Format de rechange : La virtualisation de votre infrastructure (ITSAP.70.011) (PDF, 811 Ko)
La virtualisation est une technologie qui fait appel aux logiciels pour créer des versions logicielles des systèmes et des services de TI qui étaient traditionnellement mis en œuvre sur du matériel physique distinct. Ces versions logicielles (ou instances virtuelles) peuvent accroître considérablement l’efficacité des systèmes et réduire les coûts. Vous pouvez utiliser le matériel au maximum de sa capacité en répartissant ses fonctionnalités entre plusieurs services différents. Avant de mettre en œuvre un logiciel de virtualisation au sein de votre organisation, il est important de comprendre les risques associés à une telle utilisation et d’assurer la protection de votre réseau, de vos systèmes et de votre information.
Comment fonctionne la virtualisation?
L’exécution virtuelle de vos systèmes et de vos services exige trois composantes principales : des machines virtuelles, des hyperviseurs et des serveurs physiques.
Machine virtuelle
La virtualisation permet d’exécuter vos applications tout en utilisant moins de serveurs physiques. Les applications et les logiciels s’exécutent virtuellement sur un système informatique simulé que l’on appelle une machine virtuelle (VM pour Virtual Machine). La VM possède toutes les caractéristiques d’un serveur informatique, sans qu’il ne soit nécessaire d’y connecter du matériel. La VM est prise en charge par l’hyperviseur.
Hyperviseur
L’hyperviseur est un logiciel qui fournit les ressources informatiques (p. ex. stockage, mémoire) nécessaires pour exécuter virtuellement plusieurs VM.
On retrouve deux types d’hyperviseurs : sans système d’exploitation et hébergés. Un hyperviseur sans système d’exploitation s’exécute directement sur le matériel physique et un hyperviseur hébergé s’exécute en tant qu’application sur le système d’exploitation d’un hôte.
Serveurs matériels
Un seul serveur matériel peut prendre en charge plusieurs VM. Sans la virtualisation, les applications inactives accaparent des ressources (p. ex. puissance de traitement, mémoire RAM, stockage) qu’elles n’utilisent pas. La virtualisation permet d’utiliser les serveurs matériels au maximum de leurs capacités et de fournir à l’hyperviseur toutes les ressources nécessaires pour la prise en charge des VM.
Description détaillée
Virtualisation
À quoi sert la virtualisation?
La virtualisation accroîtra les performances de l’infrastructure de votre organisation, puisqu’il lui sera alors possible de faire ce qui suit :
- exécuter plusieurs systèmes d’exploitation sur une machine physique;
- répartir les ressources système entre les VM (p. ex. équilibrage de charge);
- renforcer le contrôle des ressources;
- créer des appliances de sécurité virtualisées (p. ex. pare-feu);
- déplacer, copier et enregistrer facilement les VM sur d’autres systèmes;
- exécuter une infrastructure de poste de travail virtuel (VDI pour Virtual Desktop Infrastructure) dans les installations et à distance.
Pour de plus amples renseignements sur les VDI, consultez l’ITSAP.70.111, Utiliser un poste de travail virtuel à la maison et au bureau.
Quels sont les avantages?
La virtualisation offre de nombreux avantages, dont les suivants :
- réduction des coûts associés à l’utilisation de services informatiques à performance élevée;
- productivité, efficacité et réactivité accrues;
- possibilités de télétravail avec accès à distance;
- mise en œuvre plus rapide des applications et des ressources;
- Diminution des interruptions de service sur les réseaux;
- réduction du temps nécessaire à la reprise des activités après un sinistre;
- gestion simplifiée des centres de données;
- séparation des applications et des données pour une sécurité et une fiabilité accrues;
- création d’environnements permettant de tester les applications en toute sécurité.
Quels sont les risques?
Votre organisation peut être touchée par des vulnérabilités de sécurité si la technologie adoptée en matière de virtualisation n’est pas configurée ou sécurisée adéquatement. Les risques pourraient comprendre ce qui suit :
- des vulnérabilités peuvent être introduites par l’intermédiaire des serveurs désuets et non corrigés;
- les données sensibles peuvent être compromises lors du déplacement des VM;
- les points d’entrée (p. ex. un accès externe au dispositif) peuvent être exploités alors que les VM sont hors ligne et inactives;
- le matériel peut être compromis par un maliciel se propageant d’une VM ou d’un hyperviseur à l’autre (p. ex. évasion de VM);
- un accès non autorisé pourrait survenir si la séparation virtuelle n’offre pas l’isolement nécessaire pour satisfaire aux exigences de sécurité de base (p. ex. accès privilégié);
- l’utilisation de dispositifs de sécurité conventionnels pourrait donner lieu à une perte de contrôle ou de visibilité;
- les ressources pourraient être épuisées si un hyperviseur est compromis ou si des changements non autorisés sont apportés aux configurations.
Comment choisir un fournisseur?
Vous devriez choisir un fournisseur qui est en mesure de se conformer aux exigences de votre organisation en matière de sécurité. Avant d’arrêter votre choix, il convient de poser les questions suivantes :
- Les données sont-elles chiffrées lorsqu’elles sont inactives et en transit?
- Le fournisseur a-t-il mis en place les contrôles de sécurité nécessaires pour protéger les données sensibles?
- Le fournisseur permet-il de faire appel à une architecture privée (p. ex. héberger des données dans une base de données indépendante) pour éviter que votre organisation utilise le même matériel physique que les autres clients?
- Le fournisseur utilise-t-il des hyperviseurs hébergés ou sans système d’exploitation?
- Le fournisseur offre-t-il des fonctions de surveillance et de vérification?
- Qui peut accéder aux données sur le serveur?
- De quelle façon les privilèges administratifs sont-ils contrôlés?
- Les serveurs se trouvent-ils au Canada (c.-à-d., le fournisseur est-il tenu de respecter les lois canadiennes en matière de protection de la vie privée)?
- Le fournisseur propose-t-il des conseils et des avis sur la façon de configurer l’environnement virtualisé, de le mettre en œuvre et de renforcer sa sécurité?
Comment puis-je atténuer les risques?
Votre organisation peut atténuer certains risques associés à la mise en œuvre d’une technologie virtuelle en prenant les mesures suivantes :
- sélectionner un fournisseur fiable et digne de confiance;
- appliquer fréquemment les mises à jour et les correctifs sur les serveurs;
- demander à l’équipe de TI de diviser les différentes zones de votre environnement virtualisé (p. ex. une zone publique, de stockage et de gestion) en zones réseau afin d’assurer un contrôle accru;
- stocker les données hautement sensibles sur des serveurs physiques distincts;
- tester les applications à risque élevé dans des environnements isolés;
- mettre en pratique le principe du droit d’accès minimal pour s’assurer que les utilisateurs ne peuvent accéder qu’aux données dont ils ont besoin dans le cadre de leurs fonctions;
- séparer les processus ou les tâches en séries d’étapes pour réduire les risques d’erreurs ou d’activités malveillantes;
- utiliser l’authentification multifacteur pour tous les comptes;
- former les employés sur les pratiques exemplaires à adopter en matière de cybersécurité et offrir une formation fondée sur les rôles (p. ex. pour les administrateurs).
Nous recommandons fortement à votre organisation d’utiliser un hyperviseur sans système d’exploitation dans son environnement virtualisé. La conception d’un tel hyperviseur comprend moins de composants, ce qui fait en sorte qu’il est moins exposé aux vulnérabilités.
Pour de plus amples renseignements sur la virtualisation, consultez l’ITSP.70.010, Rapport du Centre pour la cybersécurité sur la virtualisation des centres de données : Pratiques exemplaires en matière de virtualisation des centres de données.