28 septembre 2011
Virtualisation et sécurité : panorama et risques
CNIS
Gérôme BILLOIS
Manager sécurité
+ 33 (0)6 10 99 00 60
Twitter : @gbillois
228 septembre 2011 - Propriété de Solucom, reproduction interdite
La virtualisation : un buzzword ….… aux origines lointaines
1968
Mainframe
1998 2003
Virtualisation x86
2009
Cloud computing
Petit retour en arrière sur la virtualisation
La virtualisation, un concept connu essentiellement grâce à la virtualisation système (Microsoft, VMware) …
… mais qui existe depuis plus de 40 ans (avec les mainframe et systèmes IBM)
En plein buzz avec le développement du cloud computing
328 septembre 2011 - Propriété de Solucom, reproduction interdite
Commençons par une définition …
La virtualisation consiste à faire fonctionner sur une seule machine physique plusieurs systèmes comme s'ils fonctionnaient sur des machines physiques distinctes
La virtualisation c’est quoi en réalité ?
… et 3 notions incontournables
Matériel
Hyperviseur
Système invité
Système invité
Système invité
Systèmes virtualisés exécutés par l’hyperviseur
Système / configuration gérant les interactions des machines virtuelles avec le matériel physique
Système accueillant l’hyperviseur sur la machine physique qui va « virtualiser » un ou plusieurs autres systèmes
Système hôte
Dans la plupart des cas, l’hyperviseur et le système hôte sont « fusionnés »
428 septembre 2011 - Propriété de Solucom, reproduction interdite
Illustration de la virtualisation pour les cinéphiles…
INCEPTION, une illustration parfaite des concepts de base de la virtualisation
Matériel
Système Hôte (niveau 1)
Hyperviseur
Système invité 1 (niveau 2)
Hyperviseur
Système invité 2 (niveau 3)
Objectif : Un serveur Windows 2003 sur un poste de travail Apple de test
Poste de travail de test
MacOS X
Windows XP
VMware Fusion
VMware Workstation
Hyperviseur
Système invité 3 (niveau 4)Windows server 2003
ESX / Linux
Intrusions possibles à partir d’un niveau inférieur
Performances affaiblies au fil des niveaux
Chaque niveau peut évoluer en parallèle et peut impacter les niveaux virtualisés
Absence de conscience d’être virtualisé
Réalité
Rêve 1
Le van
Rêve 2
L’hôtel
Rêve 3
La forteresse
5
Modèle économique
Consolidationdes infrastructures
Rapidité du déploiement
Mise à disposition logique vs physique
Élasticité
Adaptation à la charge
Les bénéfices de la virtualisation
28 septembre 2011 - Propriété de Solucom, reproduction interdite
En conséquence
Une adoption forte depuis plusieurs années
… et la virtualisation est maintenant présente sous de nombreuses formes !
En 2010, nos grands clients ont virtualisé environ 30%
de leurs serveurs, un chiffre qui devrait passer à plus de
75% d'ici deux ans
628 septembre 2011 - Propriété de Solucom, reproduction interdite
De nombreuses déclinaisons : ce n’est plus « que » de la virtualisation système
VirtualisationSystème
« traditionnelle »
Virtualisationdes équipements
de sécurité
Virtualisation desposte de travail
Virtualisation du réseau
Équipements de sécurité virtuels
(Firewalls, Sondes IDS-IPS)
Sessions virtuelles Applications virtuelles
Système d’exploitation virtuels (OS « bureau »)
Switch virtuels (VDC)… et routeurs virtuels (VRF)
+ câbles virtuels (VLAN)
7
Déni de service
Impact d’une instance sur l’autre en terme de
performance/disponibilité
Des risques « décriés » à relativiser…
Décloisonnement
Décloisonnement via des failles sur l’hyperviseur
28 septembre 2011 - Propriété de Solucom, reproduction interdite
Des risques réels, mais finalement peu rencontrés !
Oui, le risque existe…Cf bulletins de sécurité…
Oui, le risque existe…Pic de charge, déni de service…
8
Un incident sur l’écosystème impacte
potentiellement de nombreux services
métiers !
StockageConsoled’administration
Les risques les plus courant de la virtualisation : l’écosystème !
28 septembre 2011 - Propriété de Solucom, reproduction interdite
Pratiques de gestionRéseau
928 septembre 2011 - Propriété de Solucom, reproduction interdite
Les impacts d’une mauvaise configuration sont immédiats !
Administrateurs
Matériel
Système hôte
Hyperviseur
Système invité
Système invité
Système invité
Arrêt multiple d’instances
Activation de fonctions de décloisonnement
Activation de fonctions de mobilité VM
…
Risques liés à un mauvais usage des consoles d’administration
1028 septembre 2011 - Propriété de Solucom, reproduction interdite
Risques de rebond entre systèmes invités via un décloisonnement réseau
La gestion du réseau se déplace et se concentre !
Visibilité inter-instances
Problématiques de routage…
1128 septembre 2011 - Propriété de Solucom, reproduction interdite
La criticité du stockage augmente toujours !
Concentration des données (SPOF)
Destruction des données OS
Atteinte à la confidentialité de multiples VMs (OS et des données)
…
Risques liés au stockage
OSDonnées
Système hôte
Hyperviseur
Système
invité
Système
invité
Système
invité
Système hôte
Hyperviseur
Système
invité
Système
invité
Système
invité
Système hôte
Hyperviseur
Système
invité
Système
invité
Système
invité
1228 septembre 2011 - Propriété de Solucom, reproduction interdite
Risques liés à de mauvaises pratiques de gestion de la plateforme de virtualisation
L’historique des plateformes de virtualisation nous joue encore des tours !
Prolifération des VM / gestion des inventaires
Problèmes de performances / Capacity Planning
Maintien en condition opérationnelle de la plateforme de virtualisation
…
Système hôte
Hyperviseur
Système
invité
Système
invité
Système
invité
Système hôte
Hyperviseur
Système
invité
Système
invité
Système
invité
Système hôte
Hyperviseur
Système
invité
Système
invité
Système
invité
13
Comment encadrer ces risques ?
Hommes Processus
Outils
Se focaliser sur les risques les plus probables !
• Formation aux nouveaux outils
• Affectation des responsabilités réseaux…
• Gestion des plateformes de virtualisation
• Gestion des réseaux virtuels• Garanties / limitations de ressources…
• Veille, patch management• Capacity Planning• Gestion des inventaires…
28 septembre 2011 - Propriété de Solucom, reproduction interdite
14
Conclusion
La virtualisation : la sécurité doit accompagner ce changement
Un changement des fondamentaux Des impacts fortement augmentés en cas de perte d’une machine physique De nouveaux composants à sécuriser (hyperviseur, consoles, stockage …)
Un changement des fondamentaux Des impacts fortement augmentés en cas de perte d’une machine physique De nouveaux composants à sécuriser (hyperviseur, consoles, stockage …)
… au regard des risques « humains » Erreur de configuration, augmentation de la complexité, malveillance,
absence de séparation des responsabilités
… au regard des risques « humains » Erreur de configuration, augmentation de la complexité, malveillance,
absence de séparation des responsabilités
Des risques « technologiques » relativement moins probables… … qui peuvent être limités à travers des recommandations classiques
Durcissement des composants, capacity planning, patch management, sécurisation du stockage…
Des risques « technologiques » relativement moins probables… … qui peuvent être limités à travers des recommandations classiques
Durcissement des composants, capacity planning, patch management, sécurisation du stockage…
28 septembre 2011 - Propriété de Solucom, reproduction interdite
Contacts
Gérôme BILLOIS
Manager Sécurité
+ 33 (0)6 10 99 00 60
Mail : [email protected]
Twitter: @gbillois
Retrouvez nos publications et nos avis sur l’actualité
www.solucominsight.fr
Thème : sécurité