Guide de sécurité d'Oracle® VM Server for SPARC 3.2

Quitter la vue de l'impression

 
Mis à jour : Mars 2015
 
 

Domaine d'E/S

Tout domaine qui a directement accès à un périphérique d'E/S physique tel que des ports ou des disques réseau est un domaine d'E/S. Pour plus d'informations sur la configuration des domaines d'E/S, reportez-vous au Chapitre 5, Configuration de domaines d’E/S du manuel Guide d’administration d’Oracle VM Server for SPARC 3.2 .

Un domaine d'E/S peut également être un domaine de service s'il offre des services d'E/S à des domaines invités, ce qui permet à ces derniers d'accéder au matériel.

Menace : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service

Une personne malveillante qui bloque les services d'E/S d'un domaine d'E/S bloque par la même occasion l'ensemble des domaines invités dépendants. Il est possible de lancer une attaque par déni de service réussie en surchargeant l'infrastructure du réseau ou du disque ou en introduisant une erreur dans le domaine. Chacune de ces attaques peut provoquer un blocage ou une erreur grave du domaine. De même, une personne malveillante qui suspend les services d'un domaine de service provoque le blocage immédiat de tout domaine invité qui dépend de ces services. Si le domaine invité se bloque, il se remet à fonctionner lorsque le service d'E/S reprend.

Evaluation : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service

Les attaques par déni de service sont fréquemment effectuées par le biais du réseau. Ce type d'attaque peut réussir car les ports réseau sont ouverts à la communication et peuvent être submergés par le trafic réseau. La perte de service qui en résulte bloque les domaines invités dépendants. Une attaque similaire peut être dirigée contre les ressources de disque par le biais de l'infrastructure SAN ou en attaquant le domaine d'E/S. Le seul dommage qui en résulte est un arrêt temporaire de tous les domaines invités dépendants. Bien que l'impact d'un déni de service sur les tâches puisse être conséquent, les données ne sont ni compromises, ni perdues, et la configuration du système reste intacte.

Contre-mesure : configuration des domaines d'E/S de manière granulaire

La configuration de plusieurs domaines d'E/S permet de réduire l'impact d'une défaillance ou d'une perte de fiabilité d'un domaine. Vous pouvez affecter des emplacements PCIe individuels à un domaine invité pour lui accorder des capacités de domaine d'E/S. Si le domaine root propriétaire du bus PCIe tombe en panne, ce bus est réinitialisé, ce qui entraîne l'arrêt brutal du domaine auquel l'emplacement individuel a été affecté. Cette fonctionnalité n'élimine pas complètement la nécessité de disposer de deux domaines root possédant chacun un bus PCIe distinct.

Contre-mesure : configuration d'un matériel et de domaines root redondants

La haute disponibilité participe également à l'amélioration de la sécurité car elle permet aux services de résister aux attaques par déni de service. Oracle VM Server for SPARC implémente des méthodologies de haute disponibilité telles que l'utilisation de disques et de ressources réseau redondants dans des domaines d'E/S redondants. Cette option de configuration permet des mises à niveau progressives des domaines d'E/S et protège contre l'impact d'une défaillance d'un domaine d'E/S due à une attaque par déni de service. Depuis l'apparition de SR-IOV, les domaines invités sont en mesure d'accéder directement à des périphériques d'E/S individuels. Cependant, si SR-IOV ne peut pas être implémenté, envisagez de créer des domaines d'E/S redondants. Reportez-vous à la section Contre-mesure : séparation des domaines de service de manière granulaire.

Menace : manipulation d'un domaine d'E/S

Un domaine d'E/S a directement accès à des périphériques back-end, généralement des disques, qu'il virtualise puis propose aux domaines invités. Après une attaque réussie, une personne malveillante dispose d'un accès total à ces périphériques et peut lire des données sensibles ou manipuler des logiciels sur les disques d'initialisation des domaines invités.

Evaluation : manipulation dans un domaine d'E/S

Une attaque dirigée contre un domaine d'E/S est aussi probable qu'une attaque réussie sur un domaine de service ou le domaine de contrôle. Le domaine d'E/S est une cible particulièrement prisée car il offre potentiellement un accès à un grand nombre de périphériques de disque. Tenez donc compte de cette menace lorsque vous travaillez avec des données sensibles dans un domaine invité s'exécutant sur des disques virtualisés.

Contre-mesure : protection des disques virtuels

Lorsqu'un domaine d'E/S est compromis, la personne malveillante dispose d'un accès total aux disques virtuels du domaine invité.

    Protégez le contenu des disques virtuels en effectuant les opérations suivantes :

  • Chiffrement du contenu des disques virtuels. Sur les systèmes Oracle Solaris 10, vous pouvez utiliser une application capable de chiffrer ses propres données, telle que les tablespaces chiffrés pgp/gpg ou Oracle 11g. Sur les systèmes Oracle Solaris 11, vous pouvez utiliser des ensembles de données chiffrés ZFS pour assurer un chiffrement transparent de toutes les données stockées dans le système de fichiers.

  • Répartition des données sur plusieurs disques virtuels dans plusieurs domaines d'E/S. Un domaine invité peut créer un volume entrelacé (RAID 1/RAID 5) qui s'étend sur plusieurs disques virtuels obtenus à partir de deux domaines d'E/S. Si l'un de ces domaines d'E/S est compromis, la personne malveillante auteur de l'attaque ne pourra que difficilement utiliser la portion de données disponible.

Copyright © 2007, 2015, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant