Chapitre 19. Sécuriser les machines virtuelles

Lors de l'utilisation de machines virtuelles (VM), plusieurs systèmes d'exploitation peuvent être hébergés dans une seule machine hôte. Ces systèmes sont connectés à l'hôte par l'intermédiaire de l'hyperviseur et, en général, d'un réseau virtuel. Par conséquent, chaque VM peut être utilisée comme vecteur pour attaquer l'hôte avec des logiciels malveillants, et l'hôte peut être utilisé comme vecteur pour attaquer n'importe laquelle des VM.

Figure 19.1. Un vecteur potentiel d'attaque de logiciels malveillants sur un hôte de virtualisation

Étant donné que l'hyperviseur utilise le noyau de l'hôte pour gérer les machines virtuelles, les services fonctionnant sur le système d'exploitation de la machine virtuelle sont souvent utilisés pour injecter du code malveillant dans le système hôte. Cependant, vous pouvez protéger votre système contre de telles menaces de sécurité en utilisant un certain nombre de fonctions de sécurité sur votre système hôte et votre système invité.

Ces fonctionnalités, telles que SELinux ou QEMU sandboxing, fournissent diverses mesures qui rendent plus difficile l'attaque de l'hyperviseur par des codes malveillants et leur transfert entre votre hôte et vos machines virtuelles.

Figure 19.2. Prévention des attaques de logiciels malveillants sur un hôte de virtualisation

De nombreuses fonctionnalités fournies par RHEL 9 pour la sécurité des machines virtuelles sont toujours actives et n'ont pas besoin d'être activées ou configurées. Pour plus d'informations, voir Fonctionnalités automatiques pour la sécurité des machines virtuelles.

En outre, vous pouvez adhérer à une série de bonnes pratiques pour minimiser la vulnérabilité de vos machines virtuelles et de votre hyperviseur. Pour plus d'informations, voir Meilleures pratiques pour sécuriser les machines virtuelles.