LA SECURITE DES VDI Anthony Soquin Armand Fouquiau Benoît Guillemaille Etienne Folio Jocelyn Mocquant Jonathan Philippe Julien Ceraudo 31/10/2010
TABLE DES MATIERES 1 Introduction... 2 2 La virtualisation et les postes de travail virtuels... 3 2.1 La virtualisation... 3 2.1.1 Hyperviseur de type 2... 3 2.1.2 Hyperviseur de type 1... 4 2.2 La virtualisation de postes de travail... 5 2.2.1 Présentation des Hosted Virtual Desktops... 5 2.2.2 Architecture système et réseau typique... 5 3 Les impacts stratégiques et opérationnels... 7 3.1 L'actualité... 7 3.1.1 Le marché et ses offres... 7 3.1.2 Les normes, standards et bonnes pratiques... 8 3.2 Les couts... 9 3.2.1 Le matériel... 9 3.2.2 Les licences... 11 4 Risques techniques et mesures préventives... 12 4.1 Risques sur l hyperviseur (attaques mémoire...)... 12 4.1.1 Contournement de l isolation des VM's... 12 4.1.2 Les rootkits... 12 4.1.3 Exploits sur le processeur et le jeu d instructions... 12 4.2 Risques sur les hôtes (serveurs de virtualisation)... 13 4.3 Risques sur le stockage (SAN)... 13 4.4 Risques sur le réseau... 14 4.5 Risques sur les clients (clients légers, clients zéro) et les VM... 15 4.6 Risques sur les applications et la migration du SI... 16 4.7 Facteur humain... 17 5 Conclusion... 19 6 Références... 20
1 INTRODUCTION La virtualisation est l une des technologies de l information les plus révolutionnaires de ces dernières années. Elle permet généralement une réduction des coûts opérationnels ainsi que la simplification des tâches de maintenance et d administration. Ainsi, les investissements informatiques génèrent des bénéfices optimaux avec une plus grande flexibilité. Le VDI (Virtual Desktop Infrastructure) ou, en français, infrastructure de bureaux virtuelle, est une technique visant à élargir aux postes de travail le champ d'application de la virtualisation, jusqu'alors réservée aux environnements serveurs. Les risques et solutions pour se prémunir de menaces sont les mêmes concernant tous les types de VDI. Dans ce document, nous nous focaliseront plus particulièrement sur l exemple des bureaux virtuels hébergés (Hosted Virtual Desktops HVD ) qui représentent la solution se démocratisant le plus à l heure actuelle : sur une telle infrastructure, les postes utilisateur sont exécutés directement sur les serveurs du datacenter au sein de l'infrastructure de virtualisation existante ou dans un environnement dédié. Les utilisateurs finaux accèdent à leur environnement et à leurs applications depuis n importe où, que ce soit au bureau, chez eux ou en déplacement, à partir d un terminal (un client léger ou un logiciel sur un ordinateur). Du point de vue de l utilisateur, tout se passe comme si les applications fonctionnaient localement sur sa machine cliente alors qu en réalité, tous les calculs sont effectués dans le datacenter de l entreprise. Ainsi l infrastructure de bureaux virtuels permet d obtenir les mêmes bénéfices que la virtualisation mais cette fois-ci sur les postes de travail. Cela soulève de nouveaux problèmes notamment organisationnels et a un impact considérable sur la sécurité des systèmes d information.
2 LA VIRTUALISATION ET LES POSTES DE TRAVAIL VIRTUELS 2.1 LA VIRTUALISATION La virtualisation consiste à faire fonctionner sur une seule machine physique plusieurs systèmes d exploitation. La plateforme permettant de faire cela se nomme l hyperviseur. On appelle serveur privé virtuel («Virtual Private Server» ou VPS) ou encore environnement virtuel («Virtual Environment» ou VE) ces ordinateurs virtuels. Dans la suite du document, les machines virtuelles seront désignées par l abréviation «VM». La bonne virtualisation d un système ou d une application dépend de son niveau d isolation vis-à-vis des ressources qui lui sont nécessaires. Cela peut aller de contraintes sur l environnement logiciel à des obligations d accès direct au matériel. Il existe deux type d hyperviseurs communément appelés «type 1» et «type 2» : 2.1.1 HYPERVISEUR DE TYPE 2 Un hyperviseur de type 2 est un logiciel (généralement assez lourd) qui s exécute sur l'os hôte. Un OS invité s'exécutera en troisième niveau au-dessus du hardware. Les OS invités n'ont pas conscience d'être virtualisés et n'ont donc pas besoin d'être adaptés. Cette solution est très comparable à un émulateur, et parfois même confondue. Cependant le microprocesseur, la RAM ainsi que la mémoire de stockage (via un fichier) sont directement accessibles aux machines virtuelles, alors que sur un émulateur leur accès est simulé. Les performances sont donc considérablement meilleures à l'aide de ce type d'hyperviseur par rapport à l utilisation d un émulateur. Cette solution isole bien les OS invités, mais elle a un coût en performance. Ce coût peut être très élevé si le processeur doit être émulé. En échange cette solution permet de faire cohabiter plusieurs OS hétérogènes sur une même machine grâce à une isolation complète. Les échanges entre les machines se font via TCP/IP et d autres protocoles réseau entre systèmes d exploitation. Un tampon d échange permet d émuler des cartes réseaux virtuelles sur une seule carte réseau réelle.
Exemples populaires : Microsoft VirtualPC VMware Server (anciennement GSX), VMware Workstation, VMware Fusion VirtualBox Parallels (sur MacOS) QEMU 2.1.2 HYPERVISEUR DE TYPE 1 Un hyperviseur de Type 1 (ou natif) est un logiciel qui s'exécute directement sur une plateforme matérielle donnée (comme outil de contrôle de système d'exploitation). Un système d'exploitation secondaire peut de ce fait être exécuté au-dessus du hardware. L'hyperviseur type 1 est un noyau hôte allégé et optimisé pour ne faire tourner initialement que des noyaux d'os invités adaptés et optimisés pour tourner sur cette architecture spécifique, les OS invités ayant conscience d'être virtualisés (on parle alors de para-virtualisation, méthode indispensable sur Hyper-V et qui augmente les performances sur ESX par exemple). Sur des processeurs ayant les instructions de virtualisation matérielle (AMD-V et Intel-VT), l'os invité n'a plus besoin d'être modifié pour pouvoir être exécuté dans un hyperviseur de type 1. Actuellement l hyperviseur est la méthode de virtualisation d'infrastructure la plus performante mais elle a pour inconvénient d être contraignante et onéreuse, bien que permettant plus de flexibilité dans le cas de la virtualisation d'un centre de traitement informatique. C est sur ce type d hyperviseurs que sont développées les HVD. Exemples populaires : Citrix Xen VMware vsphere, VMware ESX Microsoft Hyper-V Server
2.2 LA VIRTUALISATION DE POSTES DE TRAVAIL La virtualisation est une technologie pouvant servir de multiples objectifs. Nous nous intéresserons ici à la virtualisation de postes de travail, et plus particulièrement aux Hosted Virtual Desktops (HVD). 2.2.1 PRESENTATION DES HOSTED VIRTUAL DESKTOPS Le principe des HVD est de ne plus installer ni système d exploitation ni applications sur les postes de travail. Ils sont virtualisés et déportés sur des serveurs, dans le datacenter de l entreprise. L utilisateur peut conserver son poste de travail, mais l intérêt du poste virtuel est justement de s en passer et de le remplacer par exemple par des clients légers, moins consommateurs d énergie et plus simples à maintenir. Les avantages retirés sont donc l allègement des tâches de maintenance, la réalisation d économies d échelle et la consolidation de son parc. Contrairement aux systèmes physiques, plusieurs machines virtuelles invitées partagent un même hôte. Les machines virtuelles peuvent être configurées hors ligne et déployées à la demande, créant un environnement bien plus dynamique. Une fonctionnalité virtualisée telle que la mise en réseau fait abstraction de sa topologie physique. La virtualisation des postes de travail représente un bouleversement profond du SI d une entreprise. Il s agit entre autres pour le département des systèmes d information de renouveler l intégralité du réseau et des équipements, de se plier à une nouvelle politique de gestion du SI et d instaurer de nouvelles règles d utilisation au personnel. La gestion d une infrastructure de HVD est découpée en groupes fonctionnels. De ces groupes dépend la maintenance efficace des postes virtualisés. On distingue : Les terminaux (clients légers, ordinateurs portables, smartphones ) Le réseau (LAN/WAN, matériel réseau, protocoles, routage, filtrage, QOS, SLA ) L infrastructure de virtualisation (outils de virtualisation, hyperviseurs, réseaux virtuels ) Les opérations (monitoring, contrôle d accès, disponibilité, service management ) Le stockage (SAN ) Les OS et logiciels client (Windows, applications, profils utilisateurs, AD ) Ces groupes ont donc chacun leur propre politique de gestion de risque. 2.2.2 ARCHITECTURE SYSTEME ET RESEAU TYPIQUE Il existe différentes façons d architecturer une infrastructure de HVD. La base commune repose sur la virtualisation des postes de travail utilisateur avec un terminal (comme un client léger ou un client zéro) afin que l utilisateur puisse accéder à l ensemble de ses applications. Celles-ci s exécutent sur les serveurs de virtualisation en datacenter et communiquent avec le client léger au moyen d un protocole adapté (basé sur TCP/IP) composé principalement d une part d inputs clavier souris et d autre part de fragments d image.
Pôle Gestion des VM VLAN Proxy Machines virtuelles Internet SAN Serveurs de virtualisation VPN SSL Pôle VPN SSL Fig. 1 : Architecture HVD classique On peut noter sur ce schéma que matériellement tout le calcul et le stockage sont réunis en un seul point : le datacenter. Cela représente un SPOF (Single Point Of Failure) évident qui sera traité par la suite (redonder les équipements notamment). L ajout de nouveaux pôles sur cette architecture est extrêmement simple, tout comme l ajout de postes de travail : la charge est automatiquement répartie et partagée entre les serveurs de virtualisation. Les machines servant à la gestion du SI tout comme les serveurs nécessaires à son bon fonctionnement (AD, serveur de données, DHCP, serveur proxy, serveur d impressions ) peuvent être aussi virtualisés sur la même architecture physique, ce qui apporte facilité de maintenance, de backup et d administration ainsi que la résilience de ces systèmes pouvant être critiques. Différents intermédiaires selon les besoins peuvent se trouver entre le datacenter et le client final. L utilisateur peut ainsi retrouver son environnement de travail n importe où à partir du moment où il peut accéder aux serveurs du datacenter (avec une connexion Internet et une machine faisant office de terminal). La mobilité des employés est donc assurée et facilement mise en place.
3 LES IMPACTS STRATEGIQUES ET OPERATIONNELS 3.1 L'ACTUALITE 3.1.1 LE MARCHE ET SES OFFRES Le marché du VDI offre déjà une quantité de produits, édités par de nombreuses sociétés, dont Microsoft, Citrix, VMware, Oracle, Parallels Inc, Red Hat Inc... L'offre matérielle ne change pas mais se développe via les clients légers/zéro et les serveurs destinés à effectuer de la virtualisation. Concernant les offres logicielles, des produits de différents éditeurs peuvent communiquer entre eux suivant le déploiement de ces solutions : Les produits pour les points d'accès sont des solutions que l'utilisateur final va utiliser (expérience transparente pour certaines solutions). Les produits ciblant le déploiement des bureaux virtuels permettent une maintenance du parc virtuel en gérant les ressources entre la plateforme VDI et les points d'accès. La plateforme VDI contient les ressources matérielles et logicielles pour délivrer les bureaux virtuels. Voici un exemple de combinaisons de solutions diverses à partir du catalogue produit VDI des éditeurs Microsoft, Citrix et VMware : Points d'accès Microsoft Windows 7 / FLP Citrix XenClient Déploiement des VD Citrix XenDesktop VMware View Plateforme VDI Microsoft Hyper-V Server Citrix XenServer VMware ESX/ESXi Un bref historique des technologies appartenant au concept VDI permet d'identifier la relative jeunesse de cette solution : Microsoft Hyper-V a été officialisé en juin 2008, VMware ESXi en décembre 2007, Oracle VDI - Sun xvm avant rachat de Sun par Oracle - en octobre 2007. Les offres se développent et des partenariats entre différents éditeurs et intégrateurs sont négociés au fil du temps.
3.1.2 LES NORMES, STANDARDS ET BONNES PRATIQUES Le VDI tient principalement du concept de virtualisation et de centralisation des données pour des clients se connectant au service. Cela reste une technologie de l'information, au titre que l'exposition aux risques doit être contrôlée. La suite ISO/CEI 27000 reste la référence concernant les standards de la sécurité de l'information. Les directives des normes ISO 27000 peuvent se résumer à la stratégie synthétisée suivante : "Planifier, exécuter, vérifier, agir". 1. Planification : conception d'une configuration appropriée de l'environnement; Cible : contrôle administratif Comment : sécurisation de l'environnement physique, extension de ces principes à la virtualisation - segmentations, limitations, configurations, contrôles 2. Exécution : sécurité administrative des opérations Cible : surveillance et maintenance Comment : déploiement d'outils de gestion sécurisés et ciblés 3. Vérification : contrôle des actions administratives Cible : analyse et cohérence des données administratives vis-à-vis des risques Comment : systèmes de gestion des informations et évènements de sécurité (SIEM), visibilité des différents événements qui peuvent être spécifiques à la virtualisation 4. Agir : importance critique de la réponse Cible : correction des problèmes Comment : évaluation des réponses, approche proactive, sensibilisation La virtualisation s'est développée en entreprise. Des organismes et sociétés, tels que Distributed Management Task Force (DMTF) ou VMware, ont alors essayé d'établir des standards ou des bonnes pratiques concernant ce concept. DMTF se destine à rédiger des standards sur le concept des ressources distribuées. A ce titre, ce groupe propose différents standards dont la forme s'apparente aux RFC. Une quinzaine de standards sont proposés, allant du management de services conceptualisés sur du Cloud Computing, à la gestion de la virtualisation, en passant par la représentation sous forme de données des machines virtuelles. En ce qui concerne les bonnes pratiques, des experts préfèrent soulever certaines habitudes potentiellement néfastes sur cette technologie, mais qui s'appliquent plus généralement à tout déploiement d'infrastructure sensé externaliser l'outil informatique au profit de l'application métier : 1. La perte de vue de la problématique de départ : Le champ d'application des VDI sont les processus métier, et donc l'utilisateur final. 2. L'indifférence du management : Augmenter la disponibilité et la qualité de service n'est pas forcément pertinent auprès du management, contrairement à une réduction drastique de certains coûts. 3. Le changement des habitudes : Les pratiques sur l'informatique traditionnelles ne sont pas les mêmes pour des bureaux virtuels. 4. Les ressources sont nouvelles : Les bureaux virtuels ne sont ni des postes de travail, ni des serveurs. 5. La segmentation des services attachés aux VDI : L'organisation de cette infrastructure doit faire évoluer l'organisation des équipes IT.
Cette technologie est peut-être jeune de par son âge mais sa croissance et les concepts distribués ont assez d'expérience pour être déployés dans le monde de l'entreprise. A celui-ci de s'adapter à l'évolution que représente ce concept. 3.2 LES COUTS 3.2.1 LE MATERIEL Les problématiques des postes de travail sont les coûts d'achat et d'exploitation. L'évolution progressive du parc informatique dans le temps peut accélérer les dépenses de gestion. Des coûts sécuritaires peuvent s'ajouter: les postes de travail ont un support couteux et des risques de vol; les données sont réparties entre les disques utilisateurs et réseaux... Maîtriser les coûts de ces ressources est donc un objectif majeur à réaliser. 3.2.1.1 CAPEX A cette diversité des ressources, la solution d'une architecture basée sur le concept des VDI possède une même diversité de solutions, et de nouveaux services peuvent apparaitre. Hors services externes (serveurs de stockage...), voici les différentes ressources utilisées dans l'architecture classique : 1. Terminaux 2. Licences clients (OS) 3. Infrastructure (réseau, raccordement électrique...) 4. Consommation énergétique A cela s'ajoute, pour une solution VDI : 5. Serveurs 6. Licences spéciales pour les produits virtualisés 7. Broker (assure la liaison entre le terminal et le serveur) Cela n'implique pas forcément un coût plus élevé. Un client léger ou même zéro possède un prix bas (minimum 2 fois moins cher qu'un poste de travail classique, jusqu'à 25 fois moins cher qu'une station de travail). De par la nature de ces clients, l'obsolescence du matériel est bien moins marquée sur le temps. Le broker, qui a forcément une partie interne à l'entreprise pour le réseau des clients, est assuré via la disponibilité de ce réseau. Le risque concernant une défaillance du broker est plus critique, mais les conséquences sur le coût sont quasi nulles si l'infrastructure de départ était déjà fiable (redondance, bande passante suffisante...). La consommation énergétique est elle aussi moindre, dépendant des composants des postes clients et des serveurs de virtualisation. Dans la plupart des ressources commerciales d'intégrateurs et éditeurs (qui peuvent proposer des solutions classiques vis-à-vis de la virtualisation), les amortissements de coûts génèrent souvent des ROI positifs dès la première année de la migration vers les VDI.
Prix d'un poste de travail à l'année 3600 2000 Poste de travail classique Poste de travail sur VDI Il est quand même important de noter que suivant l'activité métier, certains types de virtualisations peuvent se révéler plus avantageux que les VDI. 3.2.1.2 OPEX La maintenance d'un parc informatique est liée à plusieurs facteurs, parmi lesquels des inconvénients majeurs suivant la diversité des ressources matérielles. Les coûts opérationnels peuvent se révéler bien supérieurs au coût d'achat. 77% 2% 6% 15% Services et support Hardware Réseaux Software Figure 1 - Répartition des coûts de maintenance - Source : Gartner La gestion physique des postes de travail - Installe/Move/Add/Change (IMAC) - est bien facilitée via les clients légers/zéro, les mises à jours matérielles sont moins fréquentes (voire inexistantes), la réorganisation matérielle est simplifiée. Les couts de réparation/casse sont également moindre, les serveurs rack ou en baie sont facilement remplacables, avec des tolérances aux pannes très larges. La gestion des logiciels systèmes se veut centralisée sur le serveur, plus de système d'exploitation unique pour chaque ordinateur client : le déploiement des images est simple et efficace. La maintenance est aussi plus efficace lors des mises à jours logicielles, elles s'effectuent directement sur les serveurs sans passer par les clients. Tout cela permet de gérer les coûts de maintenance, à condition d'avoir prévu certains risques et contraintes liés à cette architecture.
3.2.2 LES LICENCES Afin de voir l'impact sur l'utilisateur final, un comparatif d'une situation simple est proposé : une personne doit taper un document sous Microsoft Word. Dans une architecture classique sans virtualisation, nous avons donc une licence pour le système d'exploitation, ainsi que pour l'application logicielle. Le même exemple avec une architecture virtualisée : 1. licence VMware pour l'hyperviseur (serveur) 2. licence Windows Server avec Terminal Server (serveur) 3. licence Citrix XenDesktop (déploiement des VMs) 4. licence Microsoft Application Virtualisation (virtualisation des applications) 5. licence Microsoft Office (application) 6. licence Windows 7 (hôte) Evidemment, les éditeurs font en sorte que le coût avec une telle architecture reste bénéfique comparé à l'architecture classique. Néanmoins, cela nécessite une certaine gestion de la part du client. Les éditeurs proposent une tarification en fonction des ressources du serveur, généralement une licence par processeur (qui peut encore se différencier entre le nombre de sockets ou de cœurs). Au final, des appels d'offre se révèlent souvent nécessaires compte tenu de la diversification des offres des éditeurs et des besoins du client.
4 RISQUES TECHNIQUES ET MESURES PREVENTIVES 4.1 RISQUES SUR L HYPERVISEUR (ATTAQUES MEMOIRE...) Un hyperviseur est la clé de voûte d un système VDI, car c est lui qui possède le contrôle total sur les VMs hébergées. C est pour cette raison qu il est examiné de près par les professionnels. Aujourd hui des livres blancs leurs sont consacrés pour répertorier toutes les vulnérabilités dont ils sont la cible. On dénombre plus de 668 vulnérabilités répertoriées à l heure actuelle, nombreuses d entre elles ne sont pas corrigées, la plupart peuvent être déclenchées à distance. Il existe différents risque sur les hyperviseurs, nous allons étudier les plus répandues. 4.1.1 CONTOURNEMENT DE L ISOLATION DES VM'S L isolation des machines virtuelles est une chose fondamentale pour le bon fonctionnement du système. Le risque est donc de perdre ce cloisonnement permettant ainsi d avoir un accès à plusieurs VMs, à l hyperviseur et parfois un accès au système physique. Cela permet également un accès à toutes les informations de chaque VM. Pour réussir à casser ce cloisonnement, beaucoup d attaques se concentrent sur les outils de gestion des hyperviseurs. Ces outils de gestion n étant pas conçus spécifiquement pour la virtualisation, on trouve de nombreuses failles exploitables sur un système virtualisé. Le seul moyen de s en prémunir est d appliquer régulièrement les patchs correctifs sur ces outils. 4.1.2 LES ROOTKITS Les rootkits (ou hyperootkit, nom donné pour les rootkits destiné aux hyperviseurs) sont de plus en plus présents, ce qui augmente le vecteur d attaque des systèmes virtualisés. Ils sont quasiment indétectables, ce qui accroit la difficulté de se protéger contre ce type de menace. Il existe principalement deux types de rootkit, le premier utilise un camouflage complet l autre un camouflage partiel. Le camouflage complet consiste à se placer entre le matériel et l hyperviseur, alors que le camouflage partiel s installe entre la VM et l hôte. Pour illustrer la notion de rootkit, nous allons étudier Bluepill qui utilise un camouflage partiel. BluePill est un malware de type III, cela signifie qu il ne modifie pas un seul octet du système. Il s insère dans la mémoire libre de la machine et simule un hyperviseur. Il utilise la technologie de la virtualisation hardware développé sur les processeurs Intel et AMD. Une fois mis en place, on peut gérer toutes les VMs présentent comme si on était l hyperviseur. De plus il est difficilement détectable car il se cache en mémoire et corrompt le gestionnaire de tache Windows. Ce type d attaque peut être évité en installant des solutions comme Microsoft AntiSpyware qui permettent de détecter et de supprimer ces malwares. 4.1.3 EXPLOITS SUR LE PROCESSEUR ET LE JEU D INSTRUCTIONS Il est possible de réaliser un exploit sur le processeur de l hyperviseur. En jouant sur le set d instruction, il est alors possible d avoir accès à la mémoire de l hyperviseur, et de la compromettre. Une fois la machine compromise, l attaquant pourra avoir accès aux différentes machines virtuelles, ainsi qu aux données.
Aujourd hui, il n existe aucune personne ayant réussi à prendre le contrôle d un hyperviseur. Cependant, ceci reste le premier point critique de ce type d infrastructure. Perdre le contrôle du cerveau d un système implique aussi la perte du contrôle du reste du système. Pour protéger l hyperviseur, il est important de le mettre à jour régulièrement et de mettre en place une veille technologique. En effet, même si les failles existantes ou corrigées ne sont pas divulguées, la virtualisation des postes de travail est une technologie récente qui intéresse de plus en plus de personnes, que ce la soit pour faire évoluer sa sécurité, ou pour l exploiter. Ainsi, même si des failles existent au niveau de l hyperviseur, elles restent tout de même secrètes, et donc plus difficile à exploiter. Cela ne remplace pas la mise à jour de l hyperviseur lorsqu elle est disponible qui reste le meilleur moyen de se protéger. 4.2 RISQUES SUR LES HOTES (SERVEURS DE VIRTUALISATION) L'un des risques majeurs sur les systèmes hôtes sont les attaques de type DoS (attaque par déni de service, ou "Denial of Service attack") ou encore attaques de type DDoS ("Distributed Denial of Service attack"), attaques ayant pour but de rendre indisponible un service, et d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Le pirate n'a pas forcément besoin de matériel sophistiqué. On appelle parfois ce type d'attaque «attaque asymétrique» (en raison de la différence de ressources entre les protagonistes). Un pirate avec un ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus importants. De cette manière, le pirate peut paralyser entièrement l'infrastructure de virtualisation, empêchant les utilisateurs légitimes de travailler sur leur machine virtuelle. Les attaques de type DoS peuvent être contrées en identifiant l'adresse IP de la machine émettant les attaques et en la bannissant. Ainsi, les paquets provenant d'une machine hostile sont dès lors automatiquement rejetés sans être traités, empêchant que le serveur ne soit saturé et ne se retrouve hors ligne. Les attaques de type DDoS sont plus difficiles à contrer, dont le principe est de diminuer les possibilités de stopper l'attaque. En effet, cette dernière provient de nombreuses machines hostiles (généralement, des bots ou "zombies") aux adresses différentes, pouvant être à l'extérieur comme à l'intérieur même du réseau. Seule une architecture répartie, composée de plusieurs serveurs offrant le même service gérés de sorte que chaque client ne soit pris en charge que par l'un d'entre eux permet de répartir les points d'accès aux services et offre, en situation d'attaque, un mode dégradé (ralentissement) souvent acceptable. Enfin, selon les attaques, il est également possible de mettre un serveur tampon dont le rôle est de filtrer et nettoyer le trafic, permettant ainsi, en cas d'attaques, de faire en sorte que les requêtes malveillantes ne touchent pas le (ou les) serveur hôte. 4.3 RISQUES SUR LE STOCKAGE (SAN) L infrastructure de bureaux virtuels implique, par sa nature, un système de stockage performant pour stocker aussi bien les machines virtuelles que les données. Le moyen le plus répandu reste le SAN, Storage Area Network. Ce système permet de mutualiser les ressources de stockage. Il déploie un réseau de gestionnaires de fichiers. Ainsi, chaque serveur, voire chaque groupe opérationnel au sein de l entreprise, a accès à une unité logique définie au sein du SAN, et voit son espace disque disponible modulable, puisqu il suffit de rajouter un disque dur dans la baie pour augmenter sa capacité.
Schéma d'un SAN Le premier grand risque concernant ce système de stockage réside dans sa configuration. C est d ailleurs ce paramétrage qui lui permet d être si évolutif quant aux différents systèmes de fichiers utilisables, ou encore quant à l augmentation de l espace disque disponible. Une mauvaise configuration entrainerait éventuellement un dysfonctionnement du système et donc obligerait à un arrêt complet du service le temps de sa reconfiguration. Afin de palier à ce problème d ordre humain, et donc non quantifiable, il est conseillé de réaliser régulièrement une formation ou une remise à niveau du personnel concerné (administrateurs système) dans le but d éviter toute mauvaise manipulation. Une configuration défectueuse du SAN peut aussi laisser des failles de sécurité, voir un accès direct au système. L attaquant aurait alors non seulement accès aux données de l entreprise, mais aussi à l entièreté de leur système d information. L accès au SAN est donc un point très critique au sein d une infrastructure d entreprise, et plus particulièrement de VDI. Le principal point faible est donc un problème d accès, d authenticité et de confidentialité des données, que ce soient les machines virtuelles ou les données de l entreprise. 4.4 RISQUES SUR LE RESEAU L infrastructure de bureaux virtuels n utilise pas le réseau de façon spécifique. Le réseau dans ce type d infrastructure joue un grand rôle car c est lui qui permet de déporter l exécution des applications sur les serveurs distants. Ainsi les principaux risques liés aux réseaux sont ceux que l on retrouve sur les infrastructures réseaux traditionnelles à savoir : MITM (Man In The Middle) C est une attaque très connue dans la sécurité des réseaux consistant à se positionner de façon stratégique sur le réseau pour pouvoir intercepter tout le trafic entre la source et le destinataire et possiblement le modifier à sa guise.
Schéma type d une attaque MITM La meilleure solution pour parer ce type d attaque dans le cas d une infrastructure de bureaux virtuels est d utiliser des protocoles de chiffrement entre le client léger et la machine virtuelle distante. Ainsi entre le point de chiffrement et de déchiffrement, une attaque de type MITM se révèlera inefficace et l attaquant ne pourra pas écouter ou modifier les données transitant sur le réseau Denis de service (DOS/DDOS) Ce type d attaque consiste à rendre inutilisable une machine/service distant en inondant la cible de trafic inutile ou en exploitant une de ses vulnérabilité. Généralement, le but final de cette attaque consiste à nuire au bon fonctionnement d une organisation (cela pouvant avoir un impact conséquent sur l activité économique de l entreprise). Dans le cas d une infrastructure de bureaux virtuels consistant à centraliser toutes les ressources informatiques d une entreprise, cela pourrait entrainer jusqu à une paralysie totale de l activité de cette dernière. Le dernier point critique du réseau est la disponibilité. En effet, alors que pour une architecture classique, il est possible de travailler quelques heurs en étant déconnecté grâce aux données en cache, dans le cas où le lien avec le serveur tombe, les clients sont alors inutilisables. Ce lien est primordial pour cette architecture. Il est donc essentiel de redonder la connexion fournie par le FAI. 4.5 RISQUES SUR LES CLIENTS (CLIENTS LEGERS, CLIENTS ZERO) ET LES VM Au niveau du client, la corruption d une machine virtuelle afin de s'en servir pour tenter de compromettre le réseau virtuel entier, voir le serveur hôte, représente un risque majeur. En effet, un poste virtualisé est aussi vulnérable qu'un poste traditionnel et est sensible aux virus, malwares et intrusions. Les machines virtuelles sont créées neuves et initialisées à partir d une image de base de l OS. Elles sont allouées à un utilisateur lors de sa connexion à la plateforme (a priori lorsqu un utilisateur allume son poste). Lors de sa déconnexion, la machine virtuelle est entièrement détruite, entrainant la destruction de tout malware en mémoire ou ayant pu s implanter dans l installation de l OS. Ces postes ne sont ainsi pas de bonnes cibles pour l'implantation d'un malware, ils n'en restent pas moins utiles pour mener des attaques ciblées sur le réseau virtuel. En effet, dans une infrastructure physique, les flux entre machines sont parfaitement supervisés, mais avec la virtualisation, on perd de la visibilité sur les flux entre machines virtuelles. Les attaques entre machines virtuelles sont alors difficilement visibles par les outils de supervision classiques. Selon la solution choisie, il peut exister des outils de monitoring poussés au sein de l infrastructure virtuelle, permettant donc de détecter un potentiel problème.
Ainsi, à partir d'une machine virtuelle corrompue, en spoofant un serveur hôte, on pourrait aisément propager ses propres informations à tous les clients de l'infrastructure. Par exemple, distribuer un environnement très proche de l'original, mais où l'antivirus a été modifié et où un malware a été injecté. Il est possible de se protéger contre ce scénario en optant pour des clients légers ou zéro vérifiant l authenticité de l hôte auquel ils se connectent. Aujourd'hui, il commence à y avoir sur le marché des solutions anti-virus dédiées aux systèmes virtualisés, comme par exemple VM-Safe (de VMware), ou encore Optimized Virtual Environments (de McAfee). Ces systèmes consistent en une API qui permet de déployer un anti-malware au niveau des hyperviseurs ; les machines virtuelles n'accueillant qu'un simple agent. 4.6 RISQUES SUR LES APPLICATIONS ET LA MIGRATION DU SI Lorsque l on change son architecture de système d information vers une infrastructure de type VDI, il est important de prendre en compte le fait que la compatibilité des applications avec l architecture choisie n est pas assurée. En effet, certaines applications demandent des contraintes matériels ou logicielles, qui peuvent ne pas être respectées. Ces applications donc difficiles à intégrer. Soit il faut repenser l architecture, soit il faut refaire l application si celle-ci est dite «maison», ou alors se tourner vers une autre application qui accepte l infrastructure pensée. Le problème majeur durant la migration reste le risque de bogues dans la solution choisie. En effet, il existe un nombre d éditeurs de solutions de virtualisation assez limité : VMWare, Citrix, ou encore Microsoft. Cependant, leur solutions ne sont pas infaillibles ni exempte de bogues, et toutes ne sont pas corrigées. Produit Correctifs / Vulnérabilités Partiellement Non corrigées Alertes corrigées VMWare Player 11 56 0 1 VMWare Desktop 12 54 0 2 VMWare Server 1 13 48 1 1 VMWare Server 2 7 51 1 2 VMWare ESX 2 2 140 4 0 VMWare ESX 3 36 216 7 0 VMWare ESX 3i 13 19 0 1 VMWare ESX 4 4 45 1 1 VMWare ESX 4i 2 39 0 1 TOTAL 127 668 14 9 Tableau 1: Statistique des vulnérabilités sur VMWare de 2003 à octobre 2009
Produit Correctifs / Vulnérabilités Partiellement Non corrigées Alertes corrigées Xen 3.x 10 17 1 2 Citrix Xen Server 2 2 0 0 Citrix Xen App 0 0 0 0 Citrix Xen 0 0 0 0 Desktop TOTAL 12 19 1 2 Tableau 2: Statistique des vulnérabilités sur Citrix de 2003 à octobre 2009 Produit Correctifs / Vulnérabilités Partiellement Non corrigées Alertes corrigées Windows 2008 51 109 0 0 Hyper-V / Virtual 2 2 0 0 PC Server TOTAL 53 111 0 0 Tableau 3: Statistique des vulnérabilités sur Microsoft de 2003 à octobre 2009 D après ces tableaux, on peut voir que les produits Microsoft sont tous corrigés, tandis que pour les autres éditeurs, il reste encore quelques bogues partiellement corrigés, voir non corrigés. Il est important aussi de prendre en compte que Microsoft s est lancé dans le monde de la virtualisation en 2008, tandis que les autres éditeurs étaient déjà présents en 2003. Nous ne voyons donc qu un retour sur un an pour Microsoft, et leurs produits ont déjà cumulé plus de vulnérabilité que les produits Citrix. Les produits VMWare quant à eux ont certaines vulnérabilités qui ne sont toujours pas corrigées. Cela peut devenir un problème de grande envergure si la criticité de la vulnérabilité est élevée. Il est donc très important de se renseigner sur les différents éditeurs, leur politique, et leur vitesse de détection et de correction des vulnérabilités. Un système avec des vulnérabilités connues est plus simple à attaquer. 4.7 FACTEUR HUMAIN Un des derniers risques de la virtualisation est le facteur humain. En effet, d'un simple clic, un administrateur peut effectuer des manipulations qui, dans la réalité, correspondent à couper le circuit électrique d'un datacenter. En réalité, c'est difficilement possible, car il faut accéder à la salle, aux baies généralement protégés par des systèmes de sécurités sophistiqués et un contrôle d accès strict. Cependant, les interfaces d administration des serveurs et des machines virtuelles permettent ce genre d opérations. Une erreur humaine peut ainsi provoquer la suppression d'une (ou plusieurs) machines virtuelles et ses données, ce qui dans la réalité se traduirait par la suppression physique d'une machine. Il y a également des risques liés à la malveillance. Un accès illimité au serveur hôte peut avoir un impact critique. Entrer illégalement sur une machine physique est préjudiciable, mais quand on peut accéder à 100 (ou plus) de ces machines d un coup grâce à la virtualisation, c'est catastrophique. Pour éviter cela, l'entreprise doit respecter certaines règles. Elle doit intégrer dans sa réflexion l'analyse des risques pour chaque besoin et service concerné, et prendre en compte l'interdépendance avec l'infrastructure existante et/ou à venir. Elle doit mettre en place un contrôle des accès et une gestion des droits adaptée afin de diminuer au maximum les risques, et éviter le «n'importe quoi». Il faut aussi informer et former le personnel adéquat. En effet, une politique de sécurité consistant à gérer le plus finement possible les
droits et rôles des différents administrateurs permettra d'éviter qu'une malveillance importante ne puisse être réalisée par les administrateurs sans l'entente de plusieurs d'entre eux. Il est aussi nécessaire de mettre en place des procédures de cellules de crise. En effet, il suffit qu un serveur de virtualisation tombe en panne, et c est toute l entreprise qui est paralysée. Il est nécessaire que, lorsque ce genre d incident arrive, il existe un plan pour redémarrer rapidement les activités.
5 CONCLUSION Nous nous sommes intéressés dans ce document aux architectures de bureaux virtuels et aux problématiques de sécurité que celles-ci soulevaient. Sur le plan technique, beaucoup de problématiques sont identiques à celles qu on pourrait rencontrer sur une architecture classique. Lors d un déploiement d une architecture de type VDI, il est ainsi bien nécessaire de vérifier les droits attribués à chaque utilisateur, bien définir ses unités d organisation et ses groupes de privilèges. De plus, la mise en place régulière de correctifs de sécurité et l application d'une politique de sécurité stricte est indispensable. La sécurité du réseau et des équipements matériels est critique. Il faut ainsi bien redonder tout matériel sensible car une seule panne peut entrainer l indisponibilité de toute l infrastructure ce qui se traduirait en pertes parfois colossales pour l entreprise. Le datacenter doit être sécurisé contre toute intrusion physique pour se protéger de tout accès non autorisé aux interfaces d administration. La réactivité en cas d attaque est encore plus primordiale sur une telle infrastructure que traditionnellement et la mise en place de cellules de crise est indispensable. Il a aussi été vu que la sécurité de l hyperviseur était primordiale et que la mise en place d une cellule de veille technologique était indispensable. Ce nœud central a en effet accès à toutes les ressources du SI, et surtout aux données, point sensible et critique de toute entreprise. Les attaques sur infrastructures virtualisées (surtout sur l hyperviseur) nécessitent un niveau de technicité très élevé. Peu de personnes sont techniquement à même d exploiter de potentielles failles hyperviseur. Cela signifie aussi que peu de personnes sont qualifiées pour les signaler et les combler. La virtualisation des postes de travail commence à mûrir. De plus en plus de sociétés migrent sur ce type de solutions compte tenu des avantages non-négligeables qu elle apporte. Nul doute alors que de plus en plus de personnes se pencheront sur les failles d une telle infrastructure dans un futur proche, découvrant ainsi de nouvelle failles et de nouveaux vecteurs d attaque.