Dans une offre de type IaaS, le client souscrit à un service d'hébergement d'un système d'exploitation tournant dans un environnement virtualisé. Une fois le système livré par le prestataire c'est au client de sécuriser son système. L'étendue de ce travail de sécurisation dépendra des besoins du client et ce qui est fournit ou non par le prestataire.
Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d'entrée de gamme. A vous de vous remontez les manches et de renforcer la sécurité au niveau adéquat.
Je vous donne 15 recommandations pour sécuriser une instance d'une machine virtuelle localisée en Cloud IaaS.
- Cryptez tout le trafic réseau
- Limitez à un le nombre de services supportés par une instance (*)
- Renforcez la sécurité de votre système d'exploitation (Microsoft MBSA, Bastille Linux, ...)
- Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc
- Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...)
- Ne stockez pas vos clefs de décryptage sur l'instance : Celles-ci ne doivent y entrer que durant le processus de décryptage.
- N'ouvrez que le minimum de ports réseau requis sur chacune des instances
- Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d'exploitation que les applicatifs
- Faites des scans de détection de vulnérabilités récurrents
- Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter
- N'utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients
- Effectuez régulièrement des sauvegardes pour ensuite les rapatriez-les et les stocker en lieu sûr
- Installez un système de détection d'intrusion au niveau du système d'exploitation (par exemple OSSEC, CISCO CSA, ...)
- Si vous suspectez une intrusion, faites un snaphost de l'instance et stoppez-là. (*)
- Développer vos applications de façon sécurisée (OWASP).
Je n'ai pas été réinventer la roue : Un serveur IaaS c'est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation.
PS: Rien de bien magique pour un administrateur système/sécurité expérimenté. Surtout qu'avec la virtualisation le copy/paste d'instances virtuelles offre un niveau d'industrialisation que l'on ne connait pas dans les serveurs dédiés. Bon Cloud !
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens