Virtualisation de la sécurité ou Sécurité de la virtualisation Virtualisation de la sécurité Sécurité de la virtualisation Retour d expérience
Virtualisation de la sécurité Les tendances Panorama du marché Virtualisation de produits de sécurité Mythe ou réalité?
Virtualisation de la sécurité Les tendances Augmentation du trafic IP mondial PB : 1 Peta Byte = 1,000 Tera Byte (1 Million MB)! 17/03/2010 3
Virtualisation de la sécurité Les tendances Augmentation des menaces 17/03/2010 4
Virtualisation de la sécurité Les tendances Augmentation de la virtualisation Tendance de fond Principalement serveur Etude Forrester en 2009 sur 124 entreprises 78 % ont des serveurs de production virtualisés 15% des PC en entreprise seront virtualisés et hébergés d'ici 2014 (Gartner mars 2009) 17/03/2010 5
Virtualisation de la sécurité Les tendances Navigateur web : support applicatif Web 2.0 Applications «métier» Vecteur d attaque Mc Afee - Navigateurs web : une plate-forme émergente sous le feu des attaques 17/03/2010 6
Virtualisation de la sécurité Les tendances Le cloud computing PME : 65 % d'entre elles utilisent au moins un logiciel hébergé (SMB IT and Hosted IT Index 2010», Microsoft janvier 2010) La sécurité est le principal bloqueur pour l'adoption massif du "cloud computing" en entreprise (Justin Steinman, Vice Président de Novell) 17/03/2010 7
Virtualisation de la sécurité Panorama du marché Focus sur les Firewall 3 grandes tendances de la part des éditeurs : Sécurisation inter machines virtuelles Virtualisation des fonctions de sécurité Firewall virtuel dans Appliance physiques 17/03/2010 8
Virtualisation de la sécurité Panorama du marché Sécurisation inter machines virtuelles mais aussi réseau Virtualiser l appliance Points positifs Séparer des serveurs / machines virtuelles / machine physique Evolutivité Cout Points négatifs Tout le monde n est pas prêt (psychologiquement) Zones d ombre Quelle est la sécurité de l appliance virtuelle? Dépendance du support virtualisation (risque) 17/03/2010 9
Virtualisation de la sécurité Panorama du marché Virtualiser les fonctions de sécurité Boitier physique qui gère les flux Déporter les services de sécurité sur une machine virtuelle (Anti virus, analyse d url, ) Points positifs Les services de sécurité déporté dans un environnement scalable Traitement de plus de flux par le boitier Points négatifs Problèmes intégration (admin sys vs admin réseau) Zones d ombre Capacité du boitier à suivre l augmentation du volume de flux 17/03/2010 10
Virtualisation de la sécurité Panorama du marché Firewall virtuel dans Appliance physiques Boitier physique qui exécute plusieurs instance d un FW virtuel Points positifs 1 boitier, plusieurs Firewalls (idéal MSSP / Telco) Points négatifs Investissement important (mais moindre qu un Fw par client) Complexité des configurations 17/03/2010 11
Virtualisation de la sécurité Virtualisation des produits de sécurité Toute l offre logicielle Anti virus Logiciels de chiffrement Anti Keyloggers Virtualisation des boitiers 3 tendances L offre évolue et s enrichie 17/03/2010 12
Virtualisation de la sécurité Virtualisation des produits de sécurité Problématique : Accroissement des flux internet Complexification des navigateurs web (web 2.0, HTML 5.0) Augmentation des menaces sur le navigateur Solution : Virtualiser la menace! Virtualiser le navigateur dans une session isolée Déporter uniquement l affichage sur le poste utilisateur 17/03/2010 13
Virtualisation de la sécurité Mythe ou réalité? Firewall virtuel gratuit Virtualisation de Firewall Virtualisation d applications Le cloud VMSafe? Cloud Security Alliance Mettre en place un label «Trusted Cloud Provider» 17/03/2010 14
Sécurité de la virtualisation 17 mars 2010 Philippe Vivien Raguet - CONIX - Directeur Technique philippe.vivienraguet@conix.fr Olivier Grégoire - CONIX Directeur d Agence Rhône-Alpes Olivier.gregoire@conix.fr
Agenda - Les tendances - La virtualisation peut aider à renforcer la sécurité - La virtualisation entraine des risque de dégradation de la sécurité - Historique des vulnérabilités 17/03/2010 16
Tendances 56% des entreprises ont recours à la virtualisation (Source : Markess International 2009). Les machine cibles concernées par l utilisation de ces technologies sont majoritairement les serveurs, mais les postes de travail et le stockage sont en train de progresser. Il est possible que certaines entreprises aient recours à la virtualisation sans s en douter (les hébergeurs utilisent fréquemment ces technologies). La virtualisation permet de bénéficier de fonctionnalités facilitant la mise en œuvre de PRA et PCA et de manière plus générale d améliorer la disponibilité. Il est possible de «virtualiser» des serveurs, mais aussi du stockage, avec des produits qui sont positionnés comme des «brokers» de stockage: ce sont eux qui «discutent» d un côté avec les matériels de stockage et de l autre avec les clients. 17/03/2010 17
Architecture de la virtualisation Logiciel(s) de gestion Système invité Matériel Virtuel Système invité Matériel Virtuel Système invité Matériel Virtuel La virtualisation ajoute des couches logicielles supplémentaires entre le matériel et le système d exploitation cible (ici «invité»). Un/des outil(s) de gestion spécifique(s) à ces couches sont nécessaire(s). Hyperviseur Système Hôte (Selon solution) Les fonctionnalités complémentaires ainsi que les outils de gestions utilisent des accès réseau pour communiquer. Le travail de sécurisation doit prendre en compte ces paramètres supplémentaires. Note : dans la suite de la présentation, VM=Virtual Machine=Machine virtuelle 17/03/2010 18
Virtualisation du stockage Solution de virtualisation du stockage Les équipements voient le stockage présenté par la solution de virtualisation Solution de stockage A Solution de stockage B Matériels utilisateurs du stockage 17/03/2010 19
Virtualisation du stockage Solution de virtualisation du stockage Les équipements voient le stockage présenté par la solution de virtualisation Solution de stockage A Solution de stockage B Matériels utilisateurs du stockage 17/03/2010 20
Amélioration de la sécurité 1/ Disponibilité Indépendance matérielle, en cas de panne il suffit de disposer d un serveur compatible avec le produit de virtualisation. Les diverses solutions proposent : Des mécanismes de reprise sur incident (redémarrage de machines virtuelles en cas d incident). Des mécanismes de déplacement sans interruption de services de machines virtuelles d un serveur hôte à un autre (Exécution ou Stockage). Des mécanismes de poursuite de fonctionnement de machines virtuelles d un serveur à un autre en cas d incident matériel sur le serveur hôte. Ces éléments sont utiles dans le cadre de mises en œuvre de PRA/PCA que ce soit en utilisant du «tout virtuel» ou en réalisant un mix physique/virtuel. 17/03/2010 21
Disponibilité: reprise sur incident VM 1 VM 1 VM 2 VM 2 Dans le cas d un hôte défaillant les VM sont redémarrées sur un hôte différent. 17/03/2010 22
Disponibilité: déplacement de VM VM 1 VM 1 VM 2 VM 2 En cas de besoin, il est possible de déplacer des VM entre les hôtes ou de déplacer des VM d un espace de stockage un autre. 17/03/2010 23
Disponibilité: continuité de fonctionnement de VM VM 1 clone VM 1 VM 2 VM 2 clone L état des VM est transmis en permanence entre les hôtes, en cas d incident les VM «clones» s activent sur le serveur de redondance. 17/03/2010 24
Amélioration de la sécurité 2/ Intégrité L utilisation de solutions de stockage partagé de type SAN permet de la réplication synchrone sur du LAN, du CAN, voire du MAN. La virtualisation du stockage partagé permet en plus : D assurer la continuité des opérations en cas de d incident matériel sur un composant SAN De mélanger les diverses solutions de SAN en utilisant pour chaque besoin la technologie adaptée en ratio performance/prix. Ces technologies sont disponibles soit nativement dans les solutions des fournisseurs de stockage partagé, soit en tant que solution complémentaire indépendante du fournisseur de stockage. 17/03/2010 25
Amélioration de la sécurité 3/ Confidentialité L utilisation de la virtualisation permet de concevoir des architecture «isolées» au sein d un hôte. Utilisation de réseau interne (sans carte réseau physique) pour communiquer de manière confidentielle entre les éléments d architecture. Un firewall virtuel en frontal afin de filtrer les connexions entrantes. Une seule machine à surveiller. En cas de besoins de disponibilité, une extension réseau niveau 2 et l utilisation temporaire d une interface réseau physique résout le problème. Surveillance simplifiée 1 ou quelques hôtes (a comparer avec l ensemble des serveurs de la solution déclinée en serveurs physiques). Pas de multiplication de connexions et d éléments réseau dédiés. Connexion inter-éléments non nécessairement sécurisée (si besoin de performances, flux non sécurisés nativement etc ) 17/03/2010 26
Risque de dégradation de la sécurité : Des couches logicielles supplémentaires à surveiller L hyperviseur et les outils de management sont des composants qui peuvent souffrir de vulnérabilités et compromettre la sécurité la définition d une politique de patch management est indispensable. Une machine hôte qui est compromise (Confidentialité, Disponibilité, Intégrité) et c est l ensemble des VM hébergées qui est compromis. Un des effets pervers initial de la virtualisation est que les administrateurs considèrent souvent les VM comme moins importantes que les machines physiques et se permettent des actions qu ils n auraient pas envisagées dans un autre environnement 17/03/2010 27
Risque de dégradation de la sécurité : Des flux complémentaires à prendre en compte Les mécanismes de haute disponibilité établissent des communications qui sont en général non chiffrées (pour des raisons de performances). Les bonnes pratiques voudraient que l on cloisonne les flux, il s agit d un surcroit d administration. Les flux d administration des solutions sont chiffrés par défaut. 17/03/2010 28
Risque de dégradation de la sécurité : Les serveur hôtes sont des machines très sensibles Du fait que plusieurs services sont hébergés dans une même machine, le dysfonctionnement ou l arrêt de cette machine entraine des conséquences plus importantes. Il est indispensable de bien utiliser les mécanismes de sécurité mis à disposition par les éditeurs : Authentification et contrôle d accès, communications chiffrées Isolation (hôte/vm et VM/VM) Ne pas oublier les éléments d infrastructures «à la périphérie» de la solution (DNS, bases de données, etc ). 17/03/2010 29
Historique des vulnérabilités 1/2 Les chiffres qui suivent sont des tendances, en effet comme il sont «toute plate forme confondue» il ne sont pas nécessairement significatif pour la plate-forme qui vous intéresse. Il est indispensable de distinguer les solutions «bare metal» des autres (qui peuvent souffrir des failles du système d exploitation hôte). Les vulnérabilités a surveiller sont les sorties d isolation et les élévations de privilège. 17/03/2010 30
Historique des vulnérabilités 2/2 Concernant les 3 solutions majeures, depuis 2003 ont été publiés 326 avis. Sur ces 326 avis une dizaine concernaient des sorties d isolation, dont aucune n a été exploitée par un malware, seules deux failles ont été exploitées par des chercheurs. La plupart de ces failles nécessitaient des conditions particulières pour être mise en œuvre. Les avis d élévations de privilèges ont été en plus grand nombre, mais n étaient pas nécessairement facilement exploitables. Les correctifs sont rapidement mis à disposition chez les 3 fournisseurs. 17/03/2010 31
Sécurité et virtualisation 17/03/2010 Datacenter: retour d expérience La sécurité dans un environnement virtuel Les bonnes pratiques
Datacenter: retour d expérience (1) Du point de vue physique L accès doit être restreint (une visite = une demande validée même en interne) Norme ITIL respectée Une architecture redondante Electricité(groupe électrogène) Réseau (cœurs redondés, découpage par VLAN, supervision ) Serveurs (double alimentation, switchs ethernet et stockage SAN en haute disponibilité) Sauvegarde déportée (intégrité des données et confidentialité) Baie de stockage redondante 17/03/2010 33
La virtualisation du stockage et la sécurité 17/03/2010 34
Datacenter: retour d expérience (2) Du point de vue logiciel Le logiciel de virtualisation utilisédoit être éprouvée en terme de stabilitéet de sécurité. (INTRINSEC utilise le leader du marché VMware ) Depuis 2005, VMware dispose d un centre de sécurité. Liste des failles de sécuritévmware : http://www.vmware.com/security/advisories/ Liste des ports àouvrir selon les versions de produit: http://kb.vmware.com/selfservice/microsites/search.do?language=en_us&c md=displaykc&externalid=1012382 Le logiciel de virtualisation utilisédoit permettre un haut niveau de fonctionnalités redondante et sécurisée 17/03/2010 35
La sécurité élargit par les fonctionnalités de virtualisation Une architecture redondante Possibilitéde redémarrer les VM sur un autre hyperviseur en cas de défaillance réseaux (ex: VMware HA) Possibilitéde migrer àchaud des VM en fonction des ressources demandées au sein d un cluster d hyperviseur (ex: VMware DRS) Possibilité de séparer des machines virtuelles au sein d un cluster (DRS rules) Un cluster sans solution logicielle tiers (VMware Fault tolérance) Limitations (CPU, OS ) ce n est qu un début. Une architecture virtualisée permet de faire plus facilement du PRA La sécurité(accès des données) prend tout son sens au sein d un cloud HQ 17/03/2010 36
Quelques points de sécurité Authentification et contrôle d accès Utilisation de PAM et interface possible avec l AD pour les ESX. Connexion via SSH aux ESX est possible Communication chiffrée entre le vi client et le serveur ESX Service console (pare-feu intégré à l ESX) Isolation entre hôte (serveur ESX) et invité(guest OS) C est optimisémais il existe des protocoles (RPCI: àl initiative du guest OS) et TCLO (à l initiative de l hôte) qui communiquent Ex: VMwaretools et HGFS (Host Guest File System) 17/03/2010 37
La gestion des droits au sein du Virtual center (VMware) Les règles: Il existe plusieurs centaines de privilèges Un rôle est une collection de privilèges Un groupe AD se voit attribuer un rôle Ces rôles sont affectés àdes objets Ex d objet Virtual Center: datacenter, folders, ressources pools, clusters, hosts et virtual machines 17/03/2010 38
Best practises Deux consignes: Eviter de toucher aux rôles par défaut Restreindre les rôles Précisions: En cas de chevauchement de droits pour une même personne sur un objet, c est le plus restrictif qui s applique. 17/03/2010 39
Les firewalls virtuelles Principales fonctions (cela dépend des appliances) Isole les liaisons entre VM ou fait un protection par pare-feu des zone de VM en fonction de contener Surveille des activités autorisées ou refusés àl aide de protocoles basés sur des applications Bloc en un seul click le traffic réseau vers le pare-feu Avantages: stratégies de sécuritébien défine et règles simples basées sur des zones 17/03/2010 40
Les bonnes pratiques (1) Appliquer les correctifs de sécurité critiques Identifier les menaces et utiliser les logs fournis par l éditeur Attention àbien les valider avant de les appliquer car cela peut avoir une incidence sur la production Minimiser les services déployés sur le service console Autoriser l outil de supervision CIM, activer SNMP, désactiver la gestion via HTTP Eviter les produits tiers de supervision ou de backup. Activer le pare-feu et ne laisser que les flux fonctionnel Autoriser l outil de supervision CIM, activer SNMP Restrictions SSH Pas de compte root autorisé en SSH, utiliser SUDO Pratiquer des audits de sécurité fréquemment Si possible, ne pas toujours le faire par la même société Bien lire les recommandations de l éditeur (vsphere Hardening Guide pour VMware) 17/03/2010 41
Les bonnes pratiques (2) Uniformisation des machines virtuelles L OS doit être supporté par l éditeur de virtualisation Supprimer les périphériques virtuels inutilisés Ne pas installer des composants qui permette le drag n drop (vmwaretools) Faire des templates validépar le RSSI (ne pas produire de VM sans template) Configuration du réseau Mettre les switchs physique en mode trunk et paramétrer les port des switchs virtuels avec une segmentation par VLAN Ne pas permettre le routage de VLAN (un VLAN = un réseau) Faire du NIC Teaming sur les carte physique de l hyperviseur en mode actif / passif Séparer la carte physique du service console des autres cartes (LAN client) Utiliser un pare-feu virtuel par client (appliance stone soft ) Eviter les produits tiers de supervision ou de backup. Configuration du Virtual Center Eviter de changer les rôle par défaut ou limiter les de façon restrictive 17/03/2010 42