| Ignorer les liens de navigation | |
| Quitter la vue de l'impression | |
|
Guide de sécurité d'Oracle® VM Server for SPARC 3.1 |
| Ignorer les liens de navigation | |
| Quitter la vue de l'impression | |
|
|
Guide de sécurité d'Oracle® VM Server for SPARC 3.1 |
Utilisation de cette documentation
Chapitre 1 Présentation de la sécurité d'Oracle VM Server for SPARC
Fonctions de sécurité utilisées par Oracle VM Server for SPARC
Présentation du produit Oracle VM Server for SPARC
Application de principes de sécurité généraux à Oracle VM Server for SPARC
Sécurité dans un environnement virtualisé
Sécurisation de l'environnement d'exécution
Menace : configuration incorrecte non intentionnelle
Contre-mesure : création d'instructions opérationnelles
Menace : erreurs dans l'architecture de l'environnement virtuel
Contre-mesure : affectation attentive de domaines invités aux plates-formes matérielles
Contre-mesure : planification d'une migration de domaine Oracle VM Server for SPARC
Contre-mesure : configuration correcte des connexions virtuelles
Contre-mesure : utilisation du balisage VLAN
Contre-mesure : utilisation des dispositifs de sécurité virtuels
Menace : effets secondaires du partage des ressources
Evaluation : effets secondaires liés aux ressources partagées
Contre-mesure : affectation attentive des ressources matérielles
Contre-mesure : affectation attentive des ressources partagées
Résumé : effets secondaires liés aux ressources partagées
Menace : manipulation de l'environnement d'exécution
Evaluation : manipulation de l'environnement d'exécution
Contre-mesure : sécurisation des chemins d'accès interactifs
Contre-mesure : réduction du SE Oracle Solaris
Contre-mesure : sécurisation du SE Oracle Solaris
Contre-mesure : recours à la séparation des rôles et à l'isolement des applications
Contre-mesure : configuration d'un réseau de gestion dédié
Menace : rupture de l'isolement
Evaluation : rupture de l'isolement
Contre-mesure : validation des signatures des microprogrammes et des logiciels
Contre-mesure : validation des modules de noyau
Menace : déni de service du domaine de contrôle
Evaluation : déni de service du domaine de contrôle
Contre-mesure : sécurisation de l'accès à la console
Menace : utilisation non autorisée d'utilitaires de configuration
Evaluation : utilisation non autorisée d'utilitaires de configuration
Contre-mesure : application de la règle des deux personnes
Contre-mesure : utilisation de droits pour Logical Domains Manager
Contre-mesure : sécurisation de Logical Domains Manager
Contre-mesure : audit de Logical Domains Manager
Menace : manipulation d'un domaine de service
Evaluation : manipulation d'un domaine de service
Contre-mesure : séparation des domaines de service de manière granulaire
Contre-mesure : isolation des domaines de service et des domaines invités
Contre-mesure : limitation de l'accès aux consoles virtuelles
Menace : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Evaluation : survenance d'un déni de service d'un domaine d'E/S ou d'un domaine de service
Contre-mesure : configuration des domaines d'E/S de manière granulaire
Contre-mesure : configuration d'un matériel et de domaines root redondants
Menace : manipulation d'un domaine d'E/S
Evaluation : manipulation dans un domaine d'E/S
Contre-mesure : protection des disques virtuels
Contre-mesure : sécurisation du SE du domaine invité
Chapitre 2 Installation et configuration sécurisées d'Oracle VM Server for SPARC
Chapitre 3 Considérations relatives à la sécurité pour les développeurs
Tous les systèmes Oracle SPARC actuels incluent un contrôleur système intégré (ILOM) qui assure les fonctions suivantes :
Gère les contrôles environnementaux de base tels que la vitesse du ventilateur et l'alimentation du châssis
Permet les mises à niveau du microprogramme
Fournit la console système pour le domaine de contrôle
Vous pouvez accéder à ILOM via une connexion série ou utiliser SSH, HTTP, HTTPS, SNMP, ou IPMI pour y accéder par l'intermédiaire d'un port réseau. Les systèmes Fujitsu M10 utilisent XSCF à la place d'ILOM pour assurer des fonctions similaires.
Une personne malveillante qui parvient à prendre le contrôle d'ILOM peut compromettre le système de multiples façons. Il peut notamment :
Mettre hors tension tous les invités en cours d'exécution
Installer un microprogramme manipulé pour accéder à un domaine invité au moins
Ces scénarios concernent tous les systèmes qui disposent de ce type de contrôleur. Dans un environnement virtualisé, les dommages peuvent être beaucoup plus importants que dans un environnement physique car de nombreux domaines qui sont hébergés dans le même boîtier système sont menacés.
De même, une personne malveillante qui parvient à prendre le contrôle du domaine de contrôle ou d'un domaine d'E/S peut aisément désactiver tous les domaines invités dépendants en arrêtant les services d'E/S correspondants.
Alors qu'ILOM est généralement connecté à un réseau administratif, il est également possible d'accéder à ILOM depuis le domaine de contrôle en utilisant l'IPMI avec le module d'accès du BMC. Par conséquent, ces deux types de connexions doivent être bien protégés et isolés des réseaux de production normaux.
De même, une personne malveillante peut violer la sécurité d'un domaine de service à partir du réseau ou par le biais d'une erreur dans la pile de virtualisation, puis bloquer les E/S invitées ou arrêter le système. Bien que les dommages soient limités car les données ne sont ni perdues, ni compromises, ils peuvent affecter un grand nombre de domaines invités. Veillez donc à vous protéger contre cette menace possible pour limiter les dommages potentiels.
En tant que processeur de service, ILOM contrôle des fonctions essentielles telles que l'alimentation du châssis, les configurations de démarrage d'Oracle VM Server for SPARC et l'accès par console au domaine de contrôle. Les mesures suivantes vous permettent de sécuriser ILOM :
Placement du port réseau d'ILOM dans un segment de réseau distinct du réseau administratif, qui est utilisé pour les domaines dans l'environnement d'exécution.
Désactivation de tous les services qui ne sont pas requis pour le fonctionnement normal, tels que HTTP, IPMI, SNMP, HTTPS et SSH.
Configuration de comptes administrateur dédiés et personnels qui accordent uniquement les droits requis. Pour permettre une traçabilité maximale des actions effectuées par les administrateurs, assurez-vous de créer des comptes administrateur personnels. Ce type d'accès est particulièrement important pour l'accès à la console, les mises à niveau de microprogrammes et la gestion des configurations de démarrage.
|