-
Notifications
You must be signed in to change notification settings - Fork 0
La virtualisation
Plateforme : TryHackMe | Module : Computer Fundamentals
Difficulté : Débutant | Statut : ✅ Complété
La virtualisation est le fondement technique de l'informatique moderne. Elle permet à un seul serveur physique de se comporter comme plusieurs machines indépendantes, optimisant les coûts, la sécurité et la flexibilité. Cette room couvre les hyperviseurs, les machines virtuelles, les containers, et une mise en pratique réelle de gestion d'environnement virtualisé.
Le modèle historique imposait une règle simple : un serveur = une application.
Conséquences directes :
| Problème | Impact |
|---|---|
| Coût élevé | Matériel, électricité, refroidissement, maintenance, espace datacenter |
| Faible utilisation | La plupart des serveurs fonctionnaient à 5–20% de leur capacité |
| Déploiement lent | Provisionner un nouveau serveur physique prenait des jours voire des semaines |
| Scalabilité difficile | Tout pic de charge nécessitait l'achat de matériel supplémentaire |
- Réduction des coûts (matériel, énergie, espace)
- Meilleure utilisation des ressources
- Isolation sécurisée pour les tests cybersécurité
- Déploiement rapide de nouveaux environnements
- Flexibilité et portabilité
- Scalabilité à la demande
- Gestion centralisée
- L'inventaire des actifs inclut-il les VMs et les containers (pas seulement les serveurs physiques) ?
- Les hyperviseurs sont-ils maintenus à jour et durcis conformément aux recommandations éditeurs ?
- Les environnements de test/malwares sont-ils strictement isolés du réseau de production ?
- Des alertes sont-elles configurées sur les seuils d'utilisation des hôtes physiques ?
- Les snapshots sont-ils soumis à une politique de rétention et de chiffrement ?
- L'isolation réseau entre VMs est-elle assurée par des configurations de VLANs ou de pare-feu virtuels ?
- Docker — Documentation officielle
- VMware ESXi
- Oracle VirtualBox
- ANSSI — Recommandations de sécurité pour les hyperviseurs
- ISO 27001:2022 — A.8.6 Gestion des capacités
- NIST SP 800-125 — Guide to Security for Full Virtualization Technologies
Plateforme : TryHackMe | Module : Computer Fundamentals
Difficulté : Débutant | Statut : ✅ Complété
La virtualisation est le fondement technique de l'informatique moderne. Elle permet à un seul serveur physique de se comporter comme plusieurs machines indépendantes, optimisant les coûts, la sécurité et la flexibilité. Cette room couvre les hyperviseurs, les machines virtuelles, les containers, et une mise en pratique réelle de gestion d'environnement virtualisé.
Le modèle historique imposait une règle simple : un serveur = une application.
Conséquences directes :
| Problème | Impact |
|---|---|
| Coût élevé | Matériel, électricité, refroidissement, maintenance, espace datacenter |
| Faible utilisation | La plupart des serveurs fonctionnaient à 5–20% de leur capacité |
| Déploiement lent | Provisionner un nouveau serveur physique prenait des jours voire des semaines |
| Scalabilité difficile | Tout pic de charge nécessitait l'achat de matériel supplémentaire |
Point GRC : un parc de serveurs sous-utilisés représente un risque financier et opérationnel mesurable. La rationalisation des actifs IT est une composante directe de la gestion des risques numériques (ISO 27001 A.8.1 — inventaire des actifs).
La virtualisation s'explique facilement avec une métaphore :
| Monde physique | Équivalent virtualisation |
|---|---|
| L'immeuble | Le serveur physique |
| Les appartements | Les machines virtuelles |
| Les locataires | Les applications / systèmes d'exploitation |
| Le gestionnaire de l'immeuble | L'hyperviseur |
Chaque appartement (VM) a ses propres ressources et son isolement, tout en partageant l'infrastructure commune (le matériel physique).
L'hyperviseur est le logiciel central de la virtualisation. Il :
- Divise un serveur physique en plusieurs machines virtuelles
- Alloue CPU, mémoire et stockage à chaque VM
- Maintient l'isolation entre les VMs
- Gère le cycle de vie des VMs : démarrage, arrêt, pause, clonage, suppression
| Caractéristique | Type 1 (Bare-metal) | Type 2 (Hosted) |
|---|---|---|
| S'exécute sur | Le matériel physique directement | Un système d'exploitation existant |
| Performance | Haute | Modérée |
| Installation | Complexe | Simple |
| Cas d'usage | Serveurs de production, datacenters | Labs, tests, apprentissage |
| Exemples | VMware ESXi, Microsoft Hyper-V | VirtualBox, VMware Workstation |
| Cas d'usage | Type 1 | Type 2 |
|---|---|---|
| Test de fichiers malveillants | ✅ | |
| Serveur de production | ✅ | |
| Serveur de base de données | ✅ | |
| Tests logiciels | ✅ | |
| Lab Kali Linux | ✅ | |
| Datacenter | ✅ |
Point GRC : le choix du type d'hyperviseur conditionne la surface d'attaque et les capacités de résilience. Un Type 1 mal configuré dans un datacenter expose directement l'ensemble des VMs hébergées. ISO 27001 A.8.9 — gestion de la configuration.
Une VM est un ordinateur virtuel complet créé par l'hyperviseur. Elle se comporte exactement comme une machine physique :
- CPU virtuel, RAM virtuelle, stockage virtuel, interface réseau virtuelle
- Peut faire tourner n'importe quel système d'exploitation (Windows, Linux, macOS)
- Totalement isolée des autres VMs — si l'une plante, les autres continuent
Cas d'usage courants :
- Faire tourner Kali Linux sur un poste Windows sans matériel supplémentaire
- Tester des fichiers potentiellement malveillants dans un environnement isolé
- Répliquer des environnements de production pour les tests
Outils grand public : Oracle VirtualBox, VMware Workstation (Type 2)
Un container est un environnement léger et isolé qui exécute une seule application et toutes ses dépendances.
Les containers ne embarquent pas un OS complet : ils partagent le kernel du système hôte (la couche qui communique avec le matériel et gère les ressources).
| Caractéristique | VM | Container |
|---|---|---|
| OS complet | ✅ Oui | ❌ Non (partage le kernel hôte) |
| Démarrage | Plusieurs minutes | Quelques secondes |
| Ressources consommées | Élevées | Faibles |
| Isolation | Totale | Partielle (kernel partagé) |
| Portabilité | Bonne | Excellente |
| Cas d'usage principal | Applications complexes, OS différents | Microservices, déploiement scalable |
Contrainte importante : un container doit correspondre au type du système hôte. On ne peut pas faire tourner un container Windows sur un hôte Linux.
Docker est la plateforme open-source de référence pour créer, déployer et gérer des containers.
Architecture complète :
Serveur physique
└── Hyperviseur
├── Machine Virtuelle 1
│ ├── OS invité
│ └── Application
└── Machine Virtuelle 2
├── OS invité
├── Container A (App 1)
└── Container B (App 2)
Point GRC : le kernel partagé des containers est un point de vigilance majeur. Une vulnérabilité au niveau du kernel peut potentiellement affecter tous les containers d'un même hôte. La segmentation par VMs reste supérieure pour les charges sensibles. ISO 27001 A.8.22 — filtrage des réseaux / isolation des environnements.
Contexte : administrateur virtualisation chez AutoGalo, via l'application Virtualization Manager.
La VM Mail-SERVER était en état Error, causant une panne du service email sur l'ensemble de l'organisation.
Action : redémarrage via l'interface → service rétabli.
Ce scénario illustre l'importance du monitoring des états de VMs. Une VM en erreur non détectée peut provoquer une interruption de service.
Nouvelle VM provisionnée pour l'équipe marketing :
| Paramètre | Valeur |
|---|---|
| Nom | Marketing-VM |
| Cœurs CPU | 4 |
| Mémoire | 8 Go |
| Taille disque | 100 Go |
L'allocation des ressources est un arbitrage entre performance et optimisation des coûts : sur-allouer gaspille les ressources de l'hôte, sous-allouer dégrade les performances de l'application.
| Hôte | Statut | Observation |
|---|---|---|
| HV-PROD-01 | ✅ Sain | Capacité disponible, peut accueillir de nouvelles VMs |
| HV-PROD-02 | Proche de 100% — à signaler immédiatement au management | |
| HV-BACKUP-01 | 🔴 Déconnecté | Aucune VM hébergée, indisponible |
HV-PROD-02 à 100% est une situation critique : tout pic de charge supplémentaire peut provoquer des crashs de VMs, donc des interruptions de service.
| Terme | Définition |
|---|---|
| Virtualisation | Permet à un serveur physique de se comporter comme plusieurs systèmes indépendants |
| Hyperviseur | Logiciel qui crée et gère les machines virtuelles |
| Machine Virtuelle (VM) | Ordinateur virtuel complet avec son propre OS et ses ressources |
| Container | Environnement léger pour une seule application, partageant le kernel hôte |
| Image de container | Template pré-packagé utilisé pour créer des containers |
| Port réseau | Point d'entrée numéroté qu'une application utilise pour communiquer sur le réseau |
| Composant | Vecteur d'attaque | Contrôle recommandé | Référentiel |
|---|---|---|---|
| Hyperviseur | VM escape (sortie de la VM vers l'hôte) | Mise à jour firmware/hyperviseur, durcissement | ISO 27001 A.8.8 |
| VM (tests malwares) | Infection de l'hôte via dossiers partagés | Désactiver les partages, isoler le réseau | ISO 27001 A.8.22 |
| Containers | Kernel exploit affectant tous les containers | Isolation renforcée (namespaces, seccomp), mise à jour kernel | ISO 27001 A.8.8 |
| Hôte saturé | DoS par ressource exhaustion | Monitoring et alertes sur les seuils d'utilisation | ISO 27001 A.8.6 |
| Snapshots | Restauration de credentials ou configs compromis | Gestion du cycle de vie des snapshots, chiffrement | ISO 27001 A.8.10 |
- Réduction des coûts (matériel, énergie, espace)
- Meilleure utilisation des ressources
- Isolation sécurisée pour les tests cybersécurité
- Déploiement rapide de nouveaux environnements
- Flexibilité et portabilité
- Scalabilité à la demande
- Gestion centralisée
- L'inventaire des actifs inclut-il les VMs et les containers (pas seulement les serveurs physiques) ?
- Les hyperviseurs sont-ils maintenus à jour et durcis conformément aux recommandations éditeurs ?
- Les environnements de test/malwares sont-ils strictement isolés du réseau de production ?
- Des alertes sont-elles configurées sur les seuils d'utilisation des hôtes physiques ?
- Les snapshots sont-ils soumis à une politique de rétention et de chiffrement ?
- L'isolation réseau entre VMs est-elle assurée par des configurations de VLANs ou de pare-feu virtuels ?
- [Docker — Documentation officielle](https://docs.docker.com)
- [VMware ESXi](https://www.vmware.com/products/esxi-and-esx.html)
- [Oracle VirtualBox](https://www.virtualbox.org)
- [ANSSI — Recommandations de sécurité pour les hyperviseurs](https://www.ssi.gouv.fr)
- [ISO 27001:2022 — A.8.6 Gestion des capacités](https://www.iso.org/standard/27001)
- [NIST SP 800-125 — Guide to Security for Full Virtualization Technologies](https://csrc.nist.gov/publications/detail/sp/800-125/final)