Isolation des Ressources

Un sevice de Sécurité de l’offre Flexible Engine d’Orange Business Services

Cloisonner vos ressources virtualisées pour plus de sécurité

Flexible Engine fournit des services permettant à un utilisateur de créer une infrastructure virtualisée au-dessus d’une infrastructure physique mutualisée pour l’ensemble des utilisateurs. Les mécanismes de virtualisation mis en œuvre assurent un cloisonnement logique fort entre les ressources virtualisées des clients (un tenant par client). L’accès aux ressources d’un tenant passe par les API OpenStack mettant en œuvre une authentification forte (login / mot de passe / token) et sécurisée (en SSL via https)

Fonctionnement de la solution

Virtualisation Système

La plateforme de virtualisation Flexible Engine repose sur le moteur de virtualisation OpenSource XEN. Au-delà de la sécurité standard de cette solution, l’hyperviseur a été durci pour renforcer son cloisonnement :

  • Processus : les processus de serveurs virtuels différents n’ont aucune visibilité les uns sur les autres
  • Mémoire vive : les tests effectués par Orange Business Services montrent que les données en mémoire allouées après l’usage d’un serveur virtuel ne peuvent pas être récupérées
  • Données persistées : pas de stockage local à l’hyperviseur (hors gabarit spécifique type BigDisk). L’accès aux serveurs virtuels déployés dans le tenant s’établit quant à lui par connexion sécurisée SSH ou RDP sur la base de la clé publique fournie au lancement de l’instance et de la clé privée dont il est le seul dépositaire.

Cette couche de virtualisation et son orchestration ont été soumis à des tests d’intrusion qui n’ont pas montré de vulnérabilité et qui n’ont pas réussi à récupérer de données persistées en mémoire ou sur les disques durs des hyperviseurs.

Virtualisation Stockage

La ségrégation d’accès aux données stockées (bloc et objet) est assurée par une couche applicative (Openstack Cinder pour le stockage block, compatible AWS S3 pour le stockage objet) qui n’autorise des accès aux données qu’aux utilisateurs propriétaires des données ou de l’espace de stockage concerné. Par ailleurs, les données écrites sur l’infrastructure ne sont pas récupérables une fois supprimées par le client ou lorsque l’infrastructure virtuelle correspondante est terminée par le client. Ces mécanismes sont testés régulièrement grâce à des tests d’intrusions réalisés par Orange Cyber Défense et ses partenaires dont le savoir-faire est reconnu sur le marché. A noter que les disques physiques nécessitant d’être remplacés sont détruits par broyeuse avec un processus de traçabilité des matériels et de certification des opérations de maintenances.

Virtualisation Réseau

Les fonctionnalités de VPC porté par le composant OpenStack Neutron offre un cloisonnement logique fiable des communications sur le réseau utilisateurs. Toute forme de trafic réseau qui n’est pas naturellement autorisée sur le tenant du client n’est pas traitée par les équipements supportant le réseau virtuel du client, empêchant tout usage de technologies de spoofing.