Recommandations de sécurité lors du déploiement de XenServer
Ce guide vous aide à concevoir la sécurité d’un environnement XenServer virtualisé. Il comprend les meilleures pratiques générales ainsi que des informations sur les points suivants :
- Protection des réseaux et du stockage XenServer
- Installation et déploiement de XenServer en toute sécurité
- Configuration des machines virtuelles
- Sécurisation du stockage virtualisé
Les recommandations et les orientations contenues dans le présent document ne sont pas exhaustives. À moins que des précisions ne soient nécessaires, le présent document ne fournit pas de procédures détaillées étape par étape.
Versions applicables
Ce guide s’applique aux versions suivantes de XenServer :
- XenServer 8
Audience
Avant de lire ce guide, vous devez avoir des connaissances de base en matière de sécurité, de XenServer et de réseau physique.
Ce guide s’adresse à plusieurs publics :
- Spécialistes de la sécurité
- Architectes système
- Administrateurs
Ce guide suppose que vous connaissez les concepts de base de XenServer, notamment l’installation de XenServer, XenCenter, les pools de ressources, la mise en réseau et le coordinateur de pool (anciennement pool master). Vous devez également vous assurer que vous connaissez les notes de version de la version de XenServer que vous installez.
Recherche des instructions de configuration
Vous trouverez des instructions de configuration aux emplacements suivants :
- Documentation du produit XenServer. La documentation du produit XenServer 8 fournit des informations générales et des instructions basées sur la ligne de commande.
- Documentation du produit XenCenter. La documentation XenCenter fournit des instructions étape par étape basées sur l’interface utilisateur à l’aide de la console d’administration XenCenter. Les utilisateurs qui ne sont pas à l’aise avec les commandes xe de XenServer peuvent préférer cette option.
Terminologie
- Réseau d’invités: Les réseaux invités transportent le trafic de machine virtuelle, c’est-à-dire le trafic réseau qui provient ou se termine d’une machine virtuelle. Ces réseaux peuvent également être appelés réseaux de machines virtuelles.
- Interface de gestion: L’interface de gestion est une carte réseau (ou un VLAN sur une carte réseau) à laquelle XenServer attribue une adresse IP que XenServer utilise pour son réseau de gestion, y compris, mais sans s’y limiter, le trafic entre les hôtes, entre un hôte et l’équilibrage de la charge de travail, et pour la migration en direct. Il s’agit également de l’adresse IP à laquelle les clients de gestion tels que XenCenter se connecteront.
- Trafic hostile: Tout trafic réseau susceptible de violer la confidentialité, l’intégrité ou la disponibilité de votre réseau ou de ses systèmes associés.
- Domaine de contrôle: domaine à usage spécial (instance de machine virtuelle), basé sur un noyau Linux, qui existe dans une seule instance sur chaque hôte XenServer. Le domaine de contrôle est généralement le seul domaine privilégié (ce qui signifie qu’il peut utiliser des appels d’hyperviseur privilégiés, par exemple pour mapper la mémoire physique dans et hors des domaines) sur un hôte XenServer, et est donc le seul domaine qui peut contrôler l’accès aux ressources d’entrée/sortie physiques directement et accéder au contenu d’autres domaines (c’est-à-dire, Domaine U). Le domaine de contrôle est également connu sous le nom de domaine 0 ou « dom0 ».
- Pilotes PV: pilotes d’un invité qui accélèrent les chemins de stockage et de données réseau. Ceux-ci sont traités comme faisant partie du système d’exploitation invité, utilisent des interfaces XenServer non privilégiées et ne sont pas impliqués dans l’implémentation des fonctions de sécurité XenServer.
- L’API de gestion: API de gestion des environnements XenServer (c’est-à-dire de configuration et de contrôle à distance des domaines s’exécutant sur des hôtes d’un pool XenServer). L’API de gestion est parfois appelée « XenAPI ».