|
Société |
|
|
Rédacteur |
Grégory BERNARD - +33 1 84 75 12 34 |
|
Projet |
Sécurisation de l'hyperviseur Proxmox |
|
Licence |
|
|
Marques |
Proxmox® est une marque enregistrée de la société Proxmox Server Solutions GmbH. |
|
Version |
1.0.0 |
Pourquoi fournissons-nous ce livre blanc gratuitement ?
Nous croyons aux vertus du partage des connaissances. C’est la raison pour laquelle nous mettons gratuitement cette étude à la disposition des personnes qui souhaitent en bénéficier sans en faire commerce. Notre équipe d’ingénieurs est impliquée depuis vingt ans dans le développement, la mise en place, le déploiement et la maintenance d’infrastructures critiques dans le Cloud ou au sein de réseaux privés entièrement basées sur des logiciels open source.
Depuis quatorze ans, nous avons développé des connaissances très spécifiques dans le domaine de la cybersécurité et nous pensons que le partage d’une partie de ces connaissances permettra d’améliorer globalement le niveau de résilience des infrastructures critiques des entreprises.
L’autre objectif est de permettre à des sociétés qui ne disposeraient pas de nos compétences de pouvoir en bénéficier en faisant appel à nos équipes.
Nous vous proposons nos services dans le domaine :
- du conseil,
- de la conception et de l’architecture réseau
- du déploiement de vos clusters Proxmox VE (sous Ceph, ZFS, NFS, …)
- de la maintenanc
Cette étude comporte 46 points de sécurité, 15 pages, seuls 10 pointsd sont affichés ci-dessous. Pour télécharger l’étude complète en PDF, il suffit de remplir le formulaire ci-dessous.
Cybersécurité du système Proxmox
Proxmox VE (PVE) est un système de virtualisation qui intègre le système de gestion de Machine Virtuelle (VM) KVM et le système de Container (CT) LXC. En plus de ces briques de base, Proxmox VE permet le déploiement de ces Machines Virtuelles et Containers sur dans des environnement de Système de Fichiers multiple (EXT4, ZFS, CEPH, …) mais aussi sur des systèmes de montage réseau (NFS, iSCSI) par exemple.
L’intégration remarquable entre ces différents systèmes font de Proxmox VE “l’Hyperviseur” Open Source le plus en vogue du marché. Ses performances sont tellement remarquables que PVE concurrence aujourd’hui VMWare, non seulement au niveau des prix (la solution étant gratuite - cela semble gagné d’avance), mais aussi en terme de fiabilité, de performance et surtout de simplicité de maintenance de la solution.
L’objectif de ce livre blanc est de comprendre comment parvenir à sécuriser les environnements Proxmox VE afin de les rendre résistant (Hardened).
Nous nous servirons du document proposé par l'ANSSI pour sécuriser les environnements ESXi.
Mutualisation des ressources
Comme exprimé dans le document cadre de l’ANSSI, le cloisonnement des VM est l’un des objectifs principaux qui permettra d’assurer un bon niveau de sécurité aux VMs hébergées.
La première recommandation (R1) se traduira donc par :
ne pas héberger des équipements qui ont des niveaux de sécurité différents au sein d’un même hyperviseur éviter l’exposition des VM qui ne nécessitent pas de l’être
La seconde recommandation (R2) visa à limiter les fonctions de routage et de filtrage entre VMs de sensibilité différente.
On pourra la traduire par :
limiter la surface d’attaque (c’est à dire le nombre de services déployés) isoler les niveaux réseaux logique avec des matériels distincts et non connectés les uns aux autres
Maintien en condition de sécurité
La troisième recommandation (R3 et R4) est de s’abonner aux services de notification de vulnérabilité logiciel de votre Hyperviseur ET des VM et CT qui le constituent.
On prendra soin de souscrire une licence Proxmox Enterprise afin de garantir que son hyperviseur dispose de mises à jour régulières.
On pourra sur Proxmox (qui est installé sous Debian) prévoir le déploiement du logiciel vuls, sur un Container dédié.
Ou plus simplement utiliser le package debsecan
Les pilotes des drivers de votre hardware doivent être dûment identifiés et récupérés uniquement sur les sites des constructeurs (R5).
Les pilotes du hardware (BIOS) des plate-formes d’hébergement sont rarement OpenSource. Cependant lorsque des pilotes performants existent en Open Source pour remplacer les BIOS des constructeurs, nous vous recommandons de les utiliser.
Dans la réalité les BIOS OpenSource sont très peu nombreux et ne supportent qu’extrêmement peu de hardware, à fortiori au niveau des cartes mères des serveurs.
Le fait d’utiliser des logiciels Open Source présente un avantage important, car bien qu’il soit possible de faire confiance aux fabricants de hardware, les expériences de ces dernières années ont prouvé que le doute valait mieux que la confiance absolue.
En tout état de cause et en l’absence d’alternative viable, il est impératif de mettre régulièrement à jour votre BIOS en veillant à ce que vos hyperviseurs ne contiennent pas de logiciel présentants des failles identifiées de sécurité (CVS).
Le point R6 concerne spécifiquement VMWare et la signature des binaires distribués dans le cadre des mises à jour.
Sur ce point, nous vous recommandons de souscrire au services d’abonnement Enterprise de Proxmox afin d’avoir accès à des binaires signés et issus de leur répertoire entreprise.
Le point R7 consiste à s’assurer que les modules Kernel soient à 100% issus de sources identifiés.
Comme au point R6, nous vous recommandons une souscription aux services “Entreprise” de Proxmox afin de vous assurer de disposer de kernel linux sécurisés et à jour. Un point fort de Proxmox par rapport à VCenter est que les mises à jour de Proxmox, même sur des versions majeures se passent très bien. Les étapes de la mise à jour sont détaillées par les équipes de Proxmox et se trouvent ici :
- https://pve.proxmox.com/wiki/Upgrade_from_2.3_to_3.0
- https://pve.proxmox.com/wiki/Upgrade_from_3.x_to_4.0
- https://pve.proxmox.com/wiki/Upgrade_from_5.x_to_6.0
- https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0
A ce stade si les deux premiers liens vous concernent : c’est que vous n’avez pas bien lu nos recommandations, il est grandement temps de prendre les choses en main ! Normalement vous devriez déjà impérativement être à la version 6 de Proxmox.
Le point R8 peut être interprété comme la nécessité d’utiliser sudo afin de limiter l’accès au compte root, tout en ayant la possibilité de conduire les opérations de mises à jour nécessaires pour votre système.
Le point R9 est un point critique et la politique de Proxmox ne permet pas de copier leur répertoire APT de mises à jour offline afin de synchroniser vos VM dessus.
Une solution partielle possible est d’utiliser un serveur Proxy afin de s’assurer que seul un serveur ait accès au WEB. Pour les projets qui seraient portés par des EIV, il est possible de négocier des licences spécifiques qui permettent un accès offline aux ressources de Proxmox, merci de nous contacter à ce sujet.
Le point R10 préciserait que votre serveur proxy doit être protégé par un service de pare-feu à gestion d’état.
Nous vous recommandons d’utiliser un firewall à gestion d’état tel que DynFi Firewall qui réponds aux critères exigés par l’ANSSI en la matière. Ou l’utilisation d’un pare-feu NEXT-GEN avec des fonctionnalités de filtrage L7 dûment testées et validées.
Accédez au document complet
Si vous souhaitez télécharger l’étude complète au format PDF, il vous suffit de remplir le formulaire ci-dessous :