Les bénéfices de la Virtualisation des serveurs en termes de sécurité

Les bénéfices de la virtualisation sont tellement évidents que de nombreuses organisation l'on rapidement adoptée et déployée en production sans parfois prendre le temps d'analyser toutes les implications de sécurité spécifique à cette technologie.  

• Isolation
• Retour arrière
• Portabilité

La possibilité de configurer des réseaux dédiés permet aux administrateurs de réduire les risques liés à la propagation d'une infection.

Si un programme malicieux est installé dans une machine virtuelle, il est relativement facile de la restaurer à un état précédemment sain. Même si cela n'est pas toujours possible, ceci est particulièrement utile dans le cas de machine virtuelle hébergeant des données statiques comme les serveurs web.

La relative isolation qui existe entre une machine virtuelle et le serveur hôte permet de limiter significativement les dégâts causés par des programmes malicieux destinés à corrompre les données d'un système.
Quand bien même le disque virtuel est totalement corrompu, le disque physique sur lequel il est hébergé reste intact.

La portabilité des machines virtuelles offre la possibilité de mettre en œuvre des processus de restauration et de PRA à moindres coûts et réduit considérablement le temps nécessaire à la remise en route d'un serveur.Elle permet entre autre de déplacer facilement la charge de travail d'un serveur physique à un autre.

De nombreuses solutions permettent de déplacer cette charge de travail dans toutes les directions indépendamment des configurations matérielles :

• Physique vers Virtuelle (P2V)
• Virtuelle vers Virtuelle (V2V)
• Virtuelle vers Physique (V2P)

Les nouvelles fonctions offertes par la virtualisation permettent de concevoir des systèmes capables de basculer automatiquement en cas de défaillance.
Enfin, en consolidant des infrastructures complexes dans des environnements et des réseaux virtuels séparés, les administrateurs peuvent configurer des règles spécifiques à chaque environnement et maximiser la sécurité. (Environnements de tests, ou de développement, environnements de production).

Les risques potentiels de la virtualisation
Comme toute nouvelle technologie, la virtualisation répond à de nombreux besoins et fait apparaitre de nouveaux problèmes.
Ces risques sont parfois inhérents à l'architecture même de la virtualisation.

1. L'exploitations des failles.
   L'isolation de la machine virtuelle et du système hôte est remise en cause par certains spécialistes de la sécurité. Ces derniers ont en effet découverts des problèmes d'étanchéité entres les machines virtuelles et la machine hôte rendant possible dans certain cas l'accès au système physique (Cf. ce document).
   Encore extrêmement marginales, ces menaces sont cependant prisent très au sérieux par les éditeurs qui n'hésitent pas à commander des études indépendantes pour améliorer leurs produits.
   
2. La répartition des machines (grille de consolidation)
   Un des risques les plus importants de la virtualisation vient en partie dans sa raison d'être, la consolidation.
   En consolidant la charge de travail de différents serveurs sur une même machine, on augmente la criticité de cette machine.
   L'impact d'une panne matérielle d'un serveur hôte est maximisé car elle entraîne l'arrêt de l'ensemble des services consolidé sur cette machine.
   Même dans le cas ou des services non critiques ont étés choisis pour la consolidation, leur arrêt brutal et simultané peut avoir un impact conjugué important.
   
3. La sécurité des accès et la formation du personnel
   D'une manière générale, il ne faut pas négliger l'aspect critique des serveurs de virtualisation. Si une personne non autorisée obtient l'accès au serveur, il lui est alors possible de copier l’ensemble des machines hébergées vers une autre destination et ainsi d'obtenir l'ensemble des informations sensibles d'une infrastructure.
   Imaginez par exemple ce que signifierai la récupération du disque virtuel d'un des contrôleurs de domaine de votre organisation.
   Enfin, des utilisateurs mal intentionnés ou maladroits peuvent significativement perturber ou interrompre le service en rebootant le serveur, ou en modifiant des paramètres de configuration.
   
4. Le suivi des performances et du service
   D'un point de vue répartition des ressources, bien qu'isolée les unes des autres, il est possible pour un programme malicieux d'affecter significativement la charge d'une machine virtuelle et donc d'impacter l'ensemble des performances des machines consolidées sur ce serveur. Ceci peut alors provoquer des problèmes de performances ou des phénomènes de ping pong sur les systèmes bénéficiant d'une répartition dynamique des ressources paramétrée de manière incorrecte. (Les machines sont basculées d'un serveur à l'autre sans limites)
   

Comment réduire les risques liés à la virtualisation
Pour apporter une réponse adaptée aux nouveaux risques opérationnels que fait naitre la virtualisation, il est nécessaire de les traiter dès la phase de conception. Il faut pour cela se poser les bonnes questions.

• Quels sont les services à virtualiser et leur interdépendance avec l'infrastructure existante ? (Matrice de consolidation).
• Quels est l'impact d'un disfonctionnement ou de l'arrêt d'un serveur hôte ? (Evaluation des impacts, prise en comptes des relations entres machines, définitions des afinités clusters).
• Comment intégrer et administrer les serveurs hôtes dans l'infrastructure existante ? (Sécuriser l'environnement, Former et informer les personnels IT, politique de moindre privilège, définir des processus et rédiger les procédures).
• Comment surveiller et évaluer les performances de son environnement virtualisé ?

La prise en compte de ces éléments permet de s'inscrire dans un cercle vertueux apportant les améliorations nécessaires à chaque itération.

Trois points méritent une attention particulière.

1.  Mise en œuvre d'une solution de haute disponibilité pour les serveurs de virtualisation (Clustering).
2.  Mise en place de solutions de supervision adaptées à la virtualisation (Management pack).
3.  Mise en place d'une sécurité avancée ainsi qu’une gestion des accès des serveurs hotes.

Un livre blanc édité par The Security Center for Internet regroupe un ensemble de recommandation pour la sécurisation des infrastructures virtuelles. Très complet et très technique, ce document adresse la sécurisation de l'ensemble des couches logiques et physiques de l'infrastructure et donne une vision d'ensembles des points à évaluer. Ce livre blanc est disponible sur Guvirt ici.