1 votes

Lapsio avatar

La virtualisation imbriquée est-elle sûre ?

Demandé el 5 de Février, 2017
Quand la question a-t-elle été
1861 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Est-il sûr d'activer la virtualisation imbriquée KVM sur notre hôte (physique) afin de permettre aux utilisateurs d'exécuter leurs propres VM dans leur VPS ? Ou cela introduit-il des problèmes de sécurité sur notre hôte principal et la virtualisation imbriquée ne devrait être utilisée que pour les VM de confiance ?

Demandé el 5 de Février, 2017 par Lapsio

0 votes

Avatar de dsegleau

C'est à peu près aussi sûr que d'utiliser KVM en premier lieu. Certains hyperviseurs ne s'imbriquent pas aussi bien dans KVM. J'ai eu de nombreux problèmes dans le passé en imbriquant ESXi sous KVM en production, mais j'ai imbriqué Xen et KVM sous KVM sans aucun problème.

Commenté el 6 de Février, 2017 par dsegleau

Réponses

Trop de publicités?

3voto

Rob Howard avatar
Rob Howard Points 636

La virtualisation ajoute toujours au risque de sécurité sans quelque chose comme des VMs protégées. L'une des lois immuables de la sécurité est la suivante : "Si un méchant a un accès physique illimité à votre ordinateur, ce n'est plus votre ordinateur". En ce qui concerne la couche VM, si vous avez accès à l'hôte, vous avez accès à la VM. Notez que cela s'applique également à tout service basé sur le cloud. Si vous avez accès à la console de gestion, vous avez effectivement accès aux machines virtuelles qui y sont exécutées et vous pouvez en faire ce que vous voulez.

Répondu el 5 de Février, 2017 par Rob Howard (636 Points )

0 votes

Avatar de Lapsio

Je veux dire de l'autre côté du propriétaire de la machine physique. Si c'est notre serveur physique, pouvons-nous activer la virtualisation imbriquée sur l'hôte ? Ou cela permet-il à l'utilisateur du VPS de s'échapper vers / de déstabiliser l'hôte physique ?

Commenté el 5 de Février, 2017 par Lapsio

2 votes

Avatar de Michael Hampton

@user2111737 Il n'y a rien d'inhérent à la virtualisation imbriquée qui permettrait un tel scénario.

Commenté el 6 de Février, 2017 par Michael Hampton

1 votes

Avatar de Rob Howard

Je suis d'accord, il y a des exploits dans certains hyperviseurs pour obtenir des privilèges sur l'hyperviseur, mais je ne suis pas sûr que vous puissiez faire un double saut vers le physique, et comme mentionné, ce n'est pas inhérent à la virtualisation imbriquée en soi.

Commenté el 6 de Février, 2017 par Rob Howard

-2voto

Ed Neville avatar
Ed Neville Points 193

En bref, il y a un risque. Les VM sont loin d'être parfaites. Jetez un coup d'œil aux problèmes récents avec xen.

http://seclists.org/oss-sec/2016/q4/684 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2596

Répondu el 5 de Février, 2017 par Ed Neville (193 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X