{"id":249,"date":"2018-08-17T22:24:42","date_gmt":"2018-08-17T20:24:42","guid":{"rendered":"http:\/\/loeilduse.fr\/?p=249"},"modified":"2019-09-24T21:46:43","modified_gmt":"2019-09-24T19:46:43","slug":"la-securite-de-bout-en-bout","status":"publish","type":"post","link":"https:\/\/loeilduse.fr\/?p=249&lang=fr","title":{"rendered":"La s\u00e9curit\u00e9 de bout en bout !"},"content":{"rendered":"

\"\"Comme on ne vit pas dans le monde des Bisounours, la s\u00e9curit\u00e9 est pour nous tous un mal n\u00e9cessaire je dirais m\u00eame obligatoire. Elle ne se r\u00e9sume pas \u00e0 la mis en place d’un firewall pour filtrer tout ce qui entre et qui sort du data center et d’un anti-virus sur le poste de travail, il faut s\u00e9curiser toute la chaine allant de l’utilisateur \u00e0 l’application en passant par l’infrastructure. <\/span><\/p>\n

Vous avez surement d\u00e9j\u00e0 vue l’image \u00e0 droite lors d’une pr\u00e9sentation VMware, elle explique la strat\u00e9gie de VMware, \u00e0 droite de cette image, il y a des petits cadenas orange qui correspondent \u00e0 la s\u00e9curit\u00e9. C’est ce que je vais d\u00e9crire succinctement dans cet article : les fonctionnalit\u00e9s qui contribuent \u00e0 am\u00e9liorer la s\u00e9curit\u00e9. Elles peuvent \u00eatre utilis\u00e9es de mani\u00e8re ind\u00e9pendantes ou compl\u00e9mentaires les unes par rapport aux autres. Je vais commencer par le bas (l’infrastructure) pour finir par le haut (l’utilisateur).<\/span><\/p>\n

 <\/p>\n

S\u00e9curiser la base : le boot de l’hyperviseur<\/b><\/span><\/p>\n

Pour \u00eatre s\u00fbr que l’hyversieur est bas\u00e9 sur un code authentifi\u00e9, celui-ci peut \u00eatre v\u00e9rifier d\u00e8s la premi\u00e8re phase de d\u00e9marrage par le BIOS UEFI du serveur et si le code n’a pas la bonne signature, l’hyperviseur ne pourra pas d\u00e9marrer. La v\u00e9rification se fait par un syst\u00e8me de cl\u00e9 priv\u00e9 \/ cl\u00e9 publique.<\/span><\/p>\n

\"The<\/p>\n

 <\/p>\n

“Durcir” les composants<\/b><\/span><\/p>\n

VMware d\u00e9livre des “Security Hardenig Guides” https:\/\/www.vmware.com\/security\/hardening-guides.html<\/a> pour sa solution d’hyperviseur vSphere et sa solution de r\u00e9seau et de s\u00e9curit\u00e9 NSX. Ces “Security Hardening Guides” sont des r\u00e8gles de configuration de bonne pratique qui permettent de s\u00e9curiser au maximum les solutions VMware et limiter ainsi les surfaces d’attaques. Un exemple de r\u00e8gle sur vSphere parmi les 70 qui existent, le timeout d’acc\u00e8s au shell pour ex\u00e9cuter des lignes de commande, par d\u00e9faut il n’y en a pas, la recommendation est de 900 minutes.<\/span><\/p>\n

Pour faciliter la v\u00e9rification du bon respect de ces r\u00e8gles la solution vRealize Op\u00e9rations propose des tableaux de bords simples \u00e0 consulter :<\/span><\/p>\n

\"\"<\/p>\n

 <\/p>\n

Le chiffrement des VMs<\/b><\/span><\/p>\n

Pour \u00e9viter que des VMs soient copi\u00e9es illicitement et ensuite d\u00e9marr\u00e9es sur un autre environnement, il est possible de chiffrer les fichiers qui les constitue ainsi que les \u00e9ventuels d\u00e9placement (vMotion) vers d’autres hyperviseurs identifi\u00e9s, et ce, quel que soit l’OS des VMs. La mise en place n\u00e9cessite que le vCenter soit reli\u00e9 \u00e0 un serveur de gestion de cl\u00e9s KMS, ensuite il suffit d’associer les VMs que l’on souhaite chiffrer \u00e0 une politique de stockage ayant l’attribut chiffrement, cela peut se faire post cr\u00e9ation.<\/span><\/p>\n

Il est possible aussi de chiffrer un espace de stockage complet (n\u00e9cessite d’avoir la solution vSAN), tout ce qui y sera stock\u00e9 sera s\u00e9curis\u00e9, pas besoin de s\u00e9lectionner les VMs \u00e0 s\u00e9curiser. Un autre avantage ce cette possibilit\u00e9 auquel on ne pense pas concerne la partie mat\u00e9riel, ainsi si un disque est d\u00e9faillant vous n’\u00eates pas oblig\u00e9 de passer par une soci\u00e9t\u00e9 tierce pour le d\u00e9truire car son contenu est chiffr\u00e9 et donc illisible.<\/span><\/p>\n

 <\/p>\n

S\u00e9curiser le boot des VMs<\/b><\/span><\/p>\n

Pour \u00e9viter que des root kits malveillants soient install\u00e9s dans le syst\u00e8me d’exploitation de la VM et ainsi corrompre le syst\u00e8me d’exploitation, l’hyperviseur vSphere permet de s\u00e9curiser le boot de la VM de fa\u00e7on a ce que seuls les syst\u00e8mes d’exploitation, le boot loader et les drivers sign\u00e9s par l’\u00e9diteur puissent d\u00e9marrer.<\/span><\/p>\n

 <\/p>\n

Cr\u00e9ation de r\u00e9seaux par usage<\/span><\/strong><\/p>\n

Pour limiter les surfaces d’attaques, il faut limiter l’exposition des applications sur les r\u00e9seaux. Id\u00e9alement une application devrait venir avec ses propres r\u00e9seaux de communication. Prenons une architecture applicative compos\u00e9e de plusieurs services comme par exemple un service Web, un serveur d’application et un service de base de donn\u00e9es. Seul le service Web doit \u00eatre expos\u00e9 aux utilisateurs. Les autres communications doivent se faire par r\u00e9seau d\u00e9di\u00e9s comme illustr\u00e9 dans le sch\u00e9ma ci-dessous :<\/span><\/p>\n

\"\"<\/span><\/p>\n

Avec ce principe on cr\u00e9\u00e9 un r\u00e9seau d\u00e9di\u00e9 par canal de communication entre les services applicatifs. Le fait d’avoir des petits r\u00e9seaux d\u00e9di\u00e9s \u00e0 chaque communication limite l’utilisation de r\u00e8gles de s\u00e9curit\u00e9. Alors bien s\u00fbr avec un r\u00e9seau classique c’est complexe \u00e0 mettre en place mais avec la virtualisation du r\u00e9seau (NSX), c’est un jeu d’enfant.<\/span><\/p>\n

 <\/p>\n

La micro segmentation<\/span><\/strong><\/p>\n

La micro segmentation consiste \u00a0\u00e0 am\u00e9liorer la s\u00e9curit\u00e9 de\u00a0l’infrastructure\u00a0en \u00e9tant le plus granulaire possible. Elle permet de filtrer les communications de chaque carte r\u00e9seau de chaque VM.<\/p>\n

\"\"<\/p>\n

Gr\u00e2ce \u00e0 cela les communications entres les VMs peuvent \u00eatre\u00a0filtr\u00e9es m\u00eames si elles r\u00e9sident sur le sur un m\u00eame\u00a0segment r\u00e9seau IP. Dans l’exemple ci-dessous la VM qui\u00a0appartient \u00e0\u00a0l’application Finance et connect\u00e9e au r\u00e9seau DMZ mais elle ne peut pas communiquer avec les autres VMs HR et Engineering m\u00eame si elles aussi sont connect\u00e9es au m\u00eame segment r\u00e9seau IP DMZ.<\/span><\/p>\n

\"\"<\/span><\/p>\n

Alors il est possible de le faire avec une architecture physique classique mais \u00e7a devient vite une usine \u00e0 gaz \u00e0 mettre en place et \u00e0 administrer au quotidien. \u00a0Avec la virtualisation de la s\u00e9curit\u00e9 (NSX), c’est beaucoup plus simple, les\u00a0r\u00e8gles peuvent \u00eatre cr\u00e9\u00e9s dynamiquement, par exemple on peut identifier toutes les VMs (existantes et \u00e0 venir) Windows sans avoir \u00e0 sp\u00e9cifier les adresses IPs. De plus si les VMs sont\u00a0amen\u00e9es \u00e0 se d\u00e9placer d’un hyperviseur \u00e0 un autre, les\u00a0r\u00e8gles restent toujours actives car le firewall est distribu\u00e9 dans le kernel de tous les hyperviseurs concern\u00e9s.<\/span><\/p>\n

 <\/p>\n

La conformit\u00e9<\/span><\/strong><\/p>\n

Suivant le secteur d’activit\u00e9 de son entreprise, on peut \u00eatre amen\u00e9 \u00e0 devoir respecter certaines normes de s\u00e9curit\u00e9 et mettre en conformit\u00e9 une partie de son infrastructure. \u00a0Comme un de mes clients stockait et traitait des informations relatives aux paiements par carte bancaire, J’ai d\u00fb travailler sur la norme de s\u00e9curit\u00e9 PCI-DSS ( Payment Card Industry Data Security Standard). Pour PCI-DSS, il faut prendre en compte toute une chaine \u00e0 s\u00e9curiser. L’avantage principal des solutions VMware est qu’elles vont vous permettre de ne pas avoir \u00e0 d\u00e9dier une infrastructure physique mais plut\u00f4t de segmenter celle existante et d\u00e9dier un segment \u00e0 l’environnement PCI-DSS et de le rendre herm\u00e9tique par rapport au reste. Prenons deux exemples, l’un cot\u00e9 utilisateur et l’autre cot\u00e9 r\u00e9seau : <\/span><\/p>\n