logo

Bonnes pratiques pour la sécurité de VMware

La sécurisation d’un environnement virtuel exécutant VMware vSphere n’est pas aussi simple que d’accepter les paramètres et les stratégies par défaut au moment de l’installation. Bien que ces paramètres par défaut soient partiellement renforcés, il existe de nombreuses façons de les améliorer. En suivant ces bonnes pratiques pour la sécurité de VMware, vous contribuez à protéger votre infrastructure VMware contre les menaces de cybersécurité, qu’il s’agisse d’attaques malveillantes ou d’erreurs d’inattention.

Cet article explique comment réduire les risques pour la sécurité de votre entreprise en sécurisant correctement votre VMware vCenter Server et votre hyperviseur ESXi. Il présente également les bonnes pratiques en matière de déploiement, d’exploitation et de mise en réseau sécurisés.

Contenus connexes sélectionnés :

Sécurité de VMware vCenter Server

VMware vCenter Server est le principal centre de contrôle de votre environnement vSphere. Que vous l’installiez sur un système d’exploitation Windows ou Linux, les bonnes pratiques suivantes contribuent à le maintenir dans un état sécurisé :

  • Pour maintenir la sécurité de VMware, assurez-vous que vos systèmes vCenter Server utilisent des adresses IP et des noms d’hôtes statiques. Chaque adresse IP doit être assortie d’un enregistrement DNS interne valide, y compris la résolution inverse du nom.
  • Par défaut, le mot de passe du compte vpxuser expire après 30 jours. Si nécessaire, modifiez ce paramètre pour vous conformer à votre politique de sécurité.
  • Si vous utilisez vCenter Server sous Windows, assurez-vous que les paramètres de configuration de l’hôte du bureau à distance assurent le plus haut niveau de chiffrement.
  • Assurez-vous que le système d’exploitation est à jour sur le plan des correctifs de sécurité.
  • Installez une solution antivirus et maintenez-la à jour.
  • Veillez à ce que la source temporelle soit configurée de manière à se synchroniser avec un serveur de temps ou un pool de serveurs de temps, afin de garantir une validation correcte du certificat.
  • Ne permettez pas aux utilisateurs de se connecter directement à la machine hôte de vCenter Server.

Sécurité de VMware ESXi

Pour sécuriser votre hyperviseur ESXi, appliquez les bonnes pratiques suivantes :

  • Ajoutez chaque hôte ESXi au domaine Microsoft Active Directory, afin de pouvoir utiliser les comptes AD pour vous connecter et gérer les paramètres de chaque hôte.
  • Configurez tous les hôtes ESXi de manière à synchroniser l’heure avec les serveurs NTP centraux.
  • Activez le mode verrouillage sur tous les hôtes ESXi. Ainsi, vous pouvez choisir d’activer l’interface utilisateur de la console directe (DCUI) et si les utilisateurs peuvent se connecter directement à l’hôte ou seulement via le vCenter Server.
  • Configurez la journalisation à distance pour vos hôtes ESXi pour un stockage centralisé des journaux ESXi en vue d’une documentation des audits à long terme.
  • Veillez à toujours installer les derniers correctifs sur les hôtes ESXi pour atténuer les vulnérabilités. Les agresseurs tentent souvent d’exploiter des vulnérabilités connues pour accéder à un hôte ESXi.
  • Maintenez désactivée Secure Shell (SSH) (c’est le paramètre par défaut).
  • Précisez le nombre de tentatives de connexion échouées avant que le compte ne soit verrouillé.
  • Les versions ESXi 6.5 et suivantes prennent en charge le démarrage sécurisé UEFI à chaque niveau de la pile de démarrage. Utilisez cette fonction pour vous protéger contre les modifications malveillantes de configuration dans le chargeur de démarrage du système d’exploitation.

Déploiement et gestion sécurisés

Voici les principales bonnes pratiques pour le déploiement et la gestion sécurisés d’un environnement VMware vSphere :

  • Tenez vos modèles de machines virtuelles à jour grâce aux correctifs de sécurité des systèmes d’exploitation invités.
  • Ne déployez de nouvelles machines virtuelles qu’à partir de vos modèles de machines virtuelles. Cette pratique garantit que le système d’exploitation principal est correctement renforcé avant l’installation des applications et que toutes les machines virtuelles sont créées avec le même niveau de sécurité de référence.
  • Minimisez l’utilisation des consoles de machines virtuelles, car elles permettent aux utilisateurs d’utiliser la gestion de l’énergie et la connectivité des périphériques amovibles.
  • Désactivez les fonctions inutiles dans chaque machine virtuelle, y compris les composants système qui ne sont pas nécessaires à l’application que vous exécutez. Vous pouvez également désactiver les lecteurs de CD/DVD, les lecteurs de disquettes et les adaptateurs USB.
  • Limitez l’accès aux navigateurs des magasins de données afin de réduire les risques pour les fichiers de virtualisation stockés dans vos magasins de données.
  • Empêchez les utilisateurs d’exécuter des commandes dans une machine virtuelle en désactivant la fenêtre de ligne de commande.
  • Installez une solution antivirus, réglez-la sur la protection la plus élevée possible et actualisez-la constamment.

Opérations sécurisées

Voici les principales bonnes pratiques pour sécuriser vos opérations :

  • Pour gérer les autorisations, VMware vSphere utilise le contrôle d’accès basé sur les rôles (RBAC). Vous pouvez facilement créer, cloner et modifier les rôles dans le système vCenter Server, dans le but d’appliquer le principe du moindre privilège.
  • Intégrez vCenter à Microsoft Active Directory. Ceci est possible non seulement pour vCenter sous Windows mais aussi pour une vCenter Server Appliance (VCSA) sous Linux PhotonOS. Une telle intégration vous permet d’utiliser l’authentification AD pour les utilisateurs Microsoft AD existants dans vSphere, elle permet également aux administrateurs de vSphere d’utiliser une source d’identité commune pour autoriser l’accès aux objets vSphere.
  • Créez un compte nommé pour chaque utilisateur, avec le rôle d’administrateur de vCenter Server. N’accordez ce rôle qu’aux administrateurs qui en ont besoin ; les autres utilisateurs ne doivent avoir accès qu’aux machines virtuelles et aux autres ressources dont ils ont besoin pour faire leur travail.
  • Les privilèges relatifs aux ressources contrôlent la création et la gestion des pools de ressources. Vous pouvez définir les privilèges à différents niveaux (par exemple, au niveau dossier) afin qu’ils se propagent à l’intérieur de l’objet.
  • Auditez le trafic réseau, l’activité des pare-feux et les autres événements critiques. vSphere vous permet de consulter le journal des modifications élémentaires ; vous pouvez par exemple utiliser l’onglet « Tasks and Events » (Tâches et événements) du client vSphere pour examiner toutes les modifications apportées à un objet quelconque de votre hiérarchie vSphere pendant une certaine période. Toutefois, les solutions de sécurité tierces offrent des fonctionnalités supplémentaires, notamment des alertes personnalisées sur les modifications critiques telles que la suppression de machines virtuelles ou les changements apportés aux pools de ressources. Elles fournissent également des rapports clairs sur les modifications et les activités de connexion, ce qui facilite la surveillance de votre environnement virtuel et la préparation à la mise en conformité.

Mise en réseau sécurisée

La couche de réseau virtuel de VMware vSphere comprend plusieurs éléments, notamment un adaptateur de réseau virtuel, des commutateurs virtuels (vSwitches), des commutateurs virtuels distribués (DVS), des ports et des groupes de ports. L’hyperviseur ESXi se sert de ces éléments pour communiquer avec le monde extérieur. Les bonnes pratiques suivantes contribuent à améliorer la sécurité des réseaux :

  • Isolez le trafic réseau selon le type. À cette fin, vous pouvez utiliser des réseaux locaux virtuels (VLANS).
  • Sécurisez le trafic réseau de stockage virtuel :
    • Isolez le trafic de stockage sur des réseaux physiques et logiques distincts.
    • Utilisez l’authentification CHAP dans les environnements iSCSI.
    • Utilisez le cadre IPsec dans la mesure du possible. Ce mécanisme de sécurité réseau permet d’authentifier et de chiffrer les paquets de données envoyés sur un réseau.
  • Utilisez des pare-feux pour contribuer à sécuriser les éléments du réseau virtuel et à filtrer le trafic réseau des machines virtuelles. Ne modifiez pas la configuration par défaut du pare-feu ESXi.

Conclusion

Assurer la sécurité de votre environnement virtualisé est une tâche complexe. En suivant les bonnes pratiques présentées ici, vous pourrez concevoir, configurer et surveiller votre environnement de manière à réduire les risques et à garantir la conformité aux réglementations.

Outil gratuit : Restez au fait des modifications à votre environnement virtuel
Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Guide gratuit : Audit de VMware
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data security GDPR Insider threat IT compliance IT security Office 365 PowerShell SharePoint Windows Server
...