Vulnérabilités engendrées par la virtualisation
Sommaire
1. Rappel des architectures de virtualisation
2. Risques liés à la virtualisation
3. Conséquences sur l'implémentation d'une infrastructure virtuelle
4. Conséquences sur la gestion des correctifs de sécurité
5. Conséquences sur la disponibilité (PRA)
1. Vulnérabilités engendrées par la
virtualisation
Jean-Marie Petry / jean-marie.petry@rbs.fr
Chef de Projet / Ingénieur ISIAL
V2- 26/9/2007
2. Vulnérabilités engendrées par la
virtualisation
Rappel des architectures de virtualisation
Risques liés à la virtualisation
Conséquences sur l’implémentation d’une infrastructure virtuelle
Conséquences sur la gestion des correctifs de sécurité
Conséquences sur la disponibilité (PRA)
3. Qu’est ce que la virtualisation ?
Sans
virtualisation
Avec
virtualisation
Focus de la
présentation
4. Architecture de virtualisation:
Différentes implémentations
VMM de type 2
VMM hybride
VMM de type 1
(Hyperviseur)
Exemples :
JVM
CLR
Exemples :
Virtual PC & Virtual Server
Exemples :
VMWare ESX
Virtualization Server
5. VMWare ESX
Accès SSH pour l’accès en ligne de commande au Service Console
Accès VMWare Web Client de chaque serveur pour l’administration
VirtualCenter Management pour la gestion d’une ou plusieurs infrastructure(s)
Architecture de virtualisation:
Outil(s) d’administration 1/2
6. Virtual Server
VRMC pour la gestion du KVM virtuel
Virtual Server Administration Web (via IIS6)
System Center Virtual Machine Manager
Architecture de virtualisation:
Outil(s) d’administration 2/2
7. Vulnérabilités engendrées par la
virtualisation
Architecture de virtualisation
Risques liés à la virtualisation
Conséquences sur la gestion des correctifs de sécurité
Conséquences sur l’implémentation d’une infrastructure virtuelle
Conséquences sur la disponibilité (PRA)
9. Vulnérabilités lié à la sécurité physique,
Risque de sécurité physique est déjà valable en non virtuel mais il est accru par la
virtualisation
Erreurs d’intervention sur le matériel du système hôte
Tolérance aux pannes des composants du système hôte (Alimentation, Disk,…)
Rappel des risques liés au regroupement physique
Protection électrique du matériel
Sécurisation du local informatique (climatisation, incendie, intrusion,…)
Organisation du cœur de réseau (Performance, Sécurisation,..)
Vulnérabilités liés aux privilèges des équipes IT
Mauvaise répartition des droits d’accès aux équipes IT peut permettre l’accès à des
applications sensibles
(qui au départ étaient installées sur des serveurs bien distincts pour limiter ce risque !)
Vulnérabilités engendrées par la
virtualisation 1/2
10. Vulnérabilités liés aux failles de sécurité
Saturation de la mémoire peut entraîner des perturbations au sein des instances
virtuelles voire la mise hors service de la machine hôte
Attaque d’une machine virtuelle, et de là à passer par l’exploitation hôte, avoir la
mainmise sur l’ensemble des machines virtuelles
Vulnérabilités engendrées par la
virtualisation 2/2
11. La plus exposée: la couche de virtualisation
Pourquoi ? Fait le lien entre le matériel et différentes machines virtuelles hôtes
En VMWare ESX, c’est le VMKernel ou le Service Console
Sous Virtual Server: c’est donc l’OS Windows 2003 hôte et Virtual Server
La plus sensible: l’(ou les) outil(s) d’administration
Donne un accès privilégié à l’ensemble des instances virtuelles
Puces dédiés à aux infrastructures virtuelles
Comme Intel VT (Vanderpool Technology) ou AMD SVM (Pacifica)
Peuvent permettre l’accès aux ressources systèmes à travers d’un « rootkit »
Vulnérabilités engendrées par les
couches logicielles
12. Historique des failles de sécurité
connues 2003-2007
Peu de failles comparé aux OS
classiques !
Toutes les failles sont corrigées
13. VMWare ESX
CERTA-2007-AVI-409 – 21 Septembre 2007
Multiples vulnérabilités dans les produits VMware
http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-409
http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/065902.html
CERTA-2007-AVI-154 – 3 Avril 2007
Multiples vulnérabilités de VMware ESX Server
http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-154/
Virtual Server
CERTA-2007-AVI-360 – 14 Août 2007
Vulnérabilité de Microsoft Virtual PC et Virtual Server
http://www.microsoft.com/france/technet/security/Bulletin/MS07-049.mspx
Failles de sécurité récentes
14. Vulnérabilités engendrées par la
virtualisation
Architecture de virtualisation
Risques liés à la virtualisation
Conséquences sur la gestion des correctifs de sécurité
Conséquences sur l’implémentation d’une infrastructure virtuelle
Conséquences sur la disponibilité (PRA)
15. Cycle d’installation des correctifs
de sécurité
La complexité du maintien opérationnel des serveurs est accrue par la valeur des données
hébergées et le temps homme requis par le processus de patch:
Qualification du correctif
Tests de non régression
Déploiement
Retour arrière le cas échéant
Le problème est que quasiment aucune organisation n’a mis en place ce type de process pour
gérer l’installation de patchs de sécurité sur des serveurs et applications critiques !!
16. Cycle d’installation des correctifs
de sécurité
Plus un serveur est critique, moins il est « patché »… !
17. Se tenir informé des vulnérabilités
http://www.cve.mitre.org/
http://secunia.com/
Passer régulièrement les correctifs de sécurité sur la couche de
virtualisation
Ne pas négliger les correctifs des OS des machines virtuelles elles-mêmes !
Construire une infrastructure avec plusieurs serveurs hôtes intégrant des
technologies de migration à chaud (VMotion, Live relocation, Live Migration, )
facilitant l’installation de ces correctifs
Se protéger des attaques sur les systèmes non patchés à l’aide des
solutions partenaires
Éditeur BlueLane (VirtualShield ou appliance PatchPoint)
Correctifs de sécurité
Best Practices
18. Quid des correctifs VMWare ESX VI3 ?
Notification des correctifs se fait par e-mail saisie lors de l’enregistrement de la
licence
Accessible à l’adresse: http://www.vmware.com/download/vi/vi3_patches.html
Notification est également inscrite sur le site VMTN
Correctifs sont classifiés en 3 catégories
Security: Correctifs fixent une ou plusieurs vulnérabilités de sécurité,
habituellement dans le Service Console. Elles devraient être installées aussi
rapidement que possible.
Critical: Ceux-ci fixent un bogue ou une faille dans le logiciel. Les failles que ces
patchs adressent peut causer à la perte de données ou aux ruptures graves de
service, et devraient être installées tout de suite.
General: habituellement pour une faille mineure qui pourrait affecter un petit
sous-ensemble de clients. Ces correctifs doivent être tester s’ils sont applicables
à l’environnement courant
Gestion des correctifs de sécurité
VMWare
19. Architecture de gestion des correctifs Windows et Virtual Server
Offre Windows Software Update Services (actuellement WSUS V3)
Infrastructure complète de gestion des mises à jour avec l’OS Windows
Permet de distribuer les mises à jour Windows Update au sein de l’entreprise
Gestion des correctifs de sécurité
Microsoft
20. Vulnérabilités engendrées par la
virtualisation
Architecture de virtualisation
Risques liés à la virtualisation
Conséquences sur la gestion des correctifs de sécurité
Conséquences sur l’implémentation d’une infrastructure virtuelle
Conséquences sur la disponibilité (PRA)
21. Recommandations: partie Réseau
Segmenter les services réseau pour augmenter la sécurité en limitant les risques
d’attaque DoS ou DDoS
Pour VMWare ESX: c’est limiter l’accès au Service Console ou VMKernel
Pour Virtual Server: c’est limiter les accès VMRC et System Center VMM
Conséquences sur
l’implémentation
22. Recommandations: partie haute disponibilité
Perte d’un système hôte au sein d’un cluster impacte moins de ressources mais pas
de perte de machines virtuelles
Pour VMWare ESX: c’est la technologie VMWare HA
Pour Virtual Server: cela sera disponible avec Live Migration (futur Longhorn)
A l’issue, le seul point sensible : la perte du système de stockage ainsi que la
corruption logique des machines VM et des données associées
Cela impose une démarche PRA (ou PSI) avec notion de reprise d’activité
Conséquences sur
l’implémentation réseau
24. Conséquences sur les OS VM non
patchés
VirtualShield est l’implémentation de PatchPoint mais au niveau de VMWare
ESX
VirtualShield™ est au niveau d’un bouclier virtuel positionné entre l’hyperviseur
ESX et les machines virtuelles
25. Vulnérabilités engendrées par la
virtualisation
Architecture de virtualisation
Risques liés à la virtualisation
Conséquences sur la gestion des correctifs de sécurité
Conséquences sur l’implémentation d’une infrastructure virtuelle
Conséquences sur la disponibilité (PRA)
26. Reprise d’Activités
Duplication des données doit être réalisée selon le temps RPO (Recovery Point of
Objective); cela reste identique à l’infrastructure physique
Temps de reprise RTO (Recovery Time of Objective) est plus réduit lié à la
banalisation de l’OS qui est virtualisé
Conséquences sur la disponibilité
27. Finalement la virtualisation amène des gains de sécurité essentiellement
sur la disponibilité :
Déploiement
Tests de non régression
PRA et sa validation
Retour arrière
Virtualisation nécessite encore plus une focalisation sur les besoins de
sécurité « standards »,
Physique: matériel, électrique, dissipation calorifique,…
Logique: gestion de correctifs VMM et autres couches
Question subsidiaire: faut-il mettre tous ses œufs dans le même panier ?
Conclusion