Bonjour,
La sécurité de votre infrastructure virtuelle est très importante, selon le degré d’exposition auquel vous la soumettez. Avec l’arrivée des cartes 10GB, on est souvent obligé de faire passer, sur les mêmes cartes réseau, autant les réseaux privés, les DMZ, que Internet.
Cela exige un niveau d’expertise et d’audit bien supérieur, que par le passé, ou l’on prônait la séparation physique.
VMware propose, depuis la version vSphere 4, un certain nombre de documents permettant de faire du hardening et donc consolider certains points de sécurité, afin d’augmenter la complexité des attaques.
Le premier document présente l’architecture vSphere et les possibilités de sécurisations, telle que les certificats SSL, la gestion des utilisateurs ou le lockdown mode.
Pour la version 5.1
Le second document permet de faire du Hardening avancé, en faisant l’inventaire des points sensibles de l’infrastructure et en proposant des best practices.
Il aborde notamment la sécurité au niveau du vCenter, des vSwitchs, et de certains vAPI.
Actuellement, vous le trouvez que pour la version 4.1.
En juin 2012, VMware a mis à jour son document pour la version vSphere 5.
http://communities.vmware.com/docs/DOC-19605
En avril 2013, VMware a mis à jour son document pour la version vSphere 5.1.
http://communities.vmware.com/docs/DOC-22981
En février 2014, VMware a mis à jour son document pour la version vSphere 5.5
Voici le lien général pour trouver l’ensemble des documents liés aux versions:
http://www.vmware.com/security/hardening-guides.html?ClickID=czeqnpessawafq7vqvqnvs4nszqxnsflanea.
VMware a sorti, fin août 2011, un outil compatible vSphere 5.x, permettant d’analyser votre infrastructure selon ces critères, qui se nomme VMware Compliance Checker for vSphere.
https://www.vmware.com/tryvmware/?p=compliance-checker&lp=1
Simple à utiliser, il suffit de l’installer sur le vCenter ou votre poste de travail, le démarrer et indiquer l’adresse du vCenter.
VMware Compliance Checker for vSphere
Il vous générera un rapport imprimable, qui vous aidera à consolider votre infrastructure.
Evidemment, cela ne contrôle pas tout et les règles de base telle que les mots de passe complexes, séparation des consoles de management de la production, sont toujours d’actualités, mais cela va vous permettre de vous guider et prendre les bonnes décisions.
N’hésitez pas à l’utiliser et contrôlez votre infrastructure.
Bon hardening sécurité !