La sécurité des VDI (Virtual desktop infrastructure)

SRS Day – Conférence17 novembre 2010

Par :•Anthony Soquin – soquin_a•Armand Fouquiau – fouqui_a•Benoît Guillemaille – guille_b•Etienne Folio – folio_e•Jocelyn Mocquant – mocqua_j•Jonathan Philippe – philip_j•Julien Ceraudo – ceraud_j

SOMMAIRE

Virtualisation et VDI Impacts stratégiques et

opérationnels Risques techniques et

recommandations Conclusion

2SRS Day @ EPITA - 17 novembre 2010

Virtualisation et VDI

Virtualisation Plusieurs OS exécutés sur une même

machine physique Hyperviseur

VDI (Virtual Desktop Infrastructure) Réduction des couts opérationnels Simplification de la maintenance et de

l’administration Bureaux virtuels (Hosted Virtual Desktops)

La bonne virtualisation d’un système dépend de son niveau d’isolation

SRS Day @ EPITA - 17 novembre 2010 3

Hyperviseurs

Type I Il s’exécute directement sur

une plateforme matérielle Noyau hôte allégé et

optimisé : performant Onéreux

Type II Logiciel qui s’exécute sur

l’OS hôte Pas d’adaptation des OS

invités Très comparable à un

émulateur Moins performant


Hosted Virtual Desktop (HVD)

Virtualisation des OS et des applications Remplacement des postes de travail par

des clients légers ou des clients zéro

Avantages : Moins de maintenance Economies d’échelle Rationalisation du SI

Implique : Renouvellement potentiel du réseau Nouvelle infrastructure en datacenter Nouvelles politiques de gestion du SI


Architecture HVD typique

Calcul et stockage centralisés Archi distribuée => résistance aux

pannes Répartition de charge automatique Sauvegardes facilitées (snapshots) Virtualisation des machines servant à la

gestion du SI Mobilité facilement mise en place Déploiement simplifié :

Des nouveaux postes de travail Des nouveaux logiciels



Internet

Pôle

Serveurs de virtualisation

VPN SSL

SAN VPN SSL

Machines virtuelles

Pôle

Gestion des VM

ProxyVLAN

Impacts opérationnels

CAPEX Initiaux très élevés Sur 500+ postes, moins cher

qu’une archi traditionnelle

Beaucoup moins d’OPEX Moins de maintenance Déploiement matériel et logiciel

simplifié Facilité de résolution de

problèmes Administration des postes

simplifiée

Attention au prix des licences !


Failles sur les VM

Vecteurs d’attaques Architecture, jeu d’instruction… Corruption, lecture de la mémoire de

l’hyperviseur Root théorique !

Point critique : l’hyperviseur !! Failles non divulguées Solutions :

Mise à jour Veille technologique Audits de sécurité


Sécurisation des VM

Architecture plus résistante aux virus Nouvelle VM à chaque boot

Destruction du contenu de la mémoire et des malwares y résidant lors de l’extinction

Virus se propageant de VM en VM Antivirus léger par VM Pare-feu au niveau de l’hyperviseur

Transmission des identifiants de l'utilisateur à la session Windows Attention à la solution choisie (tickets

Kerberos ?)


Sécurisation réseau et clients

Mise à jour du firmware automatique ? Chiffrage de bout en bout Sécurisation du réseau entre hyperviseurs Risques classiques

MITM, DDoS, pannes… Redondance, réplication, 2è site…

Administration des VM VLAN dédié accessible que depuis les VM des

admins Réseau d'administration dédié (mieux mais

onéreux) => Point critique : l’hyperviseur et sa config


Sécurisation SAN et données

Risque majeur : l’accès physique Vérifications manuelles ? Confiance dans le datacenter ?

Seul l’hyperviseur a accès au SAN LUNs accessibles à tous les hyperviseurs

(partage intégral) Si l’hyperviseur est rooté, toutes les

données deviennent accessibles => Point critique : l’hyperviseur

(encore…)SRS Day @ EPITA - 17 novembre 2010 12

Risques humains

Déploiement très simple de logiciels Risque de diffusion facilitée de malware Séparation des besoins

Procédure de cellule de crise Encore plus important qu’avec une infra

classique Erreurs de config

Procédures critiques nécessitant 2 admins ?

Garder les logs Former le personnel (users et admins)


Risques de gestion du SI

Politique de gestion globale renforcée Découpage en groupes organisationnels Séparation des données Droits d’accès… (problématiques

classiques…)

Problèmes de migration Incompatibilités

Matérielle (accès direct à la carte graphique…) Logicielle (de moins en moins…)


Consolidation de l’infrastructure

2 groupes de serveurs de virtualisation totalement séparés Un pour les serveurs, l’autre pour les

bureaux Les hyperviseurs compromis n’ont pas

accès au SAN ni aux serveurs critiques Couteux !


WAN

SAN Serveurs(AD, Données, www…)

Serveurs bureaux Terminal(client zéro/léger)

Potentiellement compromis

Conclusion

Impacts opérationnels (CAPEX, OPEX)

Recommandations importantes : Mises à jour (hyperviseur, firmware client…) Antivirus + pare-feu Sécurité physique + redondance + réplication Veille technologique Cellules de crise Formation Droits d’accès…

VDI de plus en plus utilisés Nouvelles failles à découvrir Haut niveau de technicité requis (double

tranchant)SRS Day @ EPITA - 17 novembre 2010 16

Questions ?


La sécurité des VDI (Virtual desktop infrastructure)

Documents

Transcript of La sécurité des VDI (Virtual desktop infrastructure)