| Ignorer les liens de navigation | |
| Quitter la vue de l'impression | |
|
Guide de sécurité d'Oracle® VM Server for SPARC 3.1 |
| Ignorer les liens de navigation | |
| Quitter la vue de l'impression | |
|
|
Guide de sécurité d'Oracle® VM Server for SPARC 3.1 |
Utilisation de cette documentation
Chapitre 1 Présentation de la sécurité d'Oracle VM Server for SPARC
Fonctions de sécurité utilisées par Oracle VM Server for SPARC
Présentation du produit Oracle VM Server for SPARC
Application de principes de sécurité généraux à Oracle VM Server for SPARC
Sécurité dans un environnement virtualisé
Sécurisation de l'environnement d'exécution
Menace : configuration incorrecte non intentionnelle
Contre-mesure : création d'instructions opérationnelles
Menace : erreurs dans l'architecture de l'environnement virtuel
Contre-mesure : affectation attentive de domaines invités aux plates-formes matérielles
Contre-mesure : planification d'une migration de domaine Oracle VM Server for SPARC
Contre-mesure : configuration correcte des connexions virtuelles
Contre-mesure : utilisation du balisage VLAN
Contre-mesure : utilisation des dispositifs de sécurité virtuels
Menace : effets secondaires du partage des ressources
Evaluation : effets secondaires liés aux ressources partagées
Contre-mesure : affectation attentive des ressources matérielles
Contre-mesure : affectation attentive des ressources partagées
Résumé : effets secondaires liés aux ressources partagées
Menace : manipulation de l'environnement d'exécution
Evaluation : manipulation de l'environnement d'exécution
Contre-mesure : sécurisation des chemins d'accès interactifs
Contre-mesure : réduction du SE Oracle Solaris
Contre-mesure : sécurisation du SE Oracle Solaris
Contre-mesure : recours à la séparation des rôles et à l'isolement des applications
Contre-mesure : configuration d'un réseau de gestion dédié
Menace : déni de service du système complet
Evaluation : déni de service du système complet
Contre-mesure : sécurisation d'ILOM
Menace : rupture de l'isolement
Evaluation : rupture de l'isolement
Contre-mesure : validation des signatures des microprogrammes et des logiciels
Contre-mesure : validation des modules de noyau
Menace : déni de service du domaine de contrôle
Evaluation : déni de service du domaine de contrôle
Contre-mesure : sécurisation de l'accès à la console
Menace : utilisation non autorisée d'utilitaires de configuration
Evaluation : utilisation non autorisée d'utilitaires de configuration
Contre-mesure : application de la règle des deux personnes
Contre-mesure : utilisation de droits pour Logical Domains Manager
Contre-mesure : sécurisation de Logical Domains Manager
Contre-mesure : audit de Logical Domains Manager
Menace : manipulation d'un domaine de service
Evaluation : manipulation d'un domaine de service
Contre-mesure : séparation des domaines de service de manière granulaire
Contre-mesure : isolation des domaines de service et des domaines invités
Contre-mesure : limitation de l'accès aux consoles virtuelles
Menace : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Evaluation : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Contre-mesure : configuration des domaines d'E/S de manière granulaire
Contre-mesure : configuration d'un matériel et de domaines root redondants
Menace : manipulation d'un domaine d'E/S
Contre-mesure : sécurisation du SE du domaine invité
Chapitre 2 Installation et configuration sécurisées d'Oracle VM Server for SPARC
Chapitre 3 Considérations relatives à la sécurité pour les développeurs
Tout domaine qui a directement accès à un périphérique d'E/S physique tel que des ports ou des disques réseau est un domaine d'E/S. Pour plus d'informations sur la configuration des domaines d'E/S, reportez-vous au Chapitre 6, Configuration des domaines d’E/S du manuel Guide d’administration d’Oracle VM Server for SPARC 3.1 .
Un domaine d'E/S peut également être un domaine de service s'il offre des services d'E/S à des domaines invités, ce qui permet à ces derniers d'accéder au matériel.
Une personne malveillante qui bloque les services d'E/S d'un domaine d'E/S bloque par la même occasion l'ensemble des domaines invités dépendants. Il est possible de lancer une attaque par déni de service réussie en surchargeant l'infrastructure du réseau ou du disque ou en introduisant une erreur dans le domaine. Chacune de ces attaques peut provoquer un blocage ou une erreur grave du domaine. De même, une personne malveillante qui suspend les services d'un domaine de service provoque le blocage immédiat de tout domaine invité qui dépend de ces services. Si le domaine invité se bloque, il se remet à fonctionner lorsque le service d'E/S reprend.
Les attaques par déni de service sont fréquemment effectuées par le biais du réseau. Ce type d'attaque peut réussir car les ports réseau sont ouverts à la communication et peuvent être submergés par le trafic réseau. La perte de service qui en résulte bloque les domaines invités dépendants. Une attaque similaire peut être dirigée contre les ressources de disque par le biais de l'infrastructure SAN ou en attaquant le domaine d'E/S. Le seul dommage qui en résulte est un arrêt temporaire de tous les domaines invités dépendants. Bien que l'impact d'un déni de service sur les tâches puisse être conséquent, les données ne sont ni compromises, ni perdues, et la configuration du système reste intacte.
La configuration de plusieurs domaines d'E/S permet de réduire l'impact d'une défaillance ou d'une perte de fiabilité d'un domaine. Vous pouvez affecter des emplacements PCIe individuels à un domaine invité pour lui accorder des capacités de domaine d'E/S. Si le domaine root propriétaire du bus PCIe tombe en panne, ce bus est réinitialisé, ce qui entraîne l'arrêt brutal du domaine auquel l'emplacement individuel a été affecté. Cette fonctionnalité n'élimine pas complètement la nécessité de disposer de deux domaines root possédant chacun un bus PCIe distinct.
La haute disponibilité participe également à l'amélioration de la sécurité car elle permet aux services de résister aux attaques par déni de service. Oracle VM Server for SPARC implémente des méthodologies de haute disponibilité telles que l'utilisation de disques et de ressources réseau redondants dans des domaines d'E/S redondants. Cette option de configuration permet des mises à niveau progressives des domaines d'E/S et protège contre l'impact d'une défaillance d'un domaine d'E/S due à une attaque par déni de service. Depuis l'apparition de SR-IOV, les domaines invités sont en mesure d'accéder directement à des périphériques d'E/S individuels. Cependant, si SR-IOV ne peut pas être implémenté, envisagez de créer des domaines d'E/S redondants. Reportez-vous à la section Contre-mesure : séparation des domaines de service de manière granulaire.
Un domaine d'E/S a directement accès à des périphériques back-end, généralement des disques, qu'il virtualise puis propose aux domaines invités. Après une attaque réussie, une personne malveillante dispose d'un accès total à ces périphériques et peut lire des données sensibles ou manipuler des logiciels sur les disques d'initialisation des domaines invités.
Une attaque dirigée contre un domaine d'E/S est aussi probable qu'une attaque réussie sur un domaine de service ou le domaine de contrôle. Le domaine d'E/S est une cible particulièrement prisée car il offre potentiellement un accès à un grand nombre de périphériques de disque. Tenez donc compte de cette menace lorsque vous travaillez avec des données sensibles dans un domaine invité s'exécutant sur des disques virtualisés.
Lorsqu'un domaine d'E/S est compromis, la personne malveillante dispose d'un accès total aux disques virtuels du domaine invité.
Protégez le contenu des disques virtuels en effectuant les opérations suivantes :
Chiffrement du contenu des disques virtuels. Sur les systèmes Oracle Solaris 10, vous pouvez utiliser une application capable de chiffrer ses propres données, telle que les tablespaces chiffrés pgp/gpg ou Oracle 11g. Sur les systèmes Oracle Solaris 11, vous pouvez utiliser des ensembles de données chiffrés ZFS pour assurer un chiffrement transparent de toutes les données stockées dans le système de fichiers.
Répartition des données sur plusieurs disques virtuels dans plusieurs domaines d'E/S. Un domaine invité peut créer un volume entrelacé (RAID 1/RAID 5) qui s'étend sur plusieurs disques virtuels obtenus à partir de deux domaines d'E/S. Si l'un de ces domaines d'E/S est compromis, la personne malveillante auteur de l'attaque ne pourra que difficilement utiliser la portion de données disponible.
|