28
This presentation is the property of its rightful owner.
Sponsored Links
1 / 15

28 septembre 2011 PowerPoint PPT Presentation


  • 59 Views
  • Uploaded on
  • Presentation posted in: General

28 septembre 2011. CNIS. Virtualisation et sécurité : panorama et risques. Gérôme BILLOIS Manager sécurité + 33 (0)6 10 99 00 60 [email protected] Twitter : @gbillois. La virtualisation : un buzzword ….… aux origines lointaines. Petit retour en arrière sur la virtualisation.

Download Presentation

28 septembre 2011

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


28 septembre 2011

28 septembre 2011

CNIS

Virtualisation et sécurité : panorama et risques

Gérôme BILLOIS

Manager sécurité

+ 33 (0)6 10 99 00 60

[email protected]

Twitter : @gbillois


La virtualisation un buzzword aux origines lointaines

La virtualisation : un buzzword ….… aux origines lointaines

Petit retour en arrière sur la virtualisation

  • La virtualisation, un concept connu essentiellement grâce à la virtualisation système (Microsoft, VMware) …

  • … mais qui existe depuis plus de 40 ans (avec les mainframe et systèmes IBM)

  •  En plein buzzavec le développement du cloud computing

1968

1998

2003

2009

Mainframe

Virtualisation x86

Cloud computing

28 septembre 2011 - Propriété de Solucom, reproduction interdite


La virtualisation c est quoi en r alit

La virtualisation c’est quoi en réalité ?

Commençons par une définition …

  • La virtualisation consiste à faire fonctionner sur une seule machine physique plusieurs systèmes comme s'ils fonctionnaient sur des machines physiques distinctes

… et 3 notions incontournables

Systèmes virtualisésexécutés par l’hyperviseur

Système invité

Système invité

Système invité

Système / configuration gérant les interactions des machines virtuelles avec le matériel physique

Hyperviseur

Système hôte

Système accueillant l’hyperviseursur la machine physique qui va « virtualiser » un ou plusieurs autres systèmes

Matériel

Dans la plupart des cas, l’hyperviseur et le système hôte sont « fusionnés »

28 septembre 2011 - Propriété de Solucom, reproduction interdite


28 septembre 2011

Illustration de la virtualisation pour les cinéphiles…

INCEPTION, une illustration parfaite des concepts de base de la virtualisation

Matériel

Système Hôte (niveau 1)

Rêve 3La forteresse

Absence de conscience d’être virtualisé

Système invité 1 (niveau 2)

Système invité 2 (niveau 3)

Système invité 3 (niveau 4)

Rêve 2L’hôtel

Windows server 2003

Performances affaiblies au fil des niveaux

ESX / Linux

Hyperviseur

Rêve 1Le van

VMware Workstation

Hyperviseur

Windows XP

Intrusions possibles à partir d’un niveau inférieur

Hyperviseur

VMware Fusion

Réalité

MacOS X

Poste de travail de test

Objectif : Un serveur Windows 2003 sur un poste de travail Apple de test

Chaque niveau peut évoluer en parallèle et peut impacter les niveaux virtualisés

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Les b n fices de la virtualisation

Les bénéfices de la virtualisation

Élasticité

Adaptation à la charge

Modèle économique

Consolidationdes infrastructures

Rapidité du déploiement

Mise à disposition logique vs physique

En conséquence

Une adoption forte depuis plusieurs années

… et la virtualisation est maintenant présente sous de nombreuses formes !

En 2010, nos grands clients ont virtualisé environ 30% de leurs serveurs, un chiffre qui devrait passer à plus de 75% d'ici deux ans

28 septembre 2011 - Propriété de Solucom, reproduction interdite


De nombreuses d clinaisons ce n est plus que de la virtualisation syst me

De nombreuses déclinaisons : ce n’est plus « que » de la virtualisation système

Virtualisationdes équipementsde sécurité

Virtualisation des

poste de travail

Virtualisation

Système

« traditionnelle »

Équipements de sécurité virtuels

(Firewalls, Sondes IDS-IPS)

Sessions virtuelles

Applications virtuelles

Système d’exploitation virtuels (OS « bureau »)

Virtualisation

du réseau

Switch virtuels (VDC)

… et routeurs virtuels (VRF) + câbles virtuels (VLAN)

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Des risques d cri s relativiser

Des risques « décriés » à relativiser…

Décloisonnement

Décloisonnement via des failles sur l’hyperviseur

Déni de service

Impact d’une instance sur l’autre en terme de performance/disponibilité

Oui, le risque existe…

Cf bulletins de sécurité…

Oui, le risque existe…

Pic de charge, déni de service…

Des risques réels, mais finalement peu rencontrés !

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Les risques les plus courant de la virtualisation l cosyst me

Les risques les plus courant de la virtualisation : l’écosystème !

Consoled’administration

Stockage

Un incident sur l’écosystème impacte potentiellement de nombreux services métiers !

Réseau

Pratiques de gestion

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques li s un mauvais usage des consoles d administration

Risques liés à un mauvais usage des consoles d’administration

Les impacts d’une mauvaise configuration sont immédiats !

Système invité

Système invité

Système invité

Administrateurs

  • Arrêt multiple d’instances

  • Activation de fonctions de décloisonnement

  • Activation de fonctions de mobilité VM

Hyperviseur

Système hôte

Matériel

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques de rebond entre syst mes invit s via un d cloisonnement r seau

Risques de rebond entre systèmes invités via un décloisonnement réseau

La gestion du réseau se déplace et se concentre !

  • Visibilité inter-instances

  • Problématiques de routage…

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques li s au stockage

Risques liés au stockage

La criticité du stockage augmente toujours !

OS

Données

  • Concentration des données (SPOF)

  • Destruction des données OS

  • Atteinte à la confidentialité de multiples VMs (OS et des données)

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Hyperviseur

Hyperviseur

Hyperviseur

Système hôte

Système hôte

Système hôte

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Risques li s de mauvaises pratiques de gestion de la plateforme de virtualisation

Risques liés à de mauvaises pratiques de gestion de la plateforme de virtualisation

L’historique des plateformes de virtualisation nous joue encore des tours !

  • Prolifération des VM / gestion des inventaires

  • Problèmes de performances / Capacity Planning

  • Maintien en condition opérationnelle de la plateforme de virtualisation

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Système invité

Hyperviseur

Hyperviseur

Hyperviseur

Système hôte

Système hôte

Système hôte

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Comment encadrer ces risques

Comment encadrer ces risques ?

Hommes

Processus

Se focaliser sur les risques les plus probables !

  • Veille, patch management

  • Capacity Planning

  • Gestion des inventaires…

  • Formation aux nouveaux outils

  • Affectation des responsabilités réseaux…

Outils

  • Gestion des plateformes de virtualisation

  • Gestion des réseaux virtuels

  • Garanties / limitations de ressources…

28 septembre 2011 - Propriété de Solucom, reproduction interdite


Conclusion la virtualisation la s curit doit accompagner ce changement

ConclusionLa virtualisation : la sécurité doit accompagner ce changement

  • Un changement des fondamentaux

    • Des impacts fortement augmentés en cas de perte d’une machine physique

    • De nouveaux composants à sécuriser (hyperviseur, consoles, stockage …)

  • Des risques « technologiques » relativement moins probables…

    • … qui peuvent être limités à travers des recommandations classiques

      • Durcissement des composants, capacity planning, patch management, sécurisation du stockage…

  • … au regard des risques « humains »

    • Erreur de configuration, augmentation de la complexité, malveillance, absence de séparation des responsabilités

28 septembre 2011 - Propriété de Solucom, reproduction interdite


28 septembre 2011

Retrouvez nos publications et nos avis sur l’actualité

www.solucominsight.fr

Thème : sécurité

Contacts

Gérôme BILLOIS

Manager Sécurité

+ 33 (0)6 10 99 00 60

Mail : [email protected]

Twitter: @gbillois


  • Login