Société 

DynFi

Rédacteur

Grégory BERNARD - +33 1 82 52 24 52

Projet 

Sécurisation de l'hyperviseur Proxmox

Licence 

CC-BY-NC-SA

Marques

Proxmox® est une marque enregistrée de la société Proxmox Server Solutions GmbH.
DynFi® est une marque enregistrée de la société DynFi EURL. 

Version 

1.0.0

 

Pourquoi fournissons-nous ce livre blanc gratuitement ?

Nous croyons fermement aux vertus du partage des connaissances. C'est la raison pour laquelle nous mettons gratuitement cette étude à la disposition de tous ceux qui souhaitent l'utiliser de manière non commerciale.
Notre équipe d'ingénieurs est impliquée depuis vingt ans dans le développement, la mise en place, le déploiement et la maintenance d'infrastructures critiques dans le Cloud ou au sein de réseaux privés entièrement basées sur des logiciels libres. Nous avons développé des connaissances très spécifiques dans ce domaine et nous pensons que le partage d'une partie de ces connaissances permettra d'améliorer la sécurité des infrastructures en suivant la même approche.

N'hésitez pas à nous contacter si vous avez besoin de services de conseil, ou de conception et d'architecture réseau pour le déploiement de vos clusters CEPH ou ZFS basés sur Proxmox !

Cette étude comporte 46 points de sécurité, 15 pages, seuls 10 pointsd sont affichés ci-dessous. Pour télécharger l'étude complète en PDF, il suffit de remplir le formulaire ci-dessous.

 

Cybersécurité du système Proxmox

Proxmox est un système de virtualisation qui intègre le système de gestion de Machine Virtuelle (VM) KVM et le système de Container (CT) LXC. En plus de ces briques de base, Proxmox permet le déploiement de ces Machines Virtuelles et Containers sur dans des environnement de Système de Fichiers multiple (EXT4, ZFS, CEPH) mais aussi sur des systèmes de montage réseau (NFS, iSCSI) par exemple.

L'intégration remarquable entre ces différents systèmes font de Proxmox "l'Hyperviseur" Open Source le plus en vogue du marché. Ses performances sont tellement remarquables que Proxmox concurrence aujourd'hui VMWare, non seulement au niveau des prix (on s'en serait douté), mais aussi en terme de fiabilité, de performance et de simplicité de maintenance de la solution.

L'objectif de ce mémo est de comprendre comment parvenir à sécuriser les environnements Proxmox afin de les rendre résistant (Hardened).

Nous nous servirons du document proposé par l'ANSSI pour sécuriser les environnements ESXi.

 

Mutualisation des ressources

Comme exprimé dans le document cadre de l'ANSSI, le cloisonnement des VM est l'un des objectifs principaux qui permettra d'assurer un bon niveau de sécurité aux VMs hébergées.

La première recommandation (R1) se traduira donc par :

  • ne pas héberger des équipements qui ont des niveaux de sécurité différents au sein d'un même hyperviseur
  • éviter l'exposition des VM qui ne nécessitent pas de l'être

 

La seconde recommandation (R2) visa à limiter les fonctions de routage et de filtrage entre VMs de sensibilité différente.
On pourra la traduire par :

  • limiter la surface d'attaque (c'est à dire le nombre de services déployés)
  • isoler les niveaux réseaux logique avec des matériels distincts et non connectés les uns aux autres

 

Maintien en condition de sécurité

La troisième recommandation (R3 et R4) est de s'abonner aux services de notification de vulnérabilité logiciel de votre Hyperviseur ET des VM et CT qui le constituent.

 

Les pilotes des drivers de votre hardware doivent être dûment identifiés et récupérés uniquement sur les sites des constructeurs (R5).

Les pilotes du hardware (BIOS) des plate-formes d'hébergement sont rarement OpenSource. Cependant lorsque des pilotes performants existent en Open Source pour remplacer les BIOS des constructeurs, nous vous recommandons de les utiliser.

Dans la réalité les BIOS OpenSource sont très peu nombreux et ne supportent qu'extrêmement peu de hardware, à fortiori au niveau des cartes mères des serveurs.

Le fait d'utiliser des logiciels Open Source présente un avantage important, car bien qu'il soit possible de faire confiance aux fabricants de hardware, les expériences de ces dernières années ont prouvé que le doute valait mieux que la confiance absolue.

En tout état de cause et en l'absence d'alternative viable, il est impératif de mettre régulièrement à jour votre BIOS en veillant à ce que vos hyperviseurs ne contiennent pas de logiciel présentants des failles identifiées de sécurité (CVS).

 

Le point R6 concerne spécifiquement VMWare et la signature des binaires distribués dans le cadre des mises à jour.

Sur ce point, nous vous recommandons de souscrire au services d'abonnement Enterprise de Proxmox afin d'avoir accès à des binaires signés et issus de leur répertoire entreprise.

 

Le point R7 consiste à s'assurer que les modules Kernel soient à 100% issus de sources identifiés.

Comme au point R6, nous vous recommandons une souscription aux services "Entreprise" de Proxmox afin de vous assurer de disposer de kernel linux sécurisés et à jour.
Un point fort de Proxmox par rapport à VCenter est que les mises à jour de Proxmox, même sur des versions majeures se passent très bien. Les étapes de la mise à jour sont détaillées par les équipes de Proxmox et se trouvent ici :

A ce stade si les deux premiers liens vous concernent : c'est que vous n'avez pas bien lu nos recommandations, il est grandement temps de prendre les choses en main !
Normalement vous devriez déjà impérativement être à la version 6 de Proxmox.

 

Le point R8 peut être interprété comme la nécessité d'utiliser sudo afin de limiter l'accès au compte root, tout en ayant la possibilité de conduire les opérations de mises à jour nécessaires pour votre système.

 

Le point R9 est un point critique et la politique de Proxmox ne permet pas de copier leur répertoire APT de mises à jour offline afin de synchroniser vos VM dessus.

Une solution partielle possible est d'utiliser un serveur Proxy afin de s'assurer que seul un serveur ait accès au WEB. Pour les projets qui seraient portés par des EIV, il est possible de négocier des licences spécifiques qui permettent un accès offline aux ressources de Proxmox, merci de nous contacter à ce sujet.

 

Le point R10 préciserait que votre serveur proxy doit être protégé par un service de pare-feu à gestion d'état. 

Nous vous recommandons d'utiliser un firewall à gestion d'état qui réponds aux critères exigés par l'ANSSI en la matière. Ou l'utilisation d'un pare-feu NEX-GEN avec des fonctionnalités de filtrage L7 dûment testées et validées.


Si vous souhaitez télécharger l'étude complète, il vous suffit de remplir le formulaire ci-dessous :