Présentation

Article

1 - RAPPELS SUR LE CLOUD COMPUTING

2 - PRINCIPES DE LA VIRTUALISATION

3 - MENACES EN ENVIRONNEMENT VIRTUEL

4 - MÉCANISMES POUR PROTÉGER UNE INFRASTRUCTURE VIRTUALISÉE

5 - VERS DE NOUVEAUX TYPES D'HYPERVISEURS

6 - PERSPECTIVES

7 - CONCLUSION

Article de référence | Réf : H6035 v1

Menaces en environnement virtuel
Étude et avenir de la sécurité des solutions de virtualisation

Auteur(s) : Marc LACOSTE, Aurélien WAILLY

Date de publication : 10 oct. 2014

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

L’informatique en nuage s’est imposée comme une mutation majeure des technologies de l’information en offrant ressources et services à la demande. Elle repose sur la virtualisation qui permet de s’abstraire de l’infrastructure physique.

Toutefois, la virtualisation suscite de nombreuses interrogations en termes de sécurité. Quelles sont les menaces pesant sur une infrastructure virtualisée ? De quels mécanismes dispose-t-on aujourd’hui pour se protéger contre ces menaces ? Où en est la recherche et quelles perspectives offre-t-elle pour améliorer la sécurité de ces systèmes ? 

Cet article tente de donner des éléments de réponse à ces questions à travers un tour d’horizon des défis, solutions, et directions futures concernant la sécurité de la virtualisation.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Security of virtualization solutions- Present and future

Cloud computing has imposed itself as the latest revolution in information technologies by offering on-demand resources and services. Virtualization is a key enabler for the cloud by abstracting away the physical infrastructure.

It also raises many security concerns. What are the threats against a virtualized system? What are available counter-measures to mitigate such threats? What is the status of research today in terms of virtualization security and what are the next steps to enhance security of such systems?

This paper aims to provide answers to such questions by providing an overview of threats, challenges, solutions, and perspectives regarding virtualization security.

Auteur(s)

  • Marc LACOSTE : Expert recherche en sécurité des systèmes, Orange Labs, département de sécurité, France

  • Aurélien WAILLY : Doctorant, Orange Labs, département de sécurité, France

INTRODUCTION

L'informatique en nuage (cloud computing) semble être la mutation récente majeure des technologies de l'information dans la manière d'offrir, d'utiliser, et de gérer ressources et services informatiques. Ouvrant infrastructures et services aux tiers, la nouveauté est de les considérer comme fournis et utilisés à la demande.

Les bénéfices associés sont nombreux : réduction des coûts, meilleur passage à l'échelle... Cette vision « libre-service » repose sur le partage d'un ensemble de ressources de calcul, de communication, et de stockage. Le tout, accessible de manière sûre par des réseaux large bande, rapidement fournis et libérés en fonction des besoins. Cette flexibilité s'appuie sur la virtualisation : les ressources et les services sont séparés de l'infrastructure sous forme de machines virtuelles (VM).

Ce nouveau contexte suscite de nombreuses interrogations sur la protection des ressources, faisant de la sécurité l'un des principaux freins à l'adoption du cloud. Par exemple :

  • sur l'isolation, une infrastructure cloud étant partagée entre plusieurs locataires aux objectifs de sécurité souvent distincts ;

  • sur la disparition des frontières organisationnelles, rendant la garantie de sécurité périmétrique difficile ;

  • sur la perte de contrôle sur des applications et des données qui s'exécutent, sont transmises, ou sont stockées dans des environnements non sûrs ;

  • sur les nouvelles vulnérabilités liées à la virtualisation.

Parmi ces questions, la dernière est probablement la moins comprise :

  • quelles sont les menaces pesant sur une infrastructure virtualisée ?

  • qu'est ce qu'un hyperviseur et quelles sont les techniques existantes de virtualisation ?

  • de quels mécanismes dispose-t-on aujourd'hui pour se protéger contre ces menaces ?

  • où en est la recherche, et quelles perspectives offre-t-elle pour améliorer la sécurité de ces systèmes ?

Cet article a pour objectif de fournir des éléments de réponse à quelques unes de ces questions, sur l'influence de la virtualisation sur la sécurité.

Après quelques rappels sur les différents modèles du cloud (§ 1), nous présenterons les principes, approches, et solutions pour la virtualisation d'un système (§ 2). En se focalisant sur quelques menaces les plus critiques (§ 3), nous décrirons, ensuite, les contre-mesures disponibles dans les principaux hyperviseurs déployés, pour assurer la protection des ressources en termes de virtualisation du processeur, de la mémoire, et du réseau (§ 4). Nous décrirons les nouvelles architectures d'hyperviseur alternatives visant à renforcer leur sécurité. Par exemple, en réduisant leur taille ou leur complexité (§ 5). Enfin, nous donnerons un aperçu de l'évolution des hyperviseurs pour les années à venir (§ 6).

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

security of informations systems   |   Software architecture   |   virtual machine   |   hypervisor   |   virtualization

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h6035

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil Ressources documentaires Environnement - Sécurité Sécurité et gestion des risques Menaces et vulnérabilités : protection des sites industriels Étude et avenir de la sécurité des solutions de virtualisation Menaces en environnement virtuel

Accueil Ressources documentaires Technologies de l'information Technologies logicielles Architectures des systèmes Management des systèmes d'information Étude et avenir de la sécurité des solutions de virtualisation Menaces en environnement virtuel

Accueil Ressources documentaires Technologies de l'information Sécurité des systèmes d'information Sécurité des SI : services et applications Étude et avenir de la sécurité des solutions de virtualisation Menaces en environnement virtuel

Accueil Ressources documentaires Génie industriel Industrie du futur Industrie du futur : outils numériques Étude et avenir de la sécurité des solutions de virtualisation Menaces en environnement virtuel


Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

3. Menaces en environnement virtuel

3.1 Sources de vulnérabilités

La transition des serveurs physiques vers des équivalents virtuels est l'un des bénéfices majeurs apportés par la virtualisation. Les serveurs dédiés deviennent virtualisés, et profitent de nouvelles fonctionnalités, comme la migration à chaud.

La migration à chaud (« live migration ») consiste à migrer une VM en cours d'exécution entre deux serveurs physiques, sans interruption de service. Les ressources mémoire, de stockage, et réseau attachées à la VM sont transférées sans couture depuis le serveur physique d'origine, jusqu'à celui de destination.

Cependant, les VM partagent indirectement les mêmes ressources physiques. Il faut donc trouver de nouveaux mécanismes d'isolation pour empêcher une VM d'exploiter une des interfaces de l'hyperviseur, et tenter de dérober les données de VM colocalisées. En effet, l'ensemble des données d'une VM peut être récupéré depuis le logiciel de virtualisation. Il suffit de recréer la cartographie liant espaces virtuels et physiques, pour extraire l'état exact de chaque VM. La modification de données à chaud, ou la mise en place de virus, deviennent aussi envisageables.

D'autre part, pour l'utilisateur, les accès aux machines deviennent plus simples grâce à la gestion logicielle des connexions physiques. La configuration de ces accès devient donc un élément clé où une mauvaise opération peut conduire à de lourds dégâts. La simplicité d'utilisation se traduit donc par une complexité d'administration, source majeure de vulnérabilités.

HAUT DE PAGE

3.2 Principales menaces

Les principales attaques possibles contre une infrastructure IaaS sont les suivantes.

HAUT DE PAGE

3.2.1 Attaques de VM à VM

Une VM malveillante peut tromper le composant de placement des VM pour devenir colocalisée sur la même machine physique que la VM cible. Elle peut alors exploiter une vulnérabilité de l'hyperviseur pour effectuer une attaque par...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Menaces en environnement virtuel
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - AZAB (A.) et al -   HyperSentry : enabling stealthy in-context measurement of hypervisor integrity.  -  ACM Conference on Computer and Communications Security (CCS) (2010).

  • (2) - BEN-YEHUDA (M.) et al -   The Turtles project : design and implementation of nested virtualization.  -  USENIX, Symposium on Operating Systems Design and Implementation (OSDI) (2010).

  • (3) - BUTT (S.), LAGAR-CAVILLA (H.), SRIVASTAVA (A.), GANAPATHY (V.) -   Self-service cloud computing.  -  ACM Conference on Computer and Communications Security (2012).

  • (4) - Cloud Security Alliance -   Cloud computing vulnerability incidents : a statistical overview  -  (2013).

  • (5) - COLP (P.) et al -   Breaking up is hard to do : security and functionality in a commodity hypervisor.  -  ACM Symposium on Operating Systems Principles (SOSP) (2011).

  • (6) - ELHAGE (N.) -   Virtunoid :...

ANNEXES

  1. 1 Annexe

    Cet article est réservé aux abonnés.
    Il vous reste 93% à découvrir.

    Pour explorer cet article
    Téléchargez l'extrait gratuit

    Vous êtes déjà abonné ?Connectez-vous !


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Industrie du futur

    (104 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS