Infrastructures virtuelles : six risques à gérer

En facilitant les opérations d'administration et en concentrant l'infrastructure sur un petit nombre de machines physiques, la virtualisation fait peser de nouveaux risques sur le système d'information.

Risque numéro 1 : les malveillances et erreurs

Le risque le plus important relève d'une problématique d'administration, qui peut être source d'erreurs ou de malveillances catastrophiques. "Aucune intervention physique n'étant nécessaire, un simple clic permet de créer ou détruire un serveur", met en garde Laurent Charvériat, directeur technique d'i-Tracing. Le remède : une politique de sécurité consistant à gérer le plus finement possible les droits et rôles des différents administrateurs.

"L'hyperviseur doit être traité comme un OS critique. On doit éviter les profils omnipotents, réduire au maximum le nombre d'administrateurs et limiter leurs droits au strict nécessaire afin d'assurer un contrôle mutuel", explique Jérôme Marchal, responsable de l'offre virtualisation chez Neurones. En particulier, les administrateurs réseau, système et applications auront des droits spécifiques, si bien qu'une malveillance importante ne pourra être réalisée qu'avec une collusion entre plusieurs personnes. "Une telle collusion serait indispensable pour qu'un serveur intranet se retrouve dans une DMZ publique", donne en exemple Laurent Charvériat.

Risque numéro 2 : les failles de sécurité de l'hyperviseur

Chez tous les éditeurs, la couche hyperviseur souffre régulièrement de nouvelles failles qui permettent par exemple d'intervenir sur une machine virtuelle à partir d'une autre. Et même si selon Laurent Charvériat, "il n'y aurait actuellement aucune faille majeure connue", ce risque est latent. "MWare vient d'apporter une réponse en supprimant le noyau Linux qui permettait d'administrer l'hyperviseur, ce qui élimine une source de failles", complète Jérôme Marchal.

Risque numéro 3 : le dialogue entre machines virtuelles

Dans une infrastructure physique, les flux entre serveurs sont parfaitement supervisés. "Mais avec la virtualisation, on perd de la visibilité sur les flux entre machine virtuelles", prévient Jérôme Marchal. Les attaques entre machines virtuelles et les goulets d'étranglement ne sont alors pas visibles par l'outil de supervision. Le remède consiste à gérer les réseaux virtuels et physiques de façon unifiée, grâce à des offres apparues depuis moins de deux ans chez Cisco, StoneSoft ou Blade Network Technology. "Il s'agit également d'impliquer les équipes réseau et sécurité afin de maîtriser le réseau de bout en bout", complète Jérôme Marchal.

Risque numéro 4 : les malwares

Les systèmes installés dans les serveurs virtuels sont tout aussi vulnérables que lorsqu'ils sont hébergés par un serveur physique. Traditionnellement, la protection est assurée en installant un antimalware sur chaque machine virtuelle.

"Cela cause des sollicitations fortes sur les ressources disque, CPU ou mémoire. Le seul moyen de contournement consistait jusqu'à présent à réduire la densité de machines virtuelles sur chaque hyperviseur", explique David Grout, ingénieur avant-vente chez McAfee. En avril 2009, VMware a pourtant apporté la solution sous la forme de VM-Safe, une API qui permet de déployer un antimalware au niveau de l'hyperviseur, les machines virtuelles n'accueillant qu'un simple agent. Mais les éditeurs ont tardé à la supporter. Par exemple, McAfee vient tout juste de franchir le pas, avec son offre Optimized Virtual Environments.

Risque numéro 5 : les serveurs physiques

La consolidation inhérente à la virtualisation génère de fait un maillon faible. Que le serveur physique tombe en panne et ce sont toutes les machines virtuelles qui s'évaporent. Souvent évoqué, ce risque est en réalité le moins important. "Le problème et la solution ne font qu'un car il est aisément traité par les mécanismes de tolérance aux pannes intégrés aux offres de virtualisation", explique Jérôme Marchal. À condition toutefois d'avoir attaqué le problème en amont.

"Une bonne pratique consiste à construire un cluster de quatre ou cinq gros serveurs et d'activer la fonction de répartition automatique de charge de l'hyperviseur", précise Laurent Charvériat.

Risque numéro 6 : le stockage mutualisé

Comme les serveurs physiques hébergeant les machines virtuelles, les ressources de stockage ne doivent pas être mutualisées à outrance afin de ne pas introduire un maillon faible. "Certaines entreprises font confiance aux mécanismes d'étanchéité des SAN, d'autres préfèrent construire au moins deux SAN distincts", constate Laurent Charvériat. Mais un autre risque est en train d'émerger, lié aux nouvelles technologies de thin provisioning. Depuis peu intégrées aux hyperviseurs, elles permettent une sur-allocation des espaces de stockage, mais aussi de mémoire, aux machines virtuelles. "Si elles sont mal maîtrisées, des problèmes de contention peuvent faire tomber toute l'infrastructure, c'est pourquoi elles sont encore peu utilisées en production", affirme Jérôme Marchal.

Auteur : Thierry Lévy-Abégnoli - indexel.net

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !