Ignorer les liens de navigation | |
Quitter la vue de l'impression | |
Guide de sécurité d'Oracle® VM Server for SPARC 3.1 |
Utilisation de cette documentation
Chapitre 1 Présentation de la sécurité d'Oracle VM Server for SPARC
Fonctions de sécurité utilisées par Oracle VM Server for SPARC
Présentation du produit Oracle VM Server for SPARC
Application de principes de sécurité généraux à Oracle VM Server for SPARC
Sécurité dans un environnement virtualisé
Sécurisation de l'environnement d'exécution
Menace : configuration incorrecte non intentionnelle
Contre-mesure : création d'instructions opérationnelles
Menace : erreurs dans l'architecture de l'environnement virtuel
Contre-mesure : affectation attentive de domaines invités aux plates-formes matérielles
Contre-mesure : planification d'une migration de domaine Oracle VM Server for SPARC
Contre-mesure : configuration correcte des connexions virtuelles
Contre-mesure : utilisation du balisage VLAN
Contre-mesure : utilisation des dispositifs de sécurité virtuels
Menace : effets secondaires du partage des ressources
Evaluation : effets secondaires liés aux ressources partagées
Contre-mesure : affectation attentive des ressources matérielles
Contre-mesure : affectation attentive des ressources partagées
Résumé : effets secondaires liés aux ressources partagées
Menace : manipulation de l'environnement d'exécution
Evaluation : manipulation de l'environnement d'exécution
Contre-mesure : sécurisation des chemins d'accès interactifs
Contre-mesure : réduction du SE Oracle Solaris
Contre-mesure : sécurisation du SE Oracle Solaris
Contre-mesure : recours à la séparation des rôles et à l'isolement des applications
Contre-mesure : configuration d'un réseau de gestion dédié
Menace : déni de service du système complet
Evaluation : déni de service du système complet
Contre-mesure : sécurisation d'ILOM
Menace : rupture de l'isolement
Evaluation : rupture de l'isolement
Contre-mesure : validation des signatures des microprogrammes et des logiciels
Contre-mesure : validation des modules de noyau
Menace : déni de service du domaine de contrôle
Evaluation : déni de service du domaine de contrôle
Contre-mesure : sécurisation de l'accès à la console
Menace : utilisation non autorisée d'utilitaires de configuration
Evaluation : utilisation non autorisée d'utilitaires de configuration
Contre-mesure : application de la règle des deux personnes
Contre-mesure : utilisation de droits pour Logical Domains Manager
Contre-mesure : sécurisation de Logical Domains Manager
Contre-mesure : audit de Logical Domains Manager
Menace : manipulation d'un domaine de service
Evaluation : manipulation d'un domaine de service
Contre-mesure : séparation des domaines de service de manière granulaire
Contre-mesure : isolation des domaines de service et des domaines invités
Contre-mesure : limitation de l'accès aux consoles virtuelles
Menace : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Evaluation : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Contre-mesure : configuration des domaines d'E/S de manière granulaire
Contre-mesure : configuration d'un matériel et de domaines root redondants
Menace : manipulation d'un domaine d'E/S
Evaluation : manipulation dans un domaine d'E/S
Contre-mesure : protection des disques virtuels
Contre-mesure : sécurisation du SE du domaine invité
Chapitre 2 Installation et configuration sécurisées d'Oracle VM Server for SPARC
Chapitre 3 Considérations relatives à la sécurité pour les développeurs
Un domaine de service fournit des services virtuels aux domaines invités sur le système. Les services peuvent inclure un service de commutateur virtuel, de disque virtuel ou de console virtuelle.
La Figure 1–6 présente un exemple de domaine de service qui propose des services de console. Le domaine de contrôle héberge fréquemment les services de console, ce qui en fait également un domaine de service. Les domaines de l'environnement d'exécution associent souvent des fonctions de domaine de contrôle, de domaine d'E/S et de domaine de service dans un ou deux domaines.
Une personne malveillante qui prend le contrôle d'un domaine de service peut manipuler des données ou écouter toutes les communications qui s'effectuent via les services offerts. Ce contrôle peut comprendre l'accès de la console aux domaines invités, l'accès aux services réseau ou l'accès aux services de disque.
Bien que les stratégies d'attaque soient les mêmes que pour une attaque dirigée contre un domaine de contrôle, les dommages potentiels sont moindres car la personne malveillante ne peut pas modifier la configuration système. Les dommages possibles sont par exemple le vol ou la manipulation de données offertes par le domaine de service, mais pas la manipulation de sources de données. Selon le service concerné, une personne malveillante peut être contrainte d'échanger des modules de noyau.
Figure 1-6 Exemple de domaine de service
Dans la mesure du possible, chaque domaine de service ne doit proposer qu'un seul service à ses clients. Une telle configuration permet de garantir qu'un seul service est compromis si un domaine de service subit une attaque. Tenez compte toutefois de la complexité accrue du système avant d'opter pour une configuration de ce type. Notez que la présence de domaines d'E/S redondants est fortement recommandée.
Vous pouvez isoler aussi bien les domaines de service Oracle Solaris 10 que les domaines de service Oracle Solaris 11 des domaines invités. Les solutions suivantes sont présentées dans l'ordre d'implémentation à privilégier :
Faites en sorte que le domaine de service et le domaine invité ne partagent pas le même port réseau. En outre, ne raccordez pas d'interface de commutateur virtuel à un domaine de service. Pour les domaines de service Oracle Solaris 11, ne raccordez pas de carte VNIC aux ports physiques utilisés pour les commutateurs virtuels.
Si vous devez utiliser le même port réseau pour les SE Oracle Solaris 10 et Oracle Solaris 11, placez le trafic du domaine d'E/S dans un réseau VLAN qui n'est pas utilisé par des domaines invités.
Si vous ne pouvez implémenter aucune des solutions précédentes, ne raccordez pas le commutateur virtuel dans le SE Oracle Solaris 10 et appliquez des filtres IP dans le SE Oracle Solaris 11.
Assurez-vous que l'accès aux différentes consoles virtuelles est limité aux seuls utilisateurs qui doivent y accéder. Cette configuration garantit qu'aucun administrateur n'a accès à toutes les consoles, ce qui empêche l'accès aux consoles autres que celles assignées à un compte compromis. Reportez-vous à la section Procédure de création des services par défaut du manuel Guide d’administration d’Oracle VM Server for SPARC 3.1 .