Sélectionner une page

Sécurité des infrastructures virtualisées : les 7 erreurs à éviter

Quelques secondes. C’est ce qu’il faut à un administrateur système pour créer une nouvelle machine virtuelle. Avantage : une réactivité inégalée pour les équipes IT. Problème : une prolifération de machines virtuelles non maîtrisée, notamment du point de vue de la sécurité. « C’est une réalité : il y a encore aujourd’hui un décalage complet entre les contraintes de production et la sécurité, qui passe toujours après » rappelle Patrice Payen, Risk and Compliant Expert chez Symantec. Tout va toujours plus vite, et beaucoup de tâches nécessaires sont oubliées, ou remises à plus tard.« On peut citer par exemple le cas de l’administrateur qui crée une machine virtuelle le vendredi après-midi, et qui oublie de la sécuriser. En revenant de week-end, il peut déjà être trop tard » explique Charles Gemgembre, expert sécurité chez SCC. Autre exemple, celui d’une société de la grande distribution qui a subi une infection virale suite à une vulnérabilité dans une machine windows non patchée. Résultat : l’arrêt total de la production de sa ferme de 400 machines virtuelles, pendant près de quatre heures.

Les architectures virtualisées manquent encore de sécurité

Dès 2010, le Gartner mettait déjà en garde : d’ici 2012, disait-il, 60 % des serveurs virtualisés seraient moins sécurisés que les serveurs physiques qu’ils remplacent. 2012, le Gartner semble avoir vu juste. Pourquoi ? Parce que la sécurité de la virtualisation doit être traitée tout autant que le reste de l’architecture. La capture ci-dessous le rappelle, contrairement aux idées reçues, la virtualisation induit en effet de nouveaux domaines de risques. Et les vulnérabilités sont nombreuses !
De plus, migrer ses applications vers un environnement virtualisé n’a pas d’effet sur la plupart des vulnérabilités. Au contraire, elle peut fournir des vecteurs d’attaque supplémentaires. « En fait, rien ne change mais tout change ! » résume Patrice Payen. « Il faut sécuriser, comme toujours, mais la virtualisation implique de nouveaux réflexes».

Comment s’y prendre sans se tromper ?

Selon Charles Gemgembre, voici quelques erreurs à ne pas faire.

Erreur 1 : négliger la sécurité de la couche virtuelle

Evident ? Oui. Pourtant, sur le terrain, l’administrateur qui s’occupe de la sécurité est très souvent aussi celui qui fait tout. Mis sous pression pour que l’IT fonctionne et réponde au besoin de production, il en néglige le reste. Au contraire, la prise en compte de la sécurité doit se faire dès le départ, en industrialisant le provisionnement des machines virtuelles. Cette automatisation évite aussi les erreurs de configuration. Suivi du provisionnement des hôtes, des machines virtuelles et des pools de ressources ; audit régulier permettant de détecter toute activité suspecte; gestion du cycle de vie des VMs ; élaboration de processus à suivre ; contrôle strict des modifications ; surveillance rigoureuse des événements… Autant de points qu’il est nécessaire d’intégrer dans ses process dès le départ.

Erreur 2 : ne pas définir les rôles

Dans l’infrastructure non virtuelle, il est possible que l’équipe serveur soit séparée de l’équipe réseau, qui elle-même fonctionne peut-être indépendamment de l’équipe de sécurité. Avec la virtualisation, une seule interface de gestion contrôle à la fois les machines et les réseaux virtuels. Il faut donc rétablir des règles de séparation en définissant correctement les rôles et les droits.

Erreur 3 : ne pas tenir compte de la nature des VMs

Contrairement aux serveurs physiques, les machines virtuelles sont mobiles. Elles peuvent être très facilement déplacées et répliquées. Les équipements de sécurité traditionnels, qui inspectent un port spécifique, ne peuvent plus être efficaces lorsque les VM migrent d’un serveur physique à l’autre.
De plus les antivirus et logiciels de patch ont besoin que le serveur soit opérationnel pour appliquer les mises à jour. Impossible de fonctionner lorsque les VMs sont désactivées, et susceptibles d’être remises en service, comme par exemple, lors d’une réplication. Il faut donc tenir compte de ces spécificités pour envisager une bonne sécurité.

Erreur 4 : protéger toutes les machines virtuelles de la même manière

Souvent, serveurs critiques et serveurs non critiques sont virtualisés sur une même machine physique. Pourtant, il est difficile de contrôler la communication entre machines virtuelles. Si un problème survient sur une VM, il faut au mieux éviter qu’il ne se propage à sa machine voisine. Première étape, il s’agit de bien rattacher la machine virtuelle au bon groupe, pour avoir les bonnes politiques de sécurité appliquées pour chaque application selon son niveau de criticité.

Erreur 5 : ne pas séparer les couches

Ne pas séparer la couche de gestion du reste du trafic est un risque. Si l’hyperviseur et son interface sont isolées l’une de l’autre, la probabilité qu’une attaque dirigée sur une VM se répercute sur une autre VM est réduite au minimum. Souvent, on utilise pour cela un commutateur virtuel.

Erreur 6 : ne pas penser que VM
Exemple classique, sur le terrain. L’antivirus ou le logiciel de sauvegarde est installé sur plusieurs machines virtuelles et s’exécute à la même heure, entraînant une perte de performance importante. Et oui, il ne faut pas penser à la sécurité machine virtuelle par machine virtuelle, mais à la sécurité de l’environnement virtualisé tout entier.

Erreur 7 : Considérer sa politique de sécurité pour acquise
Tranquille pour 10 mois ? Non, pour 10 secondes ! Très souvent, lorsque que les équipes ont pris en compte la sécurité, elles ont tendance à considérer que tout est fait, et qu’elles n’ont pas à y revenir avant plusieurs mois. Malheureusement, rien n’est jamais acquis en sécurité, et il faut constamment se tenir à jour et patcher son infrastructure, y compris virtualisée.

 

A propos de l'auteur

Charles Gengembre

Manager BU Sécurité et Réseaux.

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter