Discussion :

[Cedrun]

Bonjour,

Je ne sais pas si l'un d'entre vous s'est déjà intéressé à la sécurité VMware ?

Mon interrogation en ce moment porte sur un des slogan de VMware à savoir qu'il existe un cloisonnement au niveau des VMs qui les protège les unes de autres.

Or je viens de découvrir une API fournie par VMware et qui se nomme VIX et qui permet, depuis un accès externe ou depuis une VM, d'entrer dans l'OS d'une autre VM via les VMware Tools et de pouvoir y faire tout ce que l'on veut.

Est-ce vraiment bien d'un point de vu sécurité ?

Quelqu'un connait le moyen de désactivé l'accès aux WebServices depuis une VM (limiter l'accès au processus "hostd") ?

Merci d'avance à ceux qui pourront me répondre ou me donner des pistes

[vpourchet]

le cloisonement se fait via l'outil vShield Zones, j'en aborde une partie sur mon blog technique :

http://vpourchet.wordpress.com/vmware/ --> partie vShield Zones si t'as des questions sur ce sujet n'éhsites pas

[Cedrun]

Ouais donc VMware c'est bien seulement si on y met le prix ?

Il y a aucun moyen de gérer ça gratuitement ?

Si non, on ne peut pas proposer VMware à une petite entreprise avec un faible budget ?

PS: Au passage, il est pas mal ton blog

[vpourchet]

Merci pour le compliment.

Ben c'est chaud du VMware en PME/PMI pour moi faut voir un SI conséquent pour que ce soit avantageux. Après rien ne t'empeche de cloisonner en utilisant le réseau et les serveurs hôtes ...

ex : un hote en DMZ avec juste les vm de dmz ou de créer une VM 'firewall' comme avec vShield non ? enfin je dis ca je dis rien

[Cedrun]

Ouais donc ça reste quand même du travail à faire soit même ?

Mais si on installe rien de tout ce que tu dis, VMware nous garantie quand même le cloisonnement entre les VMs et c'est là que j'ai un doute !

Si dans une entreprise avec peux de moyen, on dispose de virtualisation avec ESXi sans toutes les options payantes. Qu'on fournit aux employés une machine virtuelle chacun comme poste de travail ? Qu'est ce qui nous garanti qu'un des employé ne va pas pouvoir foutre le bordel sur une autre VM qui se trouve sur le même hôte ? xD

Je sais il y a beaucoup de "si" mais VMware nous dit bien qu'ils n'existent pas