont classifiés en 3 catégories Security: Correctifs fixent une ou plusieurs vulnérabilités de sécurité, habituellement dans le Service Console. Elles devraient être installées aussi rapidement que possible. Critical: Ceux-ci fixent un bogue ou une faille dans le logiciel. Les failles que ces patchs adressent peut causer à la perte de données ou aux ruptures graves de service, et devraient être installées tout de suite. General: habituellement pour une faille mineure qui pourrait affecter un petit sous-ensemble de clients. Ces correctifs doivent être tester s’ils sont applicables à l’environnement courant Gestion des correctifs de sécurité VMWare
  • 19. Architecture de gestion des correctifs Windows et Virtual Server Offre Windows Software Update Services (actuellement WSUS V3) Infrastructure complète de gestion des mises à jour avec l’OS Windows Permet de distribuer les mises à jour Windows Update au sein de l’entreprise Gestion des correctifs de sécurité Microsoft
  • 20. Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
  • 21. Recommandations: partie Réseau Segmenter les services réseau pour augmenter la sécurité en limitant les risques d’attaque DoS ou DDoS Pour VMWare ESX: c’est limiter l’accès au Service Console ou VMKernel Pour Virtual Server: c’est limiter les accès VMRC et System Center VMM Conséquences sur l’implémentation
  • 22. Recommandations: partie haute disponibilité Perte d’un système hôte au sein d’un cluster impacte moins de ressources mais pas de perte de machines virtuelles Pour VMWare ESX: c’est la technologie VMWare HA Pour Virtual Server: cela sera disponible avec Live Migration (futur Longhorn) A l’issue, le seul point sensible : la perte du système de stockage ainsi que la corruption logique des machines VM et des données associées Cela impose une démarche PRA (ou PSI) avec notion de reprise d’activité Conséquences sur l’implémentation réseau
  • 23. Conséquences sur la protection de serveurs non patchés
  • 24. Conséquences sur les OS VM non patchés VirtualShield est l’implémentation de PatchPoint mais au niveau de VMWare ESX VirtualShield™ est au niveau d’un bouclier virtuel positionné entre l’hyperviseur ESX et les machines virtuelles
  • 25. Vulnérabilités engendrées par la virtualisation Architecture de virtualisation Risques liés à la virtualisation Conséquences sur la gestion des correctifs de sécurité Conséquences sur l’implémentation d’une infrastructure virtuelle Conséquences sur la disponibilité (PRA)
  • 26. Reprise d’Activités Duplication des données doit être réalisée selon le temps RPO (Recovery Point of Objective); cela reste identique à l’infrastructure physique Temps de reprise RTO (Recovery Time of Objective) est plus réduit lié à la banalisation de l’OS qui est virtualisé Conséquences sur la disponibilité
  • 27. Finalement la virtualisation amène des gains de sécurité essentiellement sur la disponibilité : Déploiement Tests de non régression PRA et sa validation Retour arrière Virtualisation nécessite encore plus une focalisation sur les besoins de sécurité « standards », Physique: matériel, électrique, dissipation calorifique,… Logique: gestion de correctifs VMM et autres couches Question subsidiaire: faut-il mettre tous ses œufs dans le même panier ? Conclusion