Avec la démocratisation des solutions de virtualisation en entreprise, il devient important de penser à la sécurité. En effet, les serveurs virtuels peuvent bien être isolés les uns aux autres, qu'arriverait-il si l'intégrité de l'hôte était compromise ? Si un tel scénario arrivait, l'attaquant aurait un accès total aux serveurs virtuels.

Sécurité du serveur hôte

Dans le cas des serveurs physiques contenant le logiciel de virtualisation (nommé communément serveur hôte), il existe une façon de s'assurer qu'il est en sécurité et ainsi éviter une attaque. Il faut comprendre que la base du logiciel de virtualisation (Ex. VMware ESX) est en fait un système d'exploitation qui a été modifié pour répondre au besoin du produit. Dans le cas de VMware, le système d'exploitation est une version modifiée de Red Hat Linux. Voici les façons dont nous pouvons nous prémunir d'une éventuelle attaque tout en étant le plus transparent pour l'utilisateur.

Le serveur hôte est doté d'un firewall qui permet de bloquer tout trafic non nécessaire de se connecter. Nous pouvons ainsi éviter qu'un certaine faille de sécurité soit exploitée par quiconque. Il est très important de garder ce firewall actif et de n'ouvrir que les ports dont nous avons absolument besoin. VMWare, par défaut est installé de manière à ce que tout port superflu soit bloqué.

Nous pouvons aussi installer un autre firewall physique afin d'isoler le serveur du reste du réseau. Cette façon double ainsi la sécurité de nos hôtes car il filtre les utilisateurs qui pourraient pouvoir se connecter. Il est cependant important de savoir quels sont les ports à ouvrir pour permettre de communiquer avec le serveur physique :

• Port 443 TCP Entrant --> Permet de se connecter au serveur par interface web (avec un Navigateur Internet).
• Port 902 TCP Entrant & UDP Sortant --> Permet de se connecter au serveur en utilisant le client VMware.
• Port 903 TCP Entrant --> Permet de se connecter à la console du serveur virtuel pour ainsi avoir accès à l'interface du serveur virtuel.

Dans le cas où nous voudrions isoler les serveurs hôtes de leur stockage réseau (Ex. SAN iSCSI ou serveur NFS), voici les ports qu'il faut ouvrir afin que VMWare puisse avoir accès aux unités de stockage. Veuillez noter que cette sécurité serait faite sur le port VMKernel qui est associé au stockage réseau. Veuillez aussi noter qu'une telle isolation pourrait mener à une réduction des performances due au temps d'analyse des paquets passant à travers le firewall.

• Port 2049 TCP Entrant & Sortant --> Permet de se connecter avec un serveur de stockage NFS.
• Port 3260 TCP Sortant --> Permet de se connecter à un SAN iSCSI.

Dans le cas où nous voudrions isoler les serveurs hôtes les uns des autres, voici les ports que nous devrions ouvrir.
• Port 2050 à 2250 TCP Sortant & UDP Entrant et Sortant --> Permet d'utiliser la fonction High Availability (HA) permettant de redémarrer un serveur virtuel sur un autre serveur hôte advenant une défectuosité du serveur hôte sur lequel ce serveur virtuel résidait.
• Port 8000 TCP Entrant & Sortant --> Permet d'utiliser la fonction VMotion (voir explication VMKernel pour une explication sur cette fonction). Veuillez noter que ce port est associé au port VMKernel au lieu du port de console.

Pour des performances optimales et pour éviter une complexité de la configuration de votre réseau il est recommandé d'isoler les ports VMKernel des autres ports mais de permettre une communication sans restriction sur ce sous-réseau.