You are on page 1of 20

Virtualisation et scurit

Retours dexprience

Herv Hosy
Sylvain Pouquet

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 1


Agenda

2 retours dexprience abords


Client bancaire : tude de scurit pour valider un projet de
dploiement dune infrastructure virtualise de plus de 1000
serveurs
tude ralise avant la mise en production
Analyse de risque prliminaire
Recherches et veille en scurit sur la virtualisation, en particulier sur le
produit VMware slectionn par le client
Tests intrusifs sur plateformes

CNES : un cahier dexigences et de recette pour la mise en


uvre dune infrastructure virtuelle bas sur le produit VMware
tude amont

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 2


Au sein dOPPIDA

Evaluation Critres Communs (ISO 15408)


Projet SINAPSE
Evaluation (en cours) EAL5/AVA_VLA.4 dune solution de virtualisation
commandite par la DGA

Produits VMware Workstation, Server et ESX


Utilisation quotidienne des trois produits
Plateforme de test lie nos activits CESTI et veille scuritaire
Missions dexpertise scurit pour le compte de clients

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 3


1er retour dexprience

Client bancaire

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 4


Client bancaire Contexte

Objectifs du client
Une plate-forme hbergeant un ou plusieurs serveurs virtuels
avec VMware ESX (jusqu 1000)
Environnement mutualis multi-clients, multi-mtiers, et multi-
sites

tude demande
Identifier les vulnrabilits potentielles de la future plate-forme
Vrifier l'tanchit des diffrentes instances VMware
Au niveau rseau, mmoire, I/O...

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 5


Client bancaire Environnement

VMware ESX 3
Environnement multi-clients, multi-sites
ESX V3.0.1, Virtual Center, Vmotion

Aspects continuit dactivit et intgrit trs


importants

OS htrognes pour les instances


Windows NT4,2000,2003
Linux RedHat 3, 4 et 5
Solaris 10

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 6


Client bancaire Analyse de risque

Exemples de menaces
Accs non autoris aux informations contenues dans l'ensemble
de la mmoire vive de la plate-forme
Accs non autoris aux informations contenues sur le disque dur
(fichier d'change, partition ou disque dur allous pour une
instance VMware)
Dni de service li au partage des performances et du temps
processeur entre instances VMware
Accs rseau par dcloisonnement inter-instances VMware et
avec lhte (Guest Isolation)
Intrusion via les systmes d'exploitation des instances VMware
Intrusion via le logiciel VMware (systme hte)

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 7


Client bancaire Analyse de risque

Vulnrabilits possibles
Partage du temps processeur
Cloisonnement des flux rseaux
Infections virales et codes malicieux
Corruption des donnes en mmoire volatile ou physique
Faiblesse de conception de VMware ESX
Confidentialit des donnes
Confidentialit des flux rseaux
Usurpation didentit (exploitant, attaquant)
Rpudiations des actions

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 8


Client bancaire Analyse de risque

Dfinition de 43 scnarios de risques


Quelques exemples :
Un virus ou un ver informatique ayant infect l'hte ESX de la plate-forme de
virtualisation VMware pourrait se propager sur des serveurs virtuels de cette plate-
forme ou sur d'autres htes ESX
Un utilisateur dun des serveurs virtuels hbergs par la plate-forme de virtualisation
VMware pourrait utiliser un outil rseau pour couter les flux rseau changs par les
autres serveurs virtuels hbergs par cette plate-forme

Chemins dattaques par rapport linfrastructure virtuelle


Veille sur la virtualisation et intgration dans les scnarios de risques

Ralisation des tests intrusifs


Sur la base des scnarios labors prcdemment, vrifier la possibilit
de raliser des attaques, en fonction de la configuration de
linfrastructure virtuelle
Proposer des contre-mesures ou proscrire certaines options

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 9


Client bancaire Retours dexprience

Bilan de la mission
Une grande majorit des failles de VMware touchent la Console
de Service (COS) et quelques unes lhyperviseur
Failles dans les modules prsents sur la COS (Red Hat, Kernel
2.4 pour ESX 3.0)
Possibilit de configurer linfrastructure virtuelle VMware ESX de
manire non scurise, du fait du grand nombre doptions
disponibles
Certaines fonctionnalits pouvant avoir un impact pour la
scurit sont peu, voire pas du tout, documentes

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 10


2me retour dexprience

CNES

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 11


CNES Contexte

Objectifs du client
Migration denvironnement physique en un environnement
virtualis
Implmentation dune plate-forme VMware ESX 3.5, 3.5i

tude demande
tude amont
Cahier dexigences pour la dfinition dune infrastructure virtuelle
scurise
Cahier de recette pour mettre en uvre la scurit au sein de
linfrastructure virtuelle

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 12


CNES Cahier dexigences

Postulat initial
Ltude sappuie sur le postulat suivant :
Le cloisonnement des ressources matrielles mis en uvre par le noyau
vmkernel dESX est robuste et exempt de faille de type vm-escape (sortie
de machine virtuelle)

Dans le temps, il peut savrer que ce postulat initial ne soit plus


vrifi.
Si tel est le cas, un plan daction devra tre labor par la SSI du
CNES

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 13


CNES Exigences de scurit

Catgorisation des exigences


Exigences lies la politique de virtualisation
Exigences lies lhte et linfrastructure virtuelle
Scurit physique
Scurit logique
Infrastructure virtuelle et des htes ESX
Administration de linfrastructure virtuelle
Composant Virtual Center

Exigences lies aux instances virtuelles


Systme et architecture
Rseau

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 14


CNES Exigences de scurit

Exemples
Exigences de scurit logique
ELO9 - Le protocole iSCSI est interdit au sein de linfrastructure Virtual
Infrastructure du CNES
iSCSI est un protocole d'encapsulation servant transporter le protocole
SCSI. La scurit des communications nest pas implmente par dfaut
dans iSCSI ; son utilisation est interdite par dfaut au sein du CNES

ELO10 - Les mesures de protection contre le spoofing dadresse MAC et


les transmissions forges doivent tre actives sur le virtual switch sur
lequel est connect le port de la console de service (COS)
Ces mesures doivent galement tre appliques sur le port de la COS

ELO11 - Les mesures de protection contre lcoute rseau (sniffing) doivent


tre actives sur le port de la COS, ainsi que sur le virtual switch sur lequel
il est connect

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 15


CNES Cahier de recette

Pour chaque exigence de scurit


Description dune ou plusieurs faons de satisfaire lexigence
Liste des procdures, commandes, options configurer
Mode opratoire pour vrifier lefficacit de la mesure de scurit

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 16


CNES Exemple de fiche de recette

R-ELO11
Rappel ELO11 - Les mesures de protection contre lcoute rseau (sniffing) doivent tre actives
exigence sur le virtual switch sur lequel est connect le port de la console de service ainsi que sur le
port de la console de service.
Pr requis Accs distant lhte ESX
Client Virtual Client
Droit Administrateur Virtual Client
Version
Vmware ESX 3.x ESXi 3.x

Mode La vrification de lexigence ELO11 seffectue exclusivement depuis un accs


opratoire administrateur laide du client Virtual Client.

Ladministrateur se connecte laide du client Virtual Client au serveur Virtual Center qui
gre lhte ESX.

Il choisit le datacenter qui hberge lhte ESX configurer (cf. Figure 10), puis il slectionne
longlet Configuration et enfin lentre Networking dans le panneau Hardware.

Ladministrateur entre ensuite dans longlet Properties du switch virtuel vSwitch0. La


console de service est attribue par dfaut au vSwitch0. Le rcapitulatif de la configuration
du switch virtuel vSwitch0 est alors affich.

Il doit sassurer que le paramtre PROMISCUOUS MODE est positionn REJECT.

Si ce nest pas le cas, il est ncessaire de rentrer dans le vSwitch0 depuis longlet Ports,
puis choisir longlet Security. Enfin, il doit positionner manuellement le paramtre
PROMISCUOUS MODE REJECT

Lopration doit ensuite tre rpte sur lentre service console. Pour cela, ladministrateur
entre dans les proprits de vSwitch0, puis slectionne le Port du service Console. Il choisit
longlet Security et positionne le paramtre PROMISCUOUS REJECT. Un message
davertissement est prsent ladministrateur lorsquil modifie les proprits du Port li au
service console.
Rsultats Les paramtres MAC ADDRESS CHANGES et FORGED TRANSMITS sont positionns
attendus REJECT.
8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 17
Retours dexprience sur le
produit VMware ESX

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 18


Retours dexprience

Scurisation de VMware ESX


Whitepapers, quelques guide de renforcements
Beaucoup dinformation sur les forums communautaires VMware

Manipulations des options VMware et tests


Exemple: Problmatique rseau
Par dfaut, possibilit dcoute du trafic si deux instances virtuelles utilisent
deux interfaces virtuelles diffrentes, mais attachs la mme interface
physique
Configuration de VLAN diffrents pour chaque machine virtuelle

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 19


Retours dexprience

VMware backdoor
Ncessit pour lhyperviseur ESX de communiquer avec les
instances virtuelles, afin de rcuprer certaines informations
Utilise par VMware avec les VMware Tools
Peu de documentation officielle

Travaux des chercheurs en scurit


Ken Kato sur la backdoor et la faon de lexploiter
VM Back
Joanna Rutkowska, dtection denvironnement virtualis
Red Pill

8 juin 2009 Forum Cert-IST - Virtualisation et scurit Page 20