Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Laurent Charveriat, I-TRACING : Les risques majeurs de la virtualisation

août 2010 par Laurent Charveriat, Directeur Technique et cofondateur d’I-TRACING

La virtualisation n’est pas un terme récent ou un effet de mode, contrairement à ce que l’on pourrait penser. IBM a inventé ce concept dans les années 1960 en embarquant une couche de virtualisation dans ses supercalculateurs MAINFRAME. Ces puissants centres de calcul pouvaient faire fonctionner plusieurs instances de système d’exploitation afin de gérer plusieurs tâches simultanément. Dans les années 1990, VMware ajoute la virtualisation aux architectures matérielles x86 dans le but d’optimiser les ressources. Aujourd’hui VMware fait partie des leaders du marché de la virtualisation en environnement x86 qui est en pleine explosion.
Des avantages indéniables…

Les bénéfices de la virtualisation sont tellement évidents que de nombreuses organisations l’ont rapidement adoptée, sans parfois prendre le temps d’analyser toutes les implications de sécurité liées à cette technologie. Faire fonctionner plusieurs systèmes d’exploitation sur un seul ordinateur, comme s’ils fonctionnaient sur des ordinateurs distincts présente de nombreux avantages mais aussi certains pièges à éviter.

La virtualisation transforme, pour les machines virtuelles, la gestion hardware en gestion software. Il devient alors possible d’ajouter, par exemple, de la mémoire, de la puissance CPU, une carte réseau ou de l’espace disque à un serveur fonctionnant dans une machine virtuelle sans devoir intervenir physiquement sur le serveur. Une fois les serveurs hôtes physiquement connectés aux réseaux, aux baies de stockage… aucune opération de connexion supplémentaire n’est nécessaire, ce qui réduit d’autant les besoins de câblage et simplifie les branchements. Mettre à disposition un nouveau serveur pour l’installation de nouvelles applications ne demande donc que quelques heures.

Dès lors que l’infrastructure de virtualisation est correctement dimensionnée et qu’elle s’appuie sur différents serveurs physiques, la mise à jour des serveurs physiques (drivers ou composants VMware eux-mêmes) s’effectue très simplement, ce qui garantit une haute disponibilité des services supportés par ces serveurs.
Les VM sont indépendantes du hardware sur lequel elles s’exécutent et transforment un serveur en un ensemble de fichiers. Aussi, la gestion des Plans de Continuité d’Activité se trouve grandement simplifiée. Le redémarrage sur un site distant des serveurs ne fonctionnant plus à la suite de la destruction d’un data center ou de son isolation sur le réseau est simple. La mise en service d’un nouveau serveur pour l’installation de nouvelles applications devient rapide. Accompagner la montée en charge d’un nouveau service est simplifiée.

Les avantages sont aussi d’ordre financier car le hardware est optimisé. En effet, dans la situation « classique » d’un serveur physique qui supporte un serveur « logique », le serveur physique n’est que très rarement utilisé juste à hauteur de ses capacités. Il est souvent surdimensionné. Dans le cas contraire, il serait tôt ou tard « upgradé ». Les frais de maintenance, consommation électrique et climatisation, tout comme la place occupée par les matériels dans le data center, sont donc optimisés.

Mais des risques subsistent…

Malgré de nombreux atouts, une infrastructure de virtualisation présente des risques intrinsèques à sa raison d’être. En consolidant la charge de travail de différents serveurs sur une même machine, on augmente la criticité de la machine. La panne matérielle d’un serveur hôte entraîne l’arrêt de l’ensemble des services consolidés sur la machine.

Il existe des problèmes d’étanchéité entres les machines virtuelles et la machine hôte, rendant possible l’accès au système physique.
La virtualisation entraîne une augmentation des risques de sécurité informatique. La principale raison réside dans le fait qu’une machine supportant plusieurs serveurs virtuels est forcément plus vulnérable qu’un seul serveur physique. Au sein des entreprises, les directions des systèmes d’information et des risques commencent à en prendre conscience.

Sécurité des accès

Pour faire dialoguer deux serveurs réels, il faut préalablement réaliser des opérations physiques sur les serveurs. On les connecte physiquement à l’aide de câbles réseaux, classiquement par l’intermédiaire de commutateurs. De même, l’ajout d’une carte réseau nécessite d’accéder physiquement au serveur et de la placer dans le châssis. Avec la virtualisation, ces opérations sont faites à distance et de manière logicielle. Le fait qu’il soit beaucoup plus facile (et c’est un véritable atout pour l’administration) d’établir une connectivité entre des VM qu’entre des serveurs physiques, présente un risque supplémentaire en cas d’erreur ou de malveillance de configuration.

Il ne faut pas négliger l’aspect critique des serveurs de virtualisation. Toute personne non autorisée qui obtient l’accès au serveur peut copier des informations sensibles d’une infrastructure. La console est une machine virtuelle, particulièrement sensible puisque les opérations exécutées peuvent impacter l’ensemble des VM supportées. Il est donc indispensable d’en contrôler parfaitement les accès. Des accès illicites seraient lourds de conséquences !

Par ailleurs, des utilisateurs mal intentionnés ou maladroits peuvent, perturber et interrompre le service, voire modifier certains paramètres de configuration. Les atouts véritables de l’administration d’une infrastructure complexe formée de nombreux serveurs du fait de la virtualisation, peuvent se retourner et présenter des risques, si les administrateurs (légitimes ou illégitimes) ont des droits trop importants sur l’ensemble de l’infrastructure. Un administrateur ayant tous les droits sur l’infrastructure de virtualisation pourrait par exemple, en quelques clics, stopper des VM. Ce qui reviendrait à couper l’alimentation d’une partie d’un data center ! Il lui serait aussi possible de supprimer purement et simplement, tout ou partie des VM. Ce qui reviendrait à détruire des serveurs physiques et les données associées !

Accès aux VM à partir du système hôte

Le système supporte un ensemble de machines virtuelles. De fait, l’administrateur du système hôte peut accéder aux serveurs fonctionnant dans les machines virtuelles. Cependant, être administrateur du système hôte ne veut pas dire être administrateur - au sens système - des serveurs contenus dans les VM (ce qui est d’ailleurs rarement le cas). Toutefois, rien ne l’empêche de récupérer les fichiers des VM ou tenter un accès console.

Certaines failles de la couche de virtualisation et des services associés ou composants annexes, peuvent se traduire par des risques d’élévation de privilèges au sein des serveurs hôtes. Les fonctionnalités d’administration des VM, pourraient être sources de vulnérabilités en favorisant des évasions et des élévations de privilèges au sein des VM. 

Suivi des performances et du service

Il est possible pour un programme malicieux d’affecter la charge d’une machine virtuelle et d’impacter l’ensemble des performances des différentes machines.
Indisponibilité des serveurs

Le principe de la virtualisation est de mutualiser un serveur physique pour faire fonctionner plusieurs serveurs réels, dans le sens qu’ils supportent des applications et/ou des services bien réels, s’exécutant au sein de machines virtuelles supportées par ce serveur physique. L’indisponibilité du serveur physique provoque de fait l’indisponibilité de l’ensemble des serveurs supportés et donc des services et applications associés.

Ouverture de l’espace de stockage des VM

Dès lors que des serveurs physiques supportent les mêmes machines virtuelles (en particulier pour gérer la haute disponibilité en cas de panne hardware), il est nécessaire qu’ils accèdent au même espace de stockage. Plus on souhaite mutualiser (et donc optimiser) l’usage de serveurs physiques, plus on doit ouvrir l’accès à l’espace de stockage de ces VM. 

Prise de contrôle du système par l’hôte

Un programme exécuté sur une machine hôte peut effectuer des actions sur le système lui-même, voire en prendre le contrôle. Ce type de vulnérabilité est particulièrement critique.

Quelques conseils pour réduire les risques liés à la virtualisation

L’entreprise est amenée à respecter certaines règles. Elle doit déterminer les services à virtualiser en intégrant dans sa réflexion, l’analyse des risques pour chaque application et chaque service concerné et l‘interdépendance avec l’infrastructure existante. Il lui faut aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. L’intégration et l’administration des serveurs hôtes dans l’infrastructure sécurisée existante est une sage précaution et la mise en place d’un processus de surveillance de type « sécurité système et applicatif » une impérieuse nécessité.

Etablir une politique des privilèges, définir les processus et rédiger les procédures sont indispensables. Il faut aussi informer et former le personnel. L’entreprise doit rester vigilante.

La prise en compte de ces quelques règles apportera des améliorations.


Voir les articles précédents

    

Voir les articles suivants