PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

Paris, le 29 mai 2012 N 1343/ANSSI

Problmatiques de scurit associes la virtualisation des systmes dinformation

Les technologies dites de virtualisation ont connu un essor important ces dernires annes, li notamment au dveloppement de nouveaux usages comme linformatique en nuage (cloud computing). Virtualiser un ensemble de serveurs est devenu aujourdhui relativement ais, et de nombreuses entreprises ont choisi de virtualiser leurs serveurs pour faire des conomies de place, dnergie et de budget. Mais les risques associs lutilisation de ces nouvelles technologies sont-ils systmatiquement pris en compte ? Les consquences de la virtualisation sont-elles correctement comprises et acceptes ? Lobjet de ce guide est de prsenter ces risques et les principaux moyens de sen prmunir. Il reste volontairement un niveau technique intermdiaire afin dtre accessible au plus grand nombre, y compris des lecteurs ne disposant pas de connaissances pousses en architecture des ordinateurs ou des rseaux. Il naborde pas le cas des systmes traitant des informations classifies de dfense. Le lecteur press pourra se rapporter au chapitre 5 qui prsente une liste de points de contrle permettant dapprcier le niveau de scurit dun systme dinformation virtualis.

51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01.71.75.84.65 - Tlcopie 01.71.75.84.90

Table des matires 1 2

2.1 2.2 2.3 2.4

Introduction ................................................................................................... 3 La virtualisation : cadre demploi et concepts gnraux .......................... 3

La virtualisation, de quoi sagit-il ? ....................................................................................... 3 Niveaux de virtualisation et cibles de la virtualisation .......................................................... 4 Les diffrentes techniques de virtualisation ........................................................................... 4 Cadre de ltude et terminologie ............................................................................................ 6

3
3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8

Les risques lis la virtualisation ............................................................... 7

Risque 1 : Risque accru de compromission des systmes...................................................... 7 Risque 2 : Accroissement du risque dindisponibilit ........................................................... 8 Risque 3 : Fuite dinformation par manque de cloisonnement .............................................. 8 Risque 4 : Complexification de ladministration et de la mise en uvre ............................ 10 Risque 5 : Complexification de la supervision .................................................................... 11 Risque 6 : Prolifration non souhaite des donnes et des systmes ................................... 11 Risque 7 : Incapacit grer voire comprendre les erreurs ............................................... 11 Risque 8 : Investigations post incident plus difficiles.......................................................... 11

Recommandations ....................................................................................... 12
4.1 Adapter la politique de scurit ........................................................................................... 12 a Dfinition prcise des processus dadministration des systmes htes et invits ................ 12 b Description dtaille des configurations de systme(s) attendues ....................................... 12 c Procdures de mise niveau et de suivi des systmes invits ............................................. 12 d tablissement des rgles de localisation et de migration des systmes ............................... 12 4.2 Mettre en place un processus de veille des vulnrabilits propres aux technologies de virtualisation .................................................................................................................................... 13 4.3 Configurer la solution de virtualisation selon le principe de rduction de la surface dexposition...................................................................................................................................... 13 4.4 Concevoir une architecture respectant le principe de cloisonnement .................................. 13 4.5 Utiliser des matriels grant le cloisonnement..................................................................... 14 4.6 Mettre jour le plan de reprise ou de continuit dactivit.................................................. 14 4.7 Ddier une quipe dadministration la solution de virtualisation distincte de celle des systmes invits................................................................................................................................ 14 4.8 Prvoir une quipe dadministration des machines virtuelles (systmes invits) indpendante de lquipe dadministration de la solution de virtualisation..................................... 14 4.9 Former les quipes dadministration, daudit et de supervision .......................................... 14

Points de contrle ........................................................................................ 15

Introduction

Virtualiser, cest en essence, et en simplifiant lextrme, rendre indpendant du matriel le socle logiciel dune machine. Virtualiser permet de faire sexcuter sur une mme machine plusieurs systmes jusqualors installs sur des machines physiques distinctes, ou de migrer en quelques instants et de manire transparente un systme dune machine une autre. Virtualiser ncessite de mettre en uvre une solution de virtualisation qui assure la gestion des diffrents systmes virtualiss et leur excution. De fait, de plus en plus de responsables informatiques se tournent vers les solutions de virtualisation, en raison des atouts supposs de ces technologies, par exemple : - un meilleur taux dutilisation des ressources informatiques, qui peut apporter en outre, dans certains cas, une conomie dnergie1 ; - une meilleure disponibilit des systmes, dans la mesure o les systmes deviennent facilement clonables ou rplicables en cas de panne matrielle. Certaines solutions permettent de dplacer automatiquement des systmes dune machine une autre en cas dincident ou de perte de performances. La facilit de clonage des systmes est galement particulirement apprcie pour crer des environnements de test reprsentatifs de la ralit ; - une meilleure rpartition de charge, puisque la solution de virtualisation sait gnralement rpartir la charge entre les diffrentes machines ; - de potentiels gains financiers ou dencombrement. Cependant, comme nous le verrons tout au long de ce guide, la virtualisation introduit aussi de nouveaux risques, aussi bien techniques quorganisationnels, qui viennent sajouter aux risques des systmes dinformation classiques. Ces risques intrinsques viennent contrebalancer les avantages mis en avant par les diteurs de solutions, et force est de constater que les mesures de scurit indispensables pour les couvrir viennent souvent obrer une partie des conomies potentielles envisages initialement. La migration d'un systme d'information vers des solutions de virtualisation, potentiellement irrversible, ne doit donc pas tre envisage uniquement dans une perspective de gain financier. Toute organisation qui souhaite hberger certains services et donnes au sein dun systme utilisant ces technologies doit donc faire ce choix avec discernement et en toute connaissance des risques engendrs sur le plan de la scurit. 2 La virtualisation : cadre demploi et concepts gnraux

Nous dcrivons ici les concepts gnraux associs la virtualisation. 2.1 La virtualisation, de quoi sagit-il ?

Virtualiser un objet informatique, ou le rendre virtuel, signifie le faire apparatre sous son seul aspect fonctionnel, indpendamment de la structure physique et logique sous-jacente2. Dans ce guide, on ne traitera pas de systmes tels que les clusters d'ordinateurs3 ou certaines solutions de stockage de donnes4 qui pourraient rpondre cette dfinition.

1 2 3

Dmarche dite de green computing (rduction de lempreinte cologique des systmes dinformation). Dfinition inspire du Petit Robert de la Langue franaise , nouvelle dition (version 2) 2001. En informatique, un cluster d'ordinateur est un ensemble d'ordinateurs qui peuvent hberger des processus lancs depuis un autre afin de bnficier de ressources plus importantes.

4 Le primtre couvert par ce guide peut se rsumer deux cas : - la virtualisation de la couche matrielle destine permettre lexcution du systme (en particulier dun systme dexploitaiton) sans quil nait se soucier de la ralit physique sur laquelle il sappuie. Dans le cas prsent, il sagit bien de matriel virtualis , cest--dire de matriel rendu virtuel pour le systme dexploitation qui lemploie, et non pas dun systme dexploitation virtuel comme on peut souvent le lire ; - la virtualisation dun systme d'exploitation au profit de certaines applications pour que ces dernires puissent fonctionner sur ce dernier alors que cela n'tait pas prvu initialement ou pour renforcer lisolation entre applications. Pour ces 2 cas, il existe une couche dabstraction qui permet lapplication ou au systme d'exploitation de fonctionner dans son environnement virtuel (voir figure 1).

Figure 1 : Virtualisation un niveau applicatif et virtualisation un niveau systme

2.2

Niveaux de virtualisation et cibles de la virtualisation

Comme illustr prcdemment, on retiendra donc dans la suite de ce document que la virtualisation ne sapplique qu deux niveaux : - le niveau applicatif, ds lors que la solution de virtualisation cible une application et lui prsente une couche dabstraction correspondant son environnement dexcution. Une machine virtuelle Java (JVM) met par exemple en uvre une virtualisation au niveau applicatif. Des applications Java dveloppes un haut niveau sy excutent et font abstraction de tout dtail de plus bas niveau comme la nature du systme dexploitation ou du matriel sur lequel lexcution a rellement lieu ; - le niveau systme, si la solution de virtualisation vise un systme d'exploitation et lui prsente une couche dabstraction correspondant un environnement matriel compatible. On trouve ainsi des solutions de virtualisation qui permettent de faire tourner simultanment plusieurs systmes dexploitation sur une mme machine. Remarque : Le terme cible qui sera utilis tout au long de ce guide dcrit le composant sexcutant directement sur la couche dabstraction, cest dire une ou plusieurs applications dans le cas de la virtualisation au niveau applicatif, un ou plusieurs systmes dexploitation dans le cas de la virtualisation au niveau systme. 2.3 Les diffrentes techniques de virtualisation

Les solutions de virtualisation ne reposent pas toutes sur les mmes techniques. Les principales techniques utilises sont dcrites ci-aprs.
4

Les solutions de stockage de donnes sur le rseau (NAS : Network Attached Storage) sont parfois appeles filers virtuels.

5 Larchitecture des solutions de virtualisation au niveau applicatif repose gnralement sur des techniques dmulation et de cloisonnement. L'mulation consiste imiter le comportement dune entit en prsentant aux couches suprieures une interface logicielle caractristique du fonctionnement de cette entit, indpendamment de larchitecture matrielle sous-jacente. Cette architecture est intressante quand la cible doit sexcuter sur de nombreux environnements diffrents, la couche dabstraction ralisant le travail dadaptation ncessaire au profit des applications qui deviennent ainsi portables. Les solutions de virtualisation telles que Citrix Application Stream (Citrix), Symantec Workspace Virtualization (Symantec), App-V (Microsoft) ou Softgrid (Microsoft) sont des exemples de virtualisation applicative utilisant cette technique. Les solutions de virtualisation sappuyant sur des moteurs dexcution, telles que Java Virtual Machine (plusieurs implmentations), .NET Framework (Microsoft), entrent galement dans cette catgorie. Le cloisonnement est quant lui mis en place dans un but disolation ou de confinement. Les technologies Linux Vserver, BSD jails ( chroot ), OpenVZ ou Zone Solaris mettent en uvre des zones isoles (cloisonnes) gres par le systme dexploitation. Larchitecture des solutions de virtualisation au niveau systme se dcline pour sa part en trois catgories :
-

la paravirtualisation, qui est gre la fois par la couche dabstraction et par les cibles qui sont modifies pour pouvoir sexcuter sur la couche dabstraction. Les solutions telles que Xen (GNU GPL), VMware ESX/ESXi et VSphere (VMware), Hyper-V (Microsoft) reposent sur cette architecture5. Cest aussi le cas de la solution de virtualisation PolyXene dveloppe pour la DGA par Bertin Technologies, value selon les Critres Communs au niveau EAL5. Lavantage principal du mode paravirtualis est une meilleure performance que la virtualisation complte (voir ci-dessous). Linconvnient majeur est que les systmes dexploitation ne sont pas utilisables sans modifications spcifiques ;

la virtualisation complte ou totale, qui part du principe quaucune modification de la cible nest autorise pour lui permettre de fonctionner dans un environnement virtualis. La technique de traduction dexcutable la vole (binary translation) est gnralement utilise. Elle consiste adapter le code binaire lors de son excution, squence par squence, pour remplacer certaines instructions par du code ralis par la couche dabstraction. Alternativement, les vnements traduire peuvent tre intercepts dynamiquement au moment de leur excution par une gestion dexceptions adapte. Les solutions telles que VMware Workstation (VMware), virtualPC/Virtual Server (Microsoft), VirtualBox (Oracle Corporation, dont une version en licence GNU GPL6), QEMU7 module kqemu exclu (licence GNU GPL) sont des exemples de technologies appartenant cette famille ;

la virtualisation assiste par le matriel permet de grer la virtualisation directement au niveau du matriel. Ce mode de virtualisation peut tre utilis en complment des autres architectures cites prcdemment.

5 6

Cela peut se limiter une adaptation des pilotes des fins doptimisation. GNU GPL : GNU General Public License, licence de logiciel source ouverte permettant de modifier le code source et permettant de redistribuer le code produit condition de le faire sous la mme licence. QEMU est a priori la seule solution de cette liste nutiliser que la technique de la traduction dexcutable la vole ; les autres solutions utilisent plutt la technique dexceptions adaptes.

6 Les solutions reposant sur les composants matriels conus spcifiquement tels que les processeurs (Intel VT-x, AMD-V) ou les composants grant le cloisonnement des flux dinformations (Intel VT-d, AMD IOMMU8) sont des exemples de mcanismes matriels facilitant la mise en uvre des technologies de virtualisation. Lavantage de ces solutions est de pouvoir virtualiser des systmes non spcifiquement modifis, linstar de la virtualisation totale, tout en maintenant un niveau de performance quasi-natif. En revanche, ces technologies sont encore relativement jeunes et peu prouves. 2.4 Cadre de ltude et terminologie

La suite de ce guide sappuie sur le cas de la virtualisation au niveau systme pour identifier les risques spcifiques qu'il convient de considrer d'un point de vue de la scurit et les mesures de contournement minimales qui doivent tre mises en place. La plupart des risques et contre mesures identifis sappliquent galement dans le cas de la virtualisation au niveau applicatif. Les risques lis lhbergement mutualis dapplications sur un mme serveur sans virtualisation9 ne sont pas traits ici. De mme, le contexte du Cloud Computing externe (hberg chez un fournisseur de ressources informatiques) nest pas spcifiquement abord dans le cadre de cette tude10. Pour faciliter la lecture de la suite du document, comme illustr sur la figure 2, nous considrons que :
la couche dabstraction est un systme dexploitation (SE) hte ; les cibles sont les systmes dexploitation invits quil accueille, encore appels instances ,

qui excutent des applications ;

il existe un module dadministration (Admin) qui permet dadministrer la solution de

virtualisation. Dans ce contexte, on retiendra que les termes suivants sont quivalents et peuvent donc tre utiliss sans distinction :
machine physique ou machine hte ; systme hte, systme dexploitation de lhte, couche dabstraction et galement par abus de

langage hyperviseur (lhyperviseur est la partie de la couche dabstraction plus spcifiquement responsable de la virtualisation pour les instances invites) ;
systme invit, systme, instance de la solution de virtualisation, cible ou machine virtuelle.

10

IOMMU : Input/Output Memory Management Unit, gestionnaire de mmoire pour les priphriques (se rfrer aux explications sur lIOMMU au paragraphe 3.3). Cas des hbergeurs spcialiss de sites web par exemple, qui hbergent la plupart du temps un grand nombre de sites web appartenant des clients diffrents sur une mme machine physique, sans faire appel de la virtualisation, mais en utilisant simplement les fonctionnalits intrinsques des serveurs web. Voir le guide ANSSI pour matriser les risques lis l'externalisation sur www.ssi.gouv.fr/externalisation.

Figure 2 : Architecture type d'une machine "virtualise"

Enfin, il se peut quune solution de virtualisation prvoie que des instances puissent migrer dune machine physique une autre (pour des raisons de rpartition de charge, la suite de pannes sur la machine physique par exemple). Cela signifierait dans notre illustration que le SE Invit 2 par exemple pourrait tre dcharg de la machine illustre ci-dessus pour tre recharg sur une autre machine (napparaissant pas sur la figure). Les termes de mobilit ou migration dune instance seront utiliss de manire quivalente dans le reste de ce document pour dcrire une telle opration. 3 Les risques lis la virtualisation

Les risques lis la virtualisation des systmes viennent sajouter aux risques classiques dun systme dinformation. Ce sont des risques nouveaux, additionnels. En effet, tous les risques existant dj pour une solution sans virtualisation perdurent a priori : les risques lis aux vulnrabilits des systmes d'exploitation, les risques dattaques bases sur le matriel ou les risques lis une administration distance non scurise. Dans le cas dun choix darchitecture regroupant plusieurs systmes sur une mme machine, on doit ainsi considrer :

les risques pouvant toucher un systme ; ceux portant sur la couche dabstraction ; les risques induits par la combinaison des deux.

De plus, le fait de regrouper plusieurs services sur un mme matriel augmente les risques portant sur chacun. Il est donc important de connatre lensemble des risques pour en matriser limpact en termes de confidentialit, dintgrit et de disponibilit des donnes et des applications. 3.1 Risque 1 : Risque accru de compromission des systmes

On entend ici par compromission la prise de contrle par un acteur malveillant dune brique utilise dans le systme virtualis. Il peut sagir dune compromission dun systme invit depuis un autre systme invit, ou de la couche dabstraction depuis un systme invit. On remarque quune compromission de la couche dabstraction peut ventuellement entraner une compromission de lensemble des systmes sexcutant sur la machine. On note galement que plus

8 la compromission touche le systme en profondeur, plus elle aura de consquences sur les capacits de remise en service ultrieure du systme. Si une instance est compromise, comment dcider si les autres instances qui sexcutaient sur la machine hte doivent tre considres comme compromises ? En cas de mise en uvre de techniques de migration, comment dterminer prcisment le domaine de propagation des instances compromises ? Le principal vnement redout suite une compromission est la fuite dinformations sensibles ou, dans certains cas, des perturbations engendres par une modification du systme pouvant aller jusqu lindisponibilit dun service. Les solutions permettant d'empcher une compromission sont souvent dlicates mettre en uvre. Il sagira de diminuer au maximum la surface dattaque. Il conviendra notamment que chaque brique (matriel, systme dexploitation hte, systmes dexploitation invits etc.) soit jour de tous les correctifs de scurit. Plus gnralement, lapplication stricte du principe de dfense en profondeur11 est indispensable. Pour cela, on veillera utiliser uniquement des systmes, htes et invits, pouvant tre nativement scuriss. En particulier, lemploi dune solution de virtualisation imposant aux systmes invits de fonctionner dans des configurations obsolescentes nest pas acceptable. Les systmes invits doivent en effet tre durcis pour rendre difficile l'exploitation d'une faille potentielle prsente dans la couche dabstraction ou dans la couche matrielle. Enfin, sil peut gnralement tre ais de remonter un systme invit dfaillant sur une autre machine physique partir dune image saine, seule la mise en uvre du principe de dfense en profondeur permettra une localisation prcise de lorigine de la compromission (systme invit, systme hte, matriel, donnes, etc.). 3.2 Risque 2 : Accroissement du risque dindisponibilit

Comme voqu prcdemment, une compromission peut engendrer une indisponibilit d'un service. Cependant, ce risque peut apparatre, mme en labsence de compromission. Ainsi, si un atout de la virtualisation est lutilisation plus intensive des ressources informatiques, la panne dune ressource commune pourra engendrer l'indisponibilit simultane de plusieurs systmes . De mme, une attaque en disponibilit sur un des systmes (ou plus gnralement sur une ressource commune) impactera potentiellement tous les services hbergs sur la mme machine. L encore, les prconisations faites au point prcdent sappliquent. Si des besoins en disponibilit diffrent sensiblement dune application une autre, il peut mme tre prfrable de regrouper sur une machine ddie celles ayant le besoin en disponibilit le plus lev. 3.3 Risque 3 : Fuite dinformation par manque de cloisonnement

Bien que les solutions de virtualisation mettent gnralement en uvre des mcanismes de cloisonnement des instances se partageant une mme ressource, ces instances ne sont en pratique jamais totalement isoles. Dans certains cas, des flux existent entre les diffrentes instances (systmes dexploitation, applications, systmes de stockage de donnes, ), flux qui peuvent engendrer des vulnrabilits. La matrise des diffrents changes internes une mme machine physique est par ailleurs particulirement difficile. En effet, il sera gnralement dlicat de garantir que les ressources bas niveau partages n'introduisent pas de possibilit de fuite dinformation.
11

La dfense en profondeur consiste mettre en place plusieurs techniques de scurit complmentaires afin de rduire limpact lorsquun composant particulier de scurit est compromis ou dfaillant.

9 Pour illustrer ces propos, prenons lexemple de laccs au rseau dune machine informatique. Dans une architecture sans virtualisation, les machines (au nombre de trois sur la figure 3) communiquent sur des rseaux physiques au moyen, par exemple, dune carte rseau spcifique. Les flux de donnes sont ainsi traits, au niveau des machines, par chaque carte rseau et peuvent tre identifis prcisment.

Figure 3 : Architecture sans virtualisation

Sur le schma ci-dessus, les carrs de couleur et leur zone grise associe reprsentent des machines physiques ; le gris reprsente le matriel, les carrs de couleurs le logiciel sexcutant sur chaque machine, les rectangles blancs reprsentent plus spcifiquement les cartes rseau. Dans une architecture avec virtualisation, les machines virtuelles peuvent par exemple communiquer sur des rseaux physiques par le biais dune carte unique appartenant la machine physique qui les hberge. Les flux de donnes de chaque machine virtuelle sont donc traits par cette unique carte rseau. Ds lors, il nest pas possible de garantir un cloisonnement des flux au niveau de la ressource partage. La carte rseau a la possibilit, en cas derreur ou de compromission, de mlanger les diffrents flux dinformation (cf. figure 4).

Figure 4 : Architecture avec virtualisation

Sur la figure 4 ci-dessus, la zone grise matrialise la machine physique ; trois machines virtuelles sont reprsentes par les rectangles bleu, jaune, rouge ; la zone orange reprsente la couche dabstraction. Dans ce contexte, pour mieux rpondre au besoin de cloisonnement, le choix peut tre fait d'avoir autant de cartes rseau que de machines virtuelles hberges sur une machine physique. Il conviendrait idalement de vrifier, mais une telle vrification est en pratique irraliste, que les composants impliqus dans la chane de traitement du flux de donnes entre une machine virtuelle et la carte rseau attribue grent correctement le cloisonnement des donnes suivant leur appartenance. En effet, une mauvaise implmentation dun contrleur dentres/sorties pourra changer les flux issus des machines virtuelles diffrentes. Un canal cach pourra ainsi apparatre et engendrer des

10 fuites d'informations. Lutilisation dun chiffrement au niveau IP (IPsec) gr intgralement par chaque instance permettra, dans une certaine mesure, de rduire ce risque. La problmatique est similaire pour les supports de mmoire de masse de la machine physique dans le cas o celle-ci est partage par plusieurs machines virtuelles. Enfin, s'il s'avre que les objectifs de scurit fixs en matire de cloisonnement ne sont pas remplis par lune ou lautre des techniques voques prcdemment, certains domaines ne devront pas sexcuter dans lenvironnement virtualis. Le choix d'un retour partiel une solution classique (cest dire sans virtualisation) pourra alors tre plus adapt un bon cloisonnement des flux. Par exemple, lorsque les donnes traites par diffrentes instances ont des sensibilits diffrentes, une sparation physique au niveau rseau sera retenir (voir figure 5 ci-dessous).

Figure 5 : architecture mixte, avec et sans virtualisation

3.4

Risque 4 : Complexification de ladministration et de la mise en uvre

Lorsquune solution de virtualisation est utilise, il est ncessaire dadministrer dune part les diffrents systmes invits, mais galement la couche dabstraction. Des exemples doprations dadministration nouvelles, induites par lutilisation de technologies de virtualisation, sont les suivants :

mise en place des quotas sur les ressources partages entre diffrents systmes ; gestion de lajout dun disque ou dun priphrique de stockage rseau (NAS) sans remise en question du cloisonnement mis en place entre machines virtuelles ; sauvegardes spcifiques lies aux oprations de virtualisation, protection de ces sauvegardes, oprations de restauration. La mobilit ventuelle des machines virtuelles lors des sauvegardes doit tre prise en compte, ainsi que les corrlations fortes qui peuvent exister entre les sauvegardes des diffrents systmes et des donnes.

Les tches dadministration classiques peuvent galement savrer plus complexes car les interventions sur la machine physique proprement dite (administrateur du systme hte), sur les instances qui y sont hberges (administrateur(s) des systmes invits), sur les priphriques de stockage physiques et virtuels (SAN / NAS) et sur les quipements rseau physiques et (ventuellement) virtuels peuvent devoir tre ralises sparment. En effet, si comme dans de nombreuses organisations de taille importante, les quipes grant les serveurs, le stockage, le rseau et les sauvegardes sont disjointes, lidentification des responsabilits de chacun dans l'administration d'un systme virtualis est indispensable afin de limiter, autant que faire se peut, les erreurs de configuration, comme par exemple, le positionnement dune machine virtuelle dans le mauvais rseau virtuel (VLAN). Ladministration des machines peut soprer localement ou distance. Sil est gnralement difficile dadministrer localement les systmes invits, la question se pose pour la couche dabstraction.

11 Le choix dadministration dun systme distance ou non doit tre fait en considrant tous les risques induits. Parmi de tels risques, on trouve lusurpation du rle dadministrateur permise suite la mise en place dun mcanisme d'authentification trop faible, la perte de confidentialit et/ou dintgrit dune commande circulant sur le rseau, la perte de traabilit des oprations dadministration. Si lorganisation utilise des technologies dinformatique en nuage (Cloud Computing), une attention toute particulire doit tre porte sur la gestion des machines virtuelles qui peut, dans certains cas, tre trs automatise (guichet de demande dune nouvelle machine virtuelle par un utilisateur mtier, avec livraison immdiate, par exemple). Il convient ainsi de bien scuriser l'ensemble des interfaces de gestion et de tracer toute action ralise par leur biais. 3.5 Risque 5 : Complexification de la supervision

De mme que pour ladministration, les oprations de supervision peuvent aussi savrer complexes, en particulier du fait de lincompatibilit entre le cloisonnement ncessaire des machines virtuelles et la vision densemble souhaite lors des oprations de supervision. Compte-tenu des cloisonnements induits par la solution de virtualisation, il peut tre difficile de tracer un vnement ou une action de bout en bout. De plus, la ncessit de disposer dune vision densemble impose que le personnel oprant les moyens de supervision soit autoris accder aux informations du niveau de sensibilit le plus lev des donnes traites. 3.6 Risque 6 : Prolifration non souhaite des donnes et des systmes

La virtualisation rend les systmes invits moins adhrents aux quipements. Leur migration sur diffrentes machines est donc possible, et la plupart du temps souhaite. En consquence, la localisation prcise dune donne est complexifie12. De mme, il sera gnralement plus difficile dempcher la copie frauduleuse dune information. Par ailleurs, les principes de migration des instances impliquent gnralement que ces dernires soient sous forme dobjets migrables . Les risques de copie non matrise (non respect des licences logicielles) des instances, de perte, de vol, de modification ou de perte de matrise des versions des instances (rgression) sont importants. 3.7 Risque 7 : Incapacit grer voire comprendre les erreurs

Les problmes de fonctionnement et les erreurs peuvent tre complexes grer techniquement dans une architecture s'appuyant sur une solution de virtualisation. Par exemple, les erreurs qui pourraient survenir lors de larrt puis la relance dune instance seront soit rapportes au systme hte que linstance quitte, soit au systme hte qui est en train de laccueillir. Sans la prise en compte globale des erreurs pouvant apparatre sur un systme s'appuyant sur la virtualisation, il se peut que des informations pertinentes permettant d'identifier leur cause soient perdues, ou a minima, que leur synthse ne puisse pas tre ralise. Il convient donc de mettre en place une centralisation et une corrlation des journaux sur l'ensemble des systmes. Cette corrlation pose videmment des problmes identiques ceux identifis au point 3.5. 3.8 Risque 8 : Investigations post incident plus difficiles

Les principes sur lesquels reposent les techniques de virtualisation peuvent rendre difficiles certaines investigations aprs un incident du fait du partage de ressources matrielles par plusieurs systmes.

12

Voir le guide spcifique sur lexternalisation rdig par lANSSI. Vous pouvez le tlcharger l'adresse suivante : http://www.ssi.gouv.fr/externalisation/.

12 Ainsi, l'optimisation de la gestion de la mmoire vive effectue par la solution de virtualisation rend plus dlicate toute analyse de l'historique des tats de la machine et donc le traitement d'un incident. Loptimisation qui consiste rallouer dautres machines virtuelles lespace en mmoire dune machine virtuelle ds quelle nest plus utilise pose potentiellement des problmes en matire danalyse post mortem. Seule la connaissance prcise du mode de fonctionnement des solutions de virtualisation permettra de retenir celles qui grent le plus rigoureusement les accs mmoire et facilitent des investigations post incidents. 4 Recommandations

Compte tenu de ces diffrents risques, il convient de tenir compte des recommandations qui suivent. 4.1 Adapter la politique de scurit

La politique de scurit du systme faisant l'objet d'une dmarche de virtualisation doit tre mise jour pour qu'y soient inclus certains items spcifiques la technologie de virtualisation employe. a Dfinition prcise des processus dadministration des systmes htes et invits

Il sagit de dcrire de manire prcise les rgles relatives ladministration des systmes. Une rgle peut tre de ne pas autoriser ladministration distante de certaines machines compte tenu du degr de sensibilit des informations quelles hbergent, y compris ponctuellement. Il est par ailleurs recommand de renforcer certains mcanismes de scurit dans le cas dadministration distante (mise en uvre de mcanismes dauthentification forte, de confidentialit et dintgrit, daudit). b Description dtaille des configurations de systme(s) attendues

Il sagit de dcrire de manire prcise les configurations de systme(s) attendues en identifiant clairement les mcanismes qui peuvent contribuer directement ou indirectement couvrir les risques induits par la virtualisation. Tout paramtre systme visant amliorer les principes dtanchit et de non propagation des compromissions est ainsi considrer. c Procdures de mise niveau et de suivi des systmes invits

La mise niveau des systmes consiste mettre jour une machine virtuelle (versions du systme et de ses applications, maintien des licences ncessaires, application rgulire des correctifs de scurit, etc.) quel que soit l'tat dans lequel elle se trouve (en excution ou sous sa forme dimage stocke quelque part dans le systme dinformation). Le suivi des systmes invits quant lui consiste dterminer tout instant et de manire prcise la localisation dune machine virtuelle. Des procdures claires doivent tre rfrences dans la politique de scurit du systme ayant fait l'objet d'une virtualisation. Ces dernires prennent en compte les applications s'excutant sur les machines virtuelles et les contraintes associes (ex : report d'une mise jour). d tablissement des rgles de localisation et de migration des systmes

Afin de couvrir notamment le risque 6 ci-dessus, il sera ncessaire de dfinir une politique de localisation des systmes invits et de migration. Cette politique devra notamment :

dcrire explicitement les types des machines physiques htes ; dcrire explicitement les types des systmes grs ; dfinir les rgles de localisation dune machine virtuelle sur une machine hte. Une de ces rgles pourra tre de refuser lhbergement de systmes ayant des niveaux de sensibilit ou de confiance diffrents sur une mme ressource.

13 4.2 Mettre en place un processus de veille des vulnrabilits propres aux technologies de virtualisation

Un processus de veille des vulnrabilits propres aux technologies de virtualisation utilises au sein de l'organisme doit tre mis en place. Les alertes diffuses par les diteurs de solutions de virtualisation doivent tre particulirement surveilles, de mme que celles des diteurs de systmes dexploitation et de matriels utiliss dans les architectures de virtualisation (serveurs, cartes rseau, quipements de stockage, etc) et celles des CERT. Ceci est indispensable au maintien en condition de scurit du systme mettant en uvre ces technologies ds lors que sont appliqus les correctifs couvrant l'apparition de vulnrabilits. En l'absence de correctif, une analyse doit tre effectue afin d'apprcier le risque et prendre les mesures organisationnelles adaptes pour le limiter. On pourra ainsi tablir une liste prcise des technologies matrielles ou logicielles utilises par lentreprise et des vulnrabilits connues sur ces technologies. Lorsque le niveau de vulnrabilit dune technologique atteindra un niveau jug non acceptable, on devra envisager son retrait du service. On devra prfrer les solutions de virtualisation qualifies par lANSSI, et dfaut certifies, en sassurant nanmoins que le niveau de lvaluation et la cible de scurit associes prennent bien en compte les problmatiques voques prcdemment (cloisonnement sr des flux de donnes, etc.). 4.3 Configurer la solution de virtualisation selon le principe de rduction de la surface dexposition

Certaines solutions de virtualisation comportent des lments dauthentification par dfaut (mots de passe par dfaut, certificats par dfaut ou gnrs la premire initialisation de la machine). Il est impratif de changer les lments dauthentification par dfaut avant la mise en service oprationnelle de la solution. Par ailleurs, toutes les fonctions non strictement ncessaires au bon fonctionnement de la solution dans lenvironnement oprationnel doivent systmatiquement tre dsactives. 4.4 Concevoir une architecture respectant le principe de cloisonnement

Les exigences de cloisonnement (isolation des flux) doivent tre prises en compte dans la conception de l'architecture du systme. Cela conduit de fait dfinir trs prcisment l'architecture matrielle ncessaire pour rpondre au besoin fonctionnel en tenant compte des objectifs de scurit fixs, et dcrire des rgles prcises appliquer lors des volutions du systme. Lexemple suivant concerne le cas du rseau, pour lequel certains problmes potentiels ont dj t sommairement prsents prcdemment. Suivant les cas et les contextes, larchitecture matrielle pourra ainsi prvoir au choix : - une carte rseau physique distincte pour chaque machine virtuelle hberge sur une machine physique. Ceci est moduler si des moyens complmentaires garantissant un bon cloisonnement des flux (chiffrement IPsec) sont prvus par ailleurs ; - une carte rseau physique distincte pour chaque groupe de machines virtuelles hberg sur une machine physique, les machines virtuelles tant regroupes par exemple par niveau de sensibilit des informations manipules. Lemploi l aussi de moyens complmentaires pour cloisonner correctement les flux peut aussi moduler cette rgle ; - quune partie du systme soit gre en dehors de la solution de virtualisation. Cette situation pourra se produire si une application particulire a des besoins de scurit suprieurs dautres.

14 4.5 Utiliser des matriels grant le cloisonnement

Tout matriel, quel que soit son type (contrleur disque, carte rseau, processeur, etc.) doit, autant que faire se peut, grer le cloisonnement rendu ncessaire par la virtualisation (isolation des flux). Si le niveau dexigences tabli par la politique de scurit ne peut tre atteint, la pertinence de l'emploi des technologies de virtualisation devra tre rvalue. Le choix dun matriel ne supportant pas les mcanismes de cloisonnement devra tre justifi et les risques induits assums. Par exemple, si la solution de virtualisation retenue est mme de grer une IOMMU13, on pourra rendre obligatoire l'utilisation de composants14 compatibles avec cette IOMMU. 4.6 Mettre jour le plan de reprise ou de continuit dactivit

Lors de la compromission dun systme, il est difficile d'affirmer que les autres systmes sexcutant sur la mme machine ne sont pas affects. Les plans de reprise et de continuit d'activit doivent donc tenir compte des spcificits lies la virtualisation et tre mis jour en consquence. 4.7 Ddier une quipe dadministration la solution de virtualisation distincte de celle des systmes invits

Dans une logique de sparation des rles, il est ncessaire de prvoir une quipe dadministration de la solution de virtualisation qui soit indpendante de lquipe dadministration des systmes invits. Lquipe dadministration de la solution de virtualisation doit avoir notamment en charge : - ladministration des machines htes ; - ladministration des quipements de stockage physiques (NAS/SAN) ; - ladministration des quipements rseau physiques (et virtuels le cas chant) ; - ladministration de la solution de virtualisation (dans son ensemble) ; - la gestion de la scurit associe la virtualisation et plus particulirement le maintien d'un cloisonnement des instances hberges du fait du partage de ressources ; - ventuellement laudit et la supervision des machines htes. Cette quipe doit disposer du droit den connatre sur toutes les donnes, y compris celles ayant la sensibilit la plus leve manipules par les systmes considrs sauf ce quelles soient chiffres de telle sorte que lquipe dadministration ne puisse techniquement y accder. 4.8 Prvoir une quipe dadministration des machines virtuelles (systmes invits) indpendante de lquipe dadministration de la solution de virtualisation.

Lquipe dadministration des machines virtuelles (systmes invits) a notamment en charge : - ladministration des systmes d'exploitation invits ainsi que leurs applications ; - la scurit propre ces systmes et leurs applications ; - ventuellement laudit et la supervision de ces systmes et leurs applications. Cette quipe doit disposer du droit den connatre sur toutes les donnes traites par les systmes invits dont elle a la responsabilit y celles qui ont la sensibilit la plus leve. 4.9 Former les quipes dadministration, daudit et de supervision

Il sagit de former spcifiquement les administrateurs, les auditeurs et les superviseurs aux techniques de virtualisation afin quils les matrisent et les scurisent. Ces personnes doivent donc obtenir une

13 14

IOMMU : Input/Output Memory Management Unit, gestionnaire de mmoire pour les priphriques Le terme de composant est prendre au sens large : il comprend ici aussi bien les composants matriels, que logiciels.

15 bonne connaissance des technologies employes et tre familiers des tches d'administration systme et rseau usuelles. Il n'est pas ncessaire de former tous les administrateurs mais confier ladministration et la supervision des couches de virtualisation aux plus intresss et expriments est un bon choix. 5 Points de contrle

Comme voqu plusieurs reprises, la virtualisation des systmes informatiques engendre des problmatiques SSI spcifiques. Lobjectif de ce chapitre est de rassembler l'ensemble des points de contrle qui permettront dapprcier le niveau de scurit dun systme informatique virtualis. Il conviendra de se rfrer aux chapitres prcdents pour plus de dtail sur chacun de ces points.

16 Larchitecture de la solution de virtualisation a t conue en prenant en compte les lments suivants :

-

le niveau dexigences en termes de scurit dune machine physique doit tre au moins gal au niveau dexigences du systme invit ayant le besoin de scurit le plus lev ; une atteinte en intgrit d'un des systmes invits sur une machine physique peut porter atteinte la scurit de tous ses systmes invits ; le risque dindisponibilit dune application est plus lev si elle est hberge sur une machine virtuelle ; la migration non voulue des systmes invits, de leurs applications et des donnes qu'elles traitent, dune machine physique une autre peut conduire une circulation non souhaite des donnes sur le rseau ;

Les systmes invits prsents sur une mme machine physique manipulent des donnes qui ont une sensibilit similaire ; Les systmes invits prsents sur une mme machine physique appartiennent originellement une mme zone de confiance (Rseau d'entreprise interne, de production, de recherche et dveloppement, etc.) ; Une carte rseau physique est utilise par groupe de systmes invits qui manipulent des donnes de mme sensibilit, en particulier si aucun autre moyen complmentaire de protection des flux (tel le chiffrement) nest prvu par ailleurs ; Lutilisation des ressources (processeur, mmoire, espace disque) par chaque machine virtuelle est limite afin quaucune delles ne puisse monopoliser le systme hte au dtriment des autres ; Des rgles strictes, prcises et cohrentes concernant la migration manuelle ou automatique des systmes invits, de leurs applications et des donnes traites entre diffrentes machines physiques sont tablies ; Un rseau est ddi pour ladministration et la supervision des systmes htes en s'appuyant sur des moyens rseau (cartes rseau, commutateurs) distincts de ceux utiliss par les systmes invits ; Les postes ddis ladministration et la supervision des machines virtuelles sont correctement scuriss. En particulier, ils ne permettent pas laccs Internet ; Les administrateurs des machines htes doivent sauthentifier nominativement, et leurs actions sont journalises ; Tous les lments dauthentification (mots de passe, certificats) par dfaut ont t supprims ou modifis ; La solution de virtualisation gre de manire adquate le cloisonnement des donnes, y compris vis vis des priphriques, par la mise en uvre, entre autres, dune IOMMU (Input/Output Memory Management Unit) ; La solution de virtualisation ne diminue pas le niveau de scurit intrinsque des systmes invits, par exemple en leur donnant accs des fonctionnalits matrielles sur lesquelles reposent certains de leurs mcanismes de scurit ; Les systmes htes et les systmes invits sont imprativement scuriss, notamment en durcissant les systmes dexploitation et en matrisant leur configuration. Ceci impose une gestion rigoureuse des supports d'installation et des mises jour ;

17

Les politiques et moyens techniques de mise jour des systmes invits, du systme hte et de la solution de virtualisation sont clairement dfinis, en particulier les mcanismes appliquant et contrlant les mises jour de scurit des systmes permettant daccder Internet ou accessibles depuis Internet ; La solution de virtualisation a t value dun point de vue scurit. Les mcanismes de cloisonnement entre les machines virtuelles font partie de la cible de scurit s'il s'agit dune certification ; L'ensemble des matriels, des systmes et des couches de virtualisation est supervis. Cela impose au minimum la journalisation des informations de virtualisation, la synchronisation temporelle des machines htes, des systmes invits et des lments actifs du rseau afin de pouvoir corrler les journaux ; La politique de scurit existante prend bien en compte tous les points spcifiques la solution de virtualisation mise en place ; Des administrateurs rseau et systme sont forms aux techniques de la virtualisation. Les administrateurs de la solution de virtualisation sont choisis parmi les plus expriments ; Les administrateurs des machines htes et ceux des systmes invits sont distincts ; Le personnel assurant ladministration et la supervision fait si possible lobjet dune enqute de scurit (voire, en fonction du contexte, dune habilitation accder des donnes de niveau de classification suprieur celui des donnes traites par les systmes quil administre et/ou supervise) ; Les machines virtuelles sont cres et administres en respectant des procdures rigoureuses. Ces procdures empchent la prolifration non matrise des images reprsentant les machines virtuelles et la copie ou le vol de ces images. Elles permettent de grer la mise jour de scurit de ces images et de contrler l'excution des machines virtuelles dans leur version la plus jour.