Oui à la virtualisation, mais pas sans protection !

La virtualisation nécessite d'appliquer des mesures de sécurité particulières. Le moindre incident au niveau de la plate-forme d'hébergement peut en effet mettre en danger tout le centre de données virtuel.

La virtualisation soulève un certain nombre de problèmes de sécurité car le moindre incident au niveau de la plate-forme d'hébergement met en danger tout le centre de données virtuel. L'administration partagée de plusieurs machines virtuelles au niveau du système hôte engendre de nouveaux risques, tout comme l'accès partagé à des ressources qui étaient précédemment séparées par des frontières matérielles. La gestion de ces risques est cruciale, principalement pour la sécurisation des données personnelles, notamment en cas d'externalisation, où l'administration des environnements virtualisés est confiée à un ou plusieurs tiers.

Selon les dernières estimations d'IDC la croissance du marché des logiciels de virtualisation était de 69 % entre 2006 et 2007. Pour la période 2008-2012, IDC prévoit également une forte croissance de ce marché. Cependant, le déploiement d'environnements virtualisés pose de sérieux problèmes de sécurité aux DSI.

Un accompagnement sécurisé des projets de virtualisation

Les entreprises adoptent la virtualisation pour réduire le coût de possession de leurs systèmes informatiques et améliorer la qualité de leurs services. Sur le plan sécuritaire, non seulement les problèmes de sécurité inhérents aux systèmes en réseau s'appliquent aux machines virtuelles, mais la plate-forme de virtualisation introduit une nouvelle catégorie de risques. En effet, dans une étude sur la gestion de la virtualisation, réalisée pour CA en octobre et novembre 2007, les DSI citent la sécurité comme étant le défi majeur des projets de virtualisation de serveurs.

Pour réduire les risques de sécurité inhérents à la virtualisation, une technologie indépendante du contrôle des accès doit être utilisée conjointement aux mesures de protection des systèmes. Certaines des vulnérabilités qui étaient précédemment contrôlées par un système de sécurité physique doivent dorénavant être supervisées par des contrôles d'accès granulaires sur la plate-forme de virtualisation.

Une solution efficace doit garantir que seuls les utilisateurs habilités effectuent les opérations qui leur sont autorisées sur le système hôte. Ce type de solution réduit le nombre de comptes dits de "super utilisateurs" et protège des intrusions externes susceptibles d'altérer l'accès des utilisateurs invités. A la protection "machine-to-machine" par isolation virtuelle, doit impérativement s'ajouter un renforcement du contrôle d'accès d'une machine à une autre.

Par ailleurs, la gestion centralisée des règles de sécurité est essentielle pour réduire les coûts de déploiement et d'administration. Enfin, toutes les activités administratives sensibles sur le système d'exploitation hôte et sur les machines virtuelles invitées doivent répondre à une politique de mise en conformité et de contrôle des risques.

Quels sont les risques de sécurité associés à la virtualisation ?

1 - Pas assez de séparation des tâches : sans solution indépendante de contrôle d'accès, plusieurs administrateurs assumant des fonctions différentes ont la possibilité d'interagir avec de nombreux composants de l'environnement virtuel. Un accès mal contrôlé à la plate-forme de virtualisation peut être très préjudiciable à l'entreprise en cas de fuite d'informations sensibles ou d'interruption de services.

Les images des machines virtuelles peuvent être copiées, ainsi que les données et applications qu'elles contiennent, puis remises en ligne sur un ordinateur non sécurisé, facilitant ainsi les intrusions.

2 - Une isolation insuffisante : l'un des avantages de la virtualisation sur le plan de la sécurité est que l'isolation des services dans des machines virtuelles dédiées les empêchent d'être affectés par un service "parent" compromis. Malheureusement, le postulat selon lequel les machines virtuelles fonctionnant sur le même système hôte sont isolées et ne peuvent s'attaquer entre elles est faux.

Bien que séparées sur le plan technique, les partitions des machines virtuelles partagent des ressources, telles que la bande passante du réseau, la mémoire et les processeurs. Toute partition utilisant l'une de ces ressources de manière excessive en raison d'un virus ou d'un changement de configuration malveillant peut entraîner un déni de service pour les autres partitions.

3 - Des audits inadaptés : compte tenu de son impact sur la stabilité du centre de données et sur l'intégrité des données qu'elle gère, la plate-forme de virtualisation doit être considérée comme une infrastructure critique. Par conséquent, elle doit répondre aux contraintes réglementaires et faire l'objet de contrôles rigoureux.

Les entreprises doivent contrôler l'interaction de chaque utilisateur avec la plate-forme de virtualisation ainsi que chaque machine virtuelle qu'elle héberge. Les fonctions d'audit natives des systèmes d'exploitation ne sont pas assez sophistiquées pour être efficaces et sont vulnérables aux intrusions. L'accès au système d'exploitation hôte doit être surveillé et audité en permanence pour s'assurer que les contrôles en place maintiennent bien son intégrité. De même, au sein de chaque machine virtuelle, l'accès à chaque système d'exploitation invité doit être soumis aux mêmes contraintes réglementaires.

Comment protéger un environnement virtuel ?


Une couche de protection supplémentaire est nécessaire pour protéger efficacement les plates-formes de virtualisation. Cette couche doit identifier correctement les administrateurs et attribuer un minimum de privilèges pour protéger les informations et les services stratégiques du centre de données virtuel. Elle doit protéger les environnements virtuels à plusieurs niveaux :
1) les systèmes d'exploitation qui hébergent un hyperviseur,
2) ceux qui implémentent un modèle de virtualisation basé sur un système d'exploitation,
3) les partitions privilégiées gérant la virtualisation basée sur un hyperviseur,
4) les ressources critiques des machines virtuelles en fonctionnement sur tous ces systèmes ou partitions.

Une séparation des tâches granulaires est nécessaire pour limiter les privilèges de chaque administrateur au minimum requis pour effectuer leur travail. Il est ainsi possible de réduire le risque d'accès illicite à des informations confidentielles ou des services essentiels. Le compte super-utilisateur doit également être limité en définissant des autorisations pour des rôles spécifiques et en les appliquant de manière transparente. On peut, par exemple, limiter les administrateurs d'un serveur VMware ESX aux opérations racine, telles que l'application de correctifs au système, et leur interdire l'accès aux systèmes de fichiers des machines virtuelles et aux programmes qui fonctionnent en arrière-plan.

Le renforcement du système d'exploitation procure également une couche de sécurité supplémentaire pour protéger les machines virtuelles, les systèmes d'exploitation hôtes et les partitions privilégiées contre les chevaux de Troie et autres codes malveillants. Il est ainsi possible, en cas de compromission d'une machine virtuelle, d'éviter la propagation de ses effets négatifs sur les autres machines.

Un autre aspect important : réglementer le trafic sur le réseau en fonction des ports, des méthodes de connexion, des points d'origine, des attributs du réseau et du temps. La protection du réseau est nécessaire pour limiter la communication non seulement entre les images des machines virtuelles, mais surtout entre ces images et le système d'exploitation hôte ou les partitions privilégiées.

Toutes les sessions de gestion, de maintenance et de configuration de la sécurité sur les systèmes d'exploitation hôtes et invités doivent être auditées en toute sécurité, en conservant l'identité d'origine de l'utilisateur, même après qu'il ait effectué une opération de substitution. Seuls les responsables de l'audit doivent être habilités à accéder aux fichiers d'audit, en mode lecture seule, afin d'assurer l'intégrité des fichiers aux fins d'expertises. L'audit doit être configuré pour enregistrer les tentatives d'accès illicites, ainsi que les accès autorisés aux ressources critiques de l'environnement virtuel.

Certes, la virtualisation permet la consolidation de machines physiques, mais elle ne permet pas de consolider la gestion de la sécurité. La gestion des comptes, mots de passe et règles de sécurité doit être centralisée pour tous les hôtes de l'environnement virtuel, et le tout doit être administré à partir d'une seule console.

Conclusion

La virtualisation offre des avantages indéniables aux départements informatiques. Cela dit, tout en réalisant ces gains, les entreprises ne doivent pas perdre de vue la nécessité de protéger les environnements virtuels, au même titre que l'infrastructure physique. La virtualisation augmente en fait les risques de sécurité associés aux serveurs.

Pour gérer ces risques, il convient tout d'abord de limiter les droits d'accès de chaque administrateur au minimum requis pour effectuer leur travail. La protection contre les menaces externes est plus critique car les machines virtuelles sont tributaires d'une plate-forme et de ressources physiques communes. Enfin, la mise en conformité et l'application des meilleures pratiques relatives à la sécurité supposent que les entreprises soient capables de prouver qu'elles ont mis en place un contrôle d'accès adéquat. Une solution indépendante de gestion de la sécurité s'impose pour renforcer ces accès et les documenter de façon appropriée.

1- Worldwide Virtual Machine Software 2008-2012 Forecast (Mai 2008 | Réf. "IDC #212142")
 2- "CA Announces Key Findings of Global Virtualization Management Study" (11 février 2008)