Ignorer les liens de navigation | |
Quitter la vue de l'impression | |
Guide de sécurité d'Oracle® VM Server for SPARC 3.1 |
Utilisation de cette documentation
Chapitre 1 Présentation de la sécurité d'Oracle VM Server for SPARC
Fonctions de sécurité utilisées par Oracle VM Server for SPARC
Présentation du produit Oracle VM Server for SPARC
Sécurité dans un environnement virtualisé
Sécurisation de l'environnement d'exécution
Menace : configuration incorrecte non intentionnelle
Contre-mesure : création d'instructions opérationnelles
Menace : erreurs dans l'architecture de l'environnement virtuel
Contre-mesure : affectation attentive de domaines invités aux plates-formes matérielles
Contre-mesure : planification d'une migration de domaine Oracle VM Server for SPARC
Contre-mesure : configuration correcte des connexions virtuelles
Contre-mesure : utilisation du balisage VLAN
Contre-mesure : utilisation des dispositifs de sécurité virtuels
Menace : effets secondaires du partage des ressources
Evaluation : effets secondaires liés aux ressources partagées
Contre-mesure : affectation attentive des ressources matérielles
Contre-mesure : affectation attentive des ressources partagées
Résumé : effets secondaires liés aux ressources partagées
Menace : manipulation de l'environnement d'exécution
Evaluation : manipulation de l'environnement d'exécution
Contre-mesure : sécurisation des chemins d'accès interactifs
Contre-mesure : réduction du SE Oracle Solaris
Contre-mesure : sécurisation du SE Oracle Solaris
Contre-mesure : recours à la séparation des rôles et à l'isolement des applications
Contre-mesure : configuration d'un réseau de gestion dédié
Menace : déni de service du système complet
Evaluation : déni de service du système complet
Contre-mesure : sécurisation d'ILOM
Menace : rupture de l'isolement
Evaluation : rupture de l'isolement
Contre-mesure : validation des signatures des microprogrammes et des logiciels
Contre-mesure : validation des modules de noyau
Menace : déni de service du domaine de contrôle
Evaluation : déni de service du domaine de contrôle
Contre-mesure : sécurisation de l'accès à la console
Menace : utilisation non autorisée d'utilitaires de configuration
Evaluation : utilisation non autorisée d'utilitaires de configuration
Contre-mesure : application de la règle des deux personnes
Contre-mesure : utilisation de droits pour Logical Domains Manager
Contre-mesure : sécurisation de Logical Domains Manager
Contre-mesure : audit de Logical Domains Manager
Menace : manipulation d'un domaine de service
Evaluation : manipulation d'un domaine de service
Contre-mesure : séparation des domaines de service de manière granulaire
Contre-mesure : isolation des domaines de service et des domaines invités
Contre-mesure : limitation de l'accès aux consoles virtuelles
Menace : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Evaluation : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Contre-mesure : configuration des domaines d'E/S de manière granulaire
Contre-mesure : configuration d'un matériel et de domaines root redondants
Menace : manipulation d'un domaine d'E/S
Evaluation : manipulation dans un domaine d'E/S
Contre-mesure : protection des disques virtuels
Contre-mesure : sécurisation du SE du domaine invité
Chapitre 2 Installation et configuration sécurisées d'Oracle VM Server for SPARC
Chapitre 3 Considérations relatives à la sécurité pour les développeurs
Les domaines invités peuvent être configurés de différentes manières pour fournir des niveaux variables d'isolement des domaines invités, de partage du matériel et de connectivité des domaines. Ces facteurs contribuent au niveau de sécurité de la configuration globale d'Oracle VM Server for SPARC. Pour obtenir des recommandations sur le déploiement sécurisé du logiciel Oracle VM Server for SPARC, reportez-vous aux sections Sécurité dans un environnement virtualisé et Défense contre les attaques.
Vous pouvez appliquer certains des principes de sécurité généraux suivants :
Minimisez la surface d'exposition aux attaques.
Minimisez les erreurs de configuration involontaires en créant des lignes directrices opérationnelles vous permettant d'évaluer périodiquement la sécurité du système. Reportez-vous à la section Contre-mesure : création d'instructions opérationnelles.
Planifiez avec soin l'architecture de l'environnement virtuel pour maximiser l'isolement des domaines. Reportez-vous aux contre-mesures décrites à la section Menace : erreurs dans l'architecture de l'environnement virtuel.
Planifiez avec soin les ressources à affecter et décidez si elles doivent être partagées. Reportez-vous aux sections Contre-mesure : affectation attentive des ressources matérielles et Contre-mesure : affectation attentive des ressources partagées.
Assurez-vous que les domaines logiques sont protégés contre les manipulations en appliquant les contre-mesures décrites aux sections Menace : manipulation de l'environnement d'exécution et Contre-mesure : sécurisation du SE du domaine invité.
Contre-mesure : sécurisation des chemins d'accès interactifs.
La section Contre-mesure : recours à la séparation des rôles et à l'isolement des applications décrit l'importance d'attribuer des rôles de fonctionnalité aux différents domaines et de s'assurer que le domaine de contrôle exécute des logiciels fournissant l'infrastructure nécessaire pour héberger des domaines invités. Vous devez exécuter des applications qui peuvent être exécutées par d'autres systèmes sur des domaines invités, lesquels doivent être conçus pour cet usage.
La section Contre-mesure : configuration d'un réseau de gestion dédié décrit une configuration réseau plus avancée qui relie des serveurs équipés de processeurs de service à un réseau de gestion dédié afin de protéger les processeurs de service contre les accès via le réseau.
Exposez uniquement un domaine invité au réseau en cas de besoin. Vous pouvez utiliser des commutateurs virtuels pour restreindre la connectivité réseau d'un domaine invité aux réseaux appropriés uniquement.
Effectuez les opérations requises pour réduire la surface d'exposition aux attaques dans Oracle Solaris 10 et Oracle Solaris 11, telles que décrites dans les manuels Oracle Solaris 10 Security Guidelines et Oracle Solaris 11 Security Guidelines .
Protégez le coeur de l'hyperviseur comme indiqué dans les sections Contre-mesure : validation des signatures des microprogrammes et des logiciels et Contre-mesure : validation des modules de noyau.
Protégez le domaine de contrôle contre les attaques par déni de service. Reportez-vous à la section Contre-mesure : sécurisation de l'accès à la console.
Faites en sorte que Logical Domains Manager ne puisse pas être exécuté par des utilisateurs non autorisés. Reportez-vous à la section Menace : utilisation non autorisée d'utilitaires de configuration.
Faites en sorte que le domaine de service ne soit pas accessible à des utilisateurs ou des processus non autorisés. Reportez-vous à la section Menace : manipulation d'un domaine de service.
Protégez un domaine d'E/S ou un domaine de service contre les attaques par déni de service. Reportez-vous à la section Menace : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service.
Assurez-vous qu'un domaine d'E/S n'est pas accessible à des utilisateurs ou des processus non autorisés. Reportez-vous à la section Menace : manipulation d'un domaine d'E/S.
Désactivez les services non indispensables du gestionnaire de domaines. Logical Domains Manager fournit des services réseau pour l'accès aux domaines, ainsi que pour leur surveillance et leur migration. Reportez-vous aux sections Contre-mesure : sécurisation de Logical Domains Manager et Contre-mesure : sécurisation d'ILOM.
Accordez le privilège minimal nécessaire pour effectuer une opération.
Isolez les systèmes en classes de sécurité, lesquelles correspondent à des groupes formés de systèmes invités individuels partageant les mêmes exigences en matière de sécurité et les mêmes privilèges. En assignant uniquement des domaines invités appartenant à la même classe de sécurité à une plate-forme matérielle donnée, vous créez une barrière d'isolement qui empêche les domaines de passer dans une autre classe de sécurité. Reportez-vous à la section Contre-mesure : affectation attentive de domaines invités aux plates-formes matérielles.
Utilisez les droits pour restreindre l'aptitude à gérer des domaines à l'aide de la commande ldm. Seuls les utilisateurs chargés d'administrer des domaines doivent être habilités à utiliser cette commande. Assignez un rôle utilisant le profil de droits LDoms Management (Gestion de domaines logiques) aux utilisateurs qui ont besoin d'accéder à l'ensemble des sous-commandes de ldm. Assignez un rôle utilisant le profil de droits LDoms Review (Vérification de domaines logiques) aux utilisateurs qui ont uniquement besoin d'accéder aux sous-commandes liées aux listes de ldm. Reportez-vous à la section Utilisation des profils de droits et des rôles du manuel Guide d’administration d’Oracle VM Server for SPARC 3.1 .
Utilisez les droits pour restreindre l'accès aux consoles des seuls domaines que vous, en tant qu'administrateur d'Oracle VM Server for SPARC, administrez. N'autorisez pas l'accès général à tous les domaines. Reportez-vous à la section Contrôle de l’accès à une console de domaine à l’aide de droits utilisateur du manuel Guide d’administration d’Oracle VM Server for SPARC 3.1 .
Surveillez l'activité du système.
Activez l'audit d'Oracle VM Server for SPARC. Reportez-vous à la section Activation et utilisation de l’audit du manuel Guide d’administration d’Oracle VM Server for SPARC 3.1 .