28
Download
1 / 15

28 septembre 2011 - PowerPoint PPT Presentation


  • 101 Views
  • Uploaded on

28 septembre 2011. CNIS. Virtualisation et sécurité : panorama et risques. Gérôme BILLOIS Manager sécurité + 33 (0)6 10 99 00 60 [email protected] Twitter : @gbillois. La virtualisation : un buzzword ….… aux origines lointaines. Petit retour en arrière sur la virtualisation.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 28 septembre 2011' - gavan


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

28 septembre 2011

CNIS

Virtualisation et sécurité : panorama et risques

Gérôme BILLOIS

Manager sécurité

+ 33 (0)6 10 99 00 60

[email protected]

Twitter : @gbillois


La virtualisation un buzzword aux origines lointaines
La virtualisation : un buzzword ….… aux origines lointaines

Petit retour en arrière sur la virtualisation

  • La virtualisation, un concept connu essentiellement grâce à la virtualisation système (Microsoft, VMware) …

  • … mais qui existe depuis plus de 40 ans (avec les mainframe et systèmes IBM)

  •  En plein buzzavec le développement du cloud computing

1968

1998

2003

2009

Mainframe

Virtualisation x86

Cloud computing

28 septembre 2011 - Propriété de Solucom, reproduction interdite


La virtualisation c est quoi en r alit
La virtualisation c’est quoi en réalité ?

Commençons par une définition …

  • La virtualisation consiste à faire fonctionner sur une seule machine physique plusieurs systèmes comme s'ils fonctionnaient sur des machines physiques distinctes

… et 3 notions incontournables

Systèmes virtualisésexécutés par l’hyperviseur

Système invité

Système invité

Système invité

Système / configuration gérant les interactions des machines virtuelles avec le matériel physique

Hyperviseur

Système hôte

Système accueillant l’hyperviseursur la machine physique qui va « virtualiser » un ou plusieurs autres systèmes

Matériel

Dans la plupart des cas, l’hyperviseur et le système hôte sont « fusionnés »

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Illustration de la virtualisation pour les cinéphiles…

INCEPTION, une illustration parfaite des concepts de base de la virtualisation

Matériel

Système Hôte (niveau 1)

Rêve 3La forteresse

Absence de conscience d’être virtualisé

Système invité 1 (niveau 2)

Système invité 2 (niveau 3)

Système invité 3 (niveau 4)

Rêve 2L’hôtel

Windows server 2003

Performances affaiblies au fil des niveaux

ESX / Linux

Hyperviseur

Rêve 1Le van

VMware Workstation

Hyperviseur

Windows XP

Intrusions possibles à partir d’un niveau inférieur

Hyperviseur

VMware Fusion

Réalité

MacOS X

Poste de travail de test

Objectif : Un serveur Windows 2003 sur un poste de travail Apple de test

Chaque niveau peut évoluer en parallèle et peut impacter les niveaux virtualisés

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Les b n fices de la virtualisation
Les bénéfices de la virtualisation

Élasticité

Adaptation à la charge

Modèle économique

Consolidationdes infrastructures

Rapidité du déploiement

Mise à disposition logique vs physique

En conséquence

Une adoption forte depuis plusieurs années

… et la virtualisation est maintenant présente sous de nombreuses formes !

En 2010, nos grands clients ont virtualisé environ 30% de leurs serveurs, un chiffre qui devrait passer à plus de 75% d'ici deux ans

28 septembre 2011 - Propriété de Solucom, reproduction interdite


De nombreuses d clinaisons ce n est plus que de la virtualisation syst me
De nombreuses déclinaisons : ce n’est plus « que » de la virtualisation système

Virtualisationdes équipementsde sécurité

Virtualisation des

poste de travail

Virtualisation

Système

« traditionnelle »

Équipements de sécurité virtuels

(Firewalls, Sondes IDS-IPS)

Sessions virtuelles

Applications virtuelles

Système d’exploitation virtuels (OS « bureau »)

Virtualisation

du réseau

Switch virtuels (VDC)

… et routeurs virtuels (VRF) + câbles virtuels (VLAN)

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Des risques d cri s relativiser
Des risques « décriés » à relativiser…

Décloisonnement

Décloisonnement via des failles sur l’hyperviseur

Déni de service

Impact d’une instance sur l’autre en terme de performance/disponibilité

Oui, le risque existe…

Cf bulletins de sécurité…

Oui, le risque existe…

Pic de charge, déni de service…

Des risques réels, mais finalement peu rencontrés !

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Les risques les plus courant de la virtualisation l cosyst me
Les risques les plus courant de la virtualisation : l’écosystème !

Consoled’administration

Stockage

Un incident sur l’écosystème impacte potentiellement de nombreux services métiers !

Réseau

Pratiques de gestion

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques li s un mauvais usage des consoles d administration
Risques liés à un mauvais usage des consoles d’administration

Les impacts d’une mauvaise configuration sont immédiats !

Système invité

Système invité

Système invité

Administrateurs

  • Arrêt multiple d’instances

  • Activation de fonctions de décloisonnement

  • Activation de fonctions de mobilité VM

Hyperviseur

Système hôte

Matériel

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques de rebond entre syst mes invit s via un d cloisonnement r seau
Risques de rebond entre systèmes invités via un décloisonnement réseau

La gestion du réseau se déplace et se concentre !

  • Visibilité inter-instances

  • Problématiques de routage…

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques li s au stockage
Risques liés au stockage décloisonnement réseau

La criticité du stockage augmente toujours !

OS

Données

  • Concentration des données (SPOF)

  • Destruction des données OS

  • Atteinte à la confidentialité de multiples VMs (OS et des données)

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Hyperviseur

Hyperviseur

Hyperviseur

Système hôte

Système hôte

Système hôte

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques li s de mauvaises pratiques de gestion de la plateforme de virtualisation
Risques liés à décloisonnement réseaude mauvaises pratiques de gestion de la plateforme de virtualisation

L’historique des plateformes de virtualisation nous joue encore des tours !

  • Prolifération des VM / gestion des inventaires

  • Problèmes de performances / Capacity Planning

  • Maintien en condition opérationnelle de la plateforme de virtualisation

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Hyperviseur

Hyperviseur

Hyperviseur

Système hôte

Système hôte

Système hôte

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Comment encadrer ces risques
Comment encadrer ces risques ? décloisonnement réseau

Hommes

Processus

Se focaliser sur les risques les plus probables !

  • Veille, patch management

  • Capacity Planning

  • Gestion des inventaires…

  • Formation aux nouveaux outils

  • Affectation des responsabilités réseaux…

Outils

  • Gestion des plateformes de virtualisation

  • Gestion des réseaux virtuels

  • Garanties / limitations de ressources…

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Conclusion la virtualisation la s curit doit accompagner ce changement
Conclusion décloisonnement réseauLa virtualisation : la sécurité doit accompagner ce changement

  • Un changement des fondamentaux

    • Des impacts fortement augmentés en cas de perte d’une machine physique

    • De nouveaux composants à sécuriser (hyperviseur, consoles, stockage …)

  • Des risques « technologiques » relativement moins probables…

    • … qui peuvent être limités à travers des recommandations classiques

      • Durcissement des composants, capacity planning, patch management, sécurisation du stockage…

  • … au regard des risques « humains »

    • Erreur de configuration, augmentation de la complexité, malveillance, absence de séparation des responsabilités

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Retrouvez nos publications et nos avis sur l’actualité décloisonnement réseau

www.solucominsight.fr

Thème : sécurité

Contacts

Gérôme BILLOIS

Manager Sécurité

+ 33 (0)6 10 99 00 60

Mail : [email protected]

Twitter: @gbillois


ad