2. Blogs

La virtualisation fragilise-t-elle la sécurité du Système Information ?

14 octobre 2009 Laurent Giraud , Cloud

Comment savoir si l'on peut virtualiser un serveur ?

Il y a deux personnes qui doivent répondre à cette question. L'ingénieur Système qui valide la partie performance et rendu utilisateur, et l'ingénieur Sécurité qui valide la partie urbanisme et cohérence du Système d'Information (SI). Nous avons déjà évoqué la problématique du coté Système dans d'autres articles (notamment concernant la virtualisation des serveurs Citrix).

Nous focaliserons ce billet sur la partie Sécurité.

Lorsqu'il s'agit de virtualiser des serveurs du réseau local (LAN), l'avis de l'ingénieur Système peut suffir. En revanche dès que le projet touche à des zones critiques comme la zone démilitarisée (DMZ), la faisabilité du projet doit être validée par les deux ingénieurs.
Nous constatons que dans de nombreuses architectures, les machines de DMZ ont été virtualisées comme de simples serveurs. On retrouve alors au sein du même environnement physique des VMs (Virtual Machine) du réseau local et de DMZ.

Archi_DMZ.JPG

Une telle méthode de virtualisation présente un inconvénient majeur : celui de faire reposer la sécurité du SI sur le VLAN (Virtual Local Area Network). Or le VLAN n'est pas un mécanisme de sécurité, il a été conçu à l'origine pour limiter les domaines de diffusion(Broadcast). Via ce mécanisme on peut alors regrouper les machines par fonctions (Serveurs, Imprimantes, Postes Comptabilité, Postes Administrateur, ...).Certains y ont vu la possibilité de sécuriser l'architecture en la segmentant et en contrôlant les flux transitant d'un VLAN à un autre.

Archi_DMZ2.JPG

Hors s'il n'y a pas d'inconvénient lorsqu'il s'agit de segmenter des réseaux locaux, néanmoins il vaut mieux s'abstenir lorsqu'il s'agit d'isoler un réseau critique. Le mécanisme n'est pas étanche à 100%, il existe des moyens de contourner les restrictions. On peut par exemple réussir à émettre des paquets dans le VLAN Y à partir d'une machine du VLAN X (VLAN Hopping) en court-circuitant l'équipement de sécurité.

Archi_DMZ3.JPG

Dès lors, on s'aperçoit alors qu'en regroupant au sein d'un même environnement virtuel des machines de DMZ et du LAN, on abaisse l'étanchéité du SI. Il existe toutefois des solutions permettant de virtualiser des serveurs de DMZ tout en gardant un bon niveau de protection. Il existe plusieurs solutions, nous allons vous en présenter deux.

La première solution est la plus radicale. La DMZ doit être composée d'une architecture physique indépendante. Elle ne peut communiquer avec les autres zones que par le biais des équipements de sécurité. Si la DMZ possède ses propres commutateurs, elle doit posséder son propre environnement de virtualisation (son propre stockage?).

Cette solution est la plus onéreuse du fait du doublement de l'architecture. Elle est aussi la plus gourmande en ressources humaines puisque les équipes techniques auront deux environnements virtuels totalement indépendants à maintenir.

Archi_DMZ4.JPG
 

La deuxième solution est la plus simple à mettre en place. Il s'agit de rajouter des cartes réseaux dans les serveurs de virtualisation. En dédiant ces ports aux VMs de DMZ, on peut les laisser sur une architecture réseau dissociée.

Archi_DMZ5.JPG

Cette solution oblige toutefois l'ingénieur Sécurité à intégrer dans son cercle de confiance la couche virtualisation. Cela peut cependant représenter un frein insurmontable pour lui dans la mesure où il ne peut pas avoir un contrôle sur tout l'environnement (communication entre 2 VMs d'un même VLAN par exemple). de récupérer la maîtrise de cet environnement. Il lui sera alors possible d'assurer un niveau de sécurité jusqu'à la VM et non plus uniquement jusqu'au serveur de virtualisation.

Le switch virtuel fera l'objet d'un prochain article ...

 
Laurent Giraud

Responsable pôle Infrastructure, Orange Business - Neocles