Virtualisation et Sécurité



Documents pareils
Virtualisation et ou Sécurité

Virtualisation et sécurité Retours d expérience

A propos de la sécurité des environnements virtuels

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES

Virtualisation de la sécurité ou Sécurité de la virtualisation. Virtualisation de la sécurité Sécurité de la virtualisation Retour d expérience

Vulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL

VMWARE VSPHERE ESXI INSTALLATION

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

SRS DAY: Problématique liée à la virtualisation

Virtualisation de serveurs Solutions Open Source

Systèmes d exploitation

EN Télécom & Réseau S Utiliser VMWARE

Sécurité du cloud computing

Plan de cet après-midi

en version SAN ou NAS

La Continuité d Activité

LA VIRTUALISATION. Etude de la virtualisation, ses concepts et ses apports dans les infrastructures informatiques. 18/01/2010.

vbladecenter S! tout-en-un en version SAN ou NAS

au Centre Inter-établissement pour les Services Réseaux Cédric GALLO

Installation d une architecture VMware Infrastructure 3 : Bilan et perspectives

06/11/2014 Hyperviseurs et. Infrastructure. Formation. Pierre Derouet

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Le stockage. 1. Architecture de stockage disponible. a. Stockage local ou centralisé. b. Différences entre les architectures

Hyper-V v2 : une évolution majeure des services de virtualisation

VMware ESX/ESXi. 1. Les composants d ESX. VMware ESX4 est le cœur de l infrastructure vsphere 4.

PPE 1 PRISE EN MAIN DE VMWARE VSPHERE 5.5 & CONFIGURATION D UNE MACHINE VIRTUELLE

L état de l ART. Évolution récente des technologies. Denis Szalkowski Formateur Consultant

A Les différentes générations VMware

EXPERT EN INFORMATIQUE OPTION Systèmes et réseaux

Utilisation de matériels industriels avec des outils de virtualisation open source. Open Source dans le monde industriel

Point sur la virtualisation

Système Principal (hôte) 2008 Enterprise x64

Virtualisation CITRIX, MICROSOFT, VMWARE OLIVIER D.

La Virtualisation Windows chez CASINO. Philippe CROUZY Responsable Infrastructure Equipes Systèmes -Stockage

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Chapitre 2 : Abstraction et Virtualisation

La virtualisation de serveurs avec VMWare Infrastructure - Retour d expérience. Rodérick Petetin CRI INSA Rennes

Module : Virtualisation à l aide du rôle Hyper-V

Sécurité des bases de données Nicolas Jombart Alain Thivillon

EN Télécom & Réseau S Utiliser VMWARE

Hyper-V R2 (Module 1) : Introduction

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Présentation d HyperV

Les hyperviseurs leaders du marché qui ont fait leurs preuves en production

Configuration du serveur ESX

Mettre en oeuvre Cisco Data Center Unified Fabric

Mise en place d un projet VDI

Hyper V. Installation et configuration d une machine virtuelle. Joryck LEYES

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

PRESENSTATION VMWARE ESXi NOTION DE MACHINE VIRTUELLE

MIGRATION ANNEXE SAINT YVES. 1 : L existant. Pourquoi cette migration Schéma et adressage IP. 2 : Le projet. Schéma et adressage IP.

VMWare Infrastructure 3

CT ASS Analyste systèmes Senior

HSCS 6.4 : mieux appréhender la gestion du stockage en environnement VMware et service de fichiers HNAS Laurent Bartoletti Product Marketing Manager

Table des matières 1. Introduction. 1. Avant-propos Remerciements Chapitre 1 Virtualisation de serveurs

Windows sur Kimsufi avec ESXi

Les avantages de la virtualisation sont multiples. On peut citer:

Nouvelles stratégies et technologies de sauvegarde

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Fiche descriptive de module

But de cette présentation. Bac à sable (Sandbox) Principes. Principes. Hainaut P

La plate forme VMware vsphere 4 utilise la puissance de la virtualisation pour transformer les infrastructures de Datacenters en Cloud Computing.

La sécurité applicative

+ = OpenStack Presentation. Raphaël Ferreira - enovance. Credits : Thanks to the OpenStack Guys 1

Windows serveur 2008 installer hyperv

Sécurité des Postes Clients

La sécurité IT - Une précaution vitale pour votre entreprise

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

Hypervision et pilotage temps réel des réseaux IP/MPLS

[WEB4ALL PRESENTATION ET TARIFS VPS INFOGERES]

Le stockage unifié pour réduire les coûts et augmenter l'agilité

VMware vsphere 5 Préparation à la certification VMware Certified Professional 5 Data Center Virtualization (VCP5-DCV) - Examen VCP510

VIRTUALISATION : MYTHES & RÉALITÉS

Virtualisation & Sécurité

Visualization sur Ubuntu: Quels Choix? Nicolas Barcet

Chap.9: SNMP: Simple Network Management Protocol

Red Hat Enterprise Virtualization 3.0 Instructions d'installation et informations importantes

Menaces et sécurité préventive

Virtualisation des Serveurs et du Poste de Travail

CREER UNE VM DANS WORKSATION. Créer un Virtual Machine dans VMware Workstation 9

Systèmes Répartis. Pr. Slimane Bah, ing. PhD. Ecole Mohammadia d Ingénieurs. G. Informatique. Semaine Slimane.bah@emi.ac.ma

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Qu est ce qu un un serveur?

ARCHITECTURE ET SYSTÈMES D'EXPLOITATIONS

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

En ce moment (24/01/2014), Super bon plan: Micro Serveur HP Proliant G7 N54L à 159 ttc Plus d'informations sur dealabs.com

Maintenance et gestion approfondie des Systèmes d exploitation Master 2 SILI. Année universitaire David Genest

Spécifications techniques

Enseignant: Lamouchi Bassem Cours : Système à large échelle et Cloud Computing

RÉSUMÉ DESCRIPTIF DE LA CERTIFICATION (FICHE RÉPERTOIRE)

Sébastien Geiger IPHC Strasbourg

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Les méthodes de sauvegarde en environnement virtuel

Evoluez au rythme de la technologie

.Réinventons l innovation.

Les réseaux de campus. F. Nolot

Sécurité des applications Retour d'expérience

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CIO - LMI Virtualisation et Sécurité Alain Thivillon Alain Thivillon <Alain.Thivillon@hsc.fr>

HSC Société indépendante de conseil en sécurité informatique Depuis 1989 http://www.hsc.fr/ support@hsc.fr 16 ingénieurs/consultants Domaine d'expertise : Audits de sécurité : système, code, architecture Tests d'intrusion Sécurité organisationnelle (/ISO-2700[1-5]/) Formations techniques et organisationnelles 2

Retours d'expérience Différents types de prestations autour de la virtualisation Audits architecture VMware Audits Firewalls et réseaux virtualisés Audits SAN Étude sécurisation VMware ESX Guide de paramétrage Conseil en architecture Recherche et exploitation de failles dans VMware Tests d'intrusion sanglants Exemple: accès à une console de gestion VMware depuis Internet par rebonds Domaines en évolution 3 Attention à la vérité du jour

Les éléments de la virtualisation Logiciels de supervision Système invité Matériel virtuel Système invité Matériel virtuel Moniteur/Hyperviseur Système hôte Matériel 4

Vulnérabilités potentielles Vulnérabilités Hyperviseur "Sortir" de l'hyperviseur, exemple accéder à la mémoire d'une autre VM Corrompre le "Virtual Switch" Vulnérabilités Périphériques Moyens de communication VM/Hyperviseurs Drivers virtualisés Vulnérabilités architecture Ex: Mélange interfaces production/administration/dmz/... Vulnérabilités administration Bugs Serveurs Web, Mots de passe, SNMP,... Exemple IBM HMC mdp par défaut hscroot/abc123 Gestion des rôles (ex dev/prod) 5

Virtualisation native Virtualisation native Applications en Ring 3 En Ring 0 Système d'exploitation invité NONmodifié Couche de virtualisation tourne «sous» le mode Ring 0 Traitement systématique des instructions problématiques par la couche de virtualisation Extensions des processeurs jouent le rôle des hypercalls État des invités stocké dans des structures dédiées du mode racine Ring 3 Ring 2 Ring 1 Ring 0 Mode «root» Applications OS invité Hyperviseur Couche matérielle 6

Bugs Matériel Une bonne partie de la sécurité repose sur le processeur Nombreux bugs Intel Certains chercheurs en sécurité pensent qu'il est impossible de faire confiance à ce code Loïc Duflot (DCSSI) / Joanna Rutkowska (Invisible Things) Utilisation du System Management Mode (~Bios, ACPI,...) Empoisonnement du cache processeur : on écrase la mémoire SMM Exécution de code arbitraire au ring -2 Rootkit plus privilégié que l'hyperviseur... D'une manière générale, exploitation pas facile "Attaque gouvernementale" 7

Quelques flux VMware... 8

Intégration dans les DMZ Utilisation du virtual switch de VMware Êtes vous sur de vouloir faire ça? Conseil : Une zone de sécurité, un serveur 9

A propos des SAN Le SAN ne voit qu'un seul client Les LUNs sont affectés à chaque VM par ESX On ne peut plus faire de Storage Groupe séparés On ne peut plus faire de Hard Zoning sur les switches La encore, on fait confiance à ESX pour effectuer le switching FC ERP PROXY Windows Storage Group VMWARE SPA SPB HBA1 HBA2 SCSI Virtuel Storage Group X ESX Pour des raisons de maintenance, virtualisation des drivers SAN NPIV (Nport ID Virtualization) ERP PROXY AD 10

Routeurs et Firewalls virtuels Virtual Lan : virtualiser le niveau 2 Plusieurs LANs sur le même média Transporter les LANS entre les sites Virtual Router (VRF chez Cisco) Avoir plusieurs plans de routage séparés dans un seul routeur Utilisé massivement dans les réseaux MPLS (Routeurs PE) Virtual Firewall Plusieurs plans de filtrage dans le même équipement, avec politiques de sécurité distinctes Peut être évidemment couplé avec Commutation/Routage/Load Balancing... Définition d'un "contexte" systeme + contextes de filtrage 11

OK Mais...? On vous vend ça : Internet DMZ DMZ Noc Backoffice Lan Servers MPLS Filiales Stations Lan RH Backup Servers 12

Mais en fait... Vous avez ça : Internet DMZ DMZ Noc Backoffice MPLS Filiales Stations Lan RH Lan Servers Backup Servers 13

Virtualisation : amie ou ennemie pour la Sécurité des SI? Détériore-t-elle la sécurité? Si mal maîtrisée oui : Vocabulaire complexe et trompeur Architecture difficile à mettre en place (nombreux flux supplémentaires) Demande des compétences L'ajout d'une couche ajoute forcément des vulnérabilités Mélange des rôles (admin Hôtes/admin Guest) Multiplication des serveurs On a déjà du mal à appliquer des patches MS, alors appliquer des patches VMWare sur un système de 40 VM, quel admin va faire ça... Améliore-t-elle? Bof bof, au mieux c'est neutre d'un point de vue sécurité logique Gros fantasmes de la sécurité dans l'hyperviseur... 14

Conclusions Faites vous expliquer ce qu'on vous propose Demandez des schémas (ex IP niveau 3), des explications, des docs techniques, des "comment ça marche" La réalité logique doit être clairement affichée On a déjà du mal à penser en 3D, alors en 4... On ne peut pas virtualiser : Les compétences La sécurité L'administration Ayez au moins une personne qui comprend tout Un architecte ou un expert sécurité! 15

Questions? 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back