cisco

Pages: 8 (1804 mots) Publié le: 2 mars 2014
EA D S I N N O V A TI O N W O RK S

Virtualisation et ou Sécurité

Nicolas RUFF / nicolas.ruff (à) eads.net

EA D S I N N O V A TI O N W O RK S

Introduction
 Virtualisation:
– De nombreux projets en production
 Virtualisation et sécurité
– Un sujet très débattu
– Mais jamais tranché
– Ou peut-être que le thermomètre a été cassé ?

EA D S I N N O V A TI O N W O RK S

Plan
Introduction
 Définition des virtualisations
 Principes de fonctionnement (simplifiés)
 Risques pour la sécurité
 Conclusion

EA D S I N N O V A TI O N W O RK S

Définition
 Comment définir la virtualisation ?
– "En informatique, on appelle virtualisation l'ensemble des

techniques matérielles et/ou logicielles qui permettent de
faire fonctionner sur une seule machine plusieurssystèmes
d'exploitation et/ou plusieurs applications, séparément les
uns des autres, comme s'ils fonctionnaient sur des machines
physiques distinctes."

– Source: Wikipedia

• http://fr.wikipedia.org/wiki/Virtualisation

EA D S I N N O V A TI O N W O RK S

Applicatif/Spécialisé
Définition
• Ne fonctionne que pour une application donnée, analysée en laboratoire
• Repose en généraldes points de contrôle précis à l'intérieur de l'application
• Ex. "bac à sable" pour Internet Explorer
Applicatif/Générique
• Fonctionne pour toute application en mode utilisateur
• Repose en général sur une interception des appels système
• Ex. Microsoft App-V, fonction native de Vista, …
Système/Spécialisé
• "Para" virtualisation
• Nécessite une adaptation de l'invité
• Ex. XenSystème/Générique
• "Full" virtualisation
• Pas de modification de l'invité nécessaire
• Ex. VMWare, Hyper-V, Virtual PC/Virtual Server … mais aussi Xen, Bochs, KVM, VirtualBox,


EA D S I N N O V A TI O N W O RK S

Définition


A signaler aussi dans le panorama actuel (liste non exhaustive)


Google Native Client (NaCl)
• Nécessite une recompilation des applications
• Exécution decode vérifiable dans un "bac à sable"
• Même principe qu'une machine Java ou .NET … mais pour du code x86



Mode x86 virtuel
• Les processeurs x86 savent émuler des tâches en mode 8086 depuis
toujours



Isolation "en espace utilisateur"
• Ex. V-Server, OpenVZ, …



Virtualisation sur architectures non x86/x64
• Ex. Produit Trango de virtualisation sur processeur ARM (racheté parVMWare)

EA D S I N N O V A TI O N W O RK S

Définition


Etude Forrester 2009



124 entreprises interrogées
• 78% ont des serveurs de production virtualisés
• 20% ont uniquement des serveurs de développement virtualisés





(Non disponible publiquement mais reprise dans LMI)

Parts de marché
• VMWare: 98%
• Microsoft: 17%
• Citrix/Xen: 10%

Conséquences pour lasuite de cette présentation



Seul la virtualisation "système/générique" sera traitée
Exemples donnés principalement en environnement VMWare

EA D S I N N O V A TI O N W O RK S

Fonctionnement


Principe de base (vu de la lune)






L'invité fonctionne à un niveau de privilège inférieur à celui qu'il imagine
• Remarque: tous les processeurs modernes supportent aumoins 2 niveaux
de protection (user/supervisor)
Le moniteur de machine virtuelle (VMM) traite les erreurs que cela peut
occasionner

Pas facile à mettre en œuvre


Emulation complète de certaines fonctions CPU par le VMM
• Ex. gestion et protection mémoire



Architecture x86: quelques instructions non virtualisables
• Ex. LSL, SIDT, …
• L'architecture x86 ne respecte pas lesprincipes de Popek and Goldberg 

EA D S I N N O V A TI O N W O RK S

Fonctionnement
 Il y a très peu de "full virtualisation"
– Les performances seraient inacceptables !
 Coopération de l'invité souhaitée
– Echange à travers des hypercalls
– Principe des VMWare Tools, Hyper-V Integration Components,
etc.
 Si le système invité ne coopère pas
– Différentes techniques pour accélérer la...
Lire le document complet

Veuillez vous inscrire pour avoir accès au document.

Vous pouvez également trouver ces documents utiles

  • Cisco
  • Cisco
  • Cisco
  • Cisco
  • Cisco
  • Cisco
  • Pti cisco
  • Acl cisco

Devenez membre d'Etudier

Inscrivez-vous
c'est gratuit !