Documentation

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Ce qu'il manque à l'ouvrage de référence sur la sécurité d'ESX VMware

Ce qu'il manque à l'ouvrage de référence sur la sécurité d'ESX VMware


Edition du 02/07/2008 - par Edward L. Haletky

J'ai déjà écrit sur le manque de bons produits et de guides pour la sécurité dans les infrastructures virtuelles. Le premier guide largement utilisé, intitulé CISecurity VMware ESX Security Benchmark, contient une liste de tâches à réaliser, ainsi que le code shell correspondant pour les réaliser. Mais il n'est pas assez complet à mon goût. Il y a deux références chez CISecurity, l'une est pour VMWare ESX et l'autre est pour les machines virtuelles (VM). Le document pour les machines virtuelles est bien trop généraliste pour être utile. L'édition sur VMware ESX contient des paramétrages et d'autres informations qui sont spécifiques aux machines virtuelles, plutôt que de se focaliser sur ESX. Malheureusement, le document contient seulement quelques réglages de l'outil d'isolation. Il y a beaucoup plus à faire pour améliorer la sécurité. Une grande partie du document concerne la console de service. Mais cela est insuffisant. Il n'y a pas d'information sur la manière dont on peut protéger le vmkernel lui-même. Même manque sur la façon de réduire les pertes d'information via l'accès à la console de service. Pas plus d'explication sur la manière dont le vmkernet se protège lui-même. L'ouvrage part du principe - comme beaucoup de gens - que l'hyperviseur est sécurisé. C'est comme partir du principe que le firmware d'un PC est au-dessus de tout reproche, malgré les attaques par des « root kits » qui se délectent dans les sous programmes du firmware. Certes le document approfondit certains problèmes spécifiques d'ESX, tels que les options de sécurité de vSwitch, et d'autres soucis liés aux réseaux virtuels, mais il est plutôt sec sur la réelle compréhension de la sécurité. Par exemple, le document indique que le protocole iSCSI est un protocole texte lisible et que le protocole CHAP (Challenge Handshake Authentication Protocol) devrait être utilisé afin d'empêcher que les mots de passe et noms de connexion ne passent en clair sur le réseau. Mais ce même document oublie de mentionner que c'est également le cas des protocoles de NFS et du Fibre Channel, et qu'il faut aussi les protéger. Le document indique qu'IPSec n'est pas accepté de façon native par ESX, mais il n'en indique pas les conséquences. Par exemple, iSCSI n'accepte IPSec que si les équipements de part et d'autre du lien acceptent ce protocole. Autre cas : le document n'indique pas que le Consolidated Backup Proxy Server pour VMware peut devenir une porte dérobée vers les données d'une machine virtuelle. Manque d'informations également sur les répertoires et les chemins vers l'information pour gérer le système. Plus spécifiquement, il manque d'information sur les faiblesses de l'administration via le Web, la faiblesse des certificats SSL utilisés sur certaines versions d'ESX et comment y remédier.

Edward L. Haletky, l'auteur de cet article, a écrit l'ouvrage "VMWare ESX Server in the Enterprise: Planning and Securing Virtualization Servers," Pearson Education (2008.) Il a récemment quitté HP et possède la société de conseils AstroArch Consulting.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Elvis Presley passe la douane en Hollande

Les informations dans les passeports électroniques peuvent être clonées et modifiées (...)

La Cnil s'attaque aux spammeurs ... franco-français

La lutte contre les pourriels adopte enfin une attitude volontariste dans l'hexagone. (...)

Douze "patchs" dans la livraison semestrielle de Cisco

Cisco met à disposition douze rustines qui comblent des failles dans son système (...)

Nokia cède son activité d'appliances de sécurité

C'est un événement marquant dans l'univers de la sécurité. Nokia qui avait quasiment (...)

Les éditeurs d'antivirus ne font pas leur boulot, selon l'institut Gartner

« Pourquoi payer davantage chaque année pour des antivirus qui en donnent moins ?''. (...)

La biométrie mise sur l'iris, les veines et la reconnaissance faciale

La biométrie a du mal à percer. Les fournisseurs ne manquent pourtant pas d'inventivité. (...)

Le toolkit Neosploit refait surface

Le kit Neosploit de développement d'attaques revient sur le devant de la scène alors (...)

Recherche

Sondage flash
Le "Cloud Computing", c'est
Conférences
09/10/2008
FORUM SOA / 3ème édition
De 8h30 à 14h00 à Eurosites George V - Paris 8è
Agenda
Du mardi 7 octobre 2008 au mardi 7 octobre 2008
Approche juridique et pratique de l'archivage des courriers électroniques
Palais des Congrès, Porte Maillot, Paris (dans le cadre du Forum des Acteurs du Numérique (FAN))